Содержание и свойства syslog-сообщений в формате CEF

23 мая 2024

ID 151684

Информация о каждом обнаруженном событии передается как отдельное syslog-сообщение формата CEF, имеющее кодировку UTF-8.

Сообщение в формате CEF состоит из тела сообщения и заголовка. В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:

  • дата и время события;
  • имя хоста, на котором произошло событие;
  • название приложения (всегда имеет значение KSMG).

Поля syslog-сообщения о событии, определяемые параметрами приложения, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.

Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.

Пример:

July 16 10:34:23 host.domain.com

KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.0.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен Kaspersky Secure Mail Gateway. Вы можете настроить пересылку syslog-сообщений только на один внешний syslog-сервер единовременно.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!