Классы событий группы ScanLogic

В теле CEF-сообщений классов событий группы ScanLogic допустимо использование ключей в соответствии с их семантикой (см. таблицу ниже).

Допустимые значения полей классов событий группы ScanLogic

Класс событий

Ключ

Значение

Все классы группы ScanLogic

cs1

ID сообщения.

cs1Label

Всегда имеет значение MessageId.

src

IP-адрес сервера, от которого получено сообщение, в формате IPv4.

c6a2

IP-адрес сервера, от которого получено сообщение, в формате IPv6.

act

Окончательное действие, выполненное над сообщением.

suser

Отправитель сообщения. Адрес берется из SMTP-сессии.

duser

Список получателей сообщения. Адреса берутся из SMTP-сессии.

cs2

Список правил.

cs2Label

Всегда имеет значение Rules.

outcome

Статус проверки.

KSMGMessageSubject

Тема сообщения.

KSMGRuleNames

Имена правил.

KSMGAvDetectionMethods

Способ обнаружения.

fileHash

Хеш MIME-части сообщения (до обработки модулем Обезвреживание содержимого сообщения).

KSMGMessageHashType

Алгоритм подсчета хеша.

KSMGBackupResult

Показывает, помещено ли сообщение в Хранилище.

KSMGApStatus

Результат проверки модулем Анти-Фишинг.

KSMGMlfStatus

Результат проверки ссылок.

KSMGAvStatus

Результат проверки модулем Антивирус.

KSMGAsStatus

Результат проверки модулем Анти-Спам.

KSMGCfStatus

Результат проверки модулем Контентная фильтрация.

KSMGMaStatus

Результат проверки подлинности отправителей сообщений.

KSMGKtStatus

Результат проверки модулем Защита KATA.

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

reason

Причина возникновения события. Возможные значения:

  • InternalError
  • Cancelled

LMS_EV_SCAN_LOGIC_AV_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs4

Метод обнаружения. Возможные значения:

  • None
  • Local bases
  • KSN
  • KPSN user data

fsize

Размер сообщения.

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

LMS_EV_SCAN_LOGIC_AS_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Rejected
  • Deleted

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

cs4

Метод обнаружения. Возможные значения могут меняться и не зависят от версии продукта.

cs4Label

Всегда имеет значение Method.

fsize

Размер сообщения.

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • BasesError
  • NotDetected
  • Trusted
  • Formal
  • Error
  • ProbableSpam
  • Denylisted
  • Spam
  • MASSMAIL

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_AP_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Rejected
  • Deleted

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

cs4

Метод обнаружения. Возможные значения:

  • None
  • Local bases
  • KSN
  • KPSN user data
  • Heuristics

cs4Label

Всегда имеет значение Method.

fsize

Размер сообщения.

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Phishing

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MLF_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Rejected
  • Deleted

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

cs4

Метод обнаружения. Возможные значения:

  • None
  • Local bases
  • KSN
  • KPSN user data

cs4Label

Всегда имеет значение Method.

fsize

Размер сообщения.

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Detected

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_MA_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Rejected
  • Deleted

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

cs4

Заключение SPF. Возможные значения:

  • NotScanned
  • None
  • Pass
  • Fail
  • SoftFail
  • Neutral
  • TempError
  • PermError
  • Private IP

cs4Label

Всегда имеет значение SpfStatus.

cs5

Заключение DKIM. Возможные значения:

  • None
  • Not scanned

Этот ключ отсутствует в записи, если проверка DKIM подписей дала результат.

cs5Label

Всегда имеет значение DkimStatus.

Этот ключ отсутствует в записи, если проверка DKIM подписей дала результат.

cs6

Заключение DMARC. Возможные значения:

  • None
  • Pass
  • Fail
  • TempError
  • PermError
  • NotScanned
  • Private IP

cs6Label

Всегда имеет значение DmarcStatus.

KSMGSdaStatus

Заключение технологии Сопоставление доменов отправителя. Возможные значения:

  • NotAligned
  • Strict
  • Relaxed

fsize

Размер сообщения.

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • Error
  • ViolationNotFound
  • ViolationFound

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

KSMGMaAppliedExpressions

Список имен примененных выражений модуля Проверка подлинности отправителей.

Если ни одно из выражений не сработало, ключ отсутствует в записи.

KSMGDkimSignatureAlignment

Массив значений соответствия подписей домену отправителя для каждой DKIM-подписи.

Возможные значения элементов массива:

  • Strict – строгое соответствие.
  • Relaxed – нестрогое соответствие.
  • None – нет соответствия.

KSMGDkimSignatureStatus

Массив значений статусов подписей для каждой DKIM подписи.

Возможные значения элементов массива:

  • Pass
  • Fail
  • TempError
  • PermError
  • Neutral

KSMGDkimSignatureHeaderD

Массив доменов, указанных в подписи, для каждой DKIM подписи.

LMS_EV_SCAN_LOGIC_KT_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Rejected
  • Deleted

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

cs4

Причина пропуска сканирования. Возможные значения:

  • NoReason
  • Filtered
  • Timeout
  • Proceed
  • QueueLimitExceeded
  • Disabled
  • MessageSizeLimitExceeded

cs4Label

Всегда имеет значение SkipReason.

cs5

Имя учетной записи пользователя, который извлек сообщение из KATA-карантина.

cs5Label

Всегда имеет значение Account.

fsize

Размер сообщения.

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • NotDetected
  • Error
  • Detected

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy
  • NotScanned

LMS_EV_SCAN_LOGIC_CF_STATUS

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

cs4

Список имен примененных выражений.

cs4Label

Всегда имеет значение DetectedEntity.

fsize

Размер сообщения.

outcome

Статус проверки. Возможные значения:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • MatchedContent

reason

Причина возникновения события. Возможные значения:

  • already processed by another module
  • size-limit
  • nesting-level
  • filename
  • disabled by settings
  • license restriction
  • denylist
  • allowlist
  • personal denylist
  • personal allowlist
  • policy

LMS_EV_SCAN_LOGIC_PART_RESULT

cn1

Количество вылеченных или удаленных объектов по итогам проверки Антивирусом. Заполняется только для архивов.

cn1Label

Всегда имеет значение ObjectsNumber.

cs3

Непроверенные файлы.

cs3Label

Всегда имеет значение AvExclude.

cs4

Список имен найденных угроз.

cs4Label

Всегда имеет значение Threats.

cs5

Список сработавших выражений контентной фильтрации.

cs5Label

Всегда имеет значение AppliedExpressions.

fname

Имя вложения. Возможные значения:

  • Prologue
  • Epilogue
  • <Имя файла>

fsize

Размер MIME-части сообщения (до обработки модулем Обезвреживание содержимого сообщения).

outcome

Статус проверки. Возможные значения:

  • BasesError
  • NotDetected
  • Encrypted
  • Error
  • Disinfected
  • Infected

reason

Причина отсутствия проверки модулем Антивирус. Возможные значения:

  • NoReason
  • SizeLimit
  • NestingLevel
  • Filename
  • FileFormat

KSMGCfExpressionName

Название примененного выражения.

KSMGCfMessageAttribute

Атрибут сообщения, для которого сработало условие. Возможные значения:

  • Attachment type
  • Attachment name
  • MIME part size

KSMGCfCriterion

Критерий, по которому сработало условие. Возможные значения:

  • contains
  • does not contain
  • matches
  • does not match
  • greater than
  • less than

KSMGCfSearchPattern

Элемент списка значений, на котором сработало условие.

KSMGCfSearchPatternCount

Общее количество элементов списка, на котором сработало условие.

KSMGCfScanInside

Значение параметра расширенной проверки контентной фильтрации. Возможные значения:

  • Archives
  • CompoundObjects
  • Пустое значение

KSMGCfDictionaryName

Название словаря. Значение ключа может быть пустым.

KSMGCfDictionaryID

ID словаря. Значение ключа может быть пустым.

KSMGCfDictionaryCount

Общее количество примененных словарей. Значение ключа может быть пустым.

KSMGCfMatchedContent

Фрагмент сообщения, на котором сработало условие. Значение ключа может быть пустым.

KSMGCfConditionsCount

Общее количество сработавших условий в выражении.

KSMGCdrStatus

Статус MIME-части по итогам обработки модулем Обезвреживание содержимого сообщений:

  • NotScanned
  • BasesError
  • Error
  • Skipped
  • NotDetected
  • Disarmed

KSMGCdrReason

Причина ошибки обработки MIME-части модулем Обезвреживание содержимого сообщений:

  • InternalError
  • Timeout
  • SizeExceeded
  • Пустое значение

LMS_EV_SCAN_LOGIC_URL

cs3

URL-адрес.

cs3Label

Всегда имеет значение URL.

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

act

Окончательное действие, выполненное над сообщением. Возможные значения:

  • Skipped
  • Disinfected
  • AttachmentsDeleted
  • Rejected
  • Deleted

fsize

Размер сообщения.

reason

Причина возникновения события. Возможные значения:

  • NoReason
  • AntiSpam
  • AntiVirus
  • ContentFiltering
  • AntiPhishing
  • FailedToBackup
  • PersonalDenyList
  • MessageAuthentication
  • Kata
  • MlfScanning

LMS_EV_SCAN_LOGIC_MESSAGE_RESULT

fsize

Размер сообщения.

KSMGCdrStatus

Статус проверки модулем Обезвреживание содержимого сообщений. Возможные значения:

  • NotScanned
  • BasesError
  • NotDetected
  • Error
  • Skipped
  • Disarmed

LMS_EV_SCAN_LOGIC_CF_CONDITION

KSMGExpressionName

Название сработавшего выражения.

KSMGMessageAttribute

Атрибут сообщения, для которого сработало условие. Возможные значения:

  • From
  • To
  • CC
  • Subject
  • Body
  • Header
  • Message size
  • MIME part size
  • Attachment type
  • Attachment name

KSMGCriterion

Критерий, по которому сработало условие. Возможные значения:

  • contains
  • does not contain
  • matches
  • does not match
  • empty
  • not empty
  • exists
  • does not exist
  • greater than
  • less than

KSMGSearchPattern

Элемент списка значений, на котором сработало условие. Значение ключа может быть пустым.

KSMGSearchPatternCount

Общее количество элементов списка, на котором сработало условие. Значение ключа может быть пустым.

KSMGHeaderName

Имя заголовка сообщения. Значение ключа заполняется только для условий на заголовки, для других условий остается пустым.

KSMGScanInside

Значение параметра расширенной проверки контентной фильтрации. Возможные значения:

  • Archives
  • CompoundObjects
  • Пустое значение

KSMGDictionaryName

Название словаря. Значение ключа может быть пустым.

KSMGDictionaryID

ID словаря. Значение ключа может быть пустым.

KSMGDictionaryCount

Общее количество примененных словарей. Значение ключа может быть пустым.

KSMGMatchedContent

Фрагмент сообщения, на котором сработало условие. Значение ключа может быть пустым.

KSMGObjectsCount

Общее количество имен и типов MIME-частей, на которых сработало условие. Значение ключа может быть пустым.

LMS_EV_SCAN_LOGIC_CDR_STATUS

KSMGMessageUUID

UUID сообщения.

cs3

Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.

cs3Label

Всегда имеет значение UnsafeRecipients.

fsize

Размер сообщения.

reason

Причина возникновения события. Возможные значения для статуса Не обработано:

  • license restriction
  • disabled by settings
  • already processed by another module
  • allowlist
  • denylist
  • personal denylist

Возможные значения для статуса Ошибка:

  • InternalError
  • Timeout
  • SizeExceeded

В каждом классе событий группы ScanLogic допустимо присутствие только релевантных ему ключей (см. таблицу ниже).

Релевантные ключи для классов событий группы ScanLogic

Класс событий

Релевантные ключи

LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason.

LMS_EV_SCAN_LOGIC_AS_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames.

LMS_EV_SCAN_LOGIC_AV_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames.

LMS_EV_SCAN_LOGIC_MLF_STATUS

cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames.

LMS_EV_SCAN_LOGIC_AP_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject.

LMS_EV_SCAN_LOGIC_KT_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames.

LMS_EV_SCAN_LOGIC_MA_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, KSMGSdaStatus, outcome, KSMGMessageSubject, KSMGRuleNames, KSMGMaAppliedExpressions, KSMGDkimSignatureAlignment, KSMGDkimSignatureStatus, KSMGDkimSignatureHeaderD.

LMS_EV_SCAN_LOGIC_CF_STATUS

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames.

LMS_EV_SCAN_LOGIC_PART_RESULT

cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods, KSMGCfExpressionName, KSMGCfMessageAttribute, KSMGCfCriterion, KSMGCfSearchPattern, KSMGCfSearchPatternCount, KSMGCfScanInside, KSMGCfDictionaryName, KSMGCfDictionaryID, KSMGCfDictionaryCount, KSMGCfMatchedContent, KSMGCfConditionsCount, KSMGCdrStatus, KSMGCdrReason.

LMS_EV_SCAN_LOGIC_URL

cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus.

LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP

cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames.

LMS_EV_SCAN_LOGIC_MESSAGE_RESULT

cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus, KSMGCdrStatus.

LMS_EV_SCAN_LOGIC_CF_CONDITION

cs1, cs1Label, cs2, cs2Label, KSMGRuleNames, KSMGExpressionName, KSMGMessageAttribute, KSMGCriterion, KSMGSearchPattern, KSMGSearchPatternCount, KSMGHeaderName, KSMGScanInside, KSMGDictionaryName, KSMGDictionaryID, KSMGDictionaryCount, KSMGMatchedContent, KSMGObjectsCount.

LMS_EV_SCAN_LOGIC_CDR_STATUS

KSMGMessageUUID, cs1, cs1Label, src, c6a2, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames, act, suser, duser, cs3, cs3Label, fsize, reason, outcome.

В начало