Содержание syslog-сообщений о событиях обработки трафика

В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:

дата и время события;
имя хоста, на котором произошло событие;
название программы (всегда имеет значение KWTS).

Поля syslog-сообщения о событии обработки трафика, определяемые параметрами программы, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.

Пример:

Dec 18 12:39:36 squid-server KWTS: type="Response": method="GET": action="Deny": workspace="": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/EICAR/eicar.com": "eicar.com", rules="access_rules ['LowPriority\Default Access Group\Default Access Rule'], protection_rules ['LowPriority\Default Protection Group\Default Protection Rule']", av-status="Detected", threats="EICAR-Test-File\Deny", ap-status="NotDetected", encrypted="NotDetected", macros="NotDetected"

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событиях обработки трафика в syslog-сообщении

Ключ	Описание и возможные значения
`type`	Тип HTTP-сообщения. Может принимать значения `Request` (запрос) или `Response` (ответ).
`method`	Метод HTTP-запроса.
`action`	Действие над обнаруженным объектом. Может принимать одно из следующих значений: `Allow` – Разрешить. `Deny` – Запретить. `Redirect` – Перенаправить.
`workspace`	Название рабочей области, к которой относится событие обработки трафика. При отсутствии рабочей области ключ передается с пустым значением.
`http_user_name`	Имя учетной записи пользователя.
`http_user_agent`	Клиентское приложение, инициировавшее HTTP-запрос.
`http_user_ip`	IP-адрес компьютера, с которого был отправлен HTTP-запрос.
`url`	URL-адрес интернет-ресурса, доступ к которому запрашивал пользователь.
`(partN) "<имя объекта>"`	Имя проверяемого объекта. Для объекта MIME-типа multipart указываются имена всех составных частей. Каждое имя передается с ключом `part` и порядковым номером. После ключа `part` приводятся результаты проверки для каждой составной части объекта (ключи `rules`, `av_status`, `ap_status`, `encrypted` и `macros`). Например, `part1 "news.pdf" <результаты проверки>: part2 "eicar.com" <результаты проверки>`. Если HTTP-сообщение не содержит объектов, указывается `"nofile"`.
`rules`	Названия сработавших правил доступа и правил защиты в следующем формате: `"access_rules ['<Приоритет правила>\<Название группы правил>\<Название правила>'], protection_rules ['<Приоритет правила>\<Название группы правил>\<Название правила>']"`.
`av_status`	Результаты проверки интернет-ресурса модулем Антивирус. Возможны следующие значения: `Detected` – в объекте найдены вирусы или другие программы, представляющие угрозу. Через запятую указываются имена обнаруженных угроз и действие программы над объектом. Например, `av-status="Detected", threats="EICAR-Test-File\Deny"`. `NotDetected` – объект проверен, угрозы не обнаружены. `NotScanned` – объект не проходил антивирусную проверку согласно параметрам, заданным в правилах обработки трафика. `NotAvailable` – антивирусная проверка не была выполнена, так как доступен только URL-адрес интернет-ресурса. `ScanError` – проверка завершилась с ошибкой.
`ap_status`	Результаты проверки интернет-ресурса модулем Анти-Фишинг. Возможны следующие значения: `Detected` – обнаружена фишинговая ссылка. `NotDetected` – объект проверен, угрозы не обнаружены. `ScanError` – проверка завершилась с ошибкой.
`encrypted`	Информация о шифровании проверяемого объекта. Возможны следующие значения: `Detected` – объект зашифрован. `NotDetected` – объект не зашифрован. `ScanError` – проверка завершилась с ошибкой.
`macros`	Информация о наличии макросов в проверяемом объекте. Возможны следующие значения: `Detected` – объект содержит макросы. `NotDetected` – объект не содержит макросы. `ScanError` – проверка завершилась с ошибкой.

В начало