Содержание и свойства syslog-сообщений в формате CEF
25 апреля 2024
ID 151684
Информация о каждом обнаруженном событии передается как отдельное syslog-сообщение формата CEF, имеющее кодировку UTF-8.
Сообщение в формате CEF состоит из тела сообщения и заголовка. В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:
- дата и время события;
- имя хоста, на котором произошло событие;
- название приложения (всегда имеет значение
KSMG).
Поля syslog-сообщения о событии, определяемые параметрами приложения, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.
Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.
Пример:
|
Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен KSMG.
