在 ScanLogic 组事件类别的 CEF 邮件正文中,您可以根据语义使用关键字(参见下表)。
ScanLogic 组事件类别的字段允许值
事件类别 |
键 |
值 |
|---|---|---|
所有 ScanLogic 组类别 |
cs1 |
邮件 ID。 |
cs1Label |
它的值总是 |
|
src |
接收邮件的服务器 IP 地址。 |
|
act |
操作。 |
|
fsize |
邮件大小。 |
|
suser |
邮件发件人。 |
|
duser |
邮件收件人列表。 |
|
reason |
事件原因。 |
|
cs2 |
规则列表。 |
|
cs2Label |
它的值总是 |
|
outcome |
扫描状态。 |
|
cs3 |
已触发规则的通知收件人列表,对这些规则配置了通知,其附件中包含原始邮件。这些地址取自 SMTP 会话。 |
|
cs3Label |
它的值总是 |
|
fname |
文件名称。 |
|
LMS_EV_SCAN_LOGIC_AV_STATUS |
act |
操作。可能的值:
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_AS_STATUS |
act |
操作。可能的值:
|
cs4 |
检测方法。 |
|
cs4Label |
它的值总是 |
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_AP_STATUS |
act |
操作。可能的值:
|
cs4 |
检测方法。 |
|
cs4Label |
它的值总是 |
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_MLF_STATUS |
act |
操作。可能的值:
|
cs4 |
检测方法。 |
|
cs4Label |
它的值总是 |
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_MA_STATUS |
act |
操作。可能的值:
|
cs4 |
SPF 状态。 |
|
cs4Label |
它的值总是 |
|
cs5 |
DKIM 状态。 |
|
cs5Label |
它的值总是 |
|
cs6 |
DMARC 状态。 |
|
cs6Label |
它的值总是 |
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_KT_STATUS |
act |
操作。可能的值:
|
suser |
从 KATA 隔离区提取邮件的用户账户名称。 |
|
cs4 |
跳过扫描的原因。 |
|
cs4Label |
它的值总是 |
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_CF_STATUS |
act |
操作。可能的值:
|
cs4 |
可能的值:
|
|
cs4Label |
该值始终为 |
|
outcome |
扫描状态。可能的值:
|
|
LMS_EV_SCAN_LOGIC_PART_RESULT |
cn1 |
对象数量。 |
cn1Label |
它的值总是 |
|
cn2 |
被阻止文件大小。 |
|
cn2label |
该值始终为 |
|
cs3 |
未扫描文件。 |
|
cs3Label |
它的值总是 |
|
cs4 |
线程名称。 |
|
cs4Label |
它的值总是 |
|
cs5 |
被阻止文件名称。 |
|
cs5Label |
该值始终为 |
|
cs6 |
被阻止文件格式。 |
|
cs6Label |
该值始终为 |
|
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP |
act |
操作。可能的值:
|
每个 ScanLogic 组事件类别都仅包含与其相关的关键字(参见下表)。
ScanLogic 组事件类别的相关键
事件类别 |
相关键 |
|---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED |
cs1, cs1Label, src, act, fsize, suser, duser, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs4, cs4Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AV_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, outcome |
LMS_EV_SCAN_LOGIC_AP_STATUS LMS_EV_SCAN_LOGIC_MLF_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_KT_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, reason, suser, outcome |
LMS_EV_SCAN_LOGIC_MA_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, reason, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome |
LMS_EV_SCAN_LOGIC_CF_STATUS |
cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome |
LMS_EV_SCAN_LOGIC_PART_RESULT |
cs1, cs1Label, cn1, cn1Label, fname, act, reason, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, cn2, cn2Label, outcome |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP |
cs1, cs1Label, src, act, fsize, suser, duser, reason, cs2, cs2Label |
当某个 LMS_EV_SCAN_LOGIC_PART_RESULT 事件中的 mime 部分字段指示 avStatus=Infected 或 avStatus=Disinfected 状态时,如果 disinfectedObjects 和 deletedObjects 列表中的任何一个可用,该列表将被指示为 cn1 键。如果两个列表都不为空,则 cn1 和 cn1Label 键将被添加两次。