Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате CEF, записи журнала о событиях выглядят следующим образом:
CEF:0|Kaspersky|Scan Engine HTTP Service|%VERSION%|%EVENT_CLASS_ID%|%EVENT_NAME%|%SEVERITY%| msg=%EVENT_MSG% src=%CLIENT_IP% dvcpid=%HTTP_SERVICE_PID% sproc=unix_socket dvc=%HTTP_SERVICE_IP% dvchost=%HOSTNAME% start=%EVENT_TIME% fileHash=%SCANNED_FILE_MD5_HASH% fname=%SCANNED_FILE_NAME% request=%SCANNED_URL% act=%ACTION_MADE% cs1=%SCAN_RESULT% cs1Label=Scan result cs2=%VIRUS_NAME% cs2Label=Virus name flexString1=%SDK_VERSION% flexString1Label=Anti-Virus Engine version
Запись имеет следующие поля:
%VERSION%Версия Kaspersky Scan Engine.
%EVENT_CLASS_ID%Класс события. Возможные значения:
1Служебное событие (не связанное со сканированием).
2Событие, связанное с ошибками.
3Событие, связанное со сканированием (например, результат сканирования).
%EVENT_NAME%Название события. Возможные значения:
Initializing – инициализация Kaspersky Scan Engine.Deinitializing – деинициализация Kaspersky Scan Engine.Service event – произошло служебное событие.Service error – в службе kavhttpd произошла ошибка.Core error – в Kaspersky Anti-Virus Engine произошла ошибка.Scan result – Kaspersky Scan Engine завершил сканирование объекта.Audit – произошло событие аудита системы.%SEVERITY%Уровень важности события. Чем выше уровень, тем важнее событие. Возможные значения:
3Это значение указывается для событий аудита системы, информационный уровень.
5Это значение указывается для служебных событий, когда начинается сканирование или если результат сканирования – CLEAN.
6Это значение указывается для событий аудита системы, уровень предупреждения.
7Это значение указывается для инициализации, деинициализации и ошибок.
8Это значение указывается для событий аудита системы (критический уровень) и если результат сканирования отличен от CLEAN. Эти события считаются опасными.
%EVENT_MSG%Описание события. Например, текст сообщения об ошибке.
%CLIENT_IP%IP-адрес HTTP-клиента, отправившего запрос на сканирование в Kaspersky Scan Engine. Это поле появляется только в том случае, если запрос отправляется через TCP-сокет и связан со сканированием.
%HTTP_SERVICE_PID%PID Kaspersky Scan Engine.
%HTTP_SERVICE_IP%IP-адрес, который Kaspersky Scan Engine использует для получения запросов на сканирование от клиентов. Это поле появляется только в том случае, если Kaspersky Scan Engine получает запросы на сканирование через TCP-сокет.
%HOSTNAME%Имя хоста компьютера, на котором работает Kaspersky Scan Engine. Это поле появляется только в том случае, если включено логирование системного журнала в формате CEF.
%EVENT_TIME%Время и дата события. Время и дата берутся с компьютера, на котором работает Kaspersky Scan Engine.
sproc=unix_socketЭто поле появляется только в том случае, если Kaspersky Scan Engine получает запросы на сканирование через UNIX-сокет.
%SCANNED_FILE_MD5_HASH%Хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только в том случае, если клиент отправил запрос на сканирование и Kaspersky Scan Engine завершил сканирование.
%SCANNED_FILE_NAME%Имя сканируемого файла. Если клиент отправил запрос на сканирование части оперативной памяти, значение этого поля – MEMORY_BLOCK. Это поле появляется только в том случае, если клиент отправил запрос на сканирование и Kaspersky Scan Engine завершил сканирование.
%SCANNED_URL%URL-адрес, указанный в заголовке X-KAV-ObjectURL запроса на сканирование. Это поле появляется только в том случае, если клиент отправил запрос на сканирование и Kaspersky Scan Engine завершил сканирование.
%ACTION_MADE%Действие, которое было выполнено в отношении обнаруженной угрозы или легальной программы, которая может быть использована злоумышленниками. Это поле отображается только в событиях, содержащих результаты сканирования.
%SCAN_RESULT% Результат сканирования. Это поле отображается только в событиях, содержащих результаты сканирования.
cs1Label=Scan resultЭто поле отображается только в событиях, содержащих результаты сканирования.
%VIRUS_NAME%Название обнаруженной угрозы или легальной программы, которая может быть использована злоумышленниками. Это поле появляется только в том случае, если была обнаружена угроза или легальная программа, которая может быть использована злоумышленниками.
cs2Label=Virus nameЭто поле появляется только в том случае, если была обнаружена угроза или легальная программа, которая может быть использована злоумышленниками.
%SDK_VERSION%Версия KAV SDK, на которой основан Kaspersky Scan Engine.