Записи в журнале активности пользователей приложения

В заголовке каждого сообщения содержится следующая информация:

Версия формата.
Номер текущей версии: 0. Текущее значение поля: CEF:0.
Производитель.
Текущее значение поля: AO Kaspersky Lab.
Название приложения.
Текущее значение поля: Kaspersky Anti Targeted Attack Platform.
Версия приложения.
Текущее значение поля: 7.1.1.531.
Тип события.
См. таблицу ниже.
Наименование события.
См. таблицу ниже.
Важность события.
Текущее значение поля: Low.

Пример:

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform|7.1.1.531|tasks|Managing tasks|Low|

Все поля тела CEF-сообщения представлены в формате "<ключ>=<значение>". Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.

Информация о событии в CEF-сообщениях

Тип события	Наименование и описание события	Ключ и описание его значения
`alerts`	`User actions performed on alerts` Операции с алертами.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label` = <пользователь, на которого назначен алерт>. `externalId` = <ID алерта>.
`ep`	`Managing hosts with the Endpoint Agent component` Операции с хостами, на которых установлен компонент Endpoint Agent.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label` = <имя хоста с компонентом Endpoint Agent>.
`storage`	`Managing objects in Storage and Quarantine` Операции с объектами в Хранилище и на карантине.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label` = <имя файла, помещенного в Хранилище или на карантин>.
`sensors`	`Managing the Sensor component` Подключение компонента Sensor к серверу Central Node, изменение настроек компонента.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`sb`	`Configuring integration with the Sandbox component` Подключение компонента Sandbox к серверу Central Node.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`ex_integration`	`Configuring integration with external systems` Настройки интеграции с внешними системами.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`ksn_kpsn_mdr`	`Participation in KSN, KPSN and MDR` Настройка участия в Kaspersky Security Network, включение / отключение использования Kaspersky Private Security Network и настройка интеграции с Kaspersky Managed Detection and Response.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`yara`	`Managing YARA rules` Операции с правилами YARA.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label =` <имя загружаемого файла>.
`ioc`	`Managing indicator of compromise` Операции с правилами IOC.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`ids`	`Managing IDS rules` Операции с правилами IDS.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`taa`	`Managing TAA rules` Операции с правилами TAA (IOA).	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`sb_rules`	`Managing Sandbox rules` Операции с правилами Sandbox.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`prevention`	`Managing prevention rules` Операции с правилами запрета.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`exclusions`	`Managing scan exclusions` Операции с правилами исключений из проверки.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`tasks`	`Managing tasks` Операции с задачами.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`network_isolation`	`Network isolation of Endpoint Agent hosts` Сетевая изоляция хостов Endpoint Agent.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`settings`	`Settings` Изменение параметров сервера Central Node	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`vip`	`Managing rules for assigning the VIP status` Операции с правилами назначения алертам статуса VIP.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`report`	`Managing reports` Операции с отчетами.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label =` <имя отчета или шаблона отчета>.
`mt`	`Managing CN, PCN and SCN servers` Изменение параметров сервера Primary Central Node и Secondary Central Node в режиме распределенного решения и мультитенантности. Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно. Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`user_account`	`Managing user accounts` Действия с учетными записями пользователей.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label =` <имя пользователя, чья учетная запись была создана или изменена>. `cn1` = <число неуспешных попыток авторизации>.
`user_account`	`Count of unsuccessful authorization attempts exceeded` Превышение количества неуспешных попыток авторизации.
`notifications`	`Sending notifications` Настройка отправки уведомлений на электронную почту.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`license`	`License` Управление лицензионным ключом.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>.
`system_health`	`System health` Проверка работоспособности компонентов приложения.	`dvchost` = <имя хоста Central Node>. `eventId` = <ID события>. `rt` = <дата и время события>. `src` = <IP-адрес пользователя>. `suser` = <имя пользователя>. `cs1` = <тип события>. `cs1label =` <объект компонента>. `msg` = <результат проверки>

Если одна операция проводится с более чем 30 объектами одновременно, в журнал записывается одно сообщение об этой операции. В сообщении указывается информация об операции и количество объектов, с которыми она была проведена.

В начало