Conteúdo e propriedades de mensagens syslog no formato CEF

As informações sobre cada evento detectado são retransmitidas como uma mensagem syslog separada no formato CEF com codificação UTF-8.

Uma mensagem no formato CEF consiste em um corpo e um cabeçalho de mensagem. Cada mensagem syslog contém os seguintes campos definidos pelos parâmetros do protocolo Syslog no sistema operacional:

• Data e hora do evento
• Nome do host onde o evento aconteceu
• Nome do aplicativo (sempre KSMG)

Os campos de mensagem de evento do syslog definidos pelas configurações do aplicativo têm o formato <key>="<value>". Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. As chaves são separadas por dois pontos.

As chaves e seus valores contidos em uma mensagem dependem da classe específica do evento.

Exemplo: 16 de julho 10:34:23 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

O tamanho máximo de uma mensagem syslog sobre um evento detectado depende dos valores das configurações de syslog no servidor em que o KSMG está instalado.

Topo da página