Contenu et propriétés des messages syslog au format CEF

Les informations sur chaque événement détecté sont transmises sous forme d'un message syslog distinct au format CEF, avec le codage UTF-8.

Le message au format CEF comprend le corps du message et l'en-tête. Chaque message syslog transmet les champs suivants, définis par les paramètres du protocole Syslog dans le système d'exploitation :

• date et heure de l'événement ;
• nom d'hôte sur lequel l'événement s'est produit ;
• nom de l'application (a toujours la valeur KSMG).

Les champs du message syslog sur l'événement définis par les paramètres de l'application sont présentés au format <clé>=<valeur>. Si la clé a plusieurs valeurs, ces valeurs sont séparées par des virgules. Les deux-points sont utilisés comme séparateur entre les clés.

Les clés, ainsi que leurs valeurs contenues dans le message, dépendent de la classe de l'événement.

Exemple : July 16 10:34:23 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

La taille maximale du message syslog sur l'événement détecté dépend des valeurs des paramètres syslog sur le serveur où est installé KSMG.

Haut de page