Contenidos y propiedades de los mensajes de syslog en formato CEF
La información sobre cada evento detectado se envía inmediatamente después de que ocurra el evento como un mensaje de syslog separado en el formato CEF en codificación UTF-8.
Un mensaje CEF consta del cuerpo del mensaje y el encabezado.
El encabezado del mensaje CEF consta de las siguientes partes:
Prefijo de syslog: <fecha y hora del evento><nombre del host en el que ocurrió el evento>.
Una secuencia de campos separados por caracteres "|" y separados del prefijo syslog por un espacio. Todos los campos son obligatorios.
Versión del formato. Actualmente, el número de versión es 0, por lo que el campo será "CEF: 0".
Proveedor. El valor de este campo es AO Kaspersky Lab.
Nombre de la aplicación. El valor de este campo es Kaspersky Web Traffic Security.
Versión del producto. El valor de este campo es la versión actual del producto (6.1.0.xxxx).
Clase del evento.
Nombre del evento.
Nivel de gravedad. Puede ser Low, Medium o High.
Ejemplo:
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Los campos del mensaje de syslog sobre un evento, que se definen por opciones de la aplicación, tienen el formato <clave>="<valor>". Si una clave tiene varios valores, estos están separados por comas. La coma es el separador utilizado entre claves.
Las claves y sus valores contenidos en el mensaje dependen de la clase del evento.
El tamaño máximo de un mensaje de syslog sobre un evento detectado depende de los valores de la configuración de syslog en el servidor en el que está instalado Kaspersky Web Traffic Security . Solo puede configurar los mensajes de syslog en un único servidor de syslog externo.
Reglas de codificación de caracteres en los mensajes CEF:
No es necesario que los espacios tengan escape.
En el encabezado, el carácter de barra vertical ("|") se utiliza como separador. Si necesita usar este carácter en uno de los campos del encabezado, tiene que utilizar una barra invertida ("\|") como escape. En el cuerpo del mensaje, no necesita que el carácter "|" tenga escape.
No se permiten las barras invertidas individuales en el encabezado ni en el cuerpo del mensaje. Si necesita usarla en un campo de encabezado, duplique el carácter ("\\").
En el cuerpo del mensaje, el carácter "=" se utiliza como separador para el par "clave-valor". Si necesita usar este carácter en uno de los campos del cuerpo del mensaje, tiene que utilizar una barra invertida ("\ =") como escape. En el encabezado, el carácter "=" no requiere escape.
Los valores de varias líneas solo se permiten para los valores en los pares clave/valor. Para indicar un salto de línea, use los caracteres "\n" o "\r".