CEF 格式的审核事件 syslog 邮件的内容和属性
2024年12月12日
ID 287672
如果满足以下所有条件,则审核事件将以 CEF 格式记录:
每个检测到的审核事件的信息作为单独 syslog 邮件以 UTF-8 编码的 CEF 格式转发。事件日志记录类别在“设置→日志和事件 →Syslog →CEF 格式 →启用 CEF 日志格式”部分指定。
CEF 格式的邮件由邮件正文和标头组成。每个 Syslog 消息都包含由操作系统中的 Syslog 协议设置定义的以下字段:
- 事件的日期和事件
- 发生了事件的主机的名称
- 应用程序名称(始终为 KSMG)
应用程序设置定义的 Syslog 事件消息字段具有 key >="value >" 格式。如果一个键有多个值,则这些值用逗号分隔。
消息中包含的键及其值取决于事件的具体类别。
示例: Aug 14 17:07:42 host.domain.com KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.1.1.1234|LMS_AUDIT_DICTIONARY|Dictionary created|<severity>|externalId=<external ID> outcome=success dst=0.0.0.0 dpt=9045 cn1Label=EventPart cn1=1 cn2Label=TotalEventParts cn2=1 KSMGAccountType=<account type> src=0.0.0.1 suser=<username> KSMGUserRole=<role> cs1Label=ChangedSettings cs1=attachmentFormats.officeCategory.spreadsheetSubcategory.officeOds[][False];content.attachmentFormats.unknown[][False];content.texts.regexList.Added[r3];content.texts.textList.Added[t1];content.texts.wildcardList.Added[w2];content.type[][Text];description[][];element_type[][Text];id[][18];name[][Dictionary_11]; cn3Label=DictionaryID cn3=18 cs2Label=DictionaryName cs2=Dictionary_11 |
检测到事件的 syslog 邮件的最大大小取决于安装了 KSMG 的服务器上的 syslog 设置的值。