Inhalte und Eigenschaften von Syslog-Nachrichten im CEF-Format
Von jedem erkannten Ereignis werden die Informationen unmittelbar nach dem Auftreten des Ereignisses als separate Syslog-Nachricht im CEF-Format mit UTF-8-Kodierung übertragen.
Eine Nachricht im CEF-Format besteht aus einem Nachrichten-Body und einem Header.
Der Header einer CEF-Nachricht besteht aus den folgenden Teilen:
Dem Syslog-Präfix: <Datum und Uhrzeit des Ereignisses><Name des Hosts, auf dem das Ereignis aufgetreten ist>.
Einer Folge von Feldern, durch ein Leerzeichen vom Syslog-Präfix getrennt ist. Die Felder sind untereinander sind durch die Symbole "|" getrennt. Es sind alle Felder erforderlich.
Formatversion. Da die aktuelle Versionsnummer "0" ist, sieht das Feld wie folgt aus: "CEF:0".
Hersteller. Das Feld enthält den Wert AO Kaspersky Lab.
Anwendungsname. Das Feld enthält den Wert Kaspersky Web Traffic Security.
Produktversion. Das Feld enthält die aktuelle Versionsnummer des Produkts ( 6.1.0.xxxx) .
Ereignisklasse.
Ereignisname.
Ereignis-Signifikanz. Kann die Werte Low (niedrig), Medium (mittel) oder High (hoch) annehmen.
Beispiel:
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Durch Anwendungseinstellungen festgelegte Felder einer syslog-Nachricht über ein Ereignis liegen im Format <Schlüssel>="<Wert>" vor. Wenn der Schlüssel mehrere Werte besitzt, werden diese Werte durch ein Komma voneinander getrennt. Als Trennzeichen zwischen Schlüsseln wird ein Doppelpunkt verwendet.
Die in der Nachricht enthaltenen Schlüssel sowie deren Werte hängen von der Ereignisklasse ab.
Die maximale Größe einer syslog-Nachricht über ein erkanntes Ereignis hängt von den syslog-Parameterwerten des Servers ab, auf dem Kaspersky Web Traffic Security installiert ist. Sie können die Weiterleitung von syslog-Nachrichten immer nur an jeweils einen externen syslog-Server konfigurieren.
Regeln zur Zeichencodierung in CEF-Nachrichten:
Leerzeichen erfordern keine Maskierung durch ein Escape-Symbol.
In dem Header wird der vertikale Balken ("|") als Trennzeichen verwendet. Wenn Sie dieses Zeichen in einem Ihrer Felder im Header verwenden möchten, müssen Sie es mit einem vorangestellten Backslash maskieren ("\|"). Im Nachrichten-Body dard das Zeichen "|" nicht maskiert werden.
Ein einzelner Backslash im Header oder Body der Nachricht ist nicht zulässig. Wenn Sie es ihn in einem Feld im Header verwenden möchten, müssen Sie ihn duplizieren ("\\").
Im Nachrichten-Body wird das Zeichen "=" als Trennzeichen für ein Schlüssel-Wert-Paar verwendet. Wenn Sie dieses Zeichen in einem Feld im Nachrichten-Body verwenden möchten, müssen Sie es mit einem vorangestellten Backslash maskieren ("\="). Im Header darf das Zeichen "=" nicht maskiert werden.
Mehrzeilige Werte sind nur für die Werte von Schlüssel-Wert-Paaren zulässig. Um den Übergang zur nächsten Zeile anzuzeigen, verwenden Sie die Zeichen "\n" oder "\r".