Формат логов RAW в режиме ICAP
05 марта 2024
ID 186652
Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате RAW, записи журнала о событиях выглядят следующим образом:
<%PRIORITY%>1 %TIMESTAMP% %ICAP_SERVICE_IP% KasperskyICAPServer %ICAP_SERVICE_PID% %MESSAGE_ID% [KL_ICAP@23668 icapMode="%ICAP_MODE%" requestLength="%REQUEST_LENGTH%" httpUserName="%HTTP_USER_NAME%" httpUserIP="%HTTP_USER_IP%" sha2="%SCANNED_FILE_SHA256_HASH%" md5="%SCANNED_FILE_MD5_HASH%" request="%SCANNED_URL%"] BOM %MESSAGE%
Запись имеет следующие поля:
%PRIORITY%
Уровень важности события. Возможные значения:
163
Это значение указывается для ошибок.
165
Это значение указывается, если результат сканирования отличен от
CLEAN
.166
Это значение указывается для служебных событий или если результат сканирования –
CLEAN
.
%TIMESTAMP%
Дата и время события в часовом поясе всемирного координированного времени (UTC).
%ICAP_SERVICE_IP%
IP-адрес компьютера, на котором работает Kaspersky Scan Engine.
%ICAP_SERVICE_PID%
PID Kaspersky Scan Engine.
%MESSAGE_ID%
Класс события. Возможные значения:
AUDIT_MESSAGE
– событие аудита.INIT_MESSAGE
– KAV SDK инициализирован.DEINIT_MESSAGE
– KAV SDK деинициализирован, произошло сторожевое событие или отсутствует процесс службы.UPDATE_MESSAGE
— началось или завершилось обновление антивирусных баз.LICENSE_MESSAGE
– событие, связанное с лицензированием.ENGINE_MESSAGE
— произошло событие антивирусного ядра.SCAN_RESULT_CLEAN_MESSAGE
– проверенный объект считается безопасным.SCAN_RESULT_DETECT_MESSAGE
– обнаружена угроза.SCAN_RESULT_OTHER_MESSAGE
– объект не просканирован.
%ICAP_MODE%
Указывает, в каком режиме Kaspersky Scan Engine проверял объект: REQMOD или RESPMOD. Это поле появляется, только если значение
%MESSAGE_ID%
равноSCAN_RESULT_MESSAGE
.%REQUEST_LENGTH%
Длина тела HTTP-сообщения, сканируемого Kaspersky Scan Engine. Это поле появляется, только если значение
%MESSAGE_ID%
равноSCAN_RESULT_MESSAGE
и проверяемый объект не является URL-адресом.%HTTP_USER_NAME%
Имя HTTP-клиента, указанное в параметре
HTTPUserNameICAPHeader
файла конфигурации режима ICAP. Поле%HTTP_USER_NAME%
отображается, только если значение%MESSAGE_ID%
равноSCAN_RESULT_MESSAGE
.%HTTP_USER_IP%
IP-адрес HTTP-клиента, указанный в параметре
HTTPClientIpICAPHeader
файла конфигурации режима ICAP. Поле%HTTP_USER_IP%
появляется, только если значение%MESSAGE_ID%
равноSCAN_RESULT_MESSAGE
.%SCANNED_FILE_SHA256_HASH%
SHA256-хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.
%SCANNED_FILE_MD5_HASH%
MD5-хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только тогда, когда Kaspersky Scan Engine возвращает результат проверки.
%SCANNED_URL%
URL-адрес, проверенный KAV SDK. Поле
%SCANNED_URL%
отображается только в событиях результатов проверки (типы событийSCAN_RESULT_CLEAN_MESSAGE
,SCAN_RESULT_DETECT_MESSAGE
,SCAN_RESULT_OTHER_MESSAGE
).%MESSAGE%
Описание события. Например, текст сообщения об ошибке.