Inhalt der syslog-Nachrichten über Ereignisse bei der Verarbeitung des Datenverkehrs
13. Dezember 2023
ID 179953
In jeder syslog-Nachricht werden folgende Felder übermittelt, die anhand der Einstellungen des Syslog-Protokolls im Betriebssystem ermittelt werden:
- Datum und Uhrzeit des Ereignisses
- Hostname, auf dem das Ereignis eingetreten ist
- Programmname (hat immer den Wert
KWTS
)
Die Felder der syslog-Nachricht über die Ereignisse bei der Verarbeitung des Datenverkehrs, die anhand der Programmeinstellungen ermittelt werden, werden im Format <Schlüssel>="<Wert>"
dargestellt. Wenn der Schlüssel mehrere Werte besitzt, werden diese Werte durch ein Komma voneinander getrennt. Als Trennzeichen zwischen Schlüsseln wird ein Doppelpunkt verwendet.
Beispiel:
|
Die in der Nachricht enthaltenen Schlüssel und deren Werte sind in der nachfolgenden Tabelle angeführt.
Informationen über Ereignisse bei der Verarbeitung des Datenverkehrs in der syslog-Nachricht
Schlüssel | Beschreibung und mögliche Werte |
---|---|
| Typ der HTTP-Nachricht. Kann die Werte |
| Methode der HTTP-Anfrage. |
| Aktion für das gefundene Objekt. Kann einen der folgenden Werte annehmen:
|
| Name der Regel zur Verarbeitung des Datenverkehrs, gemäß der die Webressource blockiert wurde Wird im folgenden Format angezeigt:
|
| Name der Regel zur Verarbeitung des Datenverkehrs, gemäß der der Benutzer auf die festgelegte URL-Adresse umgeleitet wurde. Wird im folgenden Format angezeigt:
|
| Dauer der Verarbeitung der HTTP-Nachricht in Millisekunden. Es wird die Zeit von Beginn der Verarbeitung des Headers der HTTP-Nachricht bis zum Speichern des Eintrags über die Durchführung der Untersuchung im Ereignisprotokoll des Programms und im Ereignisprotokoll Syslog berücksichtigt. |
| Ergebnis der Untersuchung der HTTP-Nachricht. Wenn mehrere Bedrohungen gefunden wurden, wird der Name der Bedrohung mit der höchsten Priorität angezeigt. Wenn Bedrohungen beseitigt oder nicht gefunden wurden, wird das Ergebnis der Untersuchung mit der höchsten Priorität angezeigt (Desinfiziert, Nicht erkannt, Nicht untersucht). |
| Name des Arbeitsbereichs, auf das sich das Ereignis bei der Verarbeitung des Datenverkehrs bezieht. Beim Fehlen des Arbeitsbereiches wird ein Strich angezeigt. |
| Benutzerkonto-Name des Benutzers, der die HTTP-Anfrage ausgelöst hat. |
| Client-Anwendung, welche die HTTP-Anfrage initiiert hat. |
| IP-Adresse des Computers, von dem die HTTP-Anfrage gesendet wurde. |
| URL-Adresse der Webressource, auf die der Benutzer zugreifen wollte. |
| Das Ergebnis der Untersuchung der URL-Adresse in Bezug auf eine Übereinstimmung mit Objekten, die von KATA erkannt wurden. Folgende Varianten sind möglich:
|
Für ein Objekt vom MIME-Typ multipart werden Informationen über alle Bestandteile angegeben. Für jeden Bestandteil wird der Schlüssel Beispielsweise, | |
| Name des untersuchten Objekts. Wenn die http-Nachricht keine Objekte enthält, wird |
| Größe des untersuchten Objekts. Wenn die HTTP-Nachricht keine Objekte enthält oder bei der Anwendung der Regel die Größe der Datei nicht angeführt werden muss, wird |
| MIME-Typ des Bestandteils des multipart-Objekts. Es wird der Wert des Headers Content-Type verwendet. Wenn die HTTP-Nachricht keine Objekte enthält oder bei der Anwendung der Regel der MIME-Typ nicht bestimmt werden muss, wird |
| Untersuchungsergebnis für das Objekt hinsichtlich einer notwendigen Übermittlung an den KATA-Server. Folgende Varianten sind möglich:
|
| Identifikator, der dem Programmobjekt zugewiesen ist. Der Identifikator wird nur übermittelt, wenn bei der Untersuchung der Notwendigkeit einer Übermittlung an den KATA-Server einer der folgenden Status zugewiesen wurde:
Für die anderen Status wird das Feld |
| Namen der ansprechenden Regeln zur Verarbeitung des Datenverkehrs im folgenden Format:
Wenn die Regel nicht zum Arbeitsbereich gehört, wird anstelle des Namens des Arbeitsbereichs ein Strich angezeigt. Wenn die Regel nicht in der Regelgruppe enthalten ist, wird anstelle des Namens der Gruppe ein Strich angezeigt. Wenn keine Regel zur Verarbeitung des Datenverkehrs übernommen wurde, wird die Standard-Schutzrichtlinie verwendet. Der Wert |
| Die Ergebnisse der Untersuchung der Webressource durch das Modul Anti-Virus. Folgende Varianten sind möglich:
|
| Die Ergebnisse der Untersuchung der Webressource durch das Modul Anti-Phishing. Folgende Varianten sind möglich:
|
| Untersuchungsergebnisse von Links auf Vorhandensein bösartiger Objekte. Folgende Varianten sind möglich:
|
| Informationen über die Verschlüsselung des untersuchten Objekts. Folgende Varianten sind möglich:
|
| Informationen über das Vorhandensein von Makros im untersuchten Objekt. Folgende Varianten sind möglich:
|
| Das Ergebnis der Untersuchung der Datei, in der die HTTP-Nachricht enthalten ist, oder des Bestandteils (für multipart-Objekte) auf vorhandene Objekte, die vom Programm KATA erkannt wurden. Folgende Varianten sind möglich:
|