有關流量處理事件的 syslog 訊息的內容
2023年12月13日
ID 179953
每個 syslog 記錄訊息都包含由作業系統中的 Syslog 協定參數定義的以下欄位:
- 事件的日期和事件;
- 發生事件的主機名稱;
- 應用程式的名稱(值始終是
KWTS
)。
有關流量處理事件的 syslog 訊息的欄位,由應用程式選項定義,具有 <金鑰>="<值>"
格式。如果金鑰具有多個值,則這些值將用逗號分隔。冒號用作金鑰之間的分隔符號。
示例:
|
下表中顯示了這些金鑰及其包含在訊息中的值。
有關 syslog 訊息中的流量處理事件的資訊
金鑰 | 說明和可能的值 |
---|---|
| HTTP 訊息的類型。其值可能為 |
| HTTP 請求方法。 |
| 對偵測到的物件執行的操作。它可以採用以下值之一:
|
| 導致網頁資源被封鎖的流量處理規則的名稱。 其將用以下格式顯示:
|
| 導致使用者重定向到指定 URL 的流量處理規則的名稱。 其將用以下格式顯示:
|
| HTTP 訊息處理持續時間(毫秒)。 計算時間為從 HTTP 訊息標頭處理開始到完成的掃描記錄儲存在應用程式事件記錄和 Syslog 事件記錄中為止。 |
| HTTP 訊息掃描結果。 如果偵測到多個威脅,系統將顯示優先順序最高的威脅。 如果威脅已被解毒或未被偵測到,優先順序最高的掃描結果將顯示在(已解毒,未偵測到,未掃描)中。 |
| 與流量處理事件相關聯的工作區名稱。如果沒有工作區,則顯示一個破折號。 |
| 初始化 HTTP 請求的使用者帳戶名稱。 |
| 發起了 HTTP 請求的用戶端應用程式。 |
| 從其傳送 HTTP 請求的電腦的 IP 位址。 |
| 使用者請求了的網頁資源的 URL。 |
| 從 URL 掃描結果以檢查它們是否與 KATA 偵測到的物件比對。 可以使用以下值:
|
對於多部分 MIME 類型物件,提供給所有組成部分的資訊。對於每個組成部分, 例如, | |
| 掃描物件的名稱。 如果 HTTP 訊息不包含任何物件,則指示 |
| 掃描物件的大小。 如果 HTTP 訊息不包含物件或應用規則不需要檔案大小,將指示 |
| 多部分物件組成部分的 MIME 類型。使用 Content-Type 標頭。 如果 HTTP 訊息不包含物件或應用規則不需要 MIME 類型定義,將指示 |
| 檢查物件是否必須傳送到 KATA 伺服器的結果。 可以使用以下值:
|
| 應用程式分配給物件的 ID。 當檢查物件是否必須被傳送到 KATA 伺服器時,只有當分配給以下一個狀態時才會傳輸 ID:
對於其它狀態,系統將傳送空白值的“ |
| 以下格式的觸發流量處理規則的名稱:
如果規則未與工作區關聯,則會顯示一個破折號,而不是工作區名稱。 如果規則不是一組規則的一部分,則會顯示一個破折號,而不是群組名稱。 如果沒有套用流量處理規則,將套用預設防護政策。將顯示 |
| 由病毒防護模組掃描網頁資源的結果。 可以使用以下值:
|
| 釣魚防護模組掃描網頁資源的結果。 可以使用以下值:
|
| 掃描連結尋找惡意物件的結果。 可以使用以下值:
|
| 有關掃描物件的加密的資訊。 可以使用以下值:
|
| 有關掃描物件中是否存在巨集的資訊。 可以使用以下值:
|
| 掃描包含在 HTTP 訊息或組成部分(對於多部分物件)中的檔案以檢查它們是否與 KATA 偵測到的物件比對的結果。 可以使用以下值:
|