Inhalte und Eigenschaften von Syslog-Nachrichten im CEF-Format

Die Informationen über jedes erkannte Ereignis werden als separate UTF-8-kodierte syslog-Nachricht im Format CEF übermittelt.

Eine Nachricht im CEF-Format besteht aus einem Nachrichten-Body und einem Header. In jeder syslog-Nachricht werden folgende Felder, die durch die Parameter des syslog-Protokolls im Betriebssytsem festgelegt werden, übermittelt:

• Datum und Uhrzeit des Ereignisses
• Hostname, auf dem das Ereignis eingetreten ist
• App-Name (hat immer den Wert KSMG).

Durch Anwendungseinstellungen festgelegte Felder einer syslog-Nachricht über ein Ereignis liegen im Format <Schlüssel>="<Wert>" vor. Wenn der Schlüssel mehrere Werte besitzt, werden diese Werte durch ein Komma voneinander getrennt.

Die Schlüssel sowie deren Werte, die in der Nachricht enthalten sind, hängen von der Ereignisklasse ab.

Beispiel: July 16 10:34:23 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

Die maximale Größe der syslog-Nachricht über das erkannte Ereignis ist abhängig von den Werten der syslog-Einstellungen auf dem Server, auf dem KSMG installiert ist.

Nach oben