Contenu des messages syslog sur les événements de traitement du trafic
Chaque message syslog transmet les champs suivants définis par les paramètres du protocole Syslog dans le système d'exploitation :
date et heure de l'événement ;
nom de l'hôte sur lequel l'événement est survenu ;
nom de l'application (a toujours la valeur KWTS).
Les champs du message syslog sur l'événement de traitement du trafic définis par les paramètres de l'application sont présentés au format <clé> = "<valeur">. Si la clé possède plusieurs valeurs, ces valeurs sont séparées par une virgule. Le deux-points sert de séparateur entre les clés.
Les clés ainsi que leurs valeurs se trouvant dans le message figurent dans le tableau plus bas.
Informations sur les événements de traitement du trafic dans le message syslog
Clé
Description et valeurs possibles
type
Type de message HTTP. Peut accepter les valeurs Request (requête) ou Response (réponse).
method
Méthode de requête HTTP.
action
Action sur l'objet détecté. Peut prendre l'une des valeurs suivantes :
Allow – Autoriser.
Deny – Interdire.
Redirect – Rediriger.
workspace
Nom de l'espace de travail auquel se rapporte l'événement de traitement du trafic. En l'absence d'espace de travail, la clé est transmise avec une valeur vide.
http_user_name
Nom du compte utilisateur.
http_user_agent
Application client à l'origine de la requête HTTP.
http_user_ip
Adresse IP de l'ordinateur à l'origine de l'envoi de la requête HTTP.
url
Adresse URL de la ressource Internet à laquelle l'accès a été demandé par l'utilisateur.
(partN) "<nom de l'objet>"
Nom de l'objet analysé.
Pour l'objet de type MIME multipart, les noms de tous les composants sont indiqués. Chaque nom est transmis avec la clé part et le numéro d'ordre. Après la clé part s'affichent les résultats de l'analyse de chaque composant de l'objet (clés rules, av_status, ap_status, encrypted et macros).
Par exemple, part1 "news.pdf" <résultats de l'analyse> : part2 "eicar.com" <résultats de l'analyse>.
Si le message HTTP ne contient pas d'objets, la valeur "nofile" est indiquée.
rules
Noms des règles d'accès s'étant déclenchées et règles de protection au format suivant :
"access_rules ['<Priorité de la règle>\<Nom du groupe de règles>\<Nom de la règle>'], protection_rules ['<Priorité de la règle>\<Nom du groupe de règles>\<Nom de la règle>']".
av_status
Résultats de l'analyse de la ressource Internet par le module Antivirus.
Vous avez le choix entre :
Detected : des virus ou d'autres applications présentant une menace ont été détectés dans l'objet. Les noms des menaces détectées et l'action de l'application sur l'objet sont indiqués entre virgules. Par exemple, av-status="Detected", threats="EICAR-Test-File\Deny".
NotDetected : l'objet a été analysé mais aucune menace n'a été détectée.
NotScanned : l'objet n'a pas fait l'objet d'une recherche de virus d'après les paramètres définis dans les règles de traitement du trafic.
NotAvailable : la recherche de virus n'a pas été exécutée car seule l'adresse URL de la ressource Internet est accessible.
ScanError : l'analyse s'est achevée par une erreur.
ap_status
Résultats de l'analyse de la ressource Internet par le module Antiphishing.
Vous avez le choix entre :
Detected : un lien de phishing a été détecté.
NotDetected : l'objet a été analysé mais aucune menace n'a été détectée.
ScanError : l'analyse s'est achevée par une erreur.
encrypted
Informations sur le chiffrement de l'objet analysé.
Vous avez le choix entre :
Detected : l'objet est chiffré.
NotDetected : l'objet n'est pas chiffré.
ScanError : l'analyse s'est achevée par une erreur.
macros
Informations sur la présence de macros dans l'objet analysé.
Vous avez le choix entre :
Detected : l'objet contient des macros.
NotDetected : l'objet ne contient pas de macros.
ScanError : l'analyse s'est achevée par une erreur.