Содержание syslog-сообщений о событиях обработки трафика

Пример:

Oct 9 10:13:06 localhost KWTS: type="Response": method="GET": action="Block": blocked_by_rule="protection_rules [Workspace1/-/Rule2]": processing_time="952": scan_result="Malware": workspace="Workspace1": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/eicar.com": kata-alert="NotDetected": "eicar.com", filesize="69", kata_upload="SkippedByAction", guid="", rules="access_rules [Workspace1/Group1/Rule1], protection_rules [Workspace1/-/Rule2]", av-status="Detected", threats="EICAR-Test-File/Block", ap-status="NotDetected", mlf-status="NotDetected", encrypted="NotDetected", macros="NotDetected", kata-alert="NotDetected"

type

Тип HTTP-сообщения. Может принимать значения Request (запрос) или Response (ответ).

method

Метод HTTP-запроса.

action

Действие над обнаруженным объектом. Может принимать одно из следующих значений:

• Allow – Разрешить.
• Block – Заблокировать.
• Redirect – Перенаправить.

blocked_by_rule

Название правила обработки трафика, по которому веб-ресурс был заблокирован.

Отображается в следующем формате:

• Для правил обхода: "[<Название правила>]".
• Для правил защиты и правил доступа: "[<Название рабочей области>/<Название группы правил>/<Название правила>]".

redirected_by_rule

Название правила обработки трафика, по которому пользователь был перенаправлен на указанный URL-адрес.

Отображается в следующем формате:

• Для правил обхода: "[<Название правила>]".
• Для правил доступа: "[<Название рабочей области>/<Название группы правил>/<Название правила>]".

processing_time

Продолжительность обработки HTTP-сообщения в миллисекундах.

Учитывается время с начала обработки заголовка HTTP-сообщения до сохранения записи о выполненной проверке в журнале событий программы и в журнале событий Syslog.

scan_result

Результат проверки HTTP-сообщения.

Если обнаружено несколько угроз, отображается название угрозы с наибольшим приоритетом.

Если угрозы устранены или не обнаружены, отображается результат проверки с наибольшим приоритетом (Вылечен, Не обнаружено, Не проверен).

workspace

Название рабочей области, к которой относится событие обработки трафика. При отсутствии рабочей области отображается прочерк.

http_user_name

Имя учетной записи пользователя, инициировавшего HTTP-запрос.

http_user_agent

Клиентское приложение, инициировавшее HTTP-запрос.

http_user_ip

IP-адрес компьютера, с которого был отправлен HTTP-запрос.

url

URL-адрес веб-ресурса, доступ к которому запрашивал пользователь.

kata-alert

Результат проверки URL-адреса на соответствие объектам, обнаруженным программой KATA.

Возможны следующие значения:

• NotDetected – URL-адрес проверен, угрозы не обнаружены.
• Detected – обнаружено соответствие с объектом в кеше KATA. Указывается ID объекта, критерий совпадения и технология. Например, kata-alert="Detected/128563/Url/Sb".
• NotScanned/AccessRuleSettings – проверка не выполнена, так как правило защиты не применяется согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – проверка не выполнена, так как файл пропущен по правилу обхода без проверки.
• NotScanned/ProtectionRuleSettings – проверка не выполнена, так как в правиле защиты для типа объектов Объекты, обнаруженные KATA задано действие Пропустить проверку.
• NotScanned/ApplicationSettings – проверка не выполнена, так как режим получения объектов, обнаруженных KATA или интеграция KATA отключены согласно параметрам программы.
• ScanError/InternalError – проверка завершилась с ошибкой.

Для объекта MIME-типа multipart указывается информация обо всех составных частях. Для каждой составной части используется ключ part с порядковым номером, после которого передаются все атрибуты этой составной части (ключи filename, filesize, part_mimetype, kata_upload, guid, rules, av_status, ap_status, mlf-status, encrypted, macros и kata-alert).

Например, part1 "news.html", <атрибуты составной части 1>: part2 <атрибуты составной части 2>.

filename

Имя проверяемого объекта.

Если HTTP-сообщение не содержит объектов, указывается "nofile". В этом случае все последующие поля относятся к проверяемому URL-адресу.

filesize

Размер проверяемого объекта.

Если HTTP-сообщение не содержит объектов или для применения правил не требуется вычисление размера файла, указывается "NotApplicable".

part_mimetype

MIME-тип составной части multipart-объекта. Используется значение заголовка Content-Type.

Если HTTP-сообщение не содержит объектов или для применения правил не требуется определение MIME-типа, указывается "NotApplicable".

kata_upload

Результат проверки объекта на необходимость отправки на сервер KATA.

Возможны следующие значения:

• NotApplicable – HTTP-сообщение не содержит файлов.
• Scheduled – отправка файла запланирована.
• DisabledBySettings – режим отправки файлов на сервер KATA или интеграция KATA отключены в параметрах программы.
• SkippedByAction – HTTP-сообщение пропущено по правилу обхода без проверки или к нему применены действия Заблокировать или Перенаправить.
• RejectedByFilter – файл не удовлетворяет условиям отправки на сервер KATA.
• Failed/QueueOverflowed – файл должен быть отправлен на сервер KATA, но запланировать отправку не удалось из-за переполнения очереди.
• Failed/InternalError – файл должен быть отправлен на сервер KATA, но запланировать отправку не удалось из-за внутренней ошибки программы.

guid

Идентификатор, присвоенный объекту программой.

Идентификатор передается, только если при проверке необходимости отправки на сервер KATA был присвоен один из следующих статусов:

• Scheduled.
• Failed/QueueOverflowed.
• Failed/InternalError.

Для других статусов поле guid передается с пустым значением.

rules

Названия сработавших правил обработки трафика в следующем формате:

"bypass_rule [<Название правила>], access_rules [<Название рабочей области>/<Название группы правил>/<Название правила>], protection_rules [<Название рабочей области>/<Название группы правил>/<Название правила>]".

Если правило не относится к рабочей области, вместо названия рабочей области отображается прочерк.

Если правило не входит в группу правил, вместо названия группы отображается прочерк.

Если не было применено ни одно правило обработки трафика, применяется политика защиты по умолчанию. Отображается значение "default_policy [Default Policy]".

av_status

Результаты проверки веб-ресурса модулем Антивирус.

Возможны следующие значения:

• Detected – в объекте найдены вирусы или другие программы, представляющие угрозу. Через запятую указываются имена обнаруженных угроз и действие программы над объектом. Например, av-status="Detected", threats="EICAR-Test-File/Block".
• ScanError/Timeout – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки.
• ScanError/InternalError – проверка завершилась с внутренней ошибкой.
• ScanError/BasesNotLoaded – проверка завершилась с ошибкой, так как базы модуля Антивирус не загружены.
• IncompleteScan/MaxNestingLevelReached – проверка не была выполнена, так как уровень вложенности проверяемого архива превышает максимально допустимый.
• IncompleteScan/EncryptedArchive – проверка не была выполнена, так как объект зашифрован.
• Disinfected – обнаружены угрозы, все угрозы вылечены.
• NotDetected – объект проверен, угрозы не обнаружены.
• NotScanned/AccessRuleSettings – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – объект не проходил проверку, так как к нему было применено правило обхода.
• NotScanned/ProtectionRuleSettings – объект не проходил проверку согласно действию, заданному в правиле защиты.
• NotScanned/ApplicationSettings – объект не проходил проверку согласно заданным параметрам программы.

ap_status

Результаты проверки веб-ресурса модулем Анти-Фишинг.

Возможны следующие значения:

• Detected (local bases) – ссылка признана фишинговой на основе записей в локальных базах программы.
• Detected (KSN) – ссылка признана фишинговой на основе проверки репутации в KSN.
• Detected (heuristics) – ссылка признана фишинговой на основе данных эвристического анализа.
• ScanError/Timeout – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки.
• ScanError/InternalError – проверка завершилась с внутренней ошибкой.
• ScanError/BasesNotLoaded – проверка завершилась с ошибкой, так как базы модуля Анти-Фишинг не загружены.
• NotDetected – объект проверен, угрозы не обнаружены.
• NotScanned/AccessRuleSettings – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – объект не проходил проверку, так как к нему было применено правило обхода.
• NotScanned/ProtectionRuleSettings – объект не проходил проверку согласно действию, заданному в правиле защиты.
• NotScanned/ApplicationSettings – объект не проходил проверку согласно заданным параметрам программы.

mlf-status

Результаты проверки ссылок на наличие вредоносных объектов.

Возможны следующие значения:

• Detected (local bases) – ссылка признана вредоносной на основе записей в локальных антивирусных базах.
• Detected (KSN) – ссылка признана вредоносной на основе проверки репутации в KSN.
• ScanError/Timeout – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки.
• ScanError/InternalError – проверка завершилась с внутренней ошибкой.
• ScanError/BasesNotLoaded – проверка завершилась с ошибкой, так как базы модуля Анти-Фишинг не загружены.
• NotDetected – ссылка проверена, угрозы не обнаружены.
• NotScanned/AccessRuleSettings – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – объект не проходил проверку, так как к нему было применено правило обхода.
• NotScanned/ProtectionRuleSettings – объект не проходил проверку согласно действию, заданному в правиле защиты.
• NotScanned/ApplicationSettings – объект не проходил проверку согласно заданным параметрам программы.

encrypted

Информация о шифровании проверяемого объекта.

Возможны следующие значения:

• Detected – обнаружены угрозы.
• ScanError/Timeout – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки.
• ScanError/InternalError – проверка завершилась с внутренней ошибкой.
• ScanError/BasesNotLoaded – проверка завершилась с ошибкой, так как базы модуля Антивирус не загружены.
• NotDetected – ссылка проверена, NotScanned/ApplicationSettings – объект не проходил проверку согласно заданным параметрам программы.угрозы не обнаружены.
• NotScanned/AccessRuleSettings – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – объект не проходил проверку, так как к нему было применено правило обхода.
• NotScanned/ProtectionRuleSettings – объект не проходил проверку согласно действию, заданному в правиле защиты.
• NotScanned/ApplicationSettings – объект не проходил проверку согласно заданным параметрам программы.

macros

Информация о наличии макросов в проверяемом объекте.

Возможны следующие значения:

• Detected – обнаружены макросы.
• ScanError/Timeout – проверка завершилась с ошибкой, так как превышено максимальное время выполнения проверки.
• ScanError/InternalError – проверка завершилась с внутренней ошибкой.
• ScanError/BasesNotLoaded – проверка завершилась с ошибкой, так как базы модуля Антивирус не загружены.
• NotDetected – объект проверен, макросы не обнаружены.
• NotScanned/AccessRuleSettings – к объекту не применялись правила защиты согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – объект не проходил проверку, так как к нему было применено правило обхода.
• NotScanned/ProtectionRuleSettings – объект не проходил проверку согласно действию, заданному в правиле защиты.
• NotScanned/ApplicationSettings – объект не проходил проверку согласно заданным параметрам программы.

kata-alert

Результат проверки файла, содержащегося в HTTP-сообщении, или составной части (для multipart-объектов) на соответствие объектам, обнаруженным программой KATA.

Возможны следующие значения:

• NotDetected – URL-адрес проверен, угрозы не обнаружены.
• Detected – обнаружено соответствие с объектом в кеше KATA. Указывается ID объекта, критерий совпадения и технология. Например, kata-alert="Detected/124567/Md5/Yara".
• NotScanned/AccessRuleSettings – проверка не выполнена, так как правило защиты не применяется согласно действию, заданному в правиле доступа.
• NotScanned/BypassRuleSettings – проверка не выполнена, так как файл пропущен по правилу обхода без проверки.
• NotScanned/ProtectionRuleSettings – проверка не выполнена, так как в правиле защиты для типа объектов Объекты, обнаруженные KATA задано действие Пропустить проверку.
• NotScanned/ApplicationSettings – проверка не выполнена, так как режим получения объектов, обнаруженных KATA или интеграция KATA отключены согласно параметрам программы.
• ScanError/InternalError – проверка завершилась с ошибкой.