次の条件がすべて満たされている場合、監査イベントは CEF 形式で記録されます:
検知された各監査イベントに関する情報は、UTF-8 エンコーディングを使用する CEF 形式の独立した syslog メッセージとしてリレーされます。イベントログのカテゴリは、[設定]→[ログとイベント]→[Syslog]→[CEF 形式]→[CEF ログ形式を有効にする]セクションで指定されています。
CEF 形式のメッセージは、メッセージ本文とヘッダーで構成されています。各 Syslog メッセージには、オペレーティングシステムの Syslog プロトコル設定で指定された次のフィールドが含まれています。
製品設定で定義される Syslog イベントメッセージフィールドの形式は、「<key>="<値>"」です。1 つのキーに複数の値が存在する場合は、値はカンマで区切られます。
メッセージに含まれるキーとその値は、イベントの特定のクラスによって異なります。
例: 8月14日 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
検知されたイベントに関する syslog メッセージの最大サイズは、KSMG がインストールされているサーバーでの syslog 設定の値により決まります。
ページのトップに戻る