Формат логов CEF в режиме ICAP
05 марта 2024
ID 186631
Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате CEF, записи журнала о событиях выглядят следующим образом:
CEF:0|Kaspersky|Scan Engine ICAP Service|%VERSION%|%EVENT_CLASS_ID%|%EVENT_NAME%|%SEVERITY%| msg=%EVENT_MSG% src=%CLIENT_IP% dvcpid=%ICAP_SERVER_PID% dvc=%HTTP_SERVICE_IP% dvchost=%HOSTNAME% cs2=%HTTP_USER_NAME% cs2Label=X-Client-Username cs3=%HTTP_USER_IP% cs3Label=X-Client-IP start=%EVENT_TIME% fileHash=%SCANNED_FILE_HASH% request=%SCANNED_URL% cs1=%SCAN_RESULT% cs1Label=Scan result cs4=%VIRUS_NAME% cs4Label=Virus name cs5=%SCANNED_FILE_SHA256_HASH% cs5Label=SHA256 cs6=%ICAP_MODE% cs6Label=ICAP mode cn1=%REQUEST_LENGTH% cn1Label=Request size flexString1=%SDK_VERSION% flexString1Label=Anti-Virus Engine version
Запись имеет следующие поля:
%VERSION%Версия Kaspersky Scan Engine.
%EVENT_CLASS_ID%Класс события. Возможные значения:
1Служебное событие (не связанное со сканированием).
2Событие, связанное с ошибками.
3Событие, связанное со сканированием (например, результат сканирования).
%EVENT_NAME%Название события. Возможные значения:
Initializing– инициализация Kaspersky Scan Engine.Deinitializing– Kaspersky Scan Engine деинициализирован, произошло сторожевое событие или отсутствует процесс службы.Update event— началось или завершилось обновление антивирусных баз.License event– событие, связанное с лицензией.Engine event— произошло событие антивирусного ядра.Scan result clean– проверенный объект считается безопасным.Scan result detect– обнаружена угроза.Scan result other– объект не был просканирован.Audit– произошло событие аудита системы.
%SEVERITY%Уровень важности события. Чем выше уровень, тем важнее событие. Возможные значения:
3Это значение указывается для событий аудита системы, информационный уровень.
5Это значение указывается для служебных событий, когда начинается сканирование или если результат сканирования –
CLEAN.6Это значение указывается для событий аудита системы, уровень предупреждения.
7Это значение указывается для инициализации, деинициализации и ошибок.
8Это значение указывается для событий аудита системы (критический уровень) и если результат сканирования отличен от
CLEAN. Эти события считаются опасными.
%EVENT_MSG%Описание события. Например, текст сообщения об ошибке.
%CLIENT_IP%IP-адрес ICAP-клиента, отправившего запрос на сканирование в Kaspersky Scan Engine. Это поле отображается только в событиях результатов проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther).%ICAP_SERVER_PID%PID Kaspersky Scan Engine.
%HTTP_SERVICE_IP%IP-адрес, который Kaspersky Scan Engine использует для получения запросов на сканирование от клиентов. Это поле появляется только в том случае, если включено логирование системного журнала в формате CEF.
%HOSTNAME%Имя хоста компьютера, на котором работает Kaspersky Scan Engine. Это поле появляется только в том случае, если включено логирование системного журнала в формате CEF.
%HTTP_USER_NAME%Имя HTTP-клиента, указанное в пользовательском поле заголовка запроса. Имя этого поля заголовка запроса указывается в элементе
HTTPUserNameICAPHeaderфайла конфигурации режима ICAP.Поля cs2(%HTTP_USER_NAME%) иcs2Labelотображаются только в том случае, если значение%EVENT_CLASS_ID%равно 3 и если в файле конфигурации режима ICAP существует не пустой элементHTTPUserNameICAPHeader. Если элементHTTPUserNameICAPHeaderне существует или пуст, поляcs2(%HTTP_USER_NAME%) иcs2Labelотсутствуют в сообщении системного журнала.Если значение поля пользовательского заголовка пусто (имя HTTP-клиента не указано в запросе), значение
cs2(%HTTP_USER_NAME%) в сообщении системного журнала равно "-".%HTTP_USER_IP%IP-адрес HTTP-клиента, указанный в пользовательском поле заголовка запроса. Имя этого поля заголовка запроса указывается в элементе
HTTPClientIpICAPHeaderфайла конфигурации режима ICAP.Поля cs3(%HTTP_USER_IP%) иcs3Labelотображаются только в том случае, если значение%EVENT_CLASS_ID%равно 3 и если в файле конфигурации режима ICAP существует не пустой элементHTTPClientIpICAPHeader. Если элементHTTPClientIpICAPHeaderне существует или пуст, поляcs3(%HTTP_USER_IP%) иcs3Labelотсутствуют в сообщении системного журнала.Если значение поля пользовательского заголовка пусто (IP-адрес клиента HTTP не указан в запросе), значение
cs3(%HTTP_USER_IP%) в сообщении системного журнала равно "-".%EVENT_TIME%Время и дата события. Время и дата берутся с компьютера, на котором работает Kaspersky Scan Engine.
%SCANNED_FILE_HASH%Хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле отображается только в событиях результатов проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther).%SCANNED_URL%URL-адрес, переданный на проверку в Kaspersky Scan Engine. Это поле отображается только в событиях результатов проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther).%SCAN_RESULT%Результат сканирования. Это поле отображается только в событиях результатов проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther).cs1Label=Scan resultЭто поле появляется, только если значение
%EVENT_CLASS_ID%равно3.%VIRUS_NAME%Название угрозы или легальной программы, которая может быть использована злоумышленниками. Это поле отображается только в событиях результатов проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther).%SCANNED_FILE_SHA256_HASH%SHA256-хеш объекта, переданного на проверку в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.
%ICAP_MODE%Указывает, в каком режиме Kaspersky Scan Engine проверял объект: REQMOD или RESPMOD. Это поле отображается только в событиях результатов проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther).%REQUEST_LENGTH%Длина тела сообщения в байтах. Это поле отображается только в событиях результата проверки (типы событий
ScanResultClean,ScanResultDetect,ScanResultOther) и только если проверяемый объект не является URL-адресом.%SDK_VERSION%Версия KAV SDK, на которой основан Kaspersky Scan Engine.
