Inhalt und Eigenschaften der syslog-Nachrichten im Format CEF

Die Informationen über jedes erkannte Ereignis werden als separate UTF-8-kodierte syslog-Nachricht im Format CEF übermittelt.

Die Nachricht im Format CEF besteht aus dem Textkörper und dem Header. In jeder syslog-Nachricht werden folgende Felder, die durch die Parameter des syslog-Protokolls im Betriebssytsem festgelegt werden, übermittelt:

• Datum und Zeit des Ereignisses;
• Name des Hosts, auf dem das Ereignis eingetreten ist;
• App-Name (hat immer den Wert KSMG)

Durch App-Einstellungen festgelegte Felder einer syslog-Nachricht über ein Ereignis liegen im Format <Schlüssel>="<Wert>" vor. Wenn ein Schlüssel mehrere Werte besitzt, sind diese Werte mit Komma getrennt anzugeben.

Die Schlüssel sowie deren Werte, die in der Nachricht enthalten sind, hängen von der Ereignisklasse ab.

Beispiel: July 16 10:34:23 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

Die maximale Größe der syslog-Nachricht über das erkannte Ereignis ist abhängig von den Werten der syslog-Einstellungen auf dem Server, auf dem KSMG installiert ist.

Nach oben