Beispiel:

Dec 18 12:39:36 squid-server KWTS: type="Response": method="GET": action="Deny": workspace="": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/EICAR/eicar.com": "eicar.com", rules="access_rules ['LowPriority\Default Access Group\Default Access Rule'], protection_rules ['LowPriority\Default Protection Group\Default Protection Rule']", av-status="Detected", threats="EICAR-Test-File\Deny", ap-status="NotDetected", encrypted="NotDetected", macros="NotDetected"

type

Typ der HTTP-Nachricht. Kann die Werte Request (Anfrage) oder Response (Antwort) annehmen.

method

Methode der HTTP-Anfrage.

action

Aktion für das gefundene Objekt. Kann einen der folgenden Werte annehmen:

• Allow – Erlauben.
• Deny – Verbieten.
• Redirect – Umleiten.

workspace

Name des Arbeitsbereichs, auf das sich das Ereignis bei der Verarbeitung des Datenverkehrs bezieht. Wenn kein Arbeitsbereich vorhanden ist, wird der Schlüssel mit einem leeren Wert übergeben.

http_user_name

Name des Benutzerkontos.

http_user_agent

Client-Anwendung, welche die HTTP-Anfrage initiiert hat.

http_user_ip

IP-Adresse des Computers, von dem die HTTP-Anfrage gesendet wurde.

url

URL-Adresse der Internetressource, auf die der Benutzer zugreifen wollte.

(partN) „<Name des Objekts>“

Name des untersuchten Objekts.

Für ein Objekt vom MIME-Typ multipart werden die Namen aller Bestandteile angegeben. Jeder Name wird mit dem Schlüssel part und einer laufenden Nummer übergeben. Nach dem Schlüssel part werden die Ergebnisse der Untersuchung für jeden Bestandteil des Objekts angegeben (die Schlüssel rules, av_status, ap_status, encrypted und macros).

Beispiel: part1 "news.pdf" <Ergebnisse der Untersuchung>: part2 "eicar.com" <Ergebnisse der Untersuchung>.

Wenn die http-Nachricht keine Objekte enthält, wird "nofile" angegeben.

rules

Namen der ausgelösten Zugriffsregeln und Schutzregeln im folgenden Format:

"access_rules ['<Priorität der Regel>\<Name der Regelgruppe>\<Name der Regel>'], protection_rules ['<Priorität der Regel>\<Name der Regelgruppe>\<Name der Regel>']".

av_status

Die Ergebnisse der Untersuchung der Internetressource durch das Modul „Anti-Virus“.

Folgende Varianten sind möglich:

• Detected – im Objekt wurden Viren oder andere bedrohliche Programme gefunden. Die Namen der gefundenen Bedrohungen und die Aktion des Programms mit dem Objekt sind kommagetrennt angegeben. Beispiel: av-status="Detected", threats="EICAR-Test-File\Deny".
• NotDetected – das Objekt wurde untersucht, es wurden keine Bedrohungen gefunden.
• NotScanned – das Objekt wurde gemäß den Einstellungen, die in den Regeln zur Verarbeitung des Datenverkehrs festgelegt sind, nicht auf Viren untersucht.
• NotAvailable – die Untersuchung auf Viren wurde nicht ausgeführt, da nur die URL-Adresse der Internetressource verfügbar ist.
• ScanError – die Untersuchung wurde mit einem Fehler beendet.

ap_status

Die Ergebnisse der Untersuchung der Internetressource durch das Modul „Anti-Phishing“.

Folgende Varianten sind möglich:

• Detected – ein Phishing-Link wurde gefunden.
• NotDetected – das Objekt wurde untersucht, es wurden keine Bedrohungen gefunden.
• ScanError – die Untersuchung wurde mit einem Fehler beendet.

encrypted

Informationen über die Verschlüsselung des untersuchten Objekts.

Folgende Varianten sind möglich:

• Detected – das Objekt ist verschlüsselt.
• NotDetected – das Objekt ist nicht verschlüsselt.
• ScanError – die Untersuchung wurde mit einem Fehler beendet.

macros

Informationen über das Vorhandensein von Makros im untersuchten Objekt.

Folgende Varianten sind möglich:

• Detected – das Objekt enthält Makros.
• NotDetected – das Objekt enthält keine Makros.
• ScanError – die Untersuchung wurde mit einem Fehler beendet.