在隔离组事件类别的 CEF 邮件正文中,您可以根据语义使用关键字(参见下表)。
隔离组事件类别的字段允许值
键 |
值 |
|---|---|
cs1 |
邮件 ID。 |
cs1Label |
它的值总是 |
cs2 |
由逗号分割的规则列表。 |
cs2Label |
它的值总是 |
cs3 |
在邮件上执行操作的账户。 |
cs3Label |
它的值总是 |
src |
从其接收邮件的 IP 地址,IPv4 格式。 |
c6a2 |
从其接收邮件的服务器 IP 地址,IPv6 格式。 |
duser |
邮件收件人列表。这些地址取自 SMTP 会话。 |
suser |
邮件发件人。该地址取自 SMTP 会话。 |
act |
在邮件上采取的操作( |
KSMGMessageSubject |
电子邮件主题。 |
每个隔离组事件类别都仅包含与其相关的关键字(参见下表)。
隔离组事件类别的相关键
事件类别 |
相关键 |
|---|---|
LMS_EV_ASP_QUARANTINE |
cs1, cs1Label, src, c6a2, suser, cs3, cs3Label, act, KSMGMessageSubject |
LMS_EV_KATA_QUARANTINE |
cs1, cs1Label, cs2, src, c6a2, cs2Label, suser, duser, act, cs3, cs3Label, KSMGMessageSubject |