CEF 格式的系统日志消息的内容和属性

有关每个检测到的事件的信息在事件发生后立即以 UTF-8 编码的 CEF 格式作为单独的系统日志消息发送。

CEF 消息由消息正文和标题组成。

CEF 消息标头由以下部分组成：

• Syslog 前缀：<事件日期和时间> <发生事件的主机的名称>。
• 一个由“|”字符分隔开并用空格与 syslog 前缀分隔开的字段序列。所有字段都需要。
  • 格式版本。目前，版本号为 0，因此该字段看起来像“CEF:0”。
  • 供应商。该字段的值为AO Kaspersky Lab。
  • 应用程序名称。该字段的值为Kaspersky Web Traffic Security。
  • 产品版本。该字段的值是产品的当前版本 ( 6.1.0.xxxx )。
  • 事件类别。
  • 事件名称。
  • 严重级别。可以是低、中或高。

    示例： 2021 年 10 月 30 日 10:34:23 host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…

有关事件的 syslog 消息的字段，由应用程序选项定义，具有 <密钥>="<值>”格式。如果密钥具有多个值，则这些值将用逗号分隔。冒号用作密钥之间的分隔符。

消息中包含的密钥及其值取决于事件的类别。

有关检测到的事件的系统日志消息的最大大小取决于安装 Kaspersky Web Traffic Security 的服务器上的系统日志设置值。您只能将系统日志消息配置到单个外部系统日志服务器。

CEF 消息中的字符编码规则：

• 空格不需要转义。
• 在标题中，竖线字符（“|”）用作分隔符。如果需要在一个标头字段中使用此字符，必须使用反斜杠（“\|”）对其进行转义。在消息正文中，不需要转义“|”字符。
• 消息标头或消息正文中不允许使用单个反斜杠。如果需要在标头字段中使用它，请复制字符（“\\”）。
• 在消息正文中，“=”字符用作“key-value”对的分隔符。如果需要在一个邮件正文字段中使用此字符，必须使用反斜杠 (“\=”) 将其转义。在标头中，“=”字符不需要转义。
• 多行值仅适用于键/值对中的值。要指示换行，请使用“\n”或“\r”字符。