Ereignisklassen der Gruppe ScanLogic
26. April 2024
ID 151789
Im Textkörper der CEF-Nachrichten der Ereignisklassen der Gruppe ScanLogic dürfen Schlüssel entsprechend ihrer Semantik verwendet werden (s. Tabelle unten).
Zulässige Werte der Felder der Ereignisklassen der Gruppe ScanLogic
Ereignisklasse | Schlüssel | Bedeutung |
---|---|---|
Alle Klassen der Gruppe ScanLogic | cs1 | ID der Nachricht. |
cs1Label | Hat immer den Wert | |
src | IP-Adresse des Servers, von der die Nachricht eingegangen ist. | |
act | Aktion. | |
fsize | Größe der Nachricht. | |
suser | Nachrichtenabsender. | |
duser | Liste der Empfänger der Nachricht. | |
reason | Grund für den Eintritt des Ereignisses. | |
cs2 | Regelliste. | |
cs2Label | Hat immer den Wert | |
outcome | Status der Untersuchung. | |
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
fname | Dateiname. | |
LMS_EV_SCAN_LOGIC_AV_STATUS | act | Aktion. Mögliche Werte:
|
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_AS_STATUS | act | Aktion. Mögliche Werte:
|
cs4 | Methode der Erkennung. | |
cs4Label | Hat immer den Wert | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_AP_STATUS | act | Aktion. Mögliche Werte:
|
cs4 | Methode der Erkennung. | |
cs4Label | Hat immer den Wert | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_MLF_STATUS | act | Aktion. Mögliche Werte:
|
cs4 | Methode der Erkennung. | |
cs4Label | Hat immer den Wert | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_MA_STATUS | act | Aktion. Mögliche Werte:
|
cs4 | Der Schluss SPF. | |
cs4Label | Hat immer den Wert | |
cs5 | Der Schluss DKIM. | |
cs5Label | Hat immer den Wert | |
cs6 | Der Schluss DMARC. | |
cs6Label | Hat immer den Wert | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_KT_STATUS | act | Aktion. Mögliche Werte:
|
suser | Name des Kontos des Benutzers, der die Nachricht aus der KATA-Quarantäne extrahiert hat. | |
cs4 | Grund für das Überspringen des Scans. | |
cs4Label | Hat immer den Wert | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_CF_STATUS | act | Aktion. Mögliche Werte:
|
cs4 | Mögliche Werte:
| |
cs4Label | Hat immer den Wert | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_PART_RESULT | cn1 | Anzahl der Objekte. |
cn1Label | Hat immer den Wert | |
cn2 | Größe der blockierten Datei. | |
cn2label | Hat immer den Wert | |
cs3 | Nicht untersuchte Dateien. | |
cs3Label | Hat immer den Wert | |
cs4 | Namen der Bedrohungen. | |
cs4Label | Hat immer den Wert | |
cs5 | Name der blockierten Datei. | |
cs5Label | Hat immer den Wert | |
cs6 | Format der blockierten Datei. | |
cs6Label | Hat immer den Wert | |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | act | Aktion. Mögliche Werte:
|
Jede Ereignisklasse der Gruppe ScanLogic darf nur die dafür relevanten Schlüssel enthalten (s. Tabelle unten).
Relevante Schlüssel für die Ereignisklassen der Gruppe ScanLogic
Ereignisklasse | Relevante Schlüssel |
---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED | cs1, cs1Label, src, act, fsize, suser, duser, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AV_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_KT_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome |
LMS_EV_SCAN_LOGIC_MA_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome |
LMS_EV_SCAN_LOGIC_CF_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_PART_RESULT | cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label |
Wenn im Ereignis LMS_EV_SCAN_LOGIC_PART_RESULT im Feld mime part der Status avStatus=Infected
oder avStatus=Disinfected
angegeben ist, wird als Schlüsselwert cn1
die Liste disinfectedObjects
oder die Liste deletedObjects
, sofern einer davon vorliegt, angegeben. Wenn beide Listen nicht leer sind, werden Schlüssel cn1
und cn1Label
zweimal hinzugefügt.