Contenido de los mensajes de syslog sobre eventos de procesamiento de tráfico
13 de diciembre de 2023
ID 179953
Cada mensaje de syslog contiene los siguientes campos definidos por los parámetros del protocolo Syslog en el sistema operativo:
- fecha y hora del evento;
- nombre del host donde ocurrió el evento;
- nombre de la aplicación (el valor siempre es
KWTS
).
Los campos del mensaje de syslog sobre un evento de procesamiento de tráfico, que se definen por opciones de la aplicación, tienen el formato <clave>="<valor>"
. Si una clave tiene varios valores, estos están separados por comas. La coma es el separador utilizado entre claves.
Ejemplo:
|
En la tabla siguiente puede ver las claves y los valores contenidos en un mensaje.
Información sobre eventos de procesamiento de tráfico en un mensaje de syslog
Clave | Descripción y valores posibles |
---|---|
| Tipo de mensaje HTTP. Su valor puede ser |
| Método de solicitud HTTP. |
| Acción realizada sobre un objeto detectado. Puede tener uno de los siguientes valores:
|
| Nombre de la regla de procesamiento de tráfico que provocó el bloqueo del recurso web. Se muestra en el siguiente formato:
|
| Nombre de la regla de procesamiento de tráfico que hizo que se redirigiera al usuario a la URL especificada. Se muestra en el siguiente formato:
|
| Duración del procesamiento del mensaje HTTP, en milisegundos. El tiempo se cuenta desde el inicio del procesamiento del mensaje HTTP hasta que se guarda un registro del análisis completado en el registro de evento de la aplicación y el registro de evento de Syslog. |
| Resultado del análisis del mensaje HTTP. Si se detectan varias amenazas, se muestra el nombre de la amenaza de prioridad más alta. Si se eliminaron o no se detectaron amenazas, se muestra el resultado del análisis de mayor prioridad (Desinfectado, No detectado, No analizado). |
| Nombre del espacio de trabajo asociado con la regla de procesamiento de tráfico. Si no hay espacio de trabajo, se muestra un guion. |
| Nombre de la cuenta de usuario que ha iniciado la solicitud HTTP. |
| Aplicación cliente que inició la solicitud HTTP. |
| Dirección IP del equipo desde el que se envió la solicitud de HTTP. |
| URL del recurso web solicitado por el usuario. |
| Resultado de analizar una URL para verificar si coincide con los objetos detectados por KATA. Los siguientes valores son posibles:
|
Para un objeto de tipo MIME multiparte, se ofrece información sobre todas las partes constituyentes. Para cada parte constituyente, se utiliza la clave Por ejemplo, | |
| Nombre del objeto analizado. Si el mensaje HTTP no contiene ningún objeto, se indicará |
| Tamaño del objeto analizado. Si el mensaje HTTP no contiene objetos o no se requiere el tamaño de archivo para aplicar reglas, se indica |
| Tipo MIME de la parte constituyente del objeto multiparte. Se utiliza el valor del encabezado Content-Type. Si el mensaje HTTP no contiene objetos o no se requiere la definición del tipo MIME para aplicar reglas, se indica |
| Resultado de verificar si un objeto debe enviarse al servidor KATA. Los siguientes valores son posibles:
|
| ID que la aplicación le asigna a un objeto. La ID se transmite solo si se asignó uno de los siguientes estados al comprobar si el objeto debe enviarse al servidor KATA:
Para el resto de los estados, el campo |
| Los nombres de las reglas de procesamiento de tráfico en el siguiente formato:
Si una regla no está asociada con un espacio de trabajo, se muestra un guion en lugar del nombre del espacio de trabajo. Si una regla no está incluida en un grupo de reglas, se muestra un guion en lugar del nombre del grupo. Si no se ha aplicado ninguna regla de procesamiento de tráfico, se aplica la directiva de protección predeterminada. Se muestra el valor |
| Resultados del análisis de un recurso web por el módulo de antivirus. Los siguientes valores son posibles:
|
| Resultados del análisis de un recurso web por el módulo de antiphishing. Los siguientes valores son posibles:
|
| Resultados de analizar enlaces en busca de objetos maliciosos. Los siguientes valores son posibles:
|
| Información sobre el cifrado del objeto analizado. Los siguientes valores son posibles:
|
| Información sobre la presencia de macros en el objeto analizado. Los siguientes valores son posibles:
|
| Resultado del análisis de un archivo contenido en un mensaje HTTP o una parte constituyente (para objetos multiparte) para verificar si coinciden con objetos detectados por KATA. Los siguientes valores son posibles:
|