В теле CEF-сообщений классов событий группы ScanLogic допустимо использование ключей в соответствии с их семантикой (см. таблицу ниже).
Допустимые значения полей классов событий группы ScanLogic
Класс событий |
Ключ |
Значение |
|---|---|---|
Все классы группы ScanLogic |
cs1 |
ID сообщения. |
cs1Label |
Всегда имеет значение |
|
src |
IP-адрес сервера, от которого получено сообщение. |
|
act |
Действие. |
|
fsize |
Размер сообщения. |
|
suser |
Отправитель сообщения. |
|
duser |
Список получателей сообщения. |
|
reason |
Причина возникновения события. |
|
cs2 |
Список правил. |
|
cs2Label |
Всегда имеет значение |
|
outcome |
Статус проверки. |
|
cs3 |
Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. |
|
cs3Label |
Всегда имеет значение |
|
fname |
Имя файла. |
|
LMS_EV_SCAN_LOGIC_AS_STATUS LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS |
cs4 |
Метод обнаружения. |
cs4Label |
Всегда имеет значение |
|
LMS_EV_SCAN_LOGIC_MA_STATUS |
cs4 |
Заключение SPF. |
cs4Label |
Всегда имеет значение |
|
cs5 |
Заключение DKIM. |
|
cs5Label |
Всегда имеет значение |
|
cs6 |
Заключение DMARC. |
|
cs6Label |
Всегда имеет значение |
|
LMS_EV_SCAN_LOGIC_KT_STATUS |
suser |
Имя учетной записи пользователя, который извлек сообщение из KATA-карантина. |
cs4 |
Причина пропуска сканирования. |
|
cs4Label |
Всегда имеет значение |
|
LMS_EV_SCAN_LOGIC_CF_STATUS |
cs4 |
Возможные значения:
|
cs4Label |
Всегда имеет значение |
|
LMS_EV_SCAN_LOGIC_PART_RESULT |
cn1 |
Количество объектов. |
cn1Label |
Всегда имеет значение |
|
cn2 |
Размер заблокированного файла. |
|
cn2Label |
Всегда имеет значение |
|
cs3 |
Непроверенные файлы. |
|
cs3Label |
Всегда имеет значение |
|
cs4 |
Имена угроз. |
|
cs4Label |
Всегда имеет значение |
|
cs5 |
Имя заблокированного файла. |
|
cs5Label |
Всегда имеет значение |
|
cs6 |
Формат заблокированного файла. |
|
cs6Label |
Всегда имеет значение |
В каждом классе событий группы ScanLogic допустимо присутствие только релевантных ему ключей (см. таблицу ниже).
Релевантные ключи для классов событий группы ScanLogic
Класс событий |
Релевантные ключи |
|---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED |
cs1, cs1Label, src, act, fsize, suser, duser, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AV_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_KT_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome |
LMS_EV_SCAN_LOGIC_MA_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome |
LMS_EV_SCAN_LOGIC_CF_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_PART_RESULT |
cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, cn2, cn2Label |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP |
cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label |
Если в событии LMS_EV_SCAN_LOGIC_PART_RESULT в поле mime part указан статус avStatus=Infected или avStatus=Disinfected, то в качестве значения ключа cn1 указывается список disinfectedObjects или deletedObjects при наличии одного из них. Если оба списка непустые, то ключи cn1 и cn1Label будут добавлены дважды.