CEF 格式的系統日誌訊息的內容和屬性

有關每個偵測到的事件的資訊在事件發生後立即以UTF-8 編碼的 CEF 格式作為單獨的系統日誌訊息傳送。

CEF 訊息由訊息正文和標頭組成。

CEF 訊息標頭由以下部分組成：

• Syslog 前綴： <事件日期和時間> <發生事件的主機的名稱>。
• 一個由「|」字元分隔開並以空格與 syslog 前綴分隔開的欄位序列。所有欄位都需要。
  • 格式版本。目前，版本號為 0，因此該欄位看起來像“CEF:0”。
  • 供應商。該欄位的值為AO Kaspersky Lab。
  • 應用程式名稱。此欄位的值為Kaspersky Web Traffic Security。
  • 產品版本。該欄位的值是產品的目前版本( 6.1.0.xxxx )。
  • 事件類別。
  • 事件名稱。
  • 嚴重等級。可以是低、中或高。

    示例： 2021 年10 月30 日10:34:23 host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…

有關事件的 syslog 訊息的欄位，由應用程式選項定義，具有 <金鑰>="<值>" 格式。如果金鑰具有多個值，則這些值將用逗號分隔。冒號用作金鑰之間的分隔符號。

訊息中包含的金鑰及其值取決於事件的類別。

有關偵測到的事件的系統日誌訊息的最大容量取決於安裝 Kaspersky Web Traffic Security 的伺服器上的系統日誌設定值。您只能將系統日誌訊息配置到單一外部系統日誌伺服器。

CEF 訊息中的字元編碼規則：

• 空格不需要轉義。
• 在標頭中，豎線字元（“|”）用作分隔符號。如果需要在一個標頭字段中使用此字元，則必須使用反斜線（“\|”）對其進行轉義。在訊息正文中，不需要轉義“|”字元。
• 訊息標頭或訊息內文中不允許使用單一反斜線。如果需要在標頭欄位中使用它，請複製字元（“\\”）。
• 在訊息正文中，「=」字元用作「key-value」對的分隔符號。如果需要在一個郵件正文字段中使用此字元，則必須使用反斜線(“\=”) 將其轉義。在標頭中，“=”字元不需要轉義。
• 多行值僅適用於鍵/值對中的值。若要指示換行，請使用“\n”或“\r”字元。