Содержание и свойства syslog-сообщений в формате CEF

Информация о каждом обнаруженном событии передается сразу после появления события и представляет собой отдельное syslog-сообщение формата CEF в кодировке UTF-8.

Сообщение в формате CEF состоит из тела сообщения и заголовка.

Заголовок CEF-сообщения состоит из следующих частей:

• Syslog-префикс: <дата и время события> <имя хоста, на котором произошло событие>.
• Последовательность полей, разделенных между собой символами «|» и отделенных от syslog-префикса пробелом. Все поля обязательны.
  • Версия формата. В текущий момент номер версии – 0, соответственно поле имеет вид «CEF:0».
  • Производитель. Поле заполняется значением AO Kaspersky Lab.
  • Название программы. Поле заполняется значением Kaspersky Web Traffic Security.
  • Версия продукта. Поле заполняется номером текущей версии продукта (6.1.0.xxxx).
  • Класс события.
  • Имя события.
  • Уровень критичности. Может принимать значения Low (низкий), Medium (средний) или High (высокий).

    Пример: Oct 30, 2021 10:34:23 host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…

Поля syslog-сообщения о событии, определяемые параметрами программы, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.

Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.

Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен Kaspersky Web Traffic Security. Вы можете настроить пересылку syslog-сообщений только на один внешний syslog-сервер единовременно.

Правила кодирования символов в CEF-сообщениях:

• Пробелы не требуют экранирования.
• В заголовке символ вертикальной черты ("|") используется как разделитель. Если вам нужно использовать этот символ в одном из полей заголовка, его следует экранировать символом обратной косой черты ("\|"). В теле сообщения символ "|" не нужно экранировать.
• В заголовке и теле сообщения не допускается одиночный символ обратной косой черты. Если нужно его использовать в поле заголовка, символ следует дублировать ("\\").
• В теле сообщения символ "=" используется как разделитель пары "ключ-значение". Если нужно использовать этот символ в поле тела сообщения, его следует экранировать символом обратной косой черты ("\="). В заголовке символ «=» не требует экранирования.
• Многострочные значения допустимы только для значения в паре "ключ-значение". Для обозначения перехода на следующую строку следует использовать символы "\n" или "\r".