Содержание и свойства syslog-сообщений событий аудита в формате CEF

События аудита записываются в формате CEF, если выполнены все следующие условия:

  1. Настроена публикация событий приложения в SIEM-систему.
  2. Настроен экспорт событий в формате CEF.
  3. В параметрах журнала событий аудита включена запись событий аудита.

Информация о каждом обнаруженном событии аудита передается как отдельное syslog-сообщение формата CEF, имеющее кодировку UTF-8. Категория записи события указана в разделе Параметры → Журналы и событияSyslog → Формат CEF → Включить журналирование событий в формате CEF.

Сообщение в формате CEF состоит из тела сообщения и заголовка. В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:

Поля syslog-сообщения о событии, определяемые параметрами приложения, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую.

Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.

Пример:

Aug 14 17:07:42 host.domain.com

KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11

Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен KSMG.

В начало