В теле CEF-сообщений классов событий аудита используются ключи, перечисленные в таблице ниже.
Допустимые значения полей для общих ключей событий аудита
Ключ |
Значение |
|---|---|
externalId |
Уникальный глобальный идентификатор события (GUID). |
suser |
Логин пользователя, инициировавшего событие, или имя пользователя, инициировавшего событие, из внешнего Active Directory или LDAP. |
KSMGUserRole |
Список ролей пользователя, инициировавшего событие. Если ролей несколько, они перечисляются через запятую. Не записывается, если у пользователя отсутствуют роли. |
KSMGAccountType |
Тип учетной записи пользователя KSMG, инициировавшего событие. |
src |
IPv4-адрес компьютера, с которого было инициировано событие. |
c6a2Label |
Всегда принимает значение Записывается, если IP-адрес компьютера, с которого было инициировано событие, имеет формат IPv6. |
c6a2 |
IPv6-адрес компьютера, с которого было инициировано событие. |
dst |
IPv4-адрес узла, который обработал событие. |
c6a3Label |
Всегда принимает значение Записывается, если IP-адрес узла, который обработал событие, имеет формат IPv6. |
c6a3 |
IPv6-адрес узла, который обработал событие. |
dpt |
Порт узла, который обработал событие. |
cn1Label |
Всегда принимает значение |
cn1 |
Номер части с информацией о событии. |
cn2Label |
Всегда принимает значение |
cn2 |
Общее количество частей с информацией о событии. |
outcome |
Результат события. Возможные значения: |