Cada mensaje de syslog contiene los siguientes campos definidos por los parámetros del protocolo Syslog en el sistema operativo:
Los campos del mensaje de syslog sobre un evento de procesamiento de tráfico, que se definen por opciones de la aplicación, tienen el formato <clave>="<valor>". Si una clave tiene varios valores, estos están separados por comas. La coma es el separador utilizado entre claves.
En la tabla siguiente puede ver las claves y los valores contenidos en un mensaje.
|
|
Clave
|
Descripción y valores posibles
|
type
|
Tipo de mensaje HTTP. Su valor puede ser Request (Solicitud) o Response (Respuesta).
|
method
|
Método de solicitud HTTP.
|
action
|
Acción realizada sobre un objeto detectado. Puede tener uno de los siguientes valores:
Allow – Permitir.Block – Bloquear.Redirect – Redireccionar.
|
blocked_by_rule
|
Nombre de la regla de procesamiento de tráfico que provocó el bloqueo del recurso web.
Se muestra en el siguiente formato:
- Para reglas de bypass:
"[<nombre de la regla>]" - Para reglas de protección y reglas de acceso:
"[<nombre del espacio de trabajo>/<nombre del grupo de reglas>/<nombre de la regla>]"
|
redirected_by_rule
|
Nombre de la regla de procesamiento de tráfico que hizo que se redirigiera al usuario a la URL especificada.
Se muestra en el siguiente formato:
- Para reglas de bypass:
"[<nombre de la regla>]" - Para reglas de acceso:
"[<nombre del espacio de trabajo>/<nombre del grupo de reglas>/<nombre de la regla>]"
|
processing_time
|
Duración del procesamiento del mensaje HTTP, en milisegundos.
El tiempo se cuenta desde el inicio del procesamiento del mensaje HTTP hasta que se guarda un registro del análisis completado en el registro de evento de la aplicación y el registro de evento de Syslog.
|
scan_result
|
Resultado del análisis del mensaje HTTP.
Si se detectan varias amenazas, se muestra el nombre de la amenaza de prioridad más alta.
Si se eliminaron o no se detectaron amenazas, se muestra el resultado del análisis de mayor prioridad (Desinfectado, No detectado, No analizado).
|
workspace
|
Nombre del espacio de trabajo asociado con la regla de procesamiento de tráfico. Si no hay espacio de trabajo, se muestra un guion.
|
http_user_name
|
Nombre de la cuenta de usuario que ha iniciado la solicitud HTTP.
|
http_user_agent
|
Aplicación cliente que inició la solicitud HTTP.
|
http_user_ip
|
Dirección IP del equipo desde el que se envió la solicitud de HTTP.
|
url
|
URL del recurso web solicitado por el usuario.
|
kata-alert
|
Resultado de analizar una URL para verificar si coincide con los objetos detectados por KATA.
Los siguientes valores son posibles:
NotDetected: Se analizó la URL y no se han detectado amenazas.Detected: Se detectó una coincidencia con un objeto en el caché de KATA. Se indican el ID del objeto, el criterio de coincidencia y la tecnología. Por ejemplo, kata-alert="Detected/128563/Url/Sb".NotScanned/AccessRuleSettings: No se realizó un análisis porque la regla de protección no se aplica de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: No se realizó un análisis porque el archivo se omitió sin analizar en función de una regla de bypass.NotScanned/ProtectionRuleSettings: No se realizó un análisis porque la acción Omitir el análisis está definida para los objetos Objetos detectados por KATA en la regla de protección.NotScanned/ApplicationSettings: No se realizó un análisis porque el modo de recibir objetos detectados por KATA o la integración de KATA están deshabilitados de acuerdo con la configuración de la aplicación.ScanError/InternalError: El análisis finalizó con un error.
|
Para un objeto de tipo MIME multiparte, se ofrece información sobre todas las partes constituyentes. Para cada parte constituyente, se utiliza la clave part con el número de secuencia, después de lo cual se transmiten todos los atributos de esta parte constituyente (las siguientes claves: filename, filesize, part_mimetype, kata_upload, guid, rules, av_status, ap_status, mlf-status, encrypted, macros y kata-alert).
Por ejemplo, part1 "news.html", <atributos de la parte constituyente 1>: part2 <atributos de la parte constituyente 2>.
|
filename
|
Nombre del objeto analizado.
Si el mensaje HTTP no contiene ningún objeto, se indicará "nofile". En este caso, todos los campos siguientes se relacionan con la URL analizada.
|
filesize
|
Tamaño del objeto analizado.
Si el mensaje HTTP no contiene objetos o no se requiere el tamaño de archivo para aplicar reglas, se indica "NotApplicable".
|
part_mimetype
|
Tipo MIME de la parte constituyente del objeto multiparte. Se utiliza el valor del encabezado Content-Type.
Si el mensaje HTTP no contiene objetos o no se requiere la definición del tipo MIME para aplicar reglas, se indica "NotApplicable".
|
kata_upload
|
Resultado de verificar si un objeto debe enviarse al servidor KATA.
Los siguientes valores son posibles:
NotApplicable: El mensaje HTTP no contiene archivos.Scheduled: La transmisión del archivo está programada.DisabledBySettings: El modo para enviar archivos al servidor KATA o la integración de KATA están deshabilitados en la configuración de la aplicación.SkippedByAction: El mensaje HTTP se omitió de acuerdo con la regla de bypass sin analizarse, o se le aplicó la acción Bloquear o Redireccionar.RejectedByFilter: El archivo no cumple las condiciones para ser enviado al servidor KATA.Failed/QueueOverflowed: El archivo debe enviarse al servidor KATA, pero la transmisión no se pudo programar debido a un desbordamiento de la cola.Failed/InternalError: El archivo debe enviarse al servidor KATA, pero la transmisión no se pudo programar debido a un error interno de la aplicación.
|
guid
|
ID que la aplicación le asigna a un objeto.
La ID se transmite solo si se asignó uno de los siguientes estados al comprobar si el objeto debe enviarse al servidor KATA:
Scheduled.Failed/QueueOverflowed.Failed/InternalError.
Para el resto de los estados, el campo guid se transmite con un valor vacío.
|
rules
|
Los nombres de las reglas de procesamiento de tráfico en el siguiente formato:
"bypass_rule [<nombre de la regla>], access_rules [<nombre del espacio de trabajo>/<nombre del grupo de reglas>/<nombre de la regla>], protection_rules [<nombre del espacio de trabajo>/<nombre del grupo de reglas>/<nombre de la regla>]".
Si una regla no está asociada con un espacio de trabajo, se muestra un guion en lugar del nombre del espacio de trabajo.
Si una regla no está incluida en un grupo de reglas, se muestra un guion en lugar del nombre del grupo.
Si no se ha aplicado ninguna regla de procesamiento de tráfico, se aplica la directiva de protección predeterminada. Se muestra el valor "default_policy [Default Policy]".
|
av_status
|
Resultados del análisis de un recurso web por el módulo de antivirus.
Los siguientes valores son posibles:
Detected: Se han encontrado virus u otras amenazas en el objeto. Los nombres de las amenazas detectadas y la acción realizada por la aplicación sobre cualquier objeto están separados por comas. Por ejemplo, av-status="Detected", threats="EICAR-Test-File/Block".ScanError/Timeout: El análisis finalizó con un error debido a que se superó la duración máxima del análisis.ScanError/InternalError: El análisis finalizó con un error interno.ScanError/BasesNotLoaded: El análisis finalizó con un error, debido a que no se cargaron las bases de datos del módulo Anti-Virus.IncompleteScan/MaxNestingLevelReached: No se realizó el análisis debido a que el nivel de anidamiento del archivo analizado supera el nivel de anidamiento máximo permitido.IncompleteScan/EncryptedArchive: No se realizó un análisis debido a que el objeto está cifrado.Disinfected: Se detectaron amenazas y todas fueron desinfectadas.NotDetected: Se ha analizado el objeto y no se han detectado amenazas.NotScanned/AccessRuleSettings: No se aplicaron reglas de protección al objeto de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: El objeto no se analizó debido a que se le aplicó una regla de bypass.NotScanned/ProtectionRuleSettings: El objeto no se analizó de acuerdo con la acción definida en la regla de protección.NotScanned/ApplicationSettings: El objeto no se analizó de acuerdo con la configuración de aplicación definida.
|
ap_status
|
Resultados del análisis de un recurso web por el módulo de antiphishing.
Los siguientes valores son posibles:
Detected (local bases): El enlace se reconoció como un enlace de phishing según los registros en las bases de datos locales de la aplicación.Detected (KSN): El enlace se reconoció como un enlace de phishing según una verificación de reputación de KSN.Detected (heuristics): El enlace se reconoció como un enlace de phishing según los datos del análisis heurístico.ScanError/Timeout: El análisis finalizó con un error debido a que se superó la duración máxima del análisis.ScanError/InternalError: El análisis finalizó con un error interno.ScanError/BasesNotLoaded: El análisis finalizó con un error, debido a que no se cargaron las bases de datos del módulo Anti-Phishing.NotDetected: Se ha analizado el objeto y no se han detectado amenazas.NotScanned/AccessRuleSettings: No se aplicaron reglas de protección al objeto de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: El objeto no se analizó debido a que se le aplicó una regla de bypass.NotScanned/ProtectionRuleSettings: El objeto no se analizó de acuerdo con la acción definida en la regla de protección.NotScanned/ApplicationSettings: El objeto no se analizó de acuerdo con la configuración de aplicación definida.
|
mlf-status
|
Resultados de analizar enlaces en busca de objetos maliciosos.
Los siguientes valores son posibles:
Detected (local bases): El enlace se consideró malicioso según los registros de las bases de datos antivirus locales.Detected (KSN): El enlace se consideró malicioso según una verificación de reputación de KSN.ScanError/Timeout: El análisis finalizó con un error debido a que se superó la duración máxima del análisis.ScanError/InternalError: El análisis finalizó con un error interno.ScanError/BasesNotLoaded: El análisis finalizó con un error, debido a que no se cargaron las bases de datos del módulo Anti-Phishing.NotDetected: Se analizó el enlace y no se han detectado amenazas.NotScanned/AccessRuleSettings: No se aplicaron reglas de protección al objeto de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: El objeto no se analizó debido a que se le aplicó una regla de bypass.NotScanned/ProtectionRuleSettings: El objeto no se analizó de acuerdo con la acción definida en la regla de protección.NotScanned/ApplicationSettings: El objeto no se analizó de acuerdo con la configuración de aplicación definida.
|
encrypted
|
Información sobre el cifrado del objeto analizado.
Los siguientes valores son posibles:
Detectado: Se detectaron amenazas.ScanError/Timeout: El análisis finalizó con un error debido a que se superó la duración máxima del análisis.ScanError/InternalError: El análisis finalizó con un error interno.ScanError/BasesNotLoaded: El análisis finalizó con un error, debido a que no se cargaron las bases de datos del módulo Anti-Virus.NotDetected: Se analizó el enlace y no se han detectado amenazas. NotScanned/ApplicationSettings: El objeto no se analizó de acuerdo con la configuración de aplicación definida.NotScanned/AccessRuleSettings: No se aplicaron reglas de protección al objeto de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: El objeto no se analizó debido a que se le aplicó una regla de bypass.NotScanned/ProtectionRuleSettings: El objeto no se analizó de acuerdo con la acción definida en la regla de protección.NotScanned/ApplicationSettings: El objeto no se analizó de acuerdo con la configuración de aplicación definida.
|
macros
|
Información sobre la presencia de macros en el objeto analizado.
Los siguientes valores son posibles:
Detectado: Se detectaron macros.ScanError/Timeout: El análisis finalizó con un error debido a que se superó la duración máxima del análisis.ScanError/InternalError: El análisis finalizó con un error interno.ScanError/BasesNotLoaded: El análisis finalizó con un error, debido a que no se cargaron las bases de datos del módulo Anti-Virus.NotDetected: Se analizó el objeto y no se han detectado macros.NotScanned/AccessRuleSettings: No se aplicaron reglas de protección al objeto de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: El objeto no se analizó debido a que se le aplicó una regla de bypass.NotScanned/ProtectionRuleSettings: El objeto no se analizó de acuerdo con la acción definida en la regla de protección.NotScanned/ApplicationSettings: El objeto no se analizó de acuerdo con la configuración de aplicación definida.
|
kata-alert
|
Resultado del análisis de un archivo contenido en un mensaje HTTP o una parte constituyente (para objetos multiparte) para verificar si coinciden con objetos detectados por KATA.
Los siguientes valores son posibles:
NotDetected: Se analizó la URL y no se han detectado amenazas.Detected: Se detectó una coincidencia con un objeto en el caché de KATA. Se indican el ID del objeto, el criterio de coincidencia y la tecnología. Por ejemplo, kata-alert="Detected/124567/Md5/Yara".NotScanned/AccessRuleSettings: No se realizó un análisis porque la regla de protección no se aplica de acuerdo con la acción definida en la regla de acceso.NotScanned/BypassRuleSettings: No se realizó un análisis porque el archivo se omitió sin analizar en función de una regla de bypass.NotScanned/ProtectionRuleSettings: No se realizó un análisis porque la acción Omitir el análisis está definida para los objetos Objetos detectados por KATA en la regla de protección.NotScanned/ApplicationSettings: No se realizó un análisis porque el modo de recibir objetos detectados por KATA o la integración de KATA están deshabilitados de acuerdo con la configuración de la aplicación.ScanError/InternalError: El análisis finalizó con un error.
|