Contenu et propriétés des messages syslog au format CEF

Les informations sur chaque événement détecté sont transmises sous forme d'un message syslog distinct au format CEF, avec le codage UTF-8.

Le message au format CEF comprend le corps du message et l'en-tête. Chaque message syslog transmet les champs suivants, définis par les paramètres du protocole Syslog dans le système d'exploitation :

• date et heure de l'événement ;
• nom d'hôte sur lequel l'événement s'est produit ;
• nom de l'application (a toujours la valeur KSMG).

Les champs du message syslog sur l'événement définis par les paramètres de l'application sont présentés au format <clé>=<valeur>. Si la clé a plusieurs valeurs, ces valeurs sont séparées par des virgules. Les deux-points sont utilisés comme séparateur entre les clés.

Les clés, ainsi que leurs valeurs contenues dans le message, dépendent de la classe de l'événement.

Exemple : July 16 10:34:23 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.0.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

La taille maximale du message syslog sur l'événement détecté dépend des valeurs des paramètres syslog sur le serveur où est installé Kaspersky Secure Mail Gateway. Vous pouvez exceptionnellement configurer l'envoi des messages syslog seulement vers un serveur syslog externe.

Haut de page