Los eventos de auditoría se registran en formato CEF cuando se satisfacen todas las condiciones siguientes:
La información sobre cada evento de auditoría detectado se transmite como un mensaje de syslog independiente en formato CEF con codificación UTF-8. La categoría de registro de eventos se especifica en la sección Configuración →Registros y eventos →Syslog →Formato CEF →Activar el formato de registro CEF.
Un mensaje en formato CEF consta de un cuerpo y un encabezado del mensaje. Cada mensaje de syslog contiene los siguientes campos definidos por la configuración del protocolo Syslog en el sistema operativo:
Los campos de mensajes de eventos de Syslog definidos por la configuración de la aplicación tienen el formato <clave>="<valor>". Si una clave tiene varios valores, estos están separados por comas.
Las claves y sus valores contenidos en un mensaje dependen de la clase específica del evento.
Ejemplo: 14 de agosto 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
El tamaño máximo de un mensaje de syslog sobre un evento detectado depende de los valores de la configuración de syslog en el servidor en el que está instalado KSMG.
Inicio de página