在 ScanLogic 组事件类别的 CEF 邮件正文中,您可以根据语义使用关键字(参见下表)。
ScanLogic 组事件类别的字段允许值
事件类别 |
键 |
值 |
|---|---|---|
所有 ScanLogic 组类别 |
cs1 |
邮件 ID。 |
cs1Label |
它的值总是 |
|
src |
从其接收邮件的服务器 IP 地址,IPv4 格式。 |
|
c6a2 |
从其接收邮件的服务器 IP 地址,IPv6 格式。 |
|
act |
对邮件执行的最后操作。 |
|
suser |
邮件发件人。该地址取自 SMTP 会话。 |
|
duser |
邮件收件人列表。这些地址取自 SMTP 会话。 |
|
cs2 |
规则列表。 |
|
cs2Label |
它的值总是 |
|
outcome |
扫描状态。 |
|
KSMGMessageSubject |
电子邮件主题。 |
|
KSMGRuleNames |
规则名称。 |
|
KSMGAvDetectionMethods |
检测方法。 |
|
fileHash |
邮件的 MIME 部分的哈希值。 |
|
KSMGMessageHashType |
哈希算法。 |
|
KSMGBackupResult |
指示邮件是否已发送到备份。 |
|
KSMGApStatus |
反网络钓鱼模块扫描的结果。 |
|
KSMGMlfStatus |
链接扫描的结果。 |
|
KSMGAvStatus |
反病毒模块扫描的结果。 |
|
KSMGAsStatus |
反垃圾邮件模块扫描的结果。 |
|
KSMGCfStatus |
内容过滤模块扫描的结果。 |
|
KSMGMaStatus |
邮件发件人身份验证的结果。 |
|
KSMGKtStatus |
KATA 保护模块扫描的结果。 |
|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED |
reason |
事件原因。可能的值:
|
LMS_EV_SCAN_LOGIC_AV_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs4 |
检测方法。可能的值:
|
|
fsize |
邮件大小。 |
|
reason |
事件原因。可能的值:
|
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_AS_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
cs4 |
检测方法。可能的值可能会发生变化,并且不依赖于产品版本。 |
|
cs4Label |
它的值总是 |
|
fsize |
邮件大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_AP_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
cs4 |
检测方法。可能的值:
|
|
cs4Label |
它的值总是 |
|
fsize |
邮件大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_MLF_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
cs4 |
检测方法。可能的值:
|
|
cs4Label |
它的值总是 |
|
fsize |
邮件大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_MA_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
cs4 |
SPF 状态。可能的值:
|
|
cs4Label |
它的值总是 |
|
cs5 |
DKIM 状态。 |
|
cs5Label |
它的值总是 |
|
cs6 |
DMARC 状态。 |
|
cs6Label |
它的值总是 |
|
fsize |
邮件大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_KT_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
cs4 |
跳过扫描的原因。可能的值:
|
|
cs4Label |
它的值总是 |
|
cs5 |
从 KATA 隔离区提取邮件的用户账户名称。 |
|
cs5Label |
它的值总是 |
|
fsize |
邮件大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_CF_STATUS |
act |
对邮件执行的最后操作。可能的值:
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
cs4 |
应用的表达式的名称列表。 |
|
cs4Label |
该值始终为 |
|
fsize |
邮件大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_PART_RESULT |
cn1 |
根据反病毒扫描结果清除或删除的对象数量。仅用于存档。 |
cn1Label |
它的值总是 |
|
cs3 |
未扫描文件。 |
|
cs3Label |
它的值总是 |
|
cs4 |
检测到的威胁的名称列表。 |
|
cs4Label |
它的值总是 |
|
cs5 |
触发的内容过滤表达式的列表。 |
|
cs5Label |
该值始终是 |
|
fname |
文件名称。 |
|
fsize |
邮件的 MIME 部分的大小。 |
|
outcome |
扫描状态。可能的值:
|
|
reason |
反病毒模块未执行扫描的原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_URL |
cs3 |
URL。 |
cs3Label |
该值始终是 |
|
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP |
act |
对邮件执行的最后操作。可能的值:
|
fsize |
邮件大小。 |
|
reason |
事件原因。可能的值:
|
|
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT |
fsize |
邮件大小。 |
每个 ScanLogic 组事件类别都仅包含与其相关的关键字(参见下表)。
ScanLogic 组事件类别的相关键
事件类别 |
相关键 |
|---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_AV_STATUS |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MLF_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_AP_STATUS |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject |
LMS_EV_SCAN_LOGIC_KT_STATUS |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MA_STATUS |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_CF_STATUS |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_PART_RESULT |
cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods |
LMS_EV_SCAN_LOGIC_URL |
cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP |
cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT |
cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus |