Ereignisklassen der Gruppe ScanLogic
10. Juli 2024
ID 151789
Im Textkörper der CEF-Nachrichten der Ereignisklassen der Gruppe ScanLogic dürfen Schlüssel entsprechend ihrer Semantik verwendet werden (s. Tabelle unten).
Zulässige Werte der Felder der Ereignisklassen der Gruppe ScanLogic
Ereignisklasse | Schlüssel | Bedeutung |
---|---|---|
Alle Klassen der Gruppe ScanLogic | cs1 | ID der Nachricht. |
cs1Label | Hat immer den Wert | |
src | IP-Adresse des Servers, von der die Nachricht eingegangen ist, im IPv4-Format. | |
c6a2 | IP-Adresse des Servers, von der die Nachricht eingegangen ist, im IPv6-Format. | |
act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. | |
suser | Nachrichtenabsender. Die Adresse wird aus der SMTP-Sitzung übernommen. | |
duser | Liste der Empfänger der Nachricht. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs2 | Regelliste. | |
cs2Label | Hat immer den Wert | |
outcome | Status der Untersuchung. | |
KSMGMessageSubject | Betreff der Nachricht | |
KSMGRuleNames | Regelname | |
KSMGAvDetectionMethods | Erkennungsmethode | |
fileHash | Hash des MIME-Teils der Nachricht | |
KSMGMessageHashType | Hash-Berechnungsalgorithmus | |
KSMGBackupResult | Gibt an, ob die Nachricht an den Speicher gesendet wurde | |
KSMGApStatus | Ergebnis der Untersuchung durch das Anti-Phishing-Modul | |
KSMGMlfStatus | Ergebnis der Untersuchung der Links | |
KSMGAvStatus | Ergebnis der Untersuchung durch das Anti-Virus-Modul | |
KSMGAsStatus | Ergebnis der Untersuchung durch das Anti-Spam-Modul | |
KSMGCfStatus | Ergebnis der Untersuchung durch das Modul Inhaltsfilterung | |
KSMGMaStatus | Ergebnis der Untersuchung der Authentifizierung der E-Mail-Absender | |
KSMGKtStatus | Ergebnis der Untersuchung durch das Modul KATA-Schutz | |
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED | reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
|
LMS_EV_SCAN_LOGIC_AV_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs4 | Methode der Erkennung. Mögliche Werte:
| |
fsize | Größe der Nachricht. | |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
outcome | Status der Untersuchung. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_AS_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
cs4 | Methode der Erkennung. Mögliche Werte können variieren und sind unabhängig von der Produktversion. | |
cs4Label | Hat immer den Wert | |
fsize | Größe der Nachricht. | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_AP_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
cs4 | Methode der Erkennung. Mögliche Werte:
| |
cs4Label | Hat immer den Wert | |
fsize | Größe der Nachricht. | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_MLF_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
cs4 | Methode der Erkennung. Mögliche Werte:
| |
cs4Label | Hat immer den Wert | |
fsize | Größe der Nachricht. | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_MA_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
cs4 | Der Schluss SPF. Mögliche Werte:
| |
cs4Label | Hat immer den Wert | |
cs5 | Der Schluss DKIM. | |
cs5Label | Hat immer den Wert | |
cs6 | Der Schluss DMARC. | |
cs6Label | Hat immer den Wert | |
fsize | Größe der Nachricht. | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_KT_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
cs4 | Grund für das Überspringen des Scans. Mögliche Werte:
| |
cs4Label | Hat immer den Wert | |
cs5 | Name des Kontos des Benutzers, der die Nachricht aus der KATA-Quarantäne extrahiert hat. | |
cs5Label | Hat immer den Wert | |
fsize | Größe der Nachricht. | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_CF_STATUS | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
cs3 | Liste der Empfänger von Benachrichtigungen über die Auslösung einer Regel, für die eine Benachrichtigung mit angehängter Originalnachricht festgelegt wurde. Die Adressen werden aus der SMTP-Sitzung übernommen. | |
cs3Label | Hat immer den Wert | |
cs4 | Liste der Namen der angewendeten Ausdrücke. | |
cs4Label | Hat immer den Wert | |
fsize | Größe der Nachricht. | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_PART_RESULT | cn1 | Anzahl der Objekte, die basierend auf den Ergebnissen der Untersuchung durch das Modul Anti-Virus desinfiziert oder gelöscht wurden. Wird nur für Archive ausgefüllt. |
cn1Label | Hat immer den Wert | |
cs3 | Nicht untersuchte Dateien. | |
cs3Label | Hat immer den Wert | |
cs4 | Liste der Namen der gefundenen Bedrohungen. | |
cs4Label | Hat immer den Wert | |
cs5 | Liste der ausgelösten Ausdrücke für die Inhaltsfilterung | |
cs5Label | Hat immer den Wert | |
fname | Dateiname. | |
fsize | Größe des MIME-Teils der Nachricht | |
outcome | Status der Untersuchung. Mögliche Werte:
| |
reason | Grund für die fehlende Untersuchung durch das Anti-Virus-Modul. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_URL | cs3 | URL-Adresse |
cs3Label | Hat immer den Wert | |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | act | Abschließender Vorgang, der auf die Nachricht angewendet wurde. Mögliche Werte:
|
fsize | Größe der Nachricht. | |
reason | Grund für den Eintritt des Ereignisses. Mögliche Werte:
| |
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT | fsize | Größe der Nachricht. |
Jede Ereignisklasse der Gruppe ScanLogic darf nur die dafür relevanten Schlüssel enthalten (s. Tabelle unten).
Relevante Schlüssel für die Ereignisklassen der Gruppe ScanLogic
Ereignisklasse | Relevante Schlüssel |
---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_AV_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MLF_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_AP_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject |
LMS_EV_SCAN_LOGIC_KT_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MA_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_CF_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_PART_RESULT | cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods |
LMS_EV_SCAN_LOGIC_URL | cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT | cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus |