Události auditu jsou protokolovány ve formátu CEF, pokud jsou splněny všechny následující podmínky:
Informace o každé detekované události auditu jsou přenášeny jako samostatná zpráva syslog ve formátu CEF s kódováním UTF-8. Kategorie protokolování událostí je určena v části Nastavení → Protokoly a události → Syslog → Formát CEF → Povolit formát protokolu CEF.
Zpráva ve formátu CEF se skládá z těla zprávy a záhlaví. Každá zpráva Syslog obsahuje následující pole definovaná nastavením protokolu Syslog v operačním systému:
Pole zprávy události Syslog definovaná v nastavení aplikace mají formát <klíč >="<hodnota>". Pokud má klíč více hodnot, jsou tyto hodnoty odděleny čárkou.
Klíče a jejich hodnoty obsažené ve zprávě závisí na konkrétní třídě události.
Příklad: Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<závažnost>|externalId=<externí ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<typ účtu> src=0.0.0.1 suser=<uživatelské jméno> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
Maximální velikost zprávy syslog o detekované události závisí na hodnotách nastavení syslog na serveru, na kterém je nainstalována KSMG.
Na začátek stránky