Conteúdo e propriedades das mensagens syslog no formato CEF
As informações sobre cada evento detectado são enviadas imediatamente após a ocorrência do evento como uma mensagem syslog separada no formato CEF na codificação UTF-8.
Uma mensagem CEF consiste no corpo e no cabeçalho da mensagem.
O cabeçalho da mensagem CEF consiste nas seguintes partes:
Prefixo do syslog: <data e hora do evento><nome do host no qual o evento ocorreu>.
Uma sequência de campos separados por "|" caracteres e separados do prefixo syslog por um espaço. Todos os campos são obrigatórios.
Versão do formato. Atualmente, o número da versão é 0, portanto, o campo se parece com "CEF:0".
Fornecedor. O valor deste campo é AO Kaspersky Lab.
Nome de aplicativo. O valor desse campo é Kaspersky Web Traffic Security.
Versão do produto. O valor desse campo é a versão atual do produto ( 6.1.0.xxxx ).
Classe de evento.
Nome do evento.
Nível de gravidade. Pode ser Baixo, Médio ou Alto.
Exemplo:
30 de outubro de 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Os campos da mensagem syslog sobre um evento, definidos por opções do aplicativo, têm o formato <key> = "<value>". Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. Dois pontos são usados para separar chaves.
As chaves e seus valores contidos na mensagem dependem da classe do evento.
O tamanho máximo de uma mensagem do syslog sobre um evento detectado depende dos valores das configurações do syslog no servidor no qual o Kaspersky Web Traffic Security está instalado. Você só pode configurar mensagens syslog para um único servidor syslog externo.
Regras de codificação de caracteres em mensagens CEF:
Os espaços não precisam ser escapados.
No cabeçalho, o caractere de barra vertical ("|") é usado como separador. Se você precisar usar esse caractere em um dos campos de cabeçalho, você deve escapar com uma barra invertida ("\|"). No corpo da mensagem, você não precisa escapar do "|" personagem.
As barras invertidas simples não são permitidas no cabeçalho ou no corpo da mensagem. Se você precisar usá-lo em um campo de cabeçalho, duplique o caractere ("\\").
No corpo da mensagem, o caractere "=" é usado como um separador para o par "key-value". Se você precisar usar esse caractere em um dos campos do corpo da mensagem, deverá usar escape com uma barra invertida ("\="). No cabeçalho, o caractere "=" não requer escape.
Os valores de várias linhas são permitidos somente para os valores em pares de key/value. Para indicar uma quebra de linha, use os caracteres "\n" ou "\r".