Содержание syslog-сообщений о событиях обработки трафика

В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:

дата и время события;
имя хоста, на котором произошло событие;
название программы (всегда имеет значение KWTS).

Поля syslog-сообщения о событии обработки трафика, определяемые параметрами программы, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.

Пример:

Oct 9 10:13:06 localhost KWTS: type="Response": method="GET": action="Block": blocked_by_rule="protection_rules [Workspace1/-/Rule2]": processing_time="952": scan_result="Malware": workspace="Workspace1": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/eicar.com": kata-alert="NotDetected": "eicar.com", filesize="69", kata_upload="SkippedByAction", guid="", rules="access_rules [Workspace1/Group1/Rule1], protection_rules [Workspace1/-/Rule2]", av-status="Detected", threats="EICAR-Test-File/Block", ap-status="NotDetected", mlf-status="NotDetected", encrypted="NotDetected", macros="NotDetected", kata-alert="NotDetected"

Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событиях обработки трафика в syslog-сообщении

Ключ	Описание и возможные значения

`type`	Тип HTTP-сообщения. Может принимать значения `Request` (запрос) или `Response` (ответ).
`method`	Метод HTTP-запроса.
`action`	Действие над обнаруженным объектом. Может принимать одно из следующих значений: `Allow` – Разрешить. `Block` – Заблокировать. `Redirect` – Перенаправить.
`blocked_by_rule`	Название правила обработки трафика, по которому веб-ресурс был заблокирован. Отображается в следующем формате: Для правил обхода: `"[<Название правила>]"`. Для правил защиты и правил доступа: `"[<Название рабочей области>/<Название группы правил>/<Название правила>]"`.
`redirected_by_rule`	Название правила обработки трафика, по которому пользователь был перенаправлен на указанный URL-адрес. Отображается в следующем формате: Для правил обхода: `"[<Название правила>]"`. Для правил доступа: `"[<Название рабочей области>/<Название группы правил>/<Название правила>]"`.
`processing_time`	Продолжительность обработки HTTP-сообщения в миллисекундах. Учитывается время с начала обработки заголовка HTTP-сообщения до сохранения записи о выполненной проверке в журнале событий программы и в журнале событий Syslog.
`scan_result`	Результат проверки HTTP-сообщения. Если обнаружено несколько угроз, отображается название угрозы с наибольшим приоритетом. Если угрозы устранены или не обнаружены, отображается результат проверки с наибольшим приоритетом (Вылечен, Не обнаружено, Не проверен).
`workspace`	Название рабочей области, к которой относится событие обработки трафика. При отсутствии рабочей области отображается прочерк.
`http_user_name`	Имя учетной записи пользователя, инициировавшего HTTP-запрос.
`http_user_agent`	Клиентское приложение, инициировавшее HTTP-запрос.
`http_user_ip`	IP-адрес компьютера, с которого был отправлен HTTP-запрос.
`url`	URL-адрес веб-ресурса, доступ к которому запрашивал пользователь.
`kata-alert`	Результат проверки URL-адреса на соответствие объектам, обнаруженным программой KATA. Возможны следующие значения: `NotDetected` – URL-адрес проверен, угрозы не обнаружены. `Detected` – обнаружено соответствие с объектом в кеше KATA. Указывается ID объекта, критерий совпадения и технология. Например, `kata-alert="Detected/128563/Url/Sb"`. `NotScanned/AccessRuleSettings` – проверка не выполнена, так как правило защиты не применяется согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – проверка не выполнена, так как файл пропущен по правилу обхода без проверки. `NotScanned/ProtectionRuleSettings` – проверка не выполнена, так как в правиле защиты для типа объектов Объекты, обнаруженные KATA задано действие Пропустить проверку. `NotScanned/ApplicationSettings` – проверка не выполнена, так как режим получения объектов, обнаруженных KATA или интеграция KATA отключены согласно параметрам программы. `ScanError/InternalError` – проверка завершилась с ошибкой.
Для объекта MIME-типа multipart указывается информация обо всех составных частях. Для каждой составной части используется ключ `part` с порядковым номером, после которого передаются все атрибуты этой составной части (ключи `filename`, `filesize`, `part_mimetype`, `kata_upload`, `guid`, `rules`, `av_status`, `ap_status`, `mlf-status`, `encrypted`, `macros` и `kata-alert`). Например, `part1 "news.html", <атрибуты составной части 1>: part2 <атрибуты составной части 2>`.
`filename`	Имя проверяемого объекта. Если HTTP-сообщение не содержит объектов, указывается `"nofile"`. В этом случае все последующие поля относятся к проверяемому URL-адресу.
`filesize`	Размер проверяемого объекта. Если HTTP-сообщение не содержит объектов или для применения правил не требуется вычисление размера файла, указывается `"NotApplicable"`.
`part_mimetype`	MIME-тип составной части multipart-объекта. Используется значение заголовка Content-Type. Если HTTP-сообщение не содержит объектов или для применения правил не требуется определение MIME-типа, указывается `"NotApplicable"`.
`kata_upload`	Результат проверки объекта на необходимость отправки на сервер KATA. Возможны следующие значения: `NotApplicable` – HTTP-сообщение не содержит файлов. `Scheduled` – отправка файла запланирована. `DisabledBySettings` – режим отправки файлов на сервер KATA или интеграция KATA отключены в параметрах программы. `SkippedByAction` – HTTP-сообщение пропущено по правилу обхода без проверки или к нему применены действия Заблокировать или Перенаправить. `RejectedByFilter` – файл не удовлетворяет условиям отправки на сервер KATA. `Failed/QueueOverflowed` – файл должен быть отправлен на сервер KATA, но запланировать отправку не удалось из-за переполнения очереди. `Failed/InternalError` – файл должен быть отправлен на сервер KATA, но запланировать отправку не удалось из-за внутренней ошибки программы.
`guid`	Идентификатор, присвоенный объекту программой. Идентификатор передается, только если при проверке необходимости отправки на сервер KATA был присвоен один из следующих статусов: `Scheduled`. `Failed/QueueOverflowed`. `Failed/InternalError`. Для других статусов поле `guid` передается с пустым значением.
`rules`	Названия сработавших правил обработки трафика в следующем формате: `"bypass_rule [<Название правила>], access_rules [<Название рабочей области>/<Название группы правил>/<Название правила>], protection_rules [<Название рабочей области>/<Название группы правил>/<Название правила>]"`. Если правило не относится к рабочей области, вместо названия рабочей области отображается прочерк. Если правило не входит в группу правил, вместо названия группы отображается прочерк. Если не было применено ни одно правило обработки трафика, применяется политика защиты по умолчанию. Отображается значение `"default_policy [Default Policy]"`.
`av_status`	Результаты проверки веб-ресурса модулем Антивирус. Возможны следующие значения: `Detected` – в объекте найдены вирусы или другие программы, представляющие угрозу. Через запятую указываются имена обнаруженных угроз и действие программы над объектом. Например, `av-status="Detected", threats="EICAR-Test-File/Block"`. `ScanError/Timeout` – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки. `ScanError/InternalError` – проверка завершилась с внутренней ошибкой. `ScanError/BasesNotLoaded` – проверка завершилась с ошибкой, так как базы модуля Антивирус не загружены. `IncompleteScan/MaxNestingLevelReached` – проверка не была выполнена, так как уровень вложенности проверяемого архива превышает максимально допустимый. `IncompleteScan/EncryptedArchive` – проверка не была выполнена, так как объект зашифрован. `Disinfected` – обнаружены угрозы, все угрозы вылечены. `NotDetected` – объект проверен, угрозы не обнаружены. `NotScanned/AccessRuleSettings` – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – объект не проходил проверку, так как к нему было применено правило обхода. `NotScanned/ProtectionRuleSettings` – объект не проходил проверку согласно действию, заданному в правиле защиты. `NotScanned/ApplicationSettings` – объект не проходил проверку согласно заданным параметрам программы.
`ap_status`	Результаты проверки веб-ресурса модулем Анти-Фишинг. Возможны следующие значения: `Detected (local bases)` – ссылка признана фишинговой на основе записей в локальных базах программы. `Detected (KSN)` – ссылка признана фишинговой на основе проверки репутации в KSN. `Detected (heuristics)` – ссылка признана фишинговой на основе данных эвристического анализа. `ScanError/Timeout` – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки. `ScanError/InternalError` – проверка завершилась с внутренней ошибкой. `ScanError/BasesNotLoaded` – проверка завершилась с ошибкой, так как базы модуля Анти-Фишинг не загружены. `NotDetected` – объект проверен, угрозы не обнаружены. `NotScanned/AccessRuleSettings` – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – объект не проходил проверку, так как к нему было применено правило обхода. `NotScanned/ProtectionRuleSettings` – объект не проходил проверку согласно действию, заданному в правиле защиты. `NotScanned/ApplicationSettings` – объект не проходил проверку согласно заданным параметрам программы.
`mlf-status`	Результаты проверки ссылок на наличие вредоносных объектов. Возможны следующие значения: `Detected (local bases)` – ссылка признана вредоносной на основе записей в локальных антивирусных базах. `Detected (KSN)` – ссылка признана вредоносной на основе проверки репутации в KSN. `ScanError/Timeout` – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки. `ScanError/InternalError` – проверка завершилась с внутренней ошибкой. `ScanError/BasesNotLoaded` – проверка завершилась с ошибкой, так как базы модуля Анти-Фишинг не загружены. `NotDetected` – ссылка проверена, угрозы не обнаружены. `NotScanned/AccessRuleSettings` – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – объект не проходил проверку, так как к нему было применено правило обхода. `NotScanned/ProtectionRuleSettings` – объект не проходил проверку согласно действию, заданному в правиле защиты. `NotScanned/ApplicationSettings` – объект не проходил проверку согласно заданным параметрам программы.
`encrypted`	Информация о шифровании проверяемого объекта. Возможны следующие значения: `Detected` – обнаружены угрозы. `ScanError/Timeout` – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки. `ScanError/InternalError` – проверка завершилась с внутренней ошибкой. `ScanError/BasesNotLoaded` – проверка завершилась с ошибкой, так как базы модуля Антивирус не загружены. `NotDetected` – ссылка проверена, `NotScanned/ApplicationSettings` – объект не проходил проверку согласно заданным параметрам программы.угрозы не обнаружены. `NotScanned/AccessRuleSettings` – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – объект не проходил проверку, так как к нему было применено правило обхода. `NotScanned/ProtectionRuleSettings` – объект не проходил проверку согласно действию, заданному в правиле защиты. `NotScanned/ApplicationSettings` – объект не проходил проверку согласно заданным параметрам программы.
`macros`	Информация о наличии макросов в проверяемом объекте. Возможны следующие значения: `Detected` – обнаружены макросы. `ScanError/Timeout` – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки. `ScanError/InternalError` – проверка завершилась с внутренней ошибкой. `ScanError/BasesNotLoaded` – проверка завершилась с ошибкой, так как базы модуля Антивирус не загружены. `NotDetected` – объект проверен, макросы не обнаружены. `NotScanned/AccessRuleSettings` – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – объект не проходил проверку, так как к нему было применено правило обхода. `NotScanned/ProtectionRuleSettings` – объект не проходил проверку согласно действию, заданному в правиле защиты. `NotScanned/ApplicationSettings` – объект не проходил проверку согласно заданным параметрам программы.
`kata-alert`	Результат проверки файла, содержащегося в HTTP-сообщении, или составной части (для multipart-объектов) на соответствие объектам, обнаруженным программой KATA. Возможны следующие значения: `NotDetected` – URL-адрес проверен, угрозы не обнаружены. `Detected` – обнаружено соответствие с объектом в кеше KATA. Указывается ID объекта, критерий совпадения и технология. Например, `kata-alert="Detected/124567/Md5/Yara"`. `NotScanned/AccessRuleSettings` – проверка не выполнена, так как правило защиты не применяется согласно действию, заданному в правиле доступа. `NotScanned/BypassRuleSettings` – проверка не выполнена, так как файл пропущен по правилу обхода без проверки. `NotScanned/ProtectionRuleSettings` – проверка не выполнена, так как в правиле защиты для типа объектов Объекты, обнаруженные KATA задано действие Пропустить проверку. `NotScanned/ApplicationSettings` – проверка не выполнена, так как режим получения объектов, обнаруженных KATA или интеграция KATA отключены согласно параметрам программы. `ScanError/InternalError` – проверка завершилась с ошибкой.

В начало