应用程序用户活动日志中的记录

Sandbox 用户活动日志中的记录具有 CEF 格式（CEF 消息）。通过查看日志记录，您可以了解由于用户操作而发生的事件。

安装虚拟机镜像的记录示例：

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform (Sandbox)|7.1.0.530|vm|Managing virtual machines|Low| dvs=<IP> deviceExternalId=ubuntu-server eventId=1965096788380487496 rt=Apr 25 2025 04:59:16 src=<IP> suser=admin cs1=installing the default image cs1label=CentOS7_x64-1.0.0.19888

上面的示例包含三组字段：

CEF:0|AO Kaspersky Lab|Kaspersky Anti Targeted Attack Platform (Sandbox)|7.1.0.530|vm|Managing virtual machines|Low| — 标题字段。
dvs=<IP> deviceExternalId=ubuntu-server eventId=1965096788380487496 rt=Apr 25 2025 04:59:16 src=<IP> suser=admin cs1=installing the default image — 所有记录共有的 CEF 消息正文字段。
cs1label=CentOS7_x64-1.0.0.19888 — 特定于具有对象的操作的字段。例如，“安装虚拟机镜像”操作的对象是一个虚拟机镜像，“cs1label”字段包含这个镜像的名称。

标题字段

每条消息的标题包含以下信息：

格式化版本。
当前版本号：0。当前字段值：CEF:0。
供应商。
当前字段值：AO Kaspersky Lab。
应用程序名称。
当前字段值：Kaspersky Anti Targeted Attack Platform。
应用程序版本
当前字段值：7.1.1.531。
事件类型。
可以包含以下值之一：
- user_account
  与 Sandbox 用户账户相关的事件。
- settings
  与 Sandbox 设置相关的事件。
- kata
  与 Sandbox 和 Central Node 之间的连接相关的事件。
- vm
  与 Sandbox 中部署的操作系统虚拟镜像相关的事件。
标题中指定的事件名称。
可以包含以下值之一：
- 管理用户账户
  对户账户的操作。属于“user_account”类型。
- 授权尝试失败次数已超出
  授权尝试失败次数超出限制。属于“user_account”类型。
- 设置
  编辑 Sandbox 服务器设置属于“设置”类型。
- 配置与 KATA Central Node 的集成
  配置与 Central Node 的集成。属于“kata”类型。
- 管理虚拟机
  使用虚拟机的操作。属于“vm”类型。
事件重要性。
当前字段值：低。

所有事件通用的字段

CEF 消息的字段具有“<密钥>=<值>”格式。每个 CEF 消息包含以下字段：

dvs
Sandbox 服务器的 IP 地址。
设备外部 ID
Sandbox 服务器名称。
eventId
事件 ID。
rt
事件日期和时间。
src
执行操作的用户的 IP 地址。
suser
执行操作的用户的名称。
cs1
事件（见下表）。

事件的特殊字段

事件和特殊字段

cs1 字段中指定的事件	特殊事件字段

管理用户账户
`更改管理员密码`	`cs1label` 密码被更改的用户的名称。
`登录`	`cs1label` 授权的用户的名称。
`登出`	`cs1label` 结束会话的用户的姓名。
授权尝试失败次数已超出
`授权尝试失败的次数`	`cs1label` 授权尝试失败所涉及的用户名。 `cn1` 授权尝试失败的次数。
设置
`分配由 DNS 服务器使用的服务器名称` `配置 DNS 设置` `配置管理接口的设置` `配置已处理对象进行互联网访问的网络接口的设置` `配置路由设置` `配置代理服务器连接设置` `配置服务器上的日期和时间` `配置服务器上的时区` `配置与 NTP 服务器的同步`	`cs1label` 已更改设置的服务器的名称。
`保存配置` `恢复配置`	`cs1label` 已保存或恢复设置的服务器的名称。
`重新启动服务器` `关闭服务器`	`cs1label` 重新启动或关闭的服务器的名称。
`下载日志` `下载用户操作日志`	`cs1label` 下载日志文件的服务器的名称。
`选择数据库更新源` `手动更新数据库`	`cs1label` 更新反病毒数据库或更改数据库更新源的服务器的名称。
`设置虚拟机的最大数量`	`cs1label` 指定的虚拟机数量。
`启用授权尝试失败次数计数` `禁用授权尝试失败次数计数`	`cs1label` 启用或禁用授权尝试失败次数计数的服务器的名称。
`修改授权尝试失败次数的计数周期`	`cs1label` 更改授权尝试失败次数计数周期的服务器的名称。 `cn1` 计算授权尝试失败次数的分钟数。
`更改用户会话锁定时间`	`cs1label` 更改了用户不活动最长持续时间的服务器的名称。 `cn1` 非活动用户会话的最长持续时间（分钟）。
配置与 KATA Central Node 的集成
`接受与 KATA Central Node 的连接` `拒绝与 KATA Central Node 的连接` `删除与 KATA Central Node 的连接`	`cs1label` 发起连接请求的 Central Node 的指纹。
管理虚拟机
`导入默认镜像` `删除默认镜像` `解压默认镜像`	`cs1label` 正在上传或删除的虚拟机镜像文件的名称。
`安装默认镜像` `删除从默认镜像部署的虚拟机` `取消默认镜像安装`	`cs1label` 已部署、删除或取消安装的虚拟机镜像的名称。
`上传 ISO` `删除 ISO`	`cs1label` 已上传或删除的 ISO 镜像的名称。
`创建自定义模板` `导入自定义模板` `导出自定义模板` `启用自定义模板` `禁用自定义模板` `停止自定义模板` `删除自定义模板`	`cs1label` 已创建、导入、导出、启用、禁用、停止或删除的自定义虚拟机模板的名称。
`下载 manifest 文件` `上传调试符号`	没有特殊字段。
`将 ISO 挂载到自定义模板` `从自定义模板卸载 ISO`	`cs1label` 挂载了 ISO 镜像或卸载了 ISO 镜像的自定义虚拟机模板的名称。 `cs2label` 已挂载或卸载的 ISO 镜像的名称。
`从自定义模板创建自定义虚拟机` `删除自定义虚拟机` `将自定义虚拟机状态更改为“在线”` `将自定义虚拟机状态更改为“已启用”`	`cs1label` 从自定义镜像部署、已删除或状态已更改的虚拟机的名称。

如果同时对超过 30 个对象执行某项操作，则仅记录该操作的一项。该条目包括有关操作的信息以及执行该操作的对象的数量。

页面顶部