在身份验证组事件类别的 CEF 邮件正文中,您可以根据语义使用关键字(参见下表)。
身份验证组事件类别可能的字段值
键 |
值 |
|---|---|
outcome |
身份验证结果。 |
cs1 |
身份验证类型。 |
cs1Label |
该值始终为 |
src |
尝试登录的 IP 地址,采用 IPv4 格式。 |
c6a2 |
尝试登录的 IP 地址,采用 IPv6 格式。 |
c6a2Label |
该值始终为 |
suser |
尝试登录时使用的用户名。 如果 Kerberos 或 NTLM 登录尝试失败,则不会记录。 |
cs2 |
错误类型。 |
cs2Label |
该值始终为 |
reason |
错误文本。 |
每个任务组事件类别都仅包含与其相关的关键字(参见下表)。
身份验证组事件类别的相关关键字
事件类别 |
相关键 |
|---|---|
LMS_EV_AUTH_SUCCESS |
outcome, cs1, cs1Label, suser, src, c6a2 |
LMS_EV_AUTH_ERROR |
outcome, cs1, cs1Label, src, c6a2, c6a2Label, suser, cs2, cs2Label, reason |