Ereignisklassen der Gruppe ScanLogic
4. April 2024
ID 151789
Im Textkörper der CEF-Nachrichten der Ereignisklassen der Gruppe ScanLogic dürfen Schlüssel entsprechend ihrer Semantik verwendet werden (s. Tabelle unten).
Zulässige Werte der Felder der Ereignisklassen der Gruppe ScanLogic
Ereignisklasse | Schlüssel | Bedeutung |
|---|---|---|
Alle Klassen der Gruppe ScanLogic | cs1 | ID der Nachricht. |
cs1Label | Hat immer den Wert | |
src | IP-Adresse des Servers, von der die Nachricht eingegangen ist. | |
act | Aktion. | |
fsize | Nachrichtengröße. | |
suser | Nachrichtenabsender. | |
duser | Liste der Empfänger der Nachricht. | |
reason | Grund für den Eintritt des Ereignisses. | |
cs2 | Regelliste. | |
cs2Label | Hat immer den Wert | |
outcome | Status der Untersuchung. | |
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. | |
cs3Label | Hat immer den Wert | |
fname | Dateiname. | |
LMS_EV_SCAN_LOGIC_AS_STATUS LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS | cs4 | Methode der Erkennung. |
cs4Label | Hat immer den Wert | |
LMS_EV_SCAN_LOGIC_MA_STATUS | cs4 | Der Schluss SPF. |
cs4Label | Hat immer den Wert | |
cs5 | Der Schluss DKIM. | |
cs5Label | Hat immer den Wert | |
cs6 | Der Schluss DMARC. | |
cs6Label | Hat immer den Wert | |
LMS_EV_SCAN_LOGIC_KT_STATUS | suser | Benutzerkonto-Name des Benutzers, der die Nachricht aus der KATA-Quarantäne extrahiert hat. |
cs4 | Grund für das Überspringen des Scans. | |
cs4Label | Hat immer den Wert | |
LMS_EV_SCAN_LOGIC_CF_STATUS | cs4 | Mögliche Werte:
|
cs4Label | Hat immer den Wert | |
LMS_EV_SCAN_LOGIC_PART_RESULT | cn1 | Anzahl der Objekte. |
cn1Label | Hat immer den Wert | |
cn2 | Größe der blockierten Datei. | |
cn2Label | Hat immer den Wert | |
cs3 | Nicht untersuchte Dateien. | |
cs3Label | Hat immer den Wert | |
cs4 | Namen der Bedrohungen. | |
cs4Label | Hat immer den Wert | |
cs5 | Name der blockierten Datei. | |
cs5Label | Hat immer den Wert | |
cs6 | Format der blockierten Datei. | |
cs6Label | Hat immer den Wert |
Jede Ereignisklasse der Gruppe ScanLogic darf nur die dafür relevanten Schlüssel enthalten (s. Tabelle unten).
Relevante Schlüssel für die Ereignisklassen der Gruppe ScanLogic
Ereignisklasse | Relevante Schlüssel |
|---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED | cs1, cs1Label, src, act, fsize, suser, duser, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AV_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_KT_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome |
LMS_EV_SCAN_LOGIC_MA_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome |
LMS_EV_SCAN_LOGIC_CF_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_PART_RESULT | cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, cn2, cn2Label |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label |
Wenn im Ereignis LMS_EV_SCAN_LOGIC_PART_RESULT im Feld mime part der Status avStatus=Infected oder avStatus=Disinfected angegeben ist, wird als Schlüsselwert cn1 die Liste disinfectedObjects oder die Liste deletedObjects, sofern einer davon vorliegt, angegeben. Wenn beide Listen nicht leer sind, werden Schlüssel cn1 und cn1Label zweimal hinzugefügt.