技术支持

企业产品

Kaspersky Secure Mail Gateway

附录

审核事件记录中的词典设置代码

审核事件记录中的词典设置代码

2024年12月12日

ID 287161

如果在事件日志设置中启用了审核事件和修改设置的日志记录，则在“规则→词典”部分创建、编辑或删除词典时，有关更改的详细信息会记录在审核日志事件中。

“词典使用”设置组的更改不被记录。

下表显示了词典设置在审核日志记录中如何编码。

审核事件记录中的词典设置代码

“规则 → 词典”部分的设置	审核事件记录中的代码	示例
词典 ID	`ID` 仅当创建或删除词典时才会记录设置的更改。	创建的词典： `id[][1]` `name[][New dictionary]` `description[][]` `content.type[][Text]` 修改的词典： `name[New dictionary][Test dictionary]` `description[][Some desc]` 删除的词典： `id[1][]` `name[Test dictionary][]` `description[Some desc][]` `content.type[Text][]`
名称	`name`
描述	`description`
词典内容	`content.type` 可能的值： `texts`，如果选择了“字符串”。 `attachmentFormats`，如果选择了“文件类型”。
文本	`content.texts.textList` 创建具有字符串内容类型的词典后，审核日志记录还将包含以下格式的“搜索类型”设置的行： `content.attachmentFormats.<category code>.<file type code>[][false]` 如果数据类别有子类别，则记录包含`<category code>.<` `subcategory code>.` 有关类别、子类别和文件类型代码，请参阅审核事件中的词典类别和文件类型代码。	创建的词典： `content.texts.textList.Added[Abc Def]` 修改的词典： `content.texts.textList.Added[Ghi Xyz]` `content.texts.textList.Removed[Def]` 删除的词典： `content.texts.textList.Removed[Abc Ghi Xyz]`
通配符	`content.texts.wildcardList` 创建具有字符串内容类型的词典后，审核日志记录还将包含以下格式的“搜索类型”设置的行： `content.attachmentFormats.<category code>.<file type code>[][false]`	创建的词典： `content.texts.wildcardList.Added[.exe]` 修改的词典： `content.texts.wildcardList.Added[.vbs]` `content.texts.wildcardList.Removed[.exe]` 删除的词典： `content.texts.wildcardList.Removed[.vbs]`
正则表达式	`content.texts.regexList` 创建具有字符串内容类型的词典后，事件记录还将包含以下格式的“搜索类型”设置记录： `content.attachmentFormats.<category code>.<file type code>[][false]`	创建的词典： `content.texts.regexList.Added[^test_pattern$]` 修改的词典： `content.texts.regexList.Added[\Atest_pattern\z]` `content.texts.regexList.Removed[^test_pattern$]` 删除的词典： `content.texts.regexList.Removed[\Atest_pattern\z]`
搜索类型	创建或删除词典时，将为每种文件类型记录以下形式的一行： `content.attachmentFormats.<category code>.<subcategory code>.<file type code>` 修改词典时，对于复选框状态已发生变化的文件类型，将记录以下形式的行： `content.attachmentFormats.<category code>.<subcategory code>.<file type code>` 创建带有“文件类型”内容类型的词典后，日志还包含以下格式的文本、通配符、正则表达式设置的记录： `content.texts.textList.Added[]` `content.texts.wildcardList.Added[]` `content.texts.regexList.Added[]`	该词典是为以下文件类型创建的：7Z*；ACR；ARJ；EXE；DLL；OCX；SCR；SWF。 `content.attachmentFormats.archiveCategory.archive7z[][true]` `content.attachmentFormats.archiveCategory.archiveAce[][true]` `content.attachmentFormats.archiveCategory.archiveArj[][true]` `content.attachmentFormats.executableCategory.` `executableWin[][true` `content.attachmentFormats.imageCategory.` `animationSubcategory.multimediaSwf[][true]` 还为所有未选择的文件类型添加了以下行： `content.attachmentFormats.archiveCategory.archiveBzip2[][false]` `...` `content.attachmentFormats.archiveCategory.archiveZip[][false]` `...` `content.attachmentFormats.officeCategory.` `spreadsheetSubcategory.officeOds[][false]` `content.attachmentFormats.unknown[][false]` 修改的词典： `content.attachmentFormats.archiveCategory.` `archiveArj[true][false]` 没有为其他文件类型添加记录，因为其他文件类型没有变化。删除的词典： `content.attachmentFormats.archiveCategory.archive7z` `[true][]` `content.attachmentFormats.archiveCategory.archiveAce` `[true][]` `content.attachmentFormats.archiveCategory.archiveArj` `[false][]` `content.attachmentFormats.executableCategory.` `executableWin[true][]content.attachmentFormats.` `imageCategory.animationSubcategory.multimediaSwf` `[true][]` 对于所有其他文件类型，都会记录如下内容： `content.attachmentFormats.<category code>.<file type>[false][]`

Kaspersky Endpoint Security for Business Advanced: Adaptive security of your company

Web and device controls. Data encryption. Centralized and convenient management from a single console.

Kaspersky Premium Support (MSA): High‑priority incident processing

Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).

您觉得这篇文章有帮助吗？

我们可以做什么更好？

感谢您的反馈！你正在帮助我们进步。

感谢您的反馈！你正在帮助我们进步。