Классы событий группы ScanLogic
03 июля 2024
ID 151789
В теле CEF-сообщений классов событий группы ScanLogic допустимо использование ключей в соответствии с их семантикой (см. таблицу ниже).
Допустимые значения полей классов событий группы ScanLogic
Класс событий | Ключ | Значение |
---|---|---|
Все классы группы ScanLogic | cs1 | ID сообщения. |
cs1Label | Всегда имеет значение | |
src | IP-адрес сервера, от которого получено сообщение, в формате IPv4. | |
c6a2 | IP-адрес сервера, от которого получено сообщение, в формате IPv6. | |
act | Окончательное действие, выполненное над сообщением. | |
suser | Отправитель сообщения. Адрес берется из SMTP-сессии. | |
duser | Список получателей сообщения. Адреса берутся из SMTP-сессии. | |
cs2 | Список правил. | |
cs2Label | Всегда имеет значение | |
outcome | Статус проверки. | |
KSMGMessageSubject | Тема письма. | |
KSMGRuleNames | Имена правил. | |
KSMGAvDetectionMethods | Способ обнаружения. | |
fileHash | Хеш MIME-части сообщения. | |
KSMGMessageHashType | Алгоритм подсчета хеша. | |
KSMGBackupResult | Показывает, отправлено ли сообщение в Хранилище. | |
KSMGApStatus | Результат проверки модулем Анти-Фишинг. | |
KSMGMlfStatus | Результат проверки ссылок. | |
KSMGAvStatus | Результат проверки модулем Антивирус. | |
KSMGAsStatus | Результат проверки модулем Анти-Спам. | |
KSMGCfStatus | Результат проверки модулем Контентная фильтрация. | |
KSMGMaStatus | Результат проверки подлинности отправителей сообщений. | |
KSMGKtStatus | Результат проверки модулем Защита KATA. | |
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED | reason | Причина возникновения события. Возможные значения:
|
LMS_EV_SCAN_LOGIC_AV_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs4 | Метод обнаружения. Возможные значения:
| |
fsize | Размер сообщения. | |
reason | Причина возникновения события. Возможные значения:
| |
outcome | Статус проверки. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_AS_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs3 | Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии. | |
cs3Label | Всегда имеет значение | |
cs4 | Метод обнаружения. Возможные значения могут меняться и не зависят от версии продукта. | |
cs4Label | Всегда имеет значение | |
fsize | Размер сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_AP_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs3 | Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии. | |
cs3Label | Всегда имеет значение | |
cs4 | Метод обнаружения. Возможные значения:
| |
cs4Label | Всегда имеет значение | |
fsize | Размер сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_MLF_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs3 | Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии. | |
cs3Label | Всегда имеет значение | |
cs4 | Метод обнаружения. Возможные значения:
| |
cs4Label | Всегда имеет значение | |
fsize | Размер сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_MA_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs3 | Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии. | |
cs3Label | Всегда имеет значение | |
cs4 | Заключение SPF. Возможные значения:
| |
cs4Label | Всегда имеет значение | |
cs5 | Заключение DKIM. | |
cs5Label | Всегда имеет значение | |
cs6 | Заключение DMARC. | |
cs6Label | Всегда имеет значение | |
fsize | Размер сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_KT_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs3 | Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии. | |
cs3Label | Всегда имеет значение | |
cs4 | Причина пропуска сканирования. Возможные значения:
| |
cs4Label | Всегда имеет значение | |
cs5 | Имя учетной записи пользователя, который извлек сообщение из KATA-карантина. | |
cs5Label | Всегда имеет значение | |
fsize | Размер сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_CF_STATUS | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
cs3 | Список получателей уведомлений о срабатывании правила, для которых задано уведомление с оригиналом сообщения во вложении. Адреса берутся из SMTP-сессии. | |
cs3Label | Всегда имеет значение | |
cs4 | Список имён применённых выражений. | |
cs4Label | Всегда имеет значение | |
fsize | Размер сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_PART_RESULT | cn1 | Количество вылеченных или удаленных объектов по итогам проверки Антивирусом. Заполняется только для архивов. |
cn1Label | Всегда имеет значение | |
cs3 | Непроверенные файлы. | |
cs3Label | Всегда имеет значение | |
cs4 | Список имен найденных угроз. | |
cs4Label | Всегда имеет значение | |
cs5 | Список сработавших выражений контентной фильтрации. | |
cs5Label | Всегда имеет значение | |
fname | Имя файла. | |
fsize | Размер MIME-части сообщения. | |
outcome | Статус проверки. Возможные значения:
| |
reason | Причина отсутствия проверки модулем Антивирус. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_URL | cs3 | URL-адрес. |
cs3Label | Всегда имеет значение | |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | act | Окончательное действие, выполненное над сообщением. Возможные значения:
|
fsize | Размер сообщения. | |
reason | Причина возникновения события. Возможные значения:
| |
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT | fsize | Размер сообщения. |
В каждом классе событий группы ScanLogic допустимо присутствие только релевантных ему ключей (см. таблицу ниже).
Релевантные ключи для классов событий группы ScanLogic
Класс событий | Релевантные ключи |
---|---|
LMS_EV_SCAN_LOGIC_ALL_NOT_PROCESSED | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, reason |
LMS_EV_SCAN_LOGIC_AS_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs4, cs4Label, reason, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_AV_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, KSMGMessageSubject, cs2, cs2Label, cs3, cs3Label, cs4, reason, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MLF_STATUS | cs1, cs1Label, src, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_AP_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGRuleNames, KSMGMessageSubject |
LMS_EV_SCAN_LOGIC_KT_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, reason, suser, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MA_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, cs5, cs5Label, cs6, cs6Label, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_CF_STATUS | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, cs2, cs2Label, cs3, cs3Label, reason, cs4, cs4Label, outcome, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_PART_RESULT | cs1, cs1Label, src, c6a2, act, suser, duser, reason, outcome, KSMGMessageSubject, KSMGRuleNames, cn1, cn1Label, cs2, cs2Label, cs3, cs3Label, cs4, cs4Label, cs5, cs5Label, fname, fileHash, KSMGMessageHashType, fsize, KSMGAvDetectionMethods |
LMS_EV_SCAN_LOGIC_URL | cs1, cs1Label, src, c6a2, suser, duser, KSMGMessageSubject, KSMGRuleNames, cs2, cs2Label, cs3, cs3Label, KSMGApStatus, KSMGMlfStatus |
LMS_EV_SCAN_LOGIC_MESSAGE_BACKUP | cs1, cs1Label, src, c6a2, act, fsize, suser, duser, reason, cs2, cs2Label, KSMGMessageSubject, KSMGRuleNames |
LMS_EV_SCAN_LOGIC_MESSAGE_RESULT | cs1, cs1Label, src, c6a2, act, suser, duser, KSMGMessageSubject, KSMGRuleNames, KSMGBackupResult, fsize, cs2, cs2Label, KSMGAvStatus, KSMGAsStatus, KSMGApStatus, KSMGMlfStatus, KSMGCfStatus, KSMGMaStatus, KSMGKtStatus |