有关警报的 syslog 邮件的内容和属性

file_web

检测到来自 Web 的文件

在网络流量中检测到文件。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• dst = <目标 IP 地址>。
• dpt = <目标端口>。
• src = <源 IP 地址>。
• spt = <源端口>。
• shost = <检测到文件的主机的名称>。
• suser = <用户名称>。
• fName = <复合对象内文件的路径>。
• fsize = <复合对象中文件的大小（以字节为单位）>。
• fileType = <复合对象中文件的格式>。
• fileHash = <复合对象中文件的 MD5 哈希>。
• KasperskyLabKATAcompositeFilePath = <复合对象的名称>。
• KasperskyLabKATAcompositeFileSize = <复合对象的总大小（以字节为单位）>。
• KasperskyLabKATAcompositeFileHash = <复合对象的 MD5 哈希>。
• KasperskyLabKATAfileSHA256 = <复合对象的 SHA256 哈希>。
• cs2 = <用于检测文件的技术>。
• cs3Label = <检测到文件的虚拟机的名称（仅限 Sandbox 组件）。
• cs1 = <根据卡巴斯基实验室类别检测到的对象的名称>。
• cs3 = <用于扫描文件的数据库的版本>。
• app = <应用程序级协议>（HTTP(S) 或 FTP) 的名称)。
• requestMethod = <HTTP 请求方法>（仅适用于 HTTP(S) 协议）。
• requestClientApplication = <客户端计算机的用户代理>（仅适用于 HTTP(S) 协议）。
• request = <检测到的对象的 URL> （仅适用于 HTTP(S) 协议）。
• requestContext = <HTTP Referrer 头> （仅适用于 HTTP(S) 协议）。

file_mail

检测到邮件的文件

在邮件流量中检测到文件。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• fName = <复合对象内文件的路径>。
• fsize = <复合对象中文件的大小（以字节为单位）>。
• fileType = <复合对象中文件的格式>。
• fileHash = <复合对象中文件的 MD5 哈希>。
• KasperskyLabKATAcompositeFilePath = <复合对象的名称>。
• KasperskyLabKATAcompositeFileSize = <复合对象的总大小（以字节为单位）>。
• KasperskyLabKATAcompositeFileHash = <复合对象的 MD5 哈希>。
• KasperskyLabKATAfileSHA256 = <复合对象的 SHA256 哈希>。
• KasperskyLabKATAmailEnvelopeFrom = <发件人电子邮件地址>（来自“已接收”标头）。
• KasperskyLabKATAmailFor = <收件人电子邮件地址>（来自“已接收”标头）。
• KasperskyLabKATAmailRecievedFromIp = <邮件传递链中第一台服务器的 IP 地址>（来自“已接收”标头）。
• cs2 = <用于检测文件的技术>。
• cs3Label = <检测到文件的虚拟机的名称（仅限 Sandbox 组件）。
• cs1 = <根据卡巴斯基实验室类别检测到的对象的名称>。
• cs3 = <用于扫描文件的数据库的版本>。
• externalId = <邮件消息 ID>。
• suser = <发件人的电子邮件地址>。
• duser = <收件人的电子邮件地址>。
• msg = <邮件主题>。

ids

检测到的 IDS 事件

入侵检测系统模块生成了一条警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• requestMethod = <HTTP 请求方法>（仅适用于 HTTP(S) 协议）。
• requestClientApplication = <客户端计算机的用户代理>（仅适用于 HTTP(S) 协议）。
• rt = <警报的日期和时间>。
• dst = <目标 IP 地址>。
• dpt = <目标端口>。
• src = <源 IP 地址>。
• spt = <源端口>。
• proto = <网络级协议的名称>（TCP 或 UDP）。
• cs1 = <根据卡巴斯基实验室类别检测到的对象的类型>。
• cs2Label = <IDS 规则的名称>。
• cs2 = <IDS 规则的编号>。
• cs3 = <入侵检测系统模块数据库版本>。
• requestMethod = <HTTP 请求方法>（仅适用于 HTTP(S) 协议）。
• requestClientApplication = <客户端计算机的用户代理>（仅适用于 HTTP(S) 协议）。
• request = <检测到的对象的 URL>。

url_web

检测到 Web 的 URL

网络流量中的 URL 信誉技术或 Sandbox 生成了一条警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• dst = <目标 IP 地址>。
• dpt = <目标端口>。
• src = <源 IP 地址>。
• spt = <源端口>。
• shost = <检测到文件的主机的名称>。
• suser = <用户名称>。
• cs1 = <检测到的对象的 URL 所属的分类列表>。
• requestMethod = <HTTP 请求方法>。
• requestClientApplication = <客户端计算机的用户代理>。
• request = <检测到的对象的 URL>。
• requestContext = <HTTP Referer 标头>。
• reason = <HTTP 响应代码>。

url_mail

检测到邮件的 URL

邮件流量中的 URL 信誉技术或 Sandbox 生成了一条警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• externalId = <邮件消息 ID>。
• suser = <发件人的电子邮件地址>。
• duser = <收件人的电子邮件地址>。
• KasperskyLabKATAmailEnvelopeFrom = <发件人电子邮件地址>（来自“已接收”标头）。
• KasperskyLabKATAmailFor = <收件人地址>（来自“已接收”标头）。
• KasperskyLabKATAmailRecievedFromIp = <邮件传递链中第一台服务器的 IP 地址>（来自“已接收”标头）。
• msg = <邮件主题>。
• request = <检测到的对象的 URL>。
• cs2 = <用于生成警报的技术>（Sandbox 或URL信誉）。
• cs3Label = <检测到文件的虚拟机的名称（仅限 Sandbox）。
• cs1 = <根据卡巴斯基实验室分类检测到的对象类型列表>（适用于 Sandbox 组件）或<类别列表>（适用于 URL 信誉）。
• cs3 = <用于扫描文件的数据库的版本>（仅适用于 Sandbox）。

dns

检测到DNS请求

DNS 流量中的 URL 信誉技术生成了一条警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• dst = <目标 IP 地址>。
• dpt = <目标端口>。
• src = <源 IP 地址>。
• spt = <源端口>。
• shost = <检测到文件的主机的名称>。
• suser = <用户名称>。
• cs2 = <域名所属的URL类别列表>。
• requestMethod = <DNS 信息类型>（请求或响应）。
• flexString1 = <来自 DNS 请求的记录类型>。
• dhost = <来自 DNS 请求的主机名>。
• cs1 = <DNS响应中的域名列表>。

file_endpoint

检测到端点的文件

用户计算机上的 Endpoint Agent 组件生成了一条警报，并且该警报包含文件。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• src = <源 IP 地址>。
• shost = <检测到文件的主机的名称>。
• fName = <复合对象内文件的路径>。
• fsize = <复合对象中文件的大小（以字节为单位）>。
• fileType = <复合对象中文件的格式>。
• fileHash = <复合对象中文件的 MD5 哈希>。
• KasperskyLabKATAcompositeFilePath = <复合对象的名称>。
• KasperskyLabKATAcompositeFileSize = <复合对象的总大小（以字节为单位）>。
• KasperskyLabKATAcompositeFileHash = <复合对象的 MD5 哈希>。
• KasperskyLabKATAfileSHA256 = <复合对象的 SHA256 哈希>。
• cs2 = <用于检测文件的技术>。
• cs3Label = <检测到文件的虚拟机的名称（仅限 Sandbox 组件）。
• cs1 = <根据卡巴斯基实验室类别检测到的对象的名称>。
• cs3 = <用于扫描文件的数据库的版本>。
• app = <应用程序级协议>（HTTP(S) 或 FTP) 的名称)。
• 文件路径 = <位于具有 Endpoint Sensor 组件的计算机上的文件的路径>。

iocScanning

IOC 在端点上绊倒

该警报是在使用 Windows Endpoint Agent 组件对主机执行 IOC 扫描时生成的。

如果您使用 KEDR 功能，则可以使用此类警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• src = <源 IP 地址>。
• shost = <检测到文件的主机的名称>。
• cs1 = <生成警报的 IOC 文件的名称>。

taaScanning

TAA 在事件数据库上绊倒

IOA 事件分析产生的警报。

如果您使用 KEDR 功能，则可以使用此类警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• shost = <生成警报的主机名称>。
• cs1 = <生成警报的 IOA 规则的名称>。

yaraScanningEP

YARA 在端点上绊倒

该警报是在使用 Windows Endpoint Agent 组件对主机执行 YARA 扫描时生成的。

如果您使用 KEDR 功能，则可以使用此类警报。

• dvchost = <具有 Central Node 组件的服务器名称>。
• eventId = <警报 ID>。
• rt = <警报的日期和时间>。
• src = <源 IP 地址>。
• shost= <生成警报的主机名称>。
• cs1 = <生成警报的 YARA 规则的名称>。

心跳

包含组件状态的定期消息。

• dvchost = <具有 Central Node 组件的服务器名称>。
• rt = <事件日期和时间>。
• KasperskyLabKATAcomponentName = <组件的名称>。
• KasperskyLabKATAcomponentState = <组件的状态> (0 – OK, >0 – 错误）。