如果在稽核記錄設定中啟用了稽核事件日誌記錄,則稽核事件將以標準格式記錄。
每個偵測到的稽核事件的資訊作為單獨 syslog 郵件以 UTF-8 編碼的 CEF 格式轉發。事件日誌記錄類別在“設定 →日誌和事件 →Syslog →標準格式 →Syslog 特性“部分中指定。
標準格式的訊息如下所示:
事件的日期和時間> 節點的 IP 位址和連接埠> KSMG: 事件訊息>
事件的日期和時間遵循發起事件的節點的時區。日期和時間格式由作業系統中的 Syslog 協定設定決定。
應用程式設定定義的 Syslog 事件訊息欄位具有 key >="value >" 格式。如果一個關鍵字有多個值,則這些值會以分號(“;”)分隔。
訊息中包含的關鍵字及其值取決於事件的群組。
範例: Aug 15 09:09:15 host.domain.com 10.16.32.64:9045 KSMG: event-type="authentication": event="authentication_attempt": event-guid="51b06b47-6a47-4349-ae03-7ea0559b683f": event-result="Success": event-part="1": event-total-parts="1": user-account-type="Local": user-ip="0.0.0.0": user-login="Administrator": user-roles="Superuser": auth-type="Local" |
偵測到事件的 syslog 郵件的最大大小取決於安裝了 KSMG 的伺服器上的 syslog 設定的值。
頁面頂端