Содержание syslog-сообщений о событиях обработки трафика
13 декабря 2023
ID 179953
В каждом syslog-сообщении передаются следующие поля, определяемые параметрами протокола Syslog в операционной системе:
- дата и время события;
- имя хоста, на котором произошло событие;
- название программы (всегда имеет значение
KWTS
).
Поля syslog-сообщения о событии обработки трафика, определяемые параметрами программы, представлены в формате <ключ>="<значение>"
. Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.
Пример:
|
Ключи, а также их значения, содержащиеся в сообщении, приведены в таблице ниже.
Информация о событиях обработки трафика в syslog-сообщении
Ключ | Описание и возможные значения |
---|---|
| Тип HTTP-сообщения. Может принимать значения |
| Метод HTTP-запроса. |
| Действие над обнаруженным объектом. Может принимать одно из следующих значений:
|
| Название правила обработки трафика, по которому веб-ресурс был заблокирован. Отображается в следующем формате:
|
| Название правила обработки трафика, по которому пользователь был перенаправлен на указанный URL-адрес. Отображается в следующем формате:
|
| Продолжительность обработки HTTP-сообщения в миллисекундах. Учитывается время с начала обработки заголовка HTTP-сообщения до сохранения записи о выполненной проверке в журнале событий программы и в журнале событий Syslog. |
| Результат проверки HTTP-сообщения. Если обнаружено несколько угроз, отображается название угрозы с наибольшим приоритетом. Если угрозы устранены или не обнаружены, отображается результат проверки с наибольшим приоритетом (Вылечен, Не обнаружено, Не проверен). |
| Название рабочей области, к которой относится событие обработки трафика. При отсутствии рабочей области отображается прочерк. |
| Имя учетной записи пользователя, инициировавшего HTTP-запрос. |
| Клиентское приложение, инициировавшее HTTP-запрос. |
| IP-адрес компьютера, с которого был отправлен HTTP-запрос. |
| URL-адрес веб-ресурса, доступ к которому запрашивал пользователь. |
| Результат проверки URL-адреса на соответствие объектам, обнаруженным программой KATA. Возможны следующие значения:
|
Для объекта MIME-типа multipart указывается информация обо всех составных частях. Для каждой составной части используется ключ Например, | |
| Имя проверяемого объекта. Если HTTP-сообщение не содержит объектов, указывается |
| Размер проверяемого объекта. Если HTTP-сообщение не содержит объектов или для применения правил не требуется вычисление размера файла, указывается |
| MIME-тип составной части multipart-объекта. Используется значение заголовка Content-Type. Если HTTP-сообщение не содержит объектов или для применения правил не требуется определение MIME-типа, указывается |
| Результат проверки объекта на необходимость отправки на сервер KATA. Возможны следующие значения:
|
| Идентификатор, присвоенный объекту программой. Идентификатор передается, только если при проверке необходимости отправки на сервер KATA был присвоен один из следующих статусов:
Для других статусов поле |
| Названия сработавших правил обработки трафика в следующем формате:
Если правило не относится к рабочей области, вместо названия рабочей области отображается прочерк. Если правило не входит в группу правил, вместо названия группы отображается прочерк. Если не было применено ни одно правило обработки трафика, применяется политика защиты по умолчанию. Отображается значение |
| Результаты проверки веб-ресурса модулем Антивирус. Возможны следующие значения:
|
| Результаты проверки веб-ресурса модулем Анти-Фишинг. Возможны следующие значения:
|
| Результаты проверки ссылок на наличие вредоносных объектов. Возможны следующие значения:
|
| Информация о шифровании проверяемого объекта. Возможны следующие значения:
|
| Информация о наличии макросов в проверяемом объекте. Возможны следующие значения:
|
| Результат проверки файла, содержащегося в HTTP-сообщении, или составной части (для multipart-объектов) на соответствие объектам, обнаруженным программой KATA. Возможны следующие значения:
|