|
|
金鑰
|
說明和可能的值
|
類型
|
HTTP 訊息的類型。其值可能為請求或回應。
|
方法
|
HTTP 請求方法。
|
操作
|
對偵測到的物件執行的操作。它可以採用以下值之一:
允許 – 允許。封鎖 – 封鎖。重定向 – 重定向。
|
blocked_by_rule
|
導致網頁資源被封鎖的流量處理規則的名稱。
其將用以下格式顯示:
- 對於略過規則:
"['<規則名稱>']" - 對於防護規則和存取規則:
"[<工作區名稱>/<規則群組名稱>/<規則名稱>]"
|
redirected_by_rule
|
導致使用者重定向到指定 URL 的流量處理規則的名稱。
其將用以下格式顯示:
- 對於略過規則:
"['<規則名稱>']" - 對於存取規則:
"[<工作區名稱>/<規則群組名稱>/<規則名稱>]"
|
processing_time
|
HTTP 訊息處理持續時間(毫秒)。
計算時間為從 HTTP 訊息標頭處理開始到完成的掃描記錄儲存在應用程式事件記錄和 Syslog 事件記錄中為止。
|
scan_result
|
HTTP 訊息掃描結果。
如果偵測到多個威脅,系統將顯示優先順序最高的威脅。
如果威脅已被解毒或未被偵測到,優先順序最高的掃描結果將顯示在(已解毒,未偵測到,未掃描)中。
|
工作區
|
與流量處理事件相關聯的工作區名稱。如果沒有工作區,則顯示一個破折號。
|
http_user_name
|
初始化 HTTP 請求的使用者帳戶名稱。
|
http_user_agent
|
發起了 HTTP 請求的用戶端應用程式。
|
http_user_ip
|
從其傳送 HTTP 請求的電腦的 IP 位址。
|
url
|
使用者請求了的網頁資源的 URL。
|
kata-alert
|
從 URL 掃描結果以檢查它們是否與 KATA 偵測到的物件比對。
可以使用以下值:
NotDetected – URL 已掃描,未偵測到威脅。Detected – 偵測到與 KATA 快取中的物件比對。指示物件 ID、比對標準和技術。例如,kata-alert="Detected/128563/Url/Sb"。NotScanned/AccessRuleSettings – 未執行掃描,因為防護規則未按照存取規則中定義的操作應用。NotScanned/BypassRuleSettings – 未執行掃描,因為檔案是在基於略過規則未經掃描的情況下略過的。NotScanned/ProtectionRuleSettings – 未執行掃描,因為略過掃描操作定義為防護規則中的被 KATA 偵測到的物件物件。NotScanned/ApplicationSettings – 未執行掃描,因為接收 KATA 或 KATA 整合偵測到的物件的模式是按照應用程式設定停用的。ScanError/InternalError – 掃描以錯誤結束。
|
對於多部分 MIME 類型物件,提供給所有組成部分的資訊。對於每個組成部分,part 鍵值將和序號一起使用,之後將傳輸該組成部分的所有內容(以下鍵值:filename、filesize、part_mimetype、kata_upload、guid、rules、av_status、ap_status、mlf-status、已加密、巨集和 kata-alert)。
例如,part1 "news.html", <組成部分 part 1 的內容>: part2 <組成部分 part 2 的內容>。
|
filename
|
掃描物件的名稱。
如果 HTTP 訊息不包含任何物件,則指示 "nofile"。在此情況下,所有隨後的欄位和已掃描的 URL 有關。
|
filesize
|
掃描物件的大小。
如果 HTTP 訊息不包含物件或應用規則不需要檔案大小,將指示 "NotApplicable"。
|
part_mimetype
|
多部分物件組成部分的 MIME 類型。使用 Content-Type 標頭。
如果 HTTP 訊息不包含物件或應用規則不需要 MIME 類型定義,將指示 "NotApplicable"。
|
kata_upload
|
檢查物件是否必須傳送到 KATA 伺服器的結果。
可以使用以下值:
NotApplicable – HTTP 訊息不包含檔案。Scheduled – 檔案傳輸已排程。DisabledBySettings – 傳送檔案到 KATA 伺服器或 KATA 整合的模式在應用程式設定中已停用。SkippedByAction – HTTP 訊息被根據略過規則略過,無需掃描,或者對其套用封鎖或重定向操作。RejectedByFilter – 檔案未滿足傳送到 KATA 伺服器的條件。Failed/QueueOverflowed – 檔案必須傳送到 KATA 伺服器,但由於佇列溢位,無法排程傳輸。Failed/InternalError – 檔案必須傳送到 KATA 伺服器,但由於應用程式的內部錯誤,無法排程傳輸。
|
guid
|
應用程式分配給物件的 ID。
當檢查物件是否必須被傳送到 KATA 伺服器時,只有當分配給以下一個狀態時才會傳輸 ID:
對於其它狀態,系統將傳送空白值的“guid”欄位。
|
rules
|
以下格式的觸發流量處理規則的名稱:
"bypass_rules [<規則名稱>], access_rules [<工作區名稱>/<規則群組名稱>/<規則名稱>], protection_rules [<工作區名稱>/<規則群組名稱>/<規則名稱>]"。
如果規則未與工作區關聯,則會顯示一個破折號,而不是工作區名稱。
如果規則不是一組規則的一部分,則會顯示一個破折號,而不是群組名稱。
如果沒有套用流量處理規則,將套用預設防護政策。將顯示 "default_policy [Default Policy]" 值。
|
av_status
|
由病毒防護模組掃描網頁資源的結果。
可以使用以下值:
Detected – 在物件中找到的病毒或其他威脅。偵測到的威脅的名稱和應用程式針對物件採取的操作用逗號分隔。例如,av-status="Detected", threats="EICAR-Test-File/Block"。ScanError/Timeout – 掃描以錯誤結束,因為超過了最長的掃描持續時間。ScanError/InternalError – 掃描以內部錯誤結束。ScanError/BasesNotLoaded – 掃描以錯誤結束,因為未載入病毒防護模組資料庫。IncompleteScan/MaxNestingLevelReached – 未執行掃描,因為已掃描壓縮檔案的嵌套等級超過了允許的最大嵌套等級。IncompleteScan/EncryptedArchive – 未執行掃描,因為物件已加密。Disinfected – 偵測到了威脅,所有威脅被解毒。NotDetected – 掃描物件時,未偵測到任何威脅。NotScanned/AccessRuleSettings – 根據存取規則中定義的操作,防護規則沒有被套用到物件。NotScanned/BypassRuleSettings –物件未掃描,因為對其套用了略過規則。NotScanned/ProtectionRuleSettings – 物件未根據防護規則中定義的操作進行掃描。NotScanned/ApplicationSettings – 物件未根據定義的應用程式設定進行掃描。
|
ap_status
|
釣魚防護模組掃描網頁資源的結果。
可以使用以下值:
偵測到(本機資料庫) – 連結依據應用程式的本機資料庫被識別為釣魚連結。偵測到 (KSN) – 連結根據 KSN 信譽檢查被識別為釣魚連結。偵測到(啟發式) – 連結根據啟發式分析被識別為釣魚連結。ScanError/Timeout – 掃描以錯誤結束,因為超過了最長的掃描持續時間。ScanError/InternalError – 掃描以內部錯誤結束。ScanError/BasesNotLoaded – 掃描以錯誤結束,因為未載入釣魚防護模組資料庫。NotDetected – 掃描物件時,未偵測到任何威脅。NotScanned/AccessRuleSettings – 根據存取規則中定義的操作,防護規則沒有被套用到物件。NotScanned/BypassRuleSettings –物件未掃描,因為對其套用了略過規則。NotScanned/ProtectionRuleSettings – 物件未根據防護規則中定義的操作進行掃描。NotScanned/ApplicationSettings – 物件未根據定義的應用程式設定進行掃描。
|
mlf-status
|
掃描連結尋找惡意物件的結果。
可以使用以下值:
Detected (local bases) – 基於本機病毒資料庫中的記錄,此連結被視為惡意連結。Detected (KSN) – 根據 KSN 信譽檢查該連結被認為具有惡意。ScanError/Timeout – 掃描以錯誤結束,因為超過了最長的掃描持續時間。ScanError/InternalError – 掃描以內部錯誤結束。ScanError/BasesNotLoaded – 掃描以錯誤結束,因為未載入釣魚防護模組資料庫。NotDetected – 連結已掃描,未偵測到威脅。NotScanned/AccessRuleSettings – 根據存取規則中定義的操作,防護規則沒有被套用到物件。NotScanned/BypassRuleSettings –物件未掃描,因為對其套用了略過規則。NotScanned/ProtectionRuleSettings – 物件未根據防護規則中定義的操作進行掃描。NotScanned/ApplicationSettings – 物件未根據定義的應用程式設定進行掃描。
|
encrypted
|
有關掃描物件的加密的資訊。
可以使用以下值:
Detected – 偵測到威脅。ScanError/Timeout – 掃描以錯誤結束,因為超過了最長的掃描持續時間。ScanError/InternalError – 掃描以內部錯誤結束。ScanError/BasesNotLoaded – 掃描以錯誤結束,因為未載入病毒防護模組資料庫。NotDetected – 連結已掃描,未偵測到威脅。NotScanned/ApplicationSettings – 物件未根據定義的應用程式設定進行掃描。NotScanned/AccessRuleSettings – 根據存取規則中定義的操作,防護規則沒有被套用到物件。NotScanned/BypassRuleSettings –物件未掃描,因為對其套用了略過規則。NotScanned/ProtectionRuleSettings – 物件未根據防護規則中定義的操作進行掃描。NotScanned/ApplicationSettings – 物件未根據定義的應用程式設定進行掃描。
|
macros
|
有關掃描物件中是否存在巨集的資訊。
可以使用以下值:
Detected – 偵測到巨集。ScanError/Timeout – 掃描以錯誤結束,因為超過了最長的掃描持續時間。ScanError/InternalError – 掃描以內部錯誤結束。ScanError/BasesNotLoaded – 掃描以錯誤結束,因為未載入病毒防護模組資料庫。NotDetected – 物件已掃描,未偵測到巨集。NotScanned/AccessRuleSettings – 根據存取規則中定義的操作,防護規則沒有被套用到物件。NotScanned/BypassRuleSettings –物件未掃描,因為對其套用了略過規則。NotScanned/ProtectionRuleSettings – 物件未根據防護規則中定義的操作進行掃描。NotScanned/ApplicationSettings – 物件未根據定義的應用程式設定進行掃描。
|
kata-alert
|
掃描包含在 HTTP 訊息或組成部分(對於多部分物件)中的檔案以檢查它們是否與 KATA 偵測到的物件比對的結果。
可以使用以下值:
NotDetected – URL 已掃描,未偵測到威脅。Detected – 偵測到與 KATA 快取中的物件比對。指示物件 ID、比對標準和技術。例如,kata-alert="Detected/124567/Md5/Yara"。NotScanned/AccessRuleSettings – 未執行掃描,因為防護規則未按照存取規則中定義的操作應用。NotScanned/BypassRuleSettings – 未執行掃描,因為檔案是在基於略過規則未經掃描的情況下略過的。NotScanned/ProtectionRuleSettings – 未執行掃描,因為略過掃描操作定義為防護規則中的被 KATA 偵測到的物件物件。NotScanned/ApplicationSettings – 未執行掃描,因為接收 KATA 或 KATA 整合偵測到的物件的模式是按照應用程式設定停用的。ScanError/InternalError – 掃描以錯誤結束。
|