有关流量处理事件的 syslog 消息的内容
2023年12月13日
ID 179953
每个 syslog 日志消息都包含由操作系统中的 Syslog 协议参数定义的以下字段:
- 事件的日期和事件;
- 发生事件的主机名称;
- 应用程序的名称(值始终是
KWTS
)。
有关流量处理事件的 syslog 消息的字段,由应用程序选项定义,具有 <密钥>="<值>”
格式。如果密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
示例:
|
下表中显示了这些密钥及其包含在消息中的值。
有关 syslog 消息中的流量处理事件的信息
密钥 | 说明和可能的值 |
---|---|
| HTTP 消息的类型。其值可能为 |
| HTTP 请求方法。 |
| 对检测到的对象执行的操作。它可以采用以下值之一:
|
| 导致 web 资源被阻止的流量处理规则的名称。 其将用以下格式显示:
|
| 导致用户重定向到指定 URL 的流量处理规则的名称。 其将用以下格式显示:
|
| HTTP 消息处理持续时间(毫秒)。 计算时间为从 HTTP 消息标头处理开始到完成的扫描记录保存在应用程序事件日志和 Syslog 事件日志中为止。 |
| HTTP 消息扫描结果。 如果检测到多个威胁,系统将显示优先级最高的威胁。 如果威胁已被清除或未被检测到,优先级最高的扫描结果将显示在 (已清除, 未检测到, 未扫描) 中。 |
| 与流量处理事件相关联的工作区名称。如果没有工作区,则显示一个破折号。 |
| 初始化 HTTP 请求的用户账户名称。 |
| 发起了 HTTP 请求的客户端应用程序。 |
| 从其发送 HTTP 请求的计算机的 IP 地址。 |
| 用户请求了的 web 资源的 URL。 |
| 从 URL 扫描结果以检查它们是否与 KATA 检测到的对象匹配。 可以使用以下值:
|
对于多部分 MIME 类型对象,提供给所有组成部分的信息。对于每个组成部分, 例如, | |
| 扫描对象的名称。 如果 HTTP 消息不包含任何对象,则指示 |
| 扫描对象的大小。 如果 HTTP 消息不包含对象或应用规则不需要文件大小,将指示 |
| 多部分对象组成部分的 MIME 类型。使用 Content-Type 标头。 如果 HTTP 消息不包含对象或应用规则不需要 MIME 类型定义,将指示 |
| 检查对象是否必须发送到 KATA 服务器的结果。 可以使用以下值:
|
| 应用程序分配给对象的 ID。 当检查对象是否必须被发送到 KATA 服务器时,只有当分配给以下一个状态时才会传输 ID:
对于其它状态,系统将发送空白值的“ |
| 以下格式的触发流量处理规则的名称:
如果规则未与工作区关联,则会显示一个破折号,而不是工作区名称。 如果规则不是一组规则的一部分,则会显示一个破折号,而不是组名称。 如果没有应用流量处理规则,将应用默认保护策略。将显示 |
| 由反病毒模块扫描 web 资源的结果。 可以使用以下值:
|
| 反钓鱼模块扫描 web 资源的结果。 可以使用以下值:
|
| 扫描链接查找恶意对象的结果。 可以使用以下值:
|
| 有关扫描对象的加密的信息。 可以使用以下值:
|
| 有关扫描对象中是否存在宏的信息。 可以使用以下值:
|
| 扫描包含在 HTTP 消息或组成部分(对于多部分对象)中的文件以检查它们是否与 KATA 检测到的对象匹配的结果。 可以使用以下值:
|