Dans le corps des messages CEF des classes d'événements du groupe Authentication, il est possible d'utiliser des clés conformément à leur sémantique (cf. tableau ci-après).
Valeurs admissibles des champs des classes d'événements du groupe Authentication
Clé |
Valeur |
|---|---|
outcome |
Résultat de l'authentification. |
cs1 |
Type d'identification. |
cs1Label |
A toujours la valeur |
src |
L'adresse IP à partir de laquelle la tentative de connexion a été effectuée, au format IPv4. |
c6a2 |
L'adresse IP à partir de laquelle la tentative de connexion a été effectuée, au format IPv6. |
c6a2Label |
Toujours défini sur |
suser |
L'identifiant avec lequel la tentative de connexion a été effectuée. Non enregistré lorsqu'une tentative de connexion à l'aide des protocoles Kerberos et NTLM échoue. |
cs2 |
Type d'erreur. |
cs2Label |
A toujours la valeur |
reason |
Texte d'erreur. |
Dans chaque classe d'événements du groupe Tasks, seule la présence des clés qui lui correspondent (cf. tableau ci-après).
Les clés pertinentes pour les classes des événements du groupe Authentication
Classe d'événements |
Clés pertinentes |
|---|---|
LMS_EV_AUTH_SUCCESS |
outcome, cs1, cs1Label, suser, src, c6a2 |
LMS_EV_AUTH_ERROR |
outcome, cs1, cs1Label, src, c6a2, c6a2Label, suser, cs2, cs2Label, reason |