Содержание и свойства syslog-сообщений в формате CEF
03 июля 2024
ID 267200
Информация о каждом обнаруженном событии передается сразу после появления события и представляет собой отдельное syslog-сообщение формата CEF в кодировке UTF-8.
Сообщение в формате CEF состоит из тела сообщения и заголовка.
Заголовок CEF-сообщения состоит из следующих частей:
- Syslog-префикс:
<дата и время события>
<имя хоста, на котором произошло событие>
. - Последовательность полей, разделенных между собой символами «|» и отделенных от syslog-префикса пробелом. Все поля обязательны.
- Версия формата. В текущий момент номер версии – 0, соответственно поле имеет вид «CEF:0».
- Производитель. Поле заполняется значением
AO Kaspersky Lab
. - Название программы. Поле заполняется значением
Kaspersky Web Traffic Security
. - Версия продукта. Поле заполняется номером текущей версии продукта (
6.1.0.xxxx
). - Класс события.
- Имя события.
- Уровень критичности. Может принимать значения
Low
(низкий),Medium
(средний) илиHigh
(высокий).Пример:
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Поля syslog-сообщения о событии, определяемые параметрами программы, представлены в формате <ключ>="<значение>"
. Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.
Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.
Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен Kaspersky Web Traffic Security. Вы можете настроить пересылку syslog-сообщений только на один внешний syslog-сервер единовременно.
Правила кодирования символов в CEF-сообщениях:
- Пробелы не требуют экранирования.
- В заголовке символ вертикальной черты ("|") используется как разделитель. Если вам нужно использовать этот символ в одном из полей заголовка, его следует экранировать символом обратной косой черты ("\|"). В теле сообщения символ "|" не нужно экранировать.
- В заголовке и теле сообщения не допускается одиночный символ обратной косой черты. Если нужно его использовать в поле заголовка, символ следует дублировать ("\\").
- В теле сообщения символ "=" используется как разделитель пары "ключ-значение". Если нужно использовать этот символ в поле тела сообщения, его следует экранировать символом обратной косой черты ("\="). В заголовке символ "=" не требует экранирования.
- Многострочные значения допустимы только для значения в паре "ключ-значение". Для обозначения перехода на следующую строку следует использовать символы "\n" или "\r".