Parametercodes des Wörterbuchs in den Einträgen der Audit-Ereignissen

Wenn in den Einstellungen des Ereignisprotokolls die Protokollierung von Audit-Ereignissen und geänderten Parametern aktiviert ist, werden bei der Erstellung, der Änderung und dem Löschen eines Wörterbuchs im Abschnitt der Regel Regeln → Wörterbücher detaillierte Informationen über die Änderungen im Protokoll der Audit-Ereignisse aufgenommen.

Änderungen im Block Verwendung der Wörterbücher werden nicht protokolliert.

Die folgende Tabelle gibt an, wie die Parameter eines Wörterbuchs in den Einträgen des Audit-Protokolls kodiert werden.

Parametercodes des Wörterbuchs im Eintrag eines Audit-Ereignisses

Parameter im Abschnitt Regeln → Wörterbücher

Code im Eintrag des Audit-Protokolls

Beispiele

Wörterbuch-ID

id

Die Änderungen eines Parameters werden nur aufgezeichnet, wenn ein Wörterbuch erstellt oder gelöscht wird.

Wörterbuch wurde erstellt:

id[][1]

name[][New dictionary]

description[][]

content.type[][Text]

Wörterbuch wurde geändert:

name[New dictionary][Test dictionary]

description[][Some desc]

Wörterbuch wurde gelöscht:

id[1][]

name[Test dictionary][]

description[Some desc][]

content.type[Text][]

Name

name

Beschreibung

description

Wörterbuchinhalt

content.type

Mögliche Werte:

  • texts, wenn der Parameter Zeichenketten gewählt wurde.
  • attachmentFormats, wenn der Parameter Dateitypen gewählt wurde.

Text

content.texts.textList

Nach dem Erstellen eines Wörterbuchs mit dem Inhaltstyp "String" enthält der Eintrag des Audit-Ereignisprotokolls auch einen Zeile für den Parameter Suchtypen in folgender Form:

content.attachmentFormats.<код категории>.<код типа файла>[][false]

Wenn die Datenkategorie eine Unterkategorie besitzt, wird der Eintrag wie folgt angezeigt: <Code der Kategorie>.<Code der Unterkategorie>.

Die Codes von Kategorien und Unterkategorien und Dateitypen finden Sie im Abschnitt Codes von Kategorien und Dateitypen für Wörterbücher in den Audit-Ereignissen.

Wörterbuch wurde erstellt:

content.texts.textList.Added[Abc Def]

Wörterbuch wurde geändert:

content.texts.textList.Added[Ghi Xyz]

content.texts.textList.Removed[Def]

Wörterbuch wurde gelöscht:

content.texts.textList.Removed[Abc Ghi Xyz]

Maske

content.texts.wildcardList

Nach dem Erstellen eines Wörterbuchs mit dem Inhaltstyp "String" enthält der Eintrag des Audit-Ereignisprotokolls auch einen Zeile für den Parameter Suchtypen in folgender Form:

content.attachmentFormats.<код категории>.<код типа файла>[][false]

Wörterbuch wurde erstellt:

content.texts.wildcardList.Added[*.exe]

Wörterbuch wurde geändert:

content.texts.wildcardList.Added[*.vbs]

content.texts.wildcardList.Removed[*.exe]

Wörterbuch wurde gelöscht:

content.texts.wildcardList.Removed[*.vbs]

Regulärer Ausdruck

content.texts.regexList

Nach dem Erstellen eines Wörterbuchs mit dem Inhaltstyp "String" enthält der Eintrag zu diesem Ereignis auch Einträge für den Parameter Suchtypen in folgender Form:

content.attachmentFormats.<код категории>.<код типа файла>[][false]

Wörterbuch wurde erstellt:

content.texts.regexList.Added[^test_pattern$]

Wörterbuch wurde geändert:

content.texts.regexList.Added[\Atest_pattern\z]

content.texts.regexList.Removed[^test_pattern$]

Wörterbuch wurde gelöscht:

content.texts.regexList.Removed[\Atest_pattern\z]

Suchtypen

Beim Erstellen oder Löschen eines Wörterbuchs wird für jeden Dateityp eine Zeile folgender Form geschrieben:

content.attachmentFormats.<Code der Kategorie>.<Code der Unterkategorie>.<Code des Dateityps>

Beim Ändern des Wörterbuchs für Dateitypen, deren Flag-Status sich geändert hat, wird eine Zeile in folgender Form geschrieben:

content.attachmentFormats.<Code der Kategorie>.<Code der Unterkategorie>.<Code des Dateityps>

Nach dem Erstellen eines Wörterbuchs mit Inhaltstyp Dateitypen zeigt das Protokoll auch Einträge für Parameter Text, Maske undRegulärer Ausdruck in folgender Form an:

content.texts.textList.Added[]

content.texts.wildcardList.Added[]

content.texts.regexList.Added[]

Das Wörterbuch wurde für die folgenden Dateitypen erstellt: 7Z*; ACE; ARJ; EXE; DLL; OCX; SCR; SWF.

content.attachmentFormats.archiveCategory.archive7z[][true]

content.attachmentFormats.archiveCategory.archiveAce[][true]

content.attachmentFormats.archiveCategory.archiveArj[][true]

content.attachmentFormats.executableCategory.
executableWin[][true

content.attachmentFormats.imageCategory.
animationSubcategory.multimediaSwf[][true]

Es erscheinen außerdem Zeilen für alle Dateitypen, die nicht ausgewählt wurden:

content.attachmentFormats.archiveCategory.archiveBzip2[][false]

...

content.attachmentFormats.archiveCategory.archiveZip[][false]

...

content.attachmentFormats.officeCategory.
spreadsheetSubcategory.officeOds[][false]

content.attachmentFormats.unknown[][false]

Wörterbuch wurde geändert:

content.attachmentFormats.archiveCategory.
archiveArj[true][false]

Einträge für andere Dateitypen werden nicht hinzugefügt, da sich die anderen Dateitypen nicht geändert haben.

Wörterbuch wurde gelöscht:

content.attachmentFormats.archiveCategory.archive7z
[true][]

content.attachmentFormats.archiveCategory.archiveAce
[true][]

content.attachmentFormats.archiveCategory.archiveArj
[false][]

content.attachmentFormats.executableCategory.
executableWin[true][]content.attachmentFormats.
imageCategory.animationSubcategory.multimediaSwf
[true][]

Für alle weiteren Dateitypen werden Einträge in folgender Form angezeigt:

content.attachmentFormats.<Code der Kategorie>.<Dateityp>[false][]

Nach oben