Contenu et propriétés des messages Syslog au format CEF
Les informations sur chaque événement détecté sont transmises immédiatement après que l'événement se produit et constituent un message syslog distinct au format CEF en codage UTF-8.
Un message au format CEF se compose d'un corps de message et d'un en-tête.
L'en-tête du message CEF se compose des parties suivantes :
Préfixe Syslog : <date et heure de l'événement><nom de l'hôte sur lequel l'événement s'est produit>.
Une séquence de champs séparés par les symboles « | » et séparé du préfixe syslog par un espace. Tous les champs sont requis.
Version du format. Actuellement, le numéro de version est 0, donc le champ ressemble à « CEF:0 ».
Éditeur. Le champ est rempli avec la valeur AO Kaspersky Lab.
Nom de l'application. Le champ est rempli avec la valeur Kaspersky Web Traffic Security.
Version du produit. Le champ est rempli avec le numéro de version actuel du produit (6.1.0.xxxx).
Type d'événement.
Nom de l'événement.
Niveau de gravité. Peut être réglé sur Low (faible), Medium (moyen) или High (élevé).
Exemple :
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Les champs du message syslog définis par les paramètres de l'application sont présentés au format <clé> = "<valeur">. Si la clé possède plusieurs valeurs, ces valeurs sont séparées par une virgule. Le deux-points sert de séparateur entre les clés.
Les clés, ainsi que leurs valeurs, contenues dans le message dépendent du type d'événement.
La taille maximale d'un message Syslog concernant un événement détecté dépend des valeurs des paramètres Syslog sur le serveur sur lequel Kaspersky Web Traffic Security est installé. Vous pouvez configurer le transfert des messages Syslog vers un seul serveur Syslog externe à la fois.
Règles de codage des caractères dans les messages CEF :
Les espaces ne nécessitent pas de s'échapper.
Dans l'en-tête, la barre verticale ("|") est utilisée comme délimiteur. Si vous devez utiliser ce caractère dans l'un de vos champs d'en-tête, vous devez l'échapper avec un caractère barre oblique inverse ("\|"). Dans le corps du message le symbole "|" pas besoin de bouclier.
Une seule barre oblique inverse n'est pas autorisée dans l'en-tête ou le corps du message. Si vous devez l'utiliser dans un champ de titre, le caractère doit être dupliqué ("\\").
Dans le corps du message, le caractère "=" est utilisé comme séparateur pour une paire "clé-valeur". Si vous souhaitez utiliser ce caractère dans un champ de corps de message, vous devez l'échapper avec une barre oblique inverse ("\="). Dans l'en-tête, le caractère "=" ne nécessite pas d'échappement.
Les valeurs multilignes ne sont autorisées que pour la valeur d'une paire "clé-valeur". Pour indiquer le passage à la ligne suivante, utilisez les caractères "\n" ou "\r".