Журнал Сетевого экрана

В таблице ниже приведены ключи и их значения, содержащиеся в сообщении с типом события Firewall.

Информация о событии с типом события Firewall

Ключ

Значение

cs4

cs4Label

Приоритет события.

Всегда имеет значение Low.

Значение отображается по умолчанию.

externalId

Идентификатор сессии.

cs1

cs1Label

Название правила фильтрации, под которое попала сессия.

Значение отображается по умолчанию.

cs6

cs6Label

UUID правила фильтрации, под которое попала сессия.

Значение отображается по умолчанию.

act

Действие, указанное в правиле фильтрации.

KasperskyNgfwFullMatch

Параметр, показывающий, попадает ли сессия под какое-либо правило фильтрации.

Возможные значения:

  • yes (в этом случае значение поля Действие всегда будет соответствовать значению Действие из правила фильтрации, которому соответствует сессия);
  • no (в этом случае значение поля Действие всегда будет Проверять).

cs2

cs2Label

Название правила расшифровки, под которое попала сессия.

Значение отображается по умолчанию.

cs5

cs5Label

Действие, указанное в правиле расшифровки, если есть правило расшифровки. 

cs3

cs3Label

Факт установки флажка Расшифровано. Возможные значения: yes/no.

start

Дата и время создания сессии.

rt

Дата и время формирования события на устройстве Kaspersky NGFW (сессия удалилась и попала в журнал NGFW).

Формат: 2023-12-26T12:31:54Z.

dtz

Часовой пояс на устройстве Kaspersky NGFW.

Формат: UTC+-чч:мм или +-чч:мм.

Значение по умолчанию: UTC+00:00.

end

Дата и время завершения сессии.

Значение отображается по умолчанию.

reason

Причина завершения сессии.

cn1

cn1Label

Длительность сессии в секундах.

Поле может быть пустым.

Для коротких сессий и для события начала сессии значение равно 0.

cn2

cn2Label

Количество пакетов, полученных от клиента.

cn3

cn3Label

Количество пакетов, полученных от сервера.

Поле может быть пустым.

in

Количество байт, полученных от клиента.

out

Количество байт, полученных от сервера.

Поле может быть пустым.

dvchost

Имя хоста устройства Kaspersky NGFW.

Значение отображается по умолчанию.

src

IP-адрес источника.

Значение отображается по умолчанию.

dst

IP-адрес получателя.

Значение отображается по умолчанию.

sourceZoneExternalID

Зона безопасности источника.

Значение отображается по умолчанию.

destinationZoneExternalID

Зона безопасности назначения.

Значение отображается по умолчанию.

deviceOutboundInterface

Интерфейс источника.

Значение отображается по умолчанию.

deviceInboundInterface

Интерфейс назначения.

Значение отображается по умолчанию.

proto

Протокол уровней L3–L4.

Значение отображается по умолчанию.

spt

Для протоколов TCP и UDP – порт источника.

Для протокола ICMP – ICMP ID.

Для остальных протоколов поле остается пустым.

Значение отображается по умолчанию.

dpt

Для протоколов TCP и UDP – порт получателя.

Для протокола ICMP – ICMP ID.

Для остальных протоколов поле остается пустым.

Значение отображается по умолчанию.

KasperskyNGFWICMPType

Типы ICMP-сообщений. Применимо только для ICMP-трафика.

Формат поля: {<ICMP Type Number ICMP-запроса> / <ICMP Type Number ICMP-ответа>}.

Для остальных протоколов поле остается пустым.

KasperskyNGFWICMPСode

Коды ICMP-сообщений. Применимо только для ICMP-трафика.

Формат поля: {<ICMP  Code ICMP-запроса> / <ICMP Code ICMP-ответа>}.

Для остальных протоколов поле остается пустым.

KasperskyNGFWTCPRedir

Была ли сессия перенаправлена на прозрачный прокси-сервер для TCP-трафика.

Возможные значения: {yes; no}.

Для не TCP-трафика значение всегда no.

app

Протокол уровня L7 из имени обнаружения контроля приложений.

Для всех протоколов кроме UDP и TCP, в том числе нераспознанных UDP и TCP указывается значение Unknown.

Значение отображается по умолчанию.

KasperskyNGFWAppName

Название сервиса уровня L7 или список названий сервисов, к которым было обращение от клиента.

Примеры: WHATSAPP; 1C; GOOGLE.DRIVE.UPLOAD; VK.MUSIC.

Значение отображается по умолчанию.

Значение может быть пустым.

KasperskyNGFWAppCat

Категория сервиса уровня L7 или список категорий сервисов, к которым было обращение от клиента.

Примеры: SocialMedia.

Значение отображается по умолчанию.

Значение может быть пустым.

sproc

Название приложения из имени обнаружения контроля приложений, с которого был инициирован запрос от клиента.

Для всех протоколов кроме UDP и TCP, в том числе нераспознанных UDP и TCP указывается значение Unknown.

Пример: Opera-Win-1.1.

Значение отображается по умолчанию.

Для события начала сессии значение не отображается.

DestinationDnsDomain

Доменное имя (одно на одну сессию).

Это поле заполняется при прохождении сессии через веб-контроль и/или через URL антивирус.

Для события начала сессии значение не отображается.

KasperskyNGFWWebControlProfile

Название профиля Веб-Контроля.

Возможные значения: {no; default; название пользовательского профиля}.

KasperskyNGFWDNSSecurityProfile

Название профиля защиты DNS-трафика.

Возможные значения: {no; default; название пользовательского профиля}.

KasperskyNGFWAntivirusProfile

Название профиля Антивируса.

Возможные значения: {no; default; название пользовательского профиля}.

KasperskyNGFWIDPSProfile

Название профиля IDPS.

Возможные значения: {no; default; название пользовательского профиля}.

KasperskyNGFWSrcCountry

Страна или территория, соответствующая IP-адресу источника по географической принадлежности. При невозможности определить страну или территорию отображается значение Unknown.

Значение отображается по умолчанию.

KasperskyNGFWDstCountry

Страна или территория, соответствующая IP-адресу назначения по географической принадлежности. При невозможности определить страну или территорию отображается значение Unknown.

Значение отображается по умолчанию.

duid

ID пользователя источника (данные из Active Directory).

Значение отображается по умолчанию.

suid

ID пользователя назначения (данные из Active Directory).

Значение отображается по умолчанию.

KasperskyNGFWNatRule

Название правила NAT.

sourceTranslatedAddress

Транслированный адрес источника.

Значение отображается по умолчанию.

sourceTranslatedPort

Транслированный порт источника.

Значение отображается по умолчанию.

destinationTranslatedAddress

Транслированный адрес назначения.

Значение отображается по умолчанию.

destinationTranslatedPort

Транслированный порт назначения.

Значение отображается по умолчанию.

KasperskyNgfwExplicitProxy

Признак прохождения трафика через ExplicitProxy внутри устройства Kaspersky NGFW.

Возможные значения: yes, no.

В начало