如果滿足以下所有條件,則稽核事件將以 CEF 格式記錄:
每個偵測到的稽核事件的資訊作為單獨 syslog 郵件以 UTF-8 編碼的 CEF 格式轉發。事件日誌記錄類別在“設定 →日誌和事件 →Syslog →CEF 格式 →啟用 CEF 日誌格式“部分指定。
CEF 格式的郵件由郵件內文和標頭組成。每個 Syslog 訊息都包含由作業系統中的 Syslog 協定設定定義的以下欄位:
應用程式設定定義的 Syslog 事件訊息欄位具有 key >="value >" 格式。如果一個關鍵字有多個值,則這些值將用逗號分隔。
訊息中包含的鍵值及其值取決於事件的具體類别而定。
範例: Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
偵測到事件的 syslog 郵件的最大大小取決於安裝了 KSMG 的伺服器上的 syslog 設定的值。
頁面頂端