Die Audit-Ereignisse werden im CEF-Format protokolliert, wenn alle folgenden Bedingungen erfüllt sind:
Die Informationen über jedes erkannte Audit-Ereignis werden als separate UTF-8-kodierte syslog-Nachricht im Format CEF übermittelt. Die Kategorie der Ereignisaufzeichnung wird im Abschnitt Einstellungen → Protokolle und Ereignisse → Syslog → CEF-Format → Ereignisse im CEF-Format aufzeichnen angegeben.
Eine Nachricht im CEF-Format besteht aus dem Textkörper und dem Header. In jeder syslog-Nachricht werden folgende Felder, die durch die Parameter des syslog-Protokolls im Betriebssytsem festgelegt werden, übermittelt:
Durch die Anwendungseinstellungen festgelegte Felder einer syslog-Nachricht über ein Ereignis liegen im Format <Schlüssel>="<Wert>" vor. Wenn der Schlüssel mehrere Werte besitzt, werden diese Werte durch ein Komma voneinander getrennt.
Die Schlüssel sowie deren Werte, die in der Nachricht enthalten sind, hängen von der Ereignisklasse ab.
Beispiel: Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
Die maximale Größe der syslog-Nachricht über das erkannte Ereignis ist abhängig von den Werten der syslog-Einstellungen auf dem Server, auf dem KSMG installiert ist.
Nach oben