Codes des paramètres du dictionnaire dans les enregistrements des événements d'audit

Si vous avez activé les paramètres du journal des événements pour enregistrer les événements d'audit et les paramètres modifiés, lorsque vous créez, modifiez ou supprimez le dictionnaire dans la section Règles → Dictionnaires, les informations détaillées sur les paramètres modifiés sont enregistrés dans l'événement du journal d'audit.

Les changements dans le groupe Utiliser un dictionnaire ne sont pas enregistrés.

Le tableau ci-dessous montre comment les paramètres du dictionnaire sont codés dans les enregistrements du journal d’audit.

Codes des paramètres du dictionnaire dans l'enregistrement des événements d'audit

Paramètre dans la section Règles → Dictionnaires

Code dans l'enregistrement de l'événement d'audit

Exemples

Identifiant du dictionnaire

id

Les modifications apportées au paramètre ne sont enregistrées que lors de la création ou de la suppression d'un dictionnaire.

Dictionnaire créé :

id[][1]

name[][New dictionary]

description[][]

content.type[][Text]

Dictionnaire modifié :

name[New dictionary][Test dictionary]

description[][Some desc]

Dictionnaire supprimé :

id[1][]

name[Test dictionary][]

description[Some desc][]

content.type[Text][]

Nom

name

Description

description

Contenu du dictionnaire

content.type

Valeurs possibles :

  • texts, si le paramètre Lignes est sélectionné.
  • attachmentFormats, si le paramètre Types de fichiers est sélectionné.

Texte

content.texts.textList

Après avoir créé un dictionnaire avec un type de contenu de chaîne, l'enregistrement du journal des événements d'audit contiendra également des enregistrements pour le paramètre Types à rechercher de type suivant :

content.attachmentFormats.<code de catégorie>.<code de type de fichier>[][false]

Si une catégorie de données a une sous-catégorie, l'enregistrement affiche <code de catégorie>.<code de sous-catégories>.

Pour connaître les codes de catégorie, de sous-catégories et de types de fichier, cf. Codes de catégories et de types de fichiers du dictionnaire dans les événements d'audit.

Dictionnaire créé :

content.texts.textList.Added[Abc Def]

Dictionnaire modifié :

content.texts.textList.Added[Ghi Xyz]

content.texts.textList.Removed[Def]

Dictionnaire supprimé :

content.texts.textList.Removed[Abc Ghi Xyz]

Masque

content.texts.wildcardList

Après avoir créé un dictionnaire avec un type de contenu de chaîne, l'enregistrement du journal des événements d'audit contiendra également des enregistrements pour le paramètre Types à rechercher de type suivant :

content.attachmentFormats.<code de catégorie>.<code de type de fichier>[][false]

Dictionnaire créé :

content.texts.wildcardList.Added[*.exe]

Dictionnaire modifié :

content.texts.wildcardList.Added[*.vbs]

content.texts.wildcardList.Removed[*.exe]

Dictionnaire supprimé :

content.texts.wildcardList.Removed[*.vbs]

Expression régulière

content.texts.regexList

Après avoir créé un dictionnaire avec un type de contenu de chaîne, l'enregistrement de l'événement contiendra également des enregistrements pour le paramètre Types à rechercher de type suivant :

content.attachmentFormats.<code de catégorie>.<code de type de fichier>[][false]

Dictionnaire créé :

content.texts.regexList.Added[^test_pattern$]

Dictionnaire modifié :

content.texts.regexList.Added[\Atest_pattern\z]

content.texts.regexList.Removed[^test_pattern$]

Dictionnaire supprimé :

content.texts.regexList.Removed[\Atest_pattern\z]

Types à rechercher

Lors de la création ou de la suppression d'un dictionnaire, une ligne comme celle-ci est enregistrée pour chaque type de fichier :

content.attachmentFormats.<code de catégorie>.<code de sous-catégorie>.<code de type de fichier>

Lors de la modification du dictionnaire pour les types de fichiers dont l'état de la case a changé, une ligne comme celle-ci est enregistrée :

content.attachmentFormats.<code de catégorie>.<code de sous-catégorie>.<code de type de fichier>

Après avoir créé un dictionnaire avec un type de contenu Types de fichiers, le journal affiche également les enregistrements pour les paramètres Texte, Masque, Expression régulière de type suivant :

content.texts.textList.Added[]

content.texts.wildcardList.Added[]

content.texts.regexList.Added[]

Le dictionnaire a été créé pour les types de fichiers suivants : 7Z*; ACE; ARJ; EXE; DLL; OCX; SCR; SWF.

content.attachmentFormats.archiveCategory.archive7z[][true]

content.attachmentFormats.archiveCategory.archiveAce[][true]

content.attachmentFormats.archiveCategory.archiveArj[][true]

content.attachmentFormats.executableCategory.
executableWin[][true

content.attachmentFormats.imageCategory.
animationSubcategory.multimediaSwf[][true]

Des lignes apparaissent également pour tous les types de fichiers qui n'ont pas été sélectionnés :

content.attachmentFormats.archiveCategory.archiveBzip2[][false]

...

content.attachmentFormats.archiveCategory.archiveZip[][false]

...

content.attachmentFormats.officeCategory.
spreadsheetSubcategory.officeOds[][false]

content.attachmentFormats.unknown[][false]

Dictionnaire modifié :

content.attachmentFormats.archiveCategory.
archiveArj[true][false]

Les enregistrements pour d'autres types de fichiers ne sont pas ajoutés car les autres types de fichiers n'ont pas changé.

Dictionnaire supprimé :

content.attachmentFormats.archiveCategory.archive7z
[true][]

content.attachmentFormats.archiveCategory.archiveAce
[true][]

content.attachmentFormats.archiveCategory.archiveArj
[false][]

content.attachmentFormats.executableCategory.
executableWin[true][]content.attachmentFormats.
imageCategory.animationSubcategory.multimediaSwf
[true][]

Pour tout autre type de fichiers, des enregistrements comme celui-ci seront affichés :

content.attachmentFormats.<code de catégorie>.<type de fichier>[false][]

Haut de page