- Kaspersky Web Traffic Security
- 授权应用程序
- 扩展 Kaspersky Web Traffic Security
- 从 RPM 或 DEB 包进行应用程序安装和初始配置
- 安装和初始配置从 ISO 镜像部署的应用程序
- 应用程序入门指南
- 应用程序运行监控
- 报告
- Kaspersky Web Traffic Security 事件日志
- 使用流量处理规则
- 管理工作区
- 使用角色和用户账户
- 管理集群
- 保护网络流量
- ICAP 服务器设置
- 阻止页面
- 导出和导入设置
- 将应用程序从版本6.0升级到版本6.1
- 安装更新包
- 安装 kwts_upgrade_6.1.0.4762_os_security_november_2024 更新包
- 配置服务器时间
- 配置代理服务器连接设置
- 更新 Kaspersky Web Traffic Security 数据库
- 加入卡巴斯基安全网络并使用卡巴斯基专有安全网络
- 连接到 LDAP 服务器
- 配置与 Kaspersky Anti Targeted Attack Platform 的集成
- Syslog 事件日志
- 通过 SNMP 协议管理应用程序
- 单点登录授权
- 在应用程序的 web 界面管理内置代理服务器设置
- 解密 TLS/SSL 连接
- 应用程序信息源
- 将应用程序事件发布到 SIEM 系统
- 与技术支持联系
- 附录 1。安装和配置 Squid 服务
- 附录 2。配置 Squid 服务和 Active Directory 集成
- 附录 3。使用 HAProxy 配置 ICAP 平衡
- 附录 4。MIME 类型的对象
- 附录 5。URL 规范化
- 附录 6。网站类别
- 附录 7。取决于代理服务器类型和所需保护级别的物理处理器内核带宽值
- 附录 8。取决于代理服务器类型和所需保护级别的虚拟处理器带宽值
- 术语表
- AO Kaspersky Lab
- 第三方代码信息
- 商标声明
将应用程序事件发布到 SIEM 系统 > CEF 格式的系统日志消息的内容和属性
CEF 格式的系统日志消息的内容和属性
CEF 格式的系统日志消息的内容和属性
有关每个检测到的事件的信息在事件发生后立即以 UTF-8 编码的 CEF 格式作为单独的系统日志消息发送。
CEF 消息由消息正文和标题组成。
CEF 消息标头由以下部分组成:
- Syslog 前缀:
<事件日期和时间><发生事件的主机的名称>。 - 一个由“|”字符分隔开并用空格与 syslog 前缀分隔开的字段序列。所有字段都需要。
- 格式版本。目前,版本号为 0,因此该字段看起来像“CEF:0”。
- 供应商。该字段的值为
AO Kaspersky Lab。 - 应用程序名称。该字段的值为
Kaspersky Web Traffic Security。 - 产品版本。该字段的值是产品的当前版本 (
6.1.0.xxxx)。 - 事件类别。
- 事件名称。
- 严重级别。可以是
低、中或高。示例:
2021 年 10 月 30 日 10:34:23host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
有关事件的 syslog 消息的字段,由应用程序选项定义,具有 <密钥>="<值>”格式。如果密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
消息中包含的密钥及其值取决于事件的类别。
有关检测到的事件的系统日志消息的最大大小取决于安装 Kaspersky Web Traffic Security 的服务器上的系统日志设置值。您只能将系统日志消息配置到单个外部系统日志服务器。
CEF 消息中的字符编码规则:
- 空格不需要转义。
- 在标题中,竖线字符(“|”)用作分隔符。如果需要在一个标头字段中使用此字符,必须使用反斜杠(“\|”)对其进行转义。在消息正文中,不需要转义“|”字符。
- 消息标头或消息正文中不允许使用单个反斜杠。如果需要在标头字段中使用它,请复制字符(“\\”)。
- 在消息正文中,“=”字符用作“key-value”对的分隔符。如果需要在一个邮件正文字段中使用此字符,必须使用反斜杠 (“\=”) 将其转义。在标头中,“=”字符不需要转义。
- 多行值仅适用于键/值对中的值。要指示换行,请使用“\n”或“\r”字符。
|
本部分内容: |
文章 ID: 267200, 上次审阅: 2024年12月19日