CEF 形式の Syslog メッセージの内容とプロパティ
検出された各イベントに関する情報は、イベントの発生直後に、CEF 形式の独立した Syslog メッセージとして UTF-8 エンコーディングで送信されます。
CEF メッセージは、メッセージ本文とヘッダーで構成されています。
CEF メッセージのヘッダーは次の部分で構成されています:
- Syslog プレフィックス:
<イベント日時>
<イベントが発生したホストの名前>
。 - 「|」文字で区切られた一連のフィールド。Syslog プレフィックスとスペースで区切られています。すべて必須フィールドです。
- フォーマットバージョン。現在、バージョン番号は 0 であるため、フィールドは「CEF:0」のようになっています。
- ベンダー。このフィールドの値は
AO Kaspersky Lab
です。 - 製品名。このフィールドの値は
Kaspersky Web Traffic Security
です。 - 製品バージョン。このフィールドの値は、製品の現在のバージョン(
6.1.0.xxxx
)です。 - イベントクラス。
- イベント名。
- 重大度レベル。
Low
、 Medium
、 High
のいずれかになります。
例:
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
|
Syslog メッセージのフィールドのうち、本製品のオプションで定義されるイベントに関するフィールドは「<キー>="<値>"
」という形式です。1 つのキーに複数の値が存在する場合は、値はカンマで区切られます。キーとキーの間はコロンで区切られます。
メッセージに含まれるキーとその値は、イベントのクラスによって異なります。
検出されたイベントに関する Syslog メッセージの最大サイズは、Kaspersky Web Traffic Security がインストールされているサーバーの Syslog 設定の値によって異なります。単一の外部 Syslog サーバーへの Syslog メッセージのみ設定できます。
CEF メッセージの文字エンコーディング規則:
- スペースをエスケープする必要はありません。
- ヘッダーでは、縦棒(「|」)が区切り文字として使用されます。この文字をヘッダーのいずれかのフィールドで使用する必要がある場合は、バックスラッシュ(「\」)でエスケープする必要があります。メッセージ本文では、「|」をエスケープする必要はありません。
- 単一のバックスラッシュはメッセージヘッダーまたはメッセージ本文では使用できません。ヘッダーフィールドでこの文字を使用する必要がある場合は、2 回繰り返します(「\\」)。
- メッセージ本文では、「=」文字が「キーと値」ペアの区切り文字として使用されます。メッセージ本文のいずれかのフィールドでこの文字を使用する必要がある場合は、バックスラッシュ(「\=」)でエスケープする必要があります。ヘッダー内の「=」文字はエスケープする必要がありません。
- 複数行の値は、キー/値のペアの値でのみ許可されます。改行を示すには、「\n」または「\r」文字を使用します。
ページのトップに戻る