Классы событий группы ScanLogic

Поддержка

Поддержка приложений для бизнеса

Kaspersky Secure Mail Gateway

Публикация событий приложения в SIEM-систему

Содержание и свойства syslog-сообщений в формате CEF

Классы событий группы ScanLogic

25 апреля 2024

ID 151789

В теле CEF-сообщений классов событий группы ScanLogic допустимо использование ключей в соответствии с их семантикой (см. таблицу ниже).

Допустимые значения полей классов событий группы ScanLogic

Класс событий	Ключ	Значение
Все классы группы ScanLogic	cs1	ID сообщения.
	cs1Label	Всегда имеет значение `MessageId`.
	src	IP-адрес сервера, от которого получено сообщение, в формате IPv4.
	c6a2	IP-адрес сервера, от которого получено сообщение, в формате IPv6.
	act	Окончательное действие, выполненное над сообщением.
	suser	Отправитель сообщения. Адрес берется из SMTP-сессии.
	duser	Список получателей сообщения. Адреса берутся из SMTP-сессии.
	cs2	Список правил.
	cs2Label	Всегда имеет значение `Rules`.
	outcome	Статус проверки.
	KSMGMessageSubject	Тема письма.
	KSMGRuleNames	Имена правил.
	KSMGAvDetectionMethods	Способ обнаружения.
	fileHash	Хеш MIME-части сообщения.
	KSMGMessageHashType	Алгоритм подсчета хеша.
	KSMGBackupResult	Показывает, отправлено ли сообщение в Хранилище.
	KSMGApStatus	Результат проверки модулем Анти-Фишинг.
	KSMGMlfStatus	Результат проверки ссылок.
	KSMGAvStatus	Результат проверки модулем Антивирус.
	KSMGAsStatus	Результат проверки модулем Анти-Спам.
	KSMGCfStatus	Результат проверки модулем Контентная фильтрация.
	KSMGMaStatus	Результат проверки подлинности отправителей сообщений.
	KSMGKtStatus	Результат проверки модулем Защита KATA.
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED	reason	Причина возникновения события. Возможные значения: `InternalError` `Cancelled`
LMS_EV_SCAN_LOGIC_AV_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs4	Метод обнаружения. Возможные значения: `None` `Local bases` `KSN` `KPSN user data`
	fsize	Размер сообщения.
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Encrypted` `Error` `Disinfected` `Infected`
LMS_EV_SCAN_LOGIC_AS_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	cs4	Метод обнаружения. Возможные значения могут меняться и не зависят от версии продукта.
	cs4Label	Всегда имеет значение `Method`.
	fsize	Размер сообщения.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Trusted` `Formal` `Error` `ProbableSpam` `Denylisted` `Spam` `MASSMAIL`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_AP_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	cs4	Метод обнаружения. Возможные значения: `None` `Local bases` `KSN` `KPSN user data` `Heuristics`
	cs4Label	Всегда имеет значение `Method`.
	fsize	Размер сообщения.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Error` `Phishing`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_MLF_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	cs4	Метод обнаружения. Возможные значения: `None` `Local bases` `KSN` `KPSN user data`
	cs4Label	Всегда имеет значение `Method`.
	fsize	Размер сообщения.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Error` `Detected`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_MA_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	cs4	Заключение SPF. Возможные значения: `NotScanned` `InternalError` `None` `Pass` `Fail` `SoftFail` `Policy` `Neutral` `TempError` `PermError` `Policy, domain mismatch` `Ignored, private IP`
	cs4Label	Всегда имеет значение `SpfVerdict`.
	cs5	Заключение DKIM.
	cs5Label	Всегда имеет значение `DkimVerdict`.
	cs6	Заключение DMARC.
	cs6Label	Всегда имеет значение `DmarcVerdict`.
	fsize	Размер сообщения.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `ViolationNotFound` `ViolationFound`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_KT_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Rejected` `Deleted`
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	cs4	Причина пропуска сканирования. Возможные значения: `NoReason` `Filtered` `Timeout` `Proceed` `QueueLimitExceeded` `Disabled` `MessageSizeLimitExceeded`
	cs4Label	Всегда имеет значение `SkipReason`.
	cs5	Имя учетной записи пользователя, который извлек сообщение из KATA-карантина.
	cs5Label	Всегда имеет значение `Account`.
	fsize	Размер сообщения.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Error` `Detected` `Skipped`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy` `NotScanned`
LMS_EV_SCAN_LOGIC_CF_STATUS	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	cs3	Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии.
	cs3Label	Всегда имеет значение `UnsafeRecipients`.
	cs4	Список имён применённых выражений.
	cs4Label	Всегда имеет значение `DetectedEntity`.
	fsize	Размер сообщения.
	outcome	Статус проверки. Возможные значения: `NotScanned` `BasesError` `NotDetected` `Error` `MatchedContent`
	reason	Причина возникновения события. Возможные значения: `already processed by another module` `size-limit` `nesting-level` `filename` `disabled by settings` `license restriction` `denylist` `allowlist` `personal denylist` `personal allowlist` `policy`
LMS_EV_SCAN_LOGIC_PART_RESULT	cn1	Количество вылеченных или удаленных объектов по итогам проверки Антивирусом. Заполняется только для архивов.
	cn1Label	Всегда имеет значение `ObjectsNumber`.
	cs3	Непроверенные файлы.
	cs3Label	Всегда имеет значение `AvExclude`.
	cs4	Список имен найденных угроз.
	cs4Label	Всегда имеет значение `Threats`.
	cs5	Список сработавших выражений контентной фильтрации.
	cs5Label	Всегда имеет значение `AppliedExpressions`.
	fname	Имя файла.
	fsize	Размер MIME-части сообщения.
	outcome	Статус проверки. Возможные значения: `BasesError` `NotDetected` `Encrypted` `Error` `Disinfected` `Infected`
	reason	Причина отсутствия проверки модулем Антивирус. Возможные значения: `NoReason` `SizeLimit` `NestingLevel` `Filename` `FileFormat`
LMS_EV_SCAN_LOGIC_URL	cs3	URL-адрес.
LMS_EV_SCAN_LOGIC_URL	cs3Label	Всегда имеет значение `URL`.
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	act	Окончательное действие, выполненное над сообщением. Возможные значения: `Skipped` `Disinfected` `AttachmentsDeleted` `Rejected` `Deleted`
	fsize	Размер сообщения.
	reason	Причина возникновения события. Возможные значения: `NoReason` `AntiSpam` `AntiVirus` `ContentFiltering` `AntiPhishing` `FailedToBackup` `PersonalDenyList` `MessageAuthentication` `Kata` `MlfScanning`
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT	fsize	Размер сообщения.

В каждом классе событий группы ScanLogic допустимо присутствие только релевантных ему ключей (см. таблицу ниже).

Релевантные ключи для классов событий группы ScanLogic

Класс событий	Релевантные ключи
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason
LMS_EV_SCAN_LOGIC_AS_STATUS	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames
LMS_EV_SCAN_LOGIC_AV_STATUS	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames
LMS_EV_SCAN_LOGIC_MLF_STATUS	cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames
LMS_EV_SCAN_LOGIC_AP_STATUS	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject
LMS_EV_SCAN_LOGIC_KT_STATUS	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames
LMS_EV_SCAN_LOGIC_MA_STATUS	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, KSMGMessageSubject, KSMGRuleNames
LMS_EV_SCAN_LOGIC_CF_STATUS	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames
LMS_EV_SCAN_LOGIC_PART_RESULT	cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods
LMS_EV_SCAN_LOGIC_URL	cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP	cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT	cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus

Kaspersky Endpoint Security для бизнеса Расширенный — адаптивная защита вашей компании

Веб-контроль и контроль устройств. Шифрование данных. Удобное управление защитой из единой консоли.

Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов

Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!