在隔离组事件类别的 CEF 邮件正文中,您可以根据语义使用关键字(参见下表)。
隔离组事件类别的字段允许值
键 |
值 |
---|---|
cs1 |
邮件 ID。 |
cs1Label |
它的值总是 |
cs2 |
由逗号分割的规则列表。 |
cs2Label |
它的值总是 |
cs3 |
在邮件上执行操作的账户。 |
cs3Label |
它的值总是 |
src |
接收邮件的 IP 地址。 |
duser |
邮件收件人列表。这些地址取自 SMTP 会话。 |
suser |
邮件发件人。该地址取自 SMTP 会话。 |
act |
在邮件上采取的操作( |
每个隔离组事件类别都仅包含与其相关的关键字(参见下表)。
隔离组事件类别的相关键
事件类别 |
相关键 |
---|---|
LMS_EV_ASP_QUARANTINE |
cs1, cs1Label, src, suser, cs3, cs3Label, act |
LMS_EV_KATA_QUARANTINE |
cs1, cs1Label, cs2, cs2Label, scr, suser, duser, act, cs3, cs3Label |