Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате CEF, записи журнала о событиях выглядят следующим образом:
CEF:0|Kaspersky|Scan Engine ICAP Service|%VERSION%|%EVENT_CLASS_ID%|%EVENT_NAME%|%SEVERITY%| msg=%EVENT_MSG% src=%CLIENT_IP% dvcpid=%ICAP_SERVER_PID% dvc=%HTTP_SERVICE_IP% dvchost=%HOSTNAME% cs2=%HTTP_USER_NAME% cs2Label=X-Client-Username cs3=%HTTP_USER_IP% cs3Label=X-Client-IP start=%EVENT_TIME% fileHash=%SCANNED_FILE_HASH% request=%SCANNED_URL% cs1=%SCAN_RESULT% cs1Label=Scan result cs4=%VIRUS_NAME% cs4Label=Virus name cs5=%SCANNED_FILE_SHA256_HASH% cs5Label=SHA256 cs6=%ICAP_MODE% cs6Label=ICAP mode cn1=%REQUEST_LENGTH% cn1Label=Request size flexString1=%SDK_VERSION% flexString1Label=Anti-Virus Engine version
Запись имеет следующие поля:
%VERSION%Версия Kaspersky Scan Engine.
%EVENT_CLASS_ID%Класс события. Возможные значения:
1Служебное событие (не связанное со сканированием).
2Событие, связанное с ошибками.
3Событие, связанное со сканированием (например, результат сканирования).
%EVENT_NAME%Название события. Возможные значения:
Initializing – инициализация Kaspersky Scan Engine.Deinitializing – Kaspersky Scan Engine деинициализирован, произошло сторожевое событие или отсутствует процесс службы.Update event — началось или завершилось обновление антивирусных баз.License event – событие, связанное с лицензией.Engine event — произошло событие антивирусного ядра.Scan result clean – проверенный объект считается безопасным.Scan result detect – обнаружена угроза.Scan result other – объект не был просканирован.Audit – произошло событие аудита системы.%SEVERITY%Уровень важности события. Чем выше уровень, тем важнее событие. Возможные значения:
3Это значение указывается для событий аудита системы, информационный уровень.
5Это значение указывается для служебных событий, когда начинается сканирование или если результат сканирования – CLEAN.
6Это значение указывается для событий аудита системы, уровень предупреждения.
7Это значение указывается для инициализации, деинициализации и ошибок.
8Это значение указывается для событий аудита системы (критический уровень) и если результат сканирования отличен от CLEAN. Эти события считаются опасными.
%EVENT_MSG%Описание события. Например, текст сообщения об ошибке.
%CLIENT_IP%IP-адрес ICAP-клиента, отправившего запрос на сканирование в Kaspersky Scan Engine. Это поле отображается только в событиях результатов проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther).
%ICAP_SERVER_PID%PID Kaspersky Scan Engine.
%HTTP_SERVICE_IP%IP-адрес, который Kaspersky Scan Engine использует для получения запросов на сканирование от клиентов. Это поле появляется только в том случае, если включено логирование системного журнала в формате CEF.
%HOSTNAME%Имя хоста компьютера, на котором работает Kaspersky Scan Engine. Это поле появляется только в том случае, если включено логирование системного журнала в формате CEF.
%HTTP_USER_NAME%Имя HTTP-клиента, указанное в пользовательском поле заголовка запроса. Имя этого поля заголовка запроса указывается в элементе HTTPUserNameICAPHeader файла конфигурации режима ICAP.
Поля cs2 (%HTTP_USER_NAME%) и cs2Label отображаются только в том случае, если значение %EVENT_CLASS_ID% равно 3 и если в файле конфигурации режима ICAP существует не пустой элемент HTTPUserNameICAPHeader. Если элемент HTTPUserNameICAPHeader не существует или пуст, поля cs2 (%HTTP_USER_NAME%) и cs2Label отсутствуют в сообщении системного журнала.
Если значение поля пользовательского заголовка пусто (имя HTTP-клиента не указано в запросе), значение cs2 (%HTTP_USER_NAME%) в сообщении системного журнала равно "-".
%HTTP_USER_IP%IP-адрес HTTP-клиента, указанный в пользовательском поле заголовка запроса. Имя этого поля заголовка запроса указывается в элементе HTTPClientIpICAPHeader файла конфигурации режима ICAP.
Поля cs3 (%HTTP_USER_IP%) и cs3Label отображаются только в том случае, если значение %EVENT_CLASS_ID% равно 3 и если в файле конфигурации режима ICAP существует не пустой элемент HTTPClientIpICAPHeader. Если элемент HTTPClientIpICAPHeader не существует или пуст, поля cs3 (%HTTP_USER_IP%) и cs3Label отсутствуют в сообщении системного журнала.
Если значение поля пользовательского заголовка пусто (IP-адрес клиента HTTP не указан в запросе), значение cs3 (%HTTP_USER_IP%) в сообщении системного журнала равно "-".
%EVENT_TIME%Время и дата события. Время и дата берутся с компьютера, на котором работает Kaspersky Scan Engine.
%SCANNED_FILE_HASH%Хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле отображается только в событиях результатов проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther).
%SCANNED_URL%URL-адрес, переданный на проверку в Kaspersky Scan Engine. Это поле отображается только в событиях результатов проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther).
%SCAN_RESULT%Результат сканирования. Это поле отображается только в событиях результатов проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther).
cs1Label=Scan resultЭто поле появляется, только если значение %EVENT_CLASS_ID% равно 3.
%VIRUS_NAME%Название угрозы или легальной программы, которая может быть использована злоумышленниками. Это поле отображается только в событиях результатов проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther).
%SCANNED_FILE_SHA256_HASH%SHA256-хеш объекта, переданного на проверку в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.
%ICAP_MODE%Указывает, в каком режиме Kaspersky Scan Engine проверял объект: REQMOD или RESPMOD. Это поле отображается только в событиях результатов проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther).
%REQUEST_LENGTH%Длина тела сообщения в байтах. Это поле отображается только в событиях результата проверки (типы событий ScanResultClean, ScanResultDetect, ScanResultOther) и только если проверяемый объект не является URL-адресом.
%SDK_VERSION%Версия KAV SDK, на которой основан Kaspersky Scan Engine.