Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате RAW, записи журнала о событиях выглядят следующим образом:
<%PRIORITY%>1 %TIMESTAMP% %ICAP_SERVICE_IP% KasperskyICAPServer %ICAP_SERVICE_PID% %MESSAGE_ID% [KL_ICAP@23668 icapMode="%ICAP_MODE%" requestLength="%REQUEST_LENGTH%" httpUserName="%HTTP_USER_NAME%" httpUserIP="%HTTP_USER_IP%" sha2="%SCANNED_FILE_SHA256_HASH%" md5="%SCANNED_FILE_MD5_HASH%" request="%SCANNED_URL%"] BOM %MESSAGE%
Запись имеет следующие поля:
%PRIORITY%Уровень важности события. Возможные значения:
163Это значение указывается для ошибок.
165Это значение указывается, если результат сканирования отличен от CLEAN.
166Это значение указывается для служебных событий или если результат сканирования – CLEAN.
%TIMESTAMP%Дата и время события в часовом поясе всемирного координированного времени (UTC).
%ICAP_SERVICE_IP%IP-адрес компьютера, на котором работает Kaspersky Scan Engine.
%ICAP_SERVICE_PID%PID Kaspersky Scan Engine.
%MESSAGE_ID%Класс события. Возможные значения:
AUDIT_MESSAGE – событие аудита.INIT_MESSAGE – KAV SDK инициализирован.DEINIT_MESSAGE – KAV SDK деинициализирован, произошло сторожевое событие или отсутствует процесс службы.UPDATE_MESSAGE — началось или завершилось обновление антивирусных баз.LICENSE_MESSAGE – событие, связанное с лицензированием.ENGINE_MESSAGE — произошло событие антивирусного ядра.SCAN_RESULT_CLEAN_MESSAGE – проверенный объект считается безопасным.SCAN_RESULT_DETECT_MESSAGE – обнаружена угроза.SCAN_RESULT_OTHER_MESSAGE – объект не просканирован.%ICAP_MODE%Указывает, в каком режиме Kaspersky Scan Engine проверял объект: REQMOD или RESPMOD. Это поле появляется, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE.
%REQUEST_LENGTH%Длина тела HTTP-сообщения, сканируемого Kaspersky Scan Engine. Это поле появляется, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE и проверяемый объект не является URL-адресом.
%HTTP_USER_NAME%Имя HTTP-клиента, указанное в параметре HTTPUserNameICAPHeader файла конфигурации режима ICAP. Поле %HTTP_USER_NAME% отображается, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE.
%HTTP_USER_IP%IP-адрес HTTP-клиента, указанный в параметре HTTPClientIpICAPHeader файла конфигурации режима ICAP. Поле %HTTP_USER_IP% появляется, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE.
%SCANNED_FILE_SHA256_HASH%SHA256-хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.
%SCANNED_FILE_MD5_HASH%MD5-хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.
%SCANNED_URL%URL-адрес, проверенный KAV SDK. Поле %SCANNED_URL% отображается только в событиях результатов проверки (типы событий SCAN_RESULT_CLEAN_MESSAGE, SCAN_RESULT_DETECT_MESSAGE, SCAN_RESULT_OTHER_MESSAGE).
%MESSAGE%Описание события. Например, текст сообщения об ошибке.