Die Audit-Ereignisse werden im CEF-Format protokolliert, wenn alle folgenden Bedingungen erfüllt sind:
Die Informationen über jedes erkannte Audit-Ereignis werden als separate UTF-8-kodierte syslog-Nachricht im Format CEF übermittelt. Die Kategorie der Ereignisaufzeichnung wird im Abschnitt Einstellungen → Protokolle und Ereignisse → Syslog → CEF-Format → Ereignisse im CEF-Format aufzeichnen angegeben.
Eine Nachricht im CEF-Format besteht aus dem Textkörper und dem Header. In jeder syslog-Nachricht werden folgende Felder, die durch die Parameter des syslog-Protokolls im Betriebssytsem festgelegt werden, übermittelt:
Durch die Anwendungseinstellungen festgelegte Felder einer syslog-Nachricht über ein Ereignis liegen im Format <Schlüssel>="<Wert>" vor. Wenn ein Schlüssel mehrere Werte besitzt, sind diese Werte mit Komma getrennt anzugeben.
Die Schlüssel sowie deren Werte, die in der Nachricht enthalten sind, hängen von der Ereignisklasse ab.
Beispiel: Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
Die maximale Größe der syslog-Nachricht über das erkannte Ereignis ist abhängig von den Werten der syslog-Einstellungen auf dem Server, auf dem KSMG installiert ist.
Nach oben