Les événements d'audit sont enregistrés au format CEF si toutes les conditions suivantes sont remplies :
Les informations sur chaque événement d'audit détecté sont transmises sous forme d'un message syslog distinct au format CEF, avec le codage UTF-8. La catégorie d'enregistrement de l'événement est précisée dans la section Paramètres → Journaux et événements → Syslog → Format CEF → Activer l'enregistrement des événements au format CEF.
Le message au format CEF comprend le corps du message et l'en-tête. Chaque message syslog transmet les champs suivants, définis par les paramètres du protocole Syslog dans le système d'exploitation :
Les champs du message syslog sur l'événement définis par les paramètres de l'application sont présentés au format <clé>="<valeur>". Si la clé a plusieurs valeurs, ces valeurs sont séparées par des virgules.
Les clés, ainsi que leurs valeurs contenues dans le message, dépendent de la classe de l'événement.
Exemple : Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
La taille maximale du message syslog sur l'événement détecté dépend des valeurs des paramètres syslog sur le serveur où est installé KSMG.
Haut de page