Формат логов RAW в режиме ICAP

Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате RAW, записи журнала о событиях выглядят следующим образом:

<%PRIORITY%>1 %TIMESTAMP% %ICAP_SERVICE_IP% KasperskyICAPServer %ICAP_SERVICE_PID% %MESSAGE_ID% [KL_ICAP@23668 icapMode="%ICAP_MODE%" requestLength="%REQUEST_LENGTH%" httpUserName="%HTTP_USER_NAME%" httpUserIP="%HTTP_USER_IP%" sha2="%SCANNED_FILE_SHA256_HASH%" md5="%SCANNED_FILE_MD5_HASH%" request="%SCANNED_URL%"] BOM %MESSAGE%

Запись имеет следующие поля:

• %PRIORITY%

  Уровень важности события. Возможные значения:

  • 163

    Это значение указывается для ошибок.

  • 165

    Это значение указывается, если результат сканирования отличен от CLEAN.

  • 166

    Это значение указывается для служебных событий или если результат сканирования – CLEAN.

• %TIMESTAMP%

  Дата и время события в часовом поясе всемирного координированного времени (UTC).

• %ICAP_SERVICE_IP%

  IP-адрес компьютера, на котором работает Kaspersky Scan Engine.

• %ICAP_SERVICE_PID%

  PID Kaspersky Scan Engine.

• %MESSAGE_ID%

  Класс события. Возможные значения:

  • AUDIT_MESSAGE – событие аудита.
  • INIT_MESSAGE – KAV SDK инициализирован.
  • DEINIT_MESSAGE – KAV SDK деинициализирован, произошло сторожевое событие или отсутствует процесс службы.
  • UPDATE_MESSAGE — началось или завершилось обновление антивирусных баз.
  • LICENSE_MESSAGE – событие, связанное с лицензированием.
  • ENGINE_MESSAGE — произошло событие антивирусного ядра.
  • SCAN_RESULT_CLEAN_MESSAGE – проверенный объект считается безопасным.
  • SCAN_RESULT_DETECT_MESSAGE – обнаружена угроза.
  • SCAN_RESULT_OTHER_MESSAGE – объект не просканирован.
• %ICAP_MODE%

  Указывает, в каком режиме Kaspersky Scan Engine проверял объект: REQMOD или RESPMOD. Это поле появляется, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE.

• %REQUEST_LENGTH%

  Длина тела HTTP-сообщения, сканируемого Kaspersky Scan Engine. Это поле появляется, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE и проверяемый объект не является URL-адресом.

• %HTTP_USER_NAME%

  Имя HTTP-клиента, указанное в параметре HTTPUserNameICAPHeader файла конфигурации режима ICAP. Поле %HTTP_USER_NAME% отображается, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE.

• %HTTP_USER_IP%

  IP-адрес HTTP-клиента, указанный в параметре HTTPClientIpICAPHeader файла конфигурации режима ICAP. Поле %HTTP_USER_IP% появляется, только если значение %MESSAGE_ID% равно SCAN_RESULT_MESSAGE.

• %SCANNED_FILE_SHA256_HASH%

  SHA256-хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.

• %SCANNED_FILE_MD5_HASH%

  MD5-хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.

• %SCANNED_URL%

  URL-адрес, проверенный KAV SDK. Поле %SCANNED_URL% отображается только в событиях результатов проверки (типы событий SCAN_RESULT_CLEAN_MESSAGE, SCAN_RESULT_DETECT_MESSAGE, SCAN_RESULT_OTHER_MESSAGE).

• %MESSAGE%

  Описание события. Например, текст сообщения об ошибке.