Las claves enumeradas en la siguiente tabla se utilizan en los cuerpos de los mensajes CEF de las clases de eventos de auditoría.
Posibles valores de campos para claves comunes de eventos de auditoría
Clave |
Valor |
|---|---|
externalId |
Id. único global (GUID) del evento. |
suser |
Inicio de sesión del usuario que inició el evento, o nombre de usuario del usuario que inició el evento, desde una instancia externa de Active Directory o LDAP. |
KSMGUserRole |
Lista de funciones del usuario que inició el evento. Si existen diversos funciones, se insertan en formato de lista separada por comas. No se registra si el usuario no tiene funciones. |
KSMGAccountType |
Tipo de cuenta del usuario de KSMG que inició el evento. |
src |
Dirección IPv4 del equipo desde el que se inició el evento. |
c6a2Label |
El valor siempre es Se registra si la dirección IP del equipo desde el que se inició el evento está en formato IPv6. |
c6a2 |
Dirección IPv6 del equipo desde el que inició el evento. |
dst |
Dirección IPv4 del nodo que procesó el evento. |
c6a3Label |
El valor siempre es Se registra si la dirección IP del nodo que procesó el evento está en formato IPv6. |
c6a3 |
Dirección IPv6 del nodo que procesó el evento. |
dpt |
Puerto del nodo que procesó el evento. |
cn1Label |
El valor siempre es |
cn1 |
Número de la parte con información del evento. |
cn2Label |
El valor siempre es |
cn2 |
Número total de partes con información sobre el evento. |
outcome |
Resultado del evento. Valores posibles: |