|
|
密钥
|
说明和可能的值
|
类型
|
HTTP 消息的类型。其值可能为请求或响应。
|
方法
|
HTTP 请求方法。
|
操作
|
对检测到的对象执行的操作。它可以采用以下值之一:
允许 – 允许。阻止 – 阻止。重定向 – 重定向。
|
blocked_by_rule
|
导致 web 资源被阻止的流量处理规则的名称。
其将用以下格式显示:
- 对于旁路规则:
"['<规则名称>']" - 对于保护规则和访问规则:
"[<工作区名称>/<规则组名称>/<规则名称>]"
|
redirected_by_rule
|
导致用户重定向到指定 URL 的流量处理规则的名称。
其将用以下格式显示:
- 对于旁路规则:
"['<规则名称>']" - 对于访问规则:
"[<工作区名称>/<规则组名称>/<规则名称>]"
|
processing_time
|
HTTP 消息处理持续时间(毫秒)。
计算时间为从 HTTP 消息标头处理开始到完成的扫描记录保存在应用程序事件日志和 Syslog 事件日志中为止。
|
scan_result
|
HTTP 消息扫描结果。
如果检测到多个威胁,系统将显示优先级最高的威胁。
如果威胁已被清除或未被检测到,优先级最高的扫描结果将显示在 (已清除, 未检测到, 未扫描) 中。
|
工作区
|
与流量处理事件相关联的工作区名称。如果没有工作区,则显示一个破折号。
|
http_user_name
|
初始化 HTTP 请求的用户账户名称。
|
http_user_agent
|
发起了 HTTP 请求的客户端应用程序。
|
http_user_ip
|
从其发送 HTTP 请求的计算机的 IP 地址。
|
url
|
用户请求了的 web 资源的 URL。
|
kata-alert
|
从 URL 扫描结果以检查它们是否与 KATA 检测到的对象匹配。
可以使用以下值:
NotDetected – URL 已扫描,未检测到威胁。Detected – 检测到与 KATA 缓存中的对象匹配。指示对象 ID、匹配标准和技术。例如,kata-alert="Detected/128563/Url/Sb"。NotScanned/AccessRuleSettings – 未执行扫描,因为保护规则未按照访问规则中定义的操作应用。NotScanned/BypassRuleSettings – 未执行扫描,因为文件是在基于旁路规则未经扫描的情况下跳过的。NotScanned/ProtectionRuleSettings – 未执行扫描,因为 跳过扫描 操作定义为保护规则中的 被 KATA 检测到的对象 对象。NotScanned/ApplicationSettings – 未执行扫描,因为接收 KATA 或 KATA 集成检测到的对象的模式是按照应用程序设置禁用的。ScanError/InternalError – 扫描以错误结束。
|
对于多部分 MIME 类型对象,提供给所有组成部分的信息。对于每个组成部分,part 键值将和序号一起使用,之后将传输该组成部分的所有属性(以下键值:filename、filesize、part_mimetype、kata_upload、guid、rules、av_status、ap_status、mlf-status、已加密、宏 和 kata-alert)。
例如,part1 "news.html", <组成部分 part 1 的属性>: part2 <组成部分 part 2 的属性>。
|
filename
|
扫描对象的名称。
如果 HTTP 消息不包含任何对象,则指示"nofile"。在此情况下,所有随后的字段和已扫描的 URL 有关。
|
filesize
|
扫描对象的大小。
如果 HTTP 消息不包含对象或应用规则不需要文件大小,将指示"NotApplicable"。
|
part_mimetype
|
多部分对象组成部分的 MIME 类型。使用 Content-Type 标头。
如果 HTTP 消息不包含对象或应用规则不需要 MIME 类型定义,将指示"NotApplicable"。
|
kata_upload
|
检查对象是否必须发送到 KATA 服务器的结果。
可以使用以下值:
NotApplicable – HTTP 消息不包含文件。Scheduled – 文件传输已计划。DisabledBySettings – 发送文件到 KATA 服务器 或 KATA 集成的模式在应用程序设置中已禁用。SkippedByAction – HTTP 消息被根据旁路规则跳过,无需扫描,或者对其应用 阻止 或 重定向 操作。RejectedByFilter – 文件未满足发送到 KATA 服务器的条件。Failed/QueueOverflowed – 文件必须发送到 KATA 服务器,但由于队列溢出,无法计划传输。Failed/InternalError – 文件必须发送到 KATA 服务器,但由于应用程序的内部错误,无法计划传输。
|
guid
|
应用程序分配给对象的 ID。
当检查对象是否必须被发送到 KATA 服务器时,只有当分配给以下一个状态时才会传输 ID:
对于其它状态,系统将发送空白值的“guid”字段。
|
rules
|
以下格式的触发流量处理规则的名称:
"bypass_rule [<规则名称>], access_rules [<工作区名称>/<规则组名称>/<规则名称>], protection_rules [<工作区名称>/<规则组名称>/<规则名称>]"。
如果规则未与工作区关联,则会显示一个破折号,而不是工作区名称。
如果规则不是一组规则的一部分,则会显示一个破折号,而不是组名称。
如果没有应用流量处理规则,将应用默认保护策略。将显示"default_policy [Default Policy]"值。
|
av_status
|
由反病毒模块扫描 web 资源的结果。
可以使用以下值:
Detected – 在对象中找到的病毒或其他威胁。检测到的威胁的名称和应用程序针对对象采取的操作用逗号分隔。例如,av-status="Detected", threats="EICAR-Test-File/Block"。ScanError/Timeout – 扫描以错误结束,因为超过了最长的扫描持续时间。ScanError/InternalError – 扫描以内部错误结束。ScanError/BasesNotLoaded – 扫描以错误结束,因为未加载反病毒模块数据库。IncompleteScan/MaxNestingLevelReached – 未执行扫描,因为已扫描压缩文档的嵌套级别超过了允许的最大嵌套级别。IncompleteScan/EncryptedArchive – 未执行扫描,因为对象已加密。Disinfected – 检测到了威胁,所有威胁被清除。NotDetected – 扫描对象时,未检测到任何威胁。NotScanned/AccessRuleSettings – 根据访问规则中定义的操作,保护规则没有被应用到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其应用了旁路规则。NotScanned/ProtectionRuleSettings – 对象未根据保护规则中定义的操作进行扫描。NotScanned/ApplicationSettings – 对象未根据定义的应用程序设置进行扫描。
|
ap_status
|
反钓鱼模块扫描 web 资源的结果。
可以使用以下值:
检测到(本地数据库) – 链接依据应用程序的本地数据库被识别为钓鱼链接。检测到 (KSN) – 链接根据 KSN 信誉检查被识别为钓鱼链接。检测到(启发式) – 链接根据启发式分析被识别为钓鱼链接。ScanError/Timeout – 扫描以错误结束,因为超过了最长的扫描持续时间。ScanError/InternalError – 扫描以内部错误结束。ScanError/BasesNotLoaded – 扫描以错误结束,因为未加载反钓鱼模块数据库。NotDetected – 扫描对象时,未检测到任何威胁。NotScanned/AccessRuleSettings – 根据访问规则中定义的操作,保护规则没有被应用到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其应用了旁路规则。NotScanned/ProtectionRuleSettings – 对象未根据保护规则中定义的操作进行扫描。NotScanned/ApplicationSettings – 对象未根据定义的应用程序设置进行扫描。
|
mlf-status
|
扫描链接查找恶意对象的结果。
可以使用以下值:
Detected (local bases) – 基于本地反病毒数据库中的记录,此链接被视为恶意链接。Detected (KSN) – 根据 KSN 信誉检查该链接被认为具有恶意。ScanError/Timeout – 扫描以错误结束,因为超过了最长的扫描持续时间。ScanError/InternalError – 扫描以内部错误结束。ScanError/BasesNotLoaded – 扫描以错误结束,因为未加载反钓鱼模块数据库。NotDetected – 链接已扫描,未检测到威胁。NotScanned/AccessRuleSettings – 根据访问规则中定义的操作,保护规则没有被应用到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其应用了旁路规则。NotScanned/ProtectionRuleSettings – 对象未根据保护规则中定义的操作进行扫描。NotScanned/ApplicationSettings – 对象未根据定义的应用程序设置进行扫描。
|
encrypted
|
有关扫描对象的加密的信息。
可以使用以下值:
Detected – 检测到威胁。ScanError/Timeout – 扫描以错误结束,因为超过了最长的扫描持续时间。ScanError/InternalError – 扫描以内部错误结束。ScanError/BasesNotLoaded – 扫描以错误结束,因为未加载反病毒模块数据库。NotDetected – 链接已扫描,未检测到威胁。NotScanned/ApplicationSettings – 对象未根据定义的应用程序设置进行扫描。NotScanned/AccessRuleSettings – 根据访问规则中定义的操作,保护规则没有被应用到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其应用了旁路规则。NotScanned/ProtectionRuleSettings – 对象未根据保护规则中定义的操作进行扫描。NotScanned/ApplicationSettings – 对象未根据定义的应用程序设置进行扫描。
|
macros
|
有关扫描对象中是否存在宏的信息。
可以使用以下值:
Detected – 检测到宏。ScanError/Timeout – 扫描以错误结束,因为超过了最长的扫描持续时间。ScanError/InternalError – 扫描以内部错误结束。ScanError/BasesNotLoaded – 扫描以错误结束,因为未加载反病毒模块数据库。NotDetected – 对象已扫描,未检测到宏。NotScanned/AccessRuleSettings – 根据访问规则中定义的操作,保护规则没有被应用到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其应用了旁路规则。NotScanned/ProtectionRuleSettings – 对象未根据保护规则中定义的操作进行扫描。NotScanned/ApplicationSettings – 对象未根据定义的应用程序设置进行扫描。
|
kata-alert
|
扫描包含在 HTTP 消息或组成部分(对于多部分对象)中的文件以检查它们是否与 KATA 检测到的对象匹配的结果。
可以使用以下值:
NotDetected – URL 已扫描,未检测到威胁。Detected – 检测到与 KATA 缓存中的对象匹配。指示对象 ID、匹配标准和技术。例如,kata-alert="Detected/124567/Md5/Yara"。NotScanned/AccessRuleSettings – 未执行扫描,因为保护规则未按照访问规则中定义的操作应用。NotScanned/BypassRuleSettings – 未执行扫描,因为文件是在基于旁路规则未经扫描的情况下跳过的。NotScanned/ProtectionRuleSettings – 未执行扫描,因为 跳过扫描 操作定义为保护规则中的 被 KATA 检测到的对象 对象。NotScanned/ApplicationSettings – 未执行扫描,因为接收 KATA 或 KATA 集成检测到的对象的模式是按照应用程序设置禁用的。ScanError/InternalError – 扫描以错误结束。
|