CEF 格式的系統日誌訊息的內容和屬性
有關每個偵測到的事件的資訊在事件發生後立即以UTF-8 編碼的 CEF 格式作為單獨的系統日誌訊息傳送。
CEF 訊息由訊息正文和標頭組成。
CEF 訊息標頭由以下部分組成:
- Syslog 前綴:
<事件日期和時間> <發生事件的主機的名稱>。 - 一個由「|」字元分隔開並以空格與 syslog 前綴分隔開的欄位序列。所有欄位都需要。
- 格式版本。目前,版本號為 0,因此該欄位看起來像“CEF:0”。
- 供應商。該欄位的值為
AO Kaspersky Lab。 - 應用程式名稱。此欄位的值為
Kaspersky Web Traffic Security。 - 產品版本。該欄位的值是產品的目前版本(
6.1.0.xxxx )。 - 事件類別。
- 事件名稱。
- 嚴重等級。可以是
低、中或高。
示例:
2021 年10 月30 日10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
|
有關事件的 syslog 訊息的欄位,由應用程式選項定義,具有 <金鑰>="<值>" 格式。如果金鑰具有多個值,則這些值將用逗號分隔。冒號用作金鑰之間的分隔符號。
訊息中包含的金鑰及其值取決於事件的類別。
有關偵測到的事件的系統日誌訊息的最大容量取決於安裝 Kaspersky Web Traffic Security 的伺服器上的系統日誌設定值。您只能將系統日誌訊息配置到單一外部系統日誌伺服器。
CEF 訊息中的字元編碼規則:
- 空格不需要轉義。
- 在標頭中,豎線字元(“|”)用作分隔符號。如果需要在一個標頭字段中使用此字元,則必須使用反斜線(“\|”)對其進行轉義。在訊息正文中,不需要轉義“|”字元。
- 訊息標頭或訊息內文中不允許使用單一反斜線。如果需要在標頭欄位中使用它,請複製字元(“\\”)。
- 在訊息正文中,「=」字元用作「key-value」對的分隔符號。如果需要在一個郵件正文字段中使用此字元,則必須使用反斜線(“\=”) 將其轉義。在標頭中,“=”字元不需要轉義。
- 多行值僅適用於鍵/值對中的值。若要指示換行,請使用“\n”或“\r”字元。
頁面頂端