Cada mensagem syslog contém os seguintes campos definidos pelos parâmetros do protocolo Syslog no sistema operacional:
Os campos da mensagem syslog sobre um evento de processamento de tráfego, definidos por opções do aplicativo, têm o formato <chave> = "<valor>". Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. Dois pontos são usados para separar chaves.
As chaves, bem como seus valores contidos em uma mensagem, são apresentadas na tabela abaixo.
|
|
Chave
|
Descrição e valores possíveis
|
type
|
Tipo de mensagem HTTP. O seu valor pode ser Request ou Response.
|
method
|
Método de solicitação HTTP.
|
action
|
Ação executada em um objeto detectado. Ela pode tomar um dos seguintes valores:
Allow – Permitir.Block – Bloquear.Redirect – Redirecionar.
|
blocked_by_rule
|
Nome da regra de processamento de tráfego que fez com que o recurso da Web fosse bloqueado.
Ela é exibida no seguinte formato:
- Para regras de bypass:
"[<Nome da regra>]" - Para regras de proteção e regras de acesso:
"[<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>]"
|
redirected_by_rule
|
Nome da regra de processamento de tráfego que fez com que o usuário fosse redirecionado ao URL especificado.
Ela é exibida no seguinte formato:
- Para regras de bypass:
"[<Nome da regra>]" - Para regras de acesso:
"[<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>]"
|
processing_time
|
Duração do processamento da mensagem HTTP, em milissegundos.
O tempo é contado do início do processamento do cabeçalho da mensagem HTTP até que um registro da verificação concluída seja salvo no log de eventos do aplicativo e no log de eventos do Syslog.
|
scan_result
|
Resultado da verificação da mensagem HTTP.
Se várias ameaças forem detectadas, o nome da ameaça de maior prioridade é exibido.
Se ameaças foram eliminadas ou não foram detectadas, o resultado da verificação de maior prioridade é exibido (Desinfetado, não detectado, Não verificado).
|
área de trabalho
|
Nome da área de trabalho associada ao evento de processamento de tráfego. Se não houver área de trabalho, um traço é exibido.
|
http_user_name
|
Nome da conta de usuário que iniciou a solicitação HTTP.
|
http_user_agent
|
Aplicativo cliente que iniciou a solicitação HTTP.
|
http_user_ip
|
Endereço IP do computador a partir do qual a solicitação HTTP foi enviada.
|
url
|
URL do recurso da Web que o usuário solicitou.
|
kata-alert
|
Resultado da verificação de URL para verificar se correspondem a objetos detectados pelo KATA.
Os seguintes valores são possíveis:
NotDetected – O URL foi verificado, nenhuma ameaça foi detectada.Detected – uma correspondência com um objeto no cache do KATA foi detectada. A ID do objeto, critérios de correspondência e tecnologia são indicados. Por exemplo, kata-alert="Detected/128563/Url/Sb".NotScanned/AccessRuleSettings – Uma verificação não foi executada porque a regra de proteção não foi aplicada de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – uma verificação não foi executada porque o arquivo foi ignorado sem verificação com base em uma regra de bypass.NotScanned/ProtectionRuleSettings – Uma verificação não foi executada porque a ação Ignorar verificação está definida para objetos Objetos detectados pelo KATA na regra de proteção.NotScanned/ApplicationSettings – uma verificação não foi executada porque o modo de recebimento de objetos detectado pelo KATA ou a integração do KATA está desativado, de acordo com as configurações do aplicativo.ScanError/InternalError – A verificação terminou com um erro.
|
Para um objeto de tipo MIME multipart, informações sobre todas as partes constituintes são fornecidas. Para cada parte constituinte, a chave da parte é usada com o número de sequência após o qual todos os atributos dessa parte constituinte são transmitidos (as seguintes chaves: filename, filesize, part_mimetype, kata_upload, guid, rules, av_status, ap_status, mlf-status, encrypted, macros e kata-alert).
Por exemplo, part1 "news.html", <attributes of constituent part 1>: part2 <attributes of constituent part 2>.
|
filename
|
Nome do objeto verificado.
Se a mensagem HTTP não contiver nenhum objeto, "nofile" é indicado. Nesse caso, todos os campos subsequentes pertencem ao URL verificado.
|
filesize
|
Tamanho do objeto verificado.
Se a mensagem HTTP não contiver objetos ou se o tamanho do arquivo não for obrigatório para aplicar as regras, "NotApplicable" é indicado.
|
part_mimetype
|
Tipo MIME da parte constituinte do objeto multipart. O valor de cabeçalho para tipo de conteúdo (Content-Type) é usado.
Se a mensagem HTTP não contiver objetos ou se a definição do tipo MIME não for obrigatória aplicar as regras, "NotApplicable" será indicado.
|
kata_upload
|
Resultado da verificação para envio do objeto ao servidor do KATA.
Os seguintes valores são possíveis:
NotApplicable – a mensagem HTTP não contém arquivos.Scheduled – a transmissão do arquivo é agendada.DisabledBySettings – o modo para enviar arquivos ao servidor do KATA ou a integração do KATA é desativada nas configurações do aplicativo.SkippedByAction – a mensagem HTTP foi ignorada de acordo com a regra de bypass sem ser verificada ou a ação Bloquear ou Redirecionar foi aplicada a ela.RejectedByFilter – o arquivo não satisfaz as condições para ser enviado ao servidor do KATA.Failed/QueueOverflowed – o arquivo deve ser enviado ao servidor do KATA, mas a transmissão não pôde ser agendada devido ao estouro de fila.Failed/InternalError – o arquivo deve ser enviado ao servidor do KATA, mas a transmissão não pôde ser agendada devido a um erro interno do aplicativo.
|
guid
|
ID atribuído a um objeto pelo aplicativo.
O ID é transmitido somente se um dos seguintes status tiver sido atribuído ao verificar se o objeto deve ser enviado ao servidor do KATA:
Scheduled.Failed/QueueOverflowed.Failed/InternalError.
Para outros status, o campo guid é transmitido com um valor em branco.
|
rules
|
Nomes das regras de processamento de tráfego acionadas no seguinte formato:
"bypass_rule [<Nome da regra>], access_rules [<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>], protection_rules [<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>]".
Se uma regra não estiver associada a uma área de trabalho, um traço é exibido em vez do nome da área de trabalho.
Se uma regra não for parte de um grupo de regras, um traço é exibido em vez do nome do grupo.
Se nenhuma regra de processamento de tráfego foi aplicada, a política de proteção padrão é aplicada. O valor "default_policy [Default Policy]" é exibido.
|
av_status
|
Resultados da verificação de um recurso da Web pelo módulo Antivírus.
Os seguintes valores são possíveis:
Detected – vírus ou outras ameaças foram encontrados no objeto. Os nomes das ameaças detectadas e a ação executada em um objeto pelo aplicativo são separados por vírgulas. Por exemplo, av-status="Detected", threats="EICAR-Test-File/Block".ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.ScanError/InternalError – A verificação terminou com um erro interno.ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antivírus não foram carregados.IncompleteScan/MaxNestingLevelReached – uma verificação não foi executada porque o nível de aninhamento do arquivo comprimido verificado excede o nível de aninhamento máximo permitido.IncompleteScan/EncryptedArchive – uma verificação não foi executada porque o objeto está criptografado.Disinfected – ameaças foram detectadas e todas foram desinfectadas.NotDetected – o objeto foi verificado, nenhuma ameaça foi detectada.NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.
|
ap_status
|
Resultados de uma verificação de recurso da Web pelo módulo Antiphishing.
Os seguintes valores são possíveis:
Detectado (bases locais) – o link foi reconhecido como um link de phishing com base nos registros nos bancos de dados locais do aplicativo.Detectado (KSN) – o link foi reconhecido como link de phishing com base em uma verificação de reputação da KSN.Detectado (heurísticas) – o link foi reconhecido como um link de phishing com base nos dados de análise heurística.ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.ScanError/InternalError – A verificação terminou com um erro interno.ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antiphishing não foram carregados.NotDetected – o objeto foi verificado, nenhuma ameaça foi detectada.NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.
|
mlf-status
|
Resultados da verificação de links em busca de objetos maliciosos.
Os seguintes valores são possíveis:
Detectado (bases locais) – o link foi considerado malicioso, com base em registros nos bancos de dados de anti-vírus local.Detectado (KSN) – o link foi considerado malicioso com base em uma verificação de reputação da KSN.ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.ScanError/InternalError – A verificação terminou com um erro interno.ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antiphishing não foram carregados.NotDetected – O link foi verificado, nenhuma ameaça foi detectada.NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.
|
encrypted
|
Informações sobre a criptografia do objeto verificado.
Os seguintes valores são possíveis:
Detected – Ameaças foram detectadas.ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.ScanError/InternalError – A verificação terminou com um erro interno.ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antivírus não foram carregados.NotDetected – O link foi verificado, nenhuma ameaça foi detectada. NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.
|
macros
|
Informações sobre a presença de macros no objeto verificado.
Os seguintes valores são possíveis:
Detected – macros foram detectadas.ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.ScanError/InternalError – A verificação terminou com um erro interno.ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antivírus não foram carregados.NotDetected – O objeto foi verificado, nenhuma macro foi detectada.NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.
|
kata-alert
|
Resultado da verificação de um arquivo contido em uma mensagem HTTP ou em uma parte constituinte (para objetos multipart) para verificar se correspondem a objetos detectados pelo KATA.
Os seguintes valores são possíveis:
NotDetected – O URL foi verificado, nenhuma ameaça foi detectada.Detected – uma correspondência com um objeto no cache do KATA foi detectada. A ID do objeto, critérios de correspondência e tecnologia são indicados. Por exemplo, kata-alert="Detected/124567/Md5/Yara".NotScanned/AccessRuleSettings – Uma verificação não foi executada porque a regra de proteção não foi aplicada de acordo com a ação definida na regra de acesso.NotScanned/BypassRuleSettings – uma verificação não foi executada porque o arquivo foi ignorado sem verificação com base em uma regra de bypass.NotScanned/ProtectionRuleSettings – Uma verificação não foi executada porque a ação Ignorar verificação está definida para objetos Objetos detectados pelo KATA na regra de proteção.NotScanned/ApplicationSettings – uma verificação não foi executada porque o modo de recebimento de objetos detectado pelo KATA ou a integração do KATA está desativado, de acordo com as configurações do aplicativo.ScanError/InternalError – A verificação terminou com um erro.
|