Os eventos de auditoria são registrados no formato CEF se todas as seguintes condições forem atendidas:
As informações sobre cada evento de auditoria detectado são retransmitidas como uma mensagem syslog separada no formato CEF com codificação UTF-8. A categoria de registro de eventos é especificada na seção Configurações → Logs e eventos → Syslog → Formato CEF → Permitir o formato de log CEF.
Uma mensagem no formato CEF consiste em um corpo e um cabeçalho de mensagem. Cada mensagem syslog contém os seguintes campos definidos pelos parâmetros do protocolo Syslog no sistema operacional:
Os campos de mensagem de evento syslog definidos pelas configurações do aplicativo têm o formato key >="value >". Se uma chave tiver múltiplos valores, esses valores são separados por vírgula.
As chaves e seus valores contidos em uma mensagem dependem da classe específica do evento.
Exemplo: Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
O tamanho máximo de uma mensagem syslog sobre um evento detectado depende dos valores das configurações de syslog no servidor em que o KSMG está instalado.
Topo da página