Contenu des messages syslog sur les événements de traitement du trafic

Chaque message syslog transmet les champs suivants définis par les paramètres du protocole Syslog dans le système d'exploitation :

Les champs du message syslog sur l'événement de traitement du trafic définis par les paramètres de l'application sont présentés au format <clé> = "<valeur">. Si la clé possède plusieurs valeurs, ces valeurs sont séparées par une virgule. Le deux-points sert de séparateur entre les clés.

Exemple :

Oct 9 10:13:06 localhost KWTS: type="Response": method="GET": action="Block": blocked_by_rule="protection_rules [Workspace1/-/Rule2]": processing_time="952": scan_result="Malware": workspace="Workspace1": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/eicar.com": kata-alert="NotDetected": "eicar.com", filesize="69", kata_upload="SkippedByAction", guid="", rules="access_rules [Workspace1/Group1/Rule1], protection_rules [Workspace1/-/Rule2]", av-status="Detected", threats="EICAR-Test-File/Block", ap-status="NotDetected", mlf-status="NotDetected", encrypted="NotDetected", macros="NotDetected", kata-alert="NotDetected"

Les clés ainsi que leurs valeurs se trouvant dans le message figurent dans le tableau plus bas.

Informations sur les événements de traitement du trafic dans le message syslog

Clé

Description et valeurs possibles

type

Type de message HTTP. Peut accepter les valeurs Request (requête) ou Response (réponse).

method

Méthode de requête HTTP.

action

Action sur l'objet détecté. Peut prendre l'une des valeurs suivantes :

  • Allow – Autoriser.
  • Block – Interdire.
  • Redirect – Rediriger.

blocked_by_rule

Le nom de la règle de traitement du trafic selon laquelle la ressource Internet a été bloquée.

Il s'affiche dans le format suivant :

  • Pour les règles de contournement : "[<Nom de la règle>]".
  • Pour les règles de protection et les règles d'accès : "[<Nom de l'espace de travail>/<Nom du groupe de règles>/<Nom de la règle>]".

redirected_by_rule

Nom de la règle de traitement du trafic selon laquelle l'utilisateur a été redirigé vers l'URL indiquée.

Il s'affiche dans le format suivant :

  • Pour les règles de contournement : "[<Nom de la règle>]".
  • Pour les règles d'accès : "[<Nom de l'espace de travail>/<Nom du groupe de règles>/<Nom de la règle>]".

processing_time

Temps de traitement des messages HTTP en millisecondes.

Le temps écoulé entre le début du traitement de l'en-tête du message HTTP et la sauvegarde de l'entrée sur l'analyse effectuée dans le journal des événements de l'application et dans le journal des événements Syslog est pris en considération.

scan_result

Résultat de l'analyse du message HTTP.

Si plus d'une menace est détectée, le nom de la menace est s'affiche avec la priorité la plus élevée.

Si les menaces sont éliminées ou non détectées, le résultat de l'analyse s'affiche avec la priorité la plus élevée (Désinfecté, Non détecté, Non vérifié).

workspace

Nom de l'espace de travail auquel se rapporte l'événement de traitement du trafic. S'il n'y a pas d'espace de travail, un tiret s'affiche.

http_user_name

Le nom du compte utilisateur qui a lancé la requête HTTP.

http_user_agent

Application client à l'origine de la requête HTTP.

http_user_ip

Adresse IP de l'ordinateur à l'origine de l'envoi de la requête HTTP.

url

Adresse URL de la ressource Internet à laquelle l'accès a été demandé par l'utilisateur.

kata-alert

Résultat de l'analyse de la conformité de l'URL avec les objets détectés par l'application KATA.

Vous avez le choix entre :

  • NotDetected : l'URL a été analysée, mais aucune menace n'a été détectée.
  • Detected : une conformité avec un objet dans le cache KATA a été détectée. L'ID de l'objet, les critères de correspondance et la technologie sont spécifiés. Par exemple, kata-alert="Detected/128563/Url/Sb".
  • NotScanned/AccessRuleSettings : l'analyse n'a pas été effectuée, car la règle de protection ne s'applique pas conformément à l'action spécifiée dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'analyse n'a pas été effectuée, car le fichier a été ignoré sans analyse d'après une règle de contournement.
  • NotScanned/ProtectionRuleSettings : l'analyse n'a pas été effectuée, car l'action Ignorer l'analyse est spécifiée dans la règle de protection du type d'objet Objets détectés par KATA.
  • NotScanned/ApplicationSettings : l'analyse n'a pas été effectuée, car le mode de réception des objets détectés par KATA ou l'intégration KATA sont désactivés conformément aux paramètres de l'application.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur.

Les informations relatives à tous les composants sont indiquées pour l'objet de type MIME multipart. Pour chaque composant, la clé part est utilisée avec le numéro d'ordre, puis tous les attributs de ce composant sont transmis. (les clés filename, filesize, part_mimetype, kata_upload, guid, rules, av_status, ap_status, mlf-status, encrypted, macros et kata-alert).

Par exemple, part1 "news.html", <attributs du composant 1>: part2 <attributs du composant 2>.

filename

Nom de l'objet analysé.

Si le message HTTP ne contient pas d'objets, la valeur "nofile" est indiquée. Dans ce cas, tous les champs suivants se réfèrent à l'URL analysée.

filesize

Taille de l'objet analysé.

"NotApplicable" est indiqué si le message HTTP ne contient aucun objet ou si vous n'avez pas besoin de calculer la taille du fichier pour appliquer les règles.

part_mimetype

Type MIME du composant de l'objet multipart. La valeur de l'en-tête Content-Type est utilisée.

"NotApplicable" est indiqué si le message HTTP ne contient aucun objet ou si vous n'avez pas besoin de définir le type MIME pour appliquer les règles.

kata_upload

Résultat de la vérification de l'objet pour la nécessité de l'envoyer au serveur KATA.

Vous avez le choix entre :

  • NotApplicable : le message HTTP ne contient pas de fichiers.
  • Scheduled : l'envoi du fichier est programmé.
  • DisabledBySettings : le mode d'envoi de fichiers au serveur KATA ou l'intégration KATA sont désactivés dans les paramètres de l'application.
  • SkippedByAction : le message HTTP est ignoré par une règle de contournement sans analyse, ou les actions Interdire ou Rediriger lui sont appliquées.
  • RejectedByFilter : le fichier ne remplit pas les conditions d'envoi au serveur KATA.
  • Failed/QueueOverflowed : le fichier doit être envoyé au serveur KATA, mais l'envoi n'a pas pu être programmé, car la file d'attente était saturée.
  • Failed/InternalError : le fichier doit être envoyé au serveur KATA, mais l'envoi n'a pas pu être programmé en raison d'une erreur interne de l'application.

guid

Identifiant attribué à l'objet par l'application.

L'identifiant n'est transmis que si l'un des états suivants a été attribué lors de l'analyse de la nécessité de l'envoi au serveur KATA :

  • Scheduled.
  • Failed/QueueOverflowed.
  • Failed/InternalError.

Pour les autres états, le champ guid est transmis avec une valeur vide.

rules

Les noms des règles de traitement du trafic appliquées dans le format suivant :

"bypass_rules [<Nom de la règle>], access_rules [<Nom de l'espace de travail>/<Nom du groupe de règles>/<Nom de la règle>], protection_rules [<Nom de l'espace de travail>/<Nom du groupe de règles>/<Nom de la règle>]".

Si la règle ne s'applique pas à l'espace de travail, un tiret s'affiche à la place du nom de l'espace de travail.

Si la règle n'appartient pas au groupe de règles, un tiret s'affiche à la place du nom du groupe.

Si aucune règle de traitement du trafic n'a été appliquée, la stratégie de protection par défaut s'applique. La valeur "default_policy [Default Policy]" s'affiche.

av_status

Résultats de l'analyse de la ressource Internet par le module Antivirus.

Vous avez le choix entre :

  • Detected : des virus ou d'autres applications présentant une menace ont été détectés dans l'objet. Les noms des menaces détectées et l'action de l'application sur l'objet sont indiqués entre virgules. Par exemple, av-status="Detected", threats="EICAR-Test-File/Block".
  • ScanError/Timeout : l'analyse s'est achevée par une erreur, car la durée maximale de l'analyse a été dépassée.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur interne.
  • ScanError/BasesNotLoaded : l'analyse s'est achevée par une erreur parce que les bases du module Antivirus ne sont pas chargées.
  • IncompleteScan/MaxNestingLevelReached : l'analyse n'a pas été effectuée parce que le niveau d'imbrication de l'archive analysée est supérieur au niveau maximal autorisé.
  • IncompleteScan/EncryptedArchive : l'analyse n'a pas été effectuée parce que l'objet est chiffré.
  • Disinfected : des menaces ont été détectées et toutes les menaces ont été réparées.
  • NotDetected : l'objet a été analysé mais aucune menace n'a été détectée.
  • NotScanned/AccessRuleSettings : les règles de protection n'ont pas été appliquées à l'objet conformément à l'action définie dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'objet n'a pas été analysé parce que la règle de contournement lui a été appliquée.
  • NotScanned/ProtectionRuleSettings : l'objet n'a pas été analysé conformément à l'action définie dans la règle de protection.
  • NotScanned/ApplicationSettings : l'objet n'a pas été analysé conformément aux paramètres de l'application définis.

ap_status

Résultats de l'analyse de la ressource Internet par le module Antiphishing.

Vous avez le choix entre :

  • Detected (local bases) : le lien est considéré comme étant un lien de phishing d'après les entrées dans les bases de données locales de l'application.
  • Detected (KSN) : le lien est considéré comme étant un lien de phishing d'après l'analyse de la réputation dans KSN.
  • Detected (heuristics) : le lien est considéré comme étant un lien de phishing d'après les données de l'analyse heuristique.
  • ScanError/Timeout : l'analyse s'est achevée par une erreur, car la durée maximale de l'analyse a été dépassée.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur interne.
  • ScanError/BasesNotLoaded : l'analyse s'est achevée par une erreur parce que les bases du module Antiphishing ne sont pas chargées.
  • NotDetected : l'objet a été analysé mais aucune menace n'a été détectée.
  • NotScanned/AccessRuleSettings : les règles de protection n'ont pas été appliquées à l'objet conformément à l'action définie dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'objet n'a pas été analysé parce que la règle de contournement lui a été appliquée.
  • NotScanned/ProtectionRuleSettings : l'objet n'a pas été analysé conformément à l'action définie dans la règle de protection.
  • NotScanned/ApplicationSettings : l'objet n'a pas été analysé conformément aux paramètres de l'application définis.

mlf-status

Résultats de l'analyse des liens à la recherche d'objets malveillants.

Vous avez le choix entre :

  • Detected (local bases) : le lien est considéré comme malveillant d'après les entrées dans les bases de données antivirus locales.
  • Detected (KSN) : le lien est considéré comme malveillant d'après l'analyse de la réputation dans KSN.
  • ScanError/Timeout : l'analyse s'est achevée par une erreur, car la durée maximale de l'analyse a été dépassée.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur interne.
  • ScanError/BasesNotLoaded : l'analyse s'est achevée par une erreur parce que les bases du module Antiphishing ne sont pas chargées.
  • NotDetected : le lien a été analysé, mais aucune menace n'a été détectée.
  • NotScanned/AccessRuleSettings : les règles de protection n'ont pas été appliquées à l'objet conformément à l'action définie dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'objet n'a pas été analysé parce que la règle de contournement lui a été appliquée.
  • NotScanned/ProtectionRuleSettings : l'objet n'a pas été analysé conformément à l'action définie dans la règle de protection.
  • NotScanned/ApplicationSettings : l'objet n'a pas été analysé conformément aux paramètres de l'application définis.

encrypted

Informations sur le chiffrement de l'objet analysé.

Vous avez le choix entre :

  • Detected : des menaces ont été détectées.
  • ScanError/Timeout : l'analyse s'est achevée par une erreur, car la durée maximale de l'analyse a été dépassée.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur interne.
  • ScanError/BasesNotLoaded : l'analyse s'est achevée par une erreur parce que les bases du module Antivirus ne sont pas chargées.
  • NotDetected : le lien a été analysé, NotScanned/ApplicationSettings : le lien n'a pas été analysé conformément aux paramètres de l'application définis. Aucune menace n'a été détectée.
  • NotScanned/AccessRuleSettings : les règles de protection n'ont pas été appliquées à l'objet conformément à l'action définie dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'objet n'a pas été analysé parce que la règle de contournement lui a été appliquée.
  • NotScanned/ProtectionRuleSettings : l'objet n'a pas été analysé conformément à l'action définie dans la règle de protection.
  • NotScanned/ApplicationSettings : l'objet n'a pas été analysé conformément aux paramètres de l'application définis.

macros

Informations sur la présence de macros dans l'objet analysé.

Vous avez le choix entre :

  • Detected : des macros ont été détectées.
  • ScanError/Timeout : l'analyse s'est achevée par une erreur, car la durée maximale de l'analyse a été dépassée.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur interne.
  • ScanError/BasesNotLoaded : l'analyse s'est achevée par une erreur parce que les bases du module Antivirus ne sont pas chargées.
  • NotDetected : l'objet a été analysé mais aucune macro n'a été détectée.
  • NotScanned/AccessRuleSettings : les règles de protection n'ont pas été appliquées à l'objet conformément à l'action définie dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'objet n'a pas été analysé parce que la règle de contournement lui a été appliquée.
  • NotScanned/ProtectionRuleSettings : l'objet n'a pas été analysé conformément à l'action définie dans la règle de protection.
  • NotScanned/ApplicationSettings : l'objet n'a pas été analysé conformément aux paramètres de l'application définis.

kata-alert

Résultat de l'analyse de la conformité du fichier contenu dans le message HTTP ou du composant (pour les objets multipart) avec les objets détectés par l'application KATA.

Vous avez le choix entre :

  • NotDetected : l'URL a été analysée, mais aucune menace n'a été détectée.
  • Detected : une conformité avec un objet dans le cache KATA a été détectée. L'ID de l'objet, les critères de correspondance et la technologie sont spécifiés. Par exemple, kata-alert="Detected/124567/Md5/Yara".
  • NotScanned/AccessRuleSettings : l'analyse n'a pas été effectuée, car la règle de protection ne s'applique pas conformément à l'action spécifiée dans la règle d'accès.
  • NotScanned/BypassRuleSettings : l'analyse n'a pas été effectuée, car le fichier a été ignoré sans analyse d'après une règle de contournement.
  • NotScanned/ProtectionRuleSettings : l'analyse n'a pas été effectuée, car l'action Ignorer l'analyse est spécifiée dans la règle de protection du type d'objet Objets détectés par KATA.
  • NotScanned/ApplicationSettings : l'analyse n'a pas été effectuée, car le mode de réception des objets détectés par KATA ou l'intégration KATA sont désactivés conformément aux paramètres de l'application.
  • ScanError/InternalError : l'analyse s'est achevée par une erreur.

Haut de page