In jeder syslog-Nachricht werden folgende Felder übermittelt, die anhand der Einstellungen des Syslog-Protokolls im Betriebssystem ermittelt werden:
Die Felder der syslog-Nachricht über die Ereignisse bei der Verarbeitung des Datenverkehrs, die anhand der Programmeinstellungen ermittelt werden, werden im Format <Schlüssel>="<Wert>" dargestellt. Wenn der Schlüssel mehrere Werte besitzt, werden diese Werte durch ein Komma voneinander getrennt. Als Trennzeichen zwischen Schlüsseln wird ein Doppelpunkt verwendet.
Die in der Nachricht enthaltenen Schlüssel und deren Werte sind in der nachfolgenden Tabelle angeführt.
Informationen über Ereignisse bei der Verarbeitung des Datenverkehrs in der syslog-Nachricht
|
|
Schlüssel
|
Beschreibung und mögliche Werte
|
type
|
Typ der HTTP-Nachricht. Kann die Werte Request (Anfrage) oder Response (Antwort) annehmen.
|
method
|
Methode der HTTP-Anfrage.
|
action
|
Aktion für das gefundene Objekt. Kann einen der folgenden Werte annehmen:
Allow – Erlauben.Block – Blockieren.Redirect – Umleiten.
|
blocked_by_rule
|
Name der Regel zur Verarbeitung des Datenverkehrs, gemäß der die Webressource blockiert wurde
Wird im folgenden Format angezeigt:
- Für Umgehungsregeln:
"[<Regelname>]" - Für Schutzregeln und Zugriffsregeln:
"[<Name des Arbeitsbereichs>/<Name der Regelgruppe>/<Regelname>]"
|
redirected_by_rule
|
Name der Regel zur Verarbeitung des Datenverkehrs, gemäß der der Benutzer auf die festgelegte URL-Adresse umgeleitet wurde.
Wird im folgenden Format angezeigt:
- Für Umgehungsregeln:
"[<Regelname>]" - Für Zugriffsregeln:
"[<Name des Arbeitsbereichs>/<Name der Regelgruppe>/<Regelname>]"
|
processing_time
|
Dauer der Verarbeitung der HTTP-Nachricht in Millisekunden.
Es wird die Zeit von Beginn der Verarbeitung des Headers der HTTP-Nachricht bis zum Speichern des Eintrags über die Durchführung der Untersuchung im Ereignisprotokoll des Programms und im Ereignisprotokoll Syslog berücksichtigt.
|
scan_result
|
Ergebnis der Untersuchung der HTTP-Nachricht.
Wenn mehrere Bedrohungen gefunden wurden, wird der Name der Bedrohung mit der höchsten Priorität angezeigt.
Wenn Bedrohungen beseitigt oder nicht gefunden wurden, wird das Ergebnis der Untersuchung mit der höchsten Priorität angezeigt (Desinfiziert, Nicht erkannt, Nicht untersucht).
|
workspace
|
Name des Arbeitsbereichs, auf das sich das Ereignis bei der Verarbeitung des Datenverkehrs bezieht. Beim Fehlen des Arbeitsbereiches wird ein Strich angezeigt.
|
http_user_name
|
Benutzerkonto-Name des Benutzers, der die HTTP-Anfrage ausgelöst hat.
|
http_user_agent
|
Client-Anwendung, welche die HTTP-Anfrage initiiert hat.
|
http_user_ip
|
IP-Adresse des Computers, von dem die HTTP-Anfrage gesendet wurde.
|
url
|
URL-Adresse der Webressource, auf die der Benutzer zugreifen wollte.
|
kata-alert
|
Das Ergebnis der Untersuchung der URL-Adresse in Bezug auf eine Übereinstimmung mit Objekten, die von KATA erkannt wurden.
Folgende Varianten sind möglich:
NotDetected – die URL-Adresse wurde untersucht, es wurden keine Bedrohungen gefunden.Detected – es wurde eine Übereinstimmung mit Objekten im KATA-Cache erkannt. Es werden die ID des Objekts, die Übereinstimmungskriterien und die Technologie angezeigt. Beispielsweise kata-alert="Detected/128563/Url/Sb".NotScanned/AccessRuleSettings – es wurde keine Untersuchung durchgeführt, weil die Schutzregel gemäß der in der Zugriffsregel angegebenen Aktion nicht angewendet wird.NotScanned/BypassRuleSettings – es wurde keine Untersuchung durchgeführt, weil die Datei gemäß der Umgehungsregel ohne Untersuchung übersprungen wurde.NotScanned/ProtectionRuleSettings – es wurde keine Untersuchung durchgeführt, weil in der Schutzregel für den Objekttyp Von KATA gefundene Objekte die Aktion Untersuchung überspringen angegeben wurde.NotScanned/ApplicationSettings – es wurde keine Untersuchung durchgeführt, weil der Empfangsmodus für Objekte, die von KATA oder der KATA-Integration erkannt wurden, gemäß Programmeinstellungen deaktiviert ist.ScanError/InternalError – die Untersuchung wurde mit Fehler beendet.
|
Für ein Objekt vom MIME-Typ multipart werden Informationen über alle Bestandteile angegeben. Für jeden Bestandteil wird der Schlüssel part mit einer fortlaufenden Nummer verwendet, dahinter werden alle Attribute dieses Bestandteils angeführt (Schlüssel filename, filesize, part_mimetype, kata_upload, guid, rules, av_status, ap_status, mlf-status, encrypted, macros und kata-alert).
Beispielsweise, part1 "news.html", <Attribut von Bestandteil 1>: part2 <Attribut von Bestandteil 2>.
|
filename
|
Name des untersuchten Objekts.
Wenn die http-Nachricht keine Objekte enthält, wird "nofile" angegeben. In diesem Fall gehören alle folgenden Felder zur untersuchten URL-Adresse.
|
filesize
|
Größe des untersuchten Objekts.
Wenn die HTTP-Nachricht keine Objekte enthält oder bei der Anwendung der Regel die Größe der Datei nicht angeführt werden muss, wird "NotApplicable" angezeigt.
|
part_mimetype
|
MIME-Typ des Bestandteils des multipart-Objekts. Es wird der Wert des Headers Content-Type verwendet.
Wenn die HTTP-Nachricht keine Objekte enthält oder bei der Anwendung der Regel der MIME-Typ nicht bestimmt werden muss, wird "NotApplicable" angezeigt.
|
kata_upload
|
Untersuchungsergebnis für das Objekt hinsichtlich einer notwendigen Übermittlung an den KATA-Server.
Folgende Varianten sind möglich:
NotApplicable – die HTTP-Nachricht enthält keine Dateien.Scheduled – Dateiversand geplant.DisabledBySettings – der Modus für den Versand von Dateien an den KATA-Server oder die KATA-Integration ist in den Programmeinstellungen deaktiviert.SkippedByAction – die HTTP-Nachricht wird gemäß der Umgehungsregel ohne Untersuchung übersprungen oder es wird die Aktion Blockieren oder Umleiten angewendet.RejectedByFilter – die Datei erfüllt nicht die Bedingungen für einen Versand an den KATA-Server.Failed/QueueOverflowed – die Datei muss an den KATA-Server gesendet werden, der Versand konnte jedoch aufgrund einer überfüllten Warteschlange nicht geplant werden.Failed/InternalError – die Datei muss an den KATA-Server gesendet werden, der Versand konnte jedoch aufgrund eines internen Programmfehlers nicht geplant werden.
|
guid
|
Identifikator, der dem Programmobjekt zugewiesen ist.
Der Identifikator wird nur übermittelt, wenn bei der Untersuchung der Notwendigkeit einer Übermittlung an den KATA-Server einer der folgenden Status zugewiesen wurde:
Scheduled.Failed/QueueOverflowed.Failed/InternalError.
Für die anderen Status wird das Feld guid ohne Wert übermittelt.
|
rules
|
Namen der ansprechenden Regeln zur Verarbeitung des Datenverkehrs im folgenden Format:
"bypass_rule [<Regelname>], access_rules [<Name des Arbeitsbereichs>/<Name der Regelgruppe>/<Regelname>], protection_rules [<Name des Arbeitsbereichs>/<Name der Regelgruppe>/<Regelname>]".
Wenn die Regel nicht zum Arbeitsbereich gehört, wird anstelle des Namens des Arbeitsbereichs ein Strich angezeigt.
Wenn die Regel nicht in der Regelgruppe enthalten ist, wird anstelle des Namens der Gruppe ein Strich angezeigt.
Wenn keine Regel zur Verarbeitung des Datenverkehrs übernommen wurde, wird die Standard-Schutzrichtlinie verwendet. Der Wert "default_policy [Default Policy]" wird angezeigt.
|
av_status
|
Die Ergebnisse der Untersuchung der Webressource durch das Modul Anti-Virus.
Folgende Varianten sind möglich:
Detected – im Objekt wurden Viren oder andere bedrohliche Programme gefunden. Die Namen der gefundenen Bedrohungen und die Aktion des Programms mit dem Objekt sind kommagetrennt angegeben. Beispiel: av-status="Detected", threats="EICAR-Test-File/Block".ScanError/Timeout – die Untersuchung wurde mit Fehler beendet, weil die maximale Untersuchungszeit überschritten wurde.ScanError/InternalError – die Untersuchung wurde mit internem Fehler beendet.ScanError/BasesNotLoaded – die Untersuchung wurde mit Fehler beendet, weil die Datenbanken des Moduls Anti-Virus nicht geladen sind.IncompleteScan/MaxNestingLevelReached – die Untersuchung wurde nicht ausgeführt, weil die Verschachtelungsebene des untersuchten Archivs die maximal verfügbare übersteigt.IncompleteScan/EncryptedArchive – die Untersuchung wurde nicht ausgeführt, weil das Objekt verschlüsselt ist.Disinfected – Bedrohungen erkannt, alle Bedrohungen desinfiziert.NotDetected – das Objekt wurde untersucht, es wurden keine Bedrohungen gefunden.NotScanned/AccessRuleSettings – auf das Objekt wurden gemäß der in der Zugriffsregel festgelegten Aktion keine Schutzregeln angewendet.NotScanned/BypassRuleSettings – das Objekt wurde keiner Untersuchung unterzogen, weil eine Umgehungsregel angewendet wurde.NotScanned/ProtectionRuleSettings – das Objekt wurde gemäß der in der Schutzregel festgelegten Aktion keiner Untersuchung unterzogen.NotScanned/ApplicationSettings – das Objekt wurde gemäß den festgelegten Programmeinstellungen keiner Untersuchung unterzogen.
|
ap_status
|
Die Ergebnisse der Untersuchung der Webressource durch das Modul Anti-Phishing.
Folgende Varianten sind möglich:
Detected (local bases) – der Link wurde aufgrund von Einträgen in den lokalen Programm-Datenbanken als Phishing-Link eingestuft.Detected (KSN) – der Link wurde aufgrund der Untersuchung der Reputation in KSN als Phishing-Link eingestuft.Detected (heuristics) – der Link wurde aufgrund der Daten der heuristischen Analyse als Phishing-Link eingestuft.ScanError/Timeout – die Untersuchung wurde mit Fehler beendet, weil die maximale Untersuchungszeit überschritten wurde.ScanError/InternalError – die Untersuchung wurde mit internem Fehler beendet.ScanError/BasesNotLoaded – die Untersuchung wurde mit Fehler beendet, weil die Datenbanken des Moduls Anti-Phishing nicht geladen sind.NotDetected – das Objekt wurde untersucht, es wurden keine Bedrohungen gefunden.NotScanned/AccessRuleSettings – auf das Objekt wurden gemäß der in der Zugriffsregel festgelegten Aktion keine Schutzregeln angewendet.NotScanned/BypassRuleSettings – das Objekt wurde keiner Untersuchung unterzogen, weil eine Umgehungsregel angewendet wurde.NotScanned/ProtectionRuleSettings – das Objekt wurde gemäß der in der Schutzregel festgelegten Aktion keiner Untersuchung unterzogen.NotScanned/ApplicationSettings – das Objekt wurde gemäß den festgelegten Programmeinstellungen keiner Untersuchung unterzogen.
|
mlf-status
|
Untersuchungsergebnisse von Links auf Vorhandensein bösartiger Objekte.
Folgende Varianten sind möglich:
Detected (local bases) – der Link wurde aufgrund von Einträgen in den lokalen Antiviren-Datenbanken als bösartig eingestuft.Detected (KSN) – der Link wurde aufgrund der Untersuchung der Reputation in KSN als bösartig eingestuft.ScanError/Timeout – die Untersuchung wurde mit Fehler beendet, weil die maximale Untersuchungszeit überschritten wurde.ScanError/InternalError – die Untersuchung wurde mit internem Fehler beendet.ScanError/BasesNotLoaded – die Untersuchung wurde mit Fehler beendet, weil die Datenbanken des Moduls Anti-Phishing nicht geladen sind.NotDetected – der Link wurde untersucht, es wurden keine Bedrohungen gefunden.NotScanned/AccessRuleSettings – auf das Objekt wurden gemäß der in der Zugriffsregel festgelegten Aktion keine Schutzregeln angewendet.NotScanned/BypassRuleSettings – das Objekt wurde keiner Untersuchung unterzogen, weil eine Umgehungsregel angewendet wurde.NotScanned/ProtectionRuleSettings – das Objekt wurde gemäß der in der Schutzregel festgelegten Aktion keiner Untersuchung unterzogen.NotScanned/ApplicationSettings – das Objekt wurde gemäß den festgelegten Programmeinstellungen keiner Untersuchung unterzogen.
|
encrypted
|
Informationen über die Verschlüsselung des untersuchten Objekts.
Folgende Varianten sind möglich:
Detected – Bedrohung erkannt.ScanError/Timeout – die Untersuchung wurde mit Fehler beendet, weil die maximale Untersuchungszeit überschritten wurde.ScanError/InternalError – die Untersuchung wurde mit internem Fehler beendet.ScanError/BasesNotLoaded – die Untersuchung wurde mit Fehler beendet, weil die Datenbanken des Moduls Anti-Virus nicht geladen sind.NotDetected – der Link wurde untersucht, NotScanned/ApplicationSettings – das Objekt wurde gemäß den festgelegten Programmeinstellungen keiner Untersuchung unterzogen, keine Bedrohungen gefunden.NotScanned/AccessRuleSettings – auf das Objekt wurden gemäß der in der Zugriffsregel festgelegten Aktion keine Schutzregeln angewendet.NotScanned/BypassRuleSettings – das Objekt wurde keiner Untersuchung unterzogen, weil eine Umgehungsregel angewendet wurde.NotScanned/ProtectionRuleSettings – das Objekt wurde gemäß der in der Schutzregel festgelegten Aktion keiner Untersuchung unterzogen.NotScanned/ApplicationSettings – das Objekt wurde gemäß den festgelegten Programmeinstellungen keiner Untersuchung unterzogen.
|
macros
|
Informationen über das Vorhandensein von Makros im untersuchten Objekt.
Folgende Varianten sind möglich:
Detected – Makros erkannt.ScanError/Timeout – die Untersuchung wurde mit Fehler beendet, weil die maximale Untersuchungszeit überschritten wurde.ScanError/InternalError – die Untersuchung wurde mit internem Fehler beendet.ScanError/BasesNotLoaded – die Untersuchung wurde mit Fehler beendet, weil die Datenbanken des Moduls Anti-Virus nicht geladen sind.NotDetected – das Objekt wurde untersucht, es wurden keine Makros gefunden.NotScanned/AccessRuleSettings – auf das Objekt wurden gemäß der in der Zugriffsregel festgelegten Aktion keine Schutzregeln angewendet.NotScanned/BypassRuleSettings – das Objekt wurde keiner Untersuchung unterzogen, weil eine Umgehungsregel angewendet wurde.NotScanned/ProtectionRuleSettings – das Objekt wurde gemäß der in der Schutzregel festgelegten Aktion keiner Untersuchung unterzogen.NotScanned/ApplicationSettings – das Objekt wurde gemäß den festgelegten Programmeinstellungen keiner Untersuchung unterzogen.
|
kata-alert
|
Das Ergebnis der Untersuchung der Datei, in der die HTTP-Nachricht enthalten ist, oder des Bestandteils (für multipart-Objekte) auf vorhandene Objekte, die vom Programm KATA erkannt wurden.
Folgende Varianten sind möglich:
NotDetected – die URL-Adresse wurde untersucht, es wurden keine Bedrohungen gefunden.Detected – es wurde eine Übereinstimmung mit Objekten im KATA-Cache erkannt. Es werden die ID des Objekts, die Übereinstimmungskriterien und die Technologie angezeigt. Beispielsweise kata-alert="Detected/124567/Md5/Yara".NotScanned/AccessRuleSettings – es wurde keine Untersuchung durchgeführt, weil die Schutzregel gemäß der in der Zugriffsregel angegebenen Aktion nicht angewendet wird.NotScanned/BypassRuleSettings – es wurde keine Untersuchung durchgeführt, weil die Datei gemäß der Umgehungsregel ohne Untersuchung übersprungen wurde.NotScanned/ProtectionRuleSettings – es wurde keine Untersuchung durchgeführt, weil in der Schutzregel für den Objekttyp Von KATA gefundene Objekte die Aktion Untersuchung überspringen angegeben wurde.NotScanned/ApplicationSettings – es wurde keine Untersuchung durchgeführt, weil der Empfangsmodus für Objekte, die von KATA oder der KATA-Integration erkannt wurden, gemäß Programmeinstellungen deaktiviert ist.ScanError/InternalError – die Untersuchung wurde mit Fehler beendet.
|