Содержание и свойства syslog-сообщений в формате CEF

Информация о каждом обнаруженном событии передается как отдельное syslog-сообщение формата CEF, имеющее кодировку UTF-8.

Сообщение в формате CEF состоит из тела сообщения и заголовка. В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:

• дата и время события;
• имя хоста, на котором произошло событие;
• название приложения (всегда имеет значение KLMS).

Поля syslog-сообщения о событии, определяемые параметрами приложения, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.

Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.

Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен Kaspersky Security 10 для Linux Mail Server.