Поддержка

Поддержка приложений для бизнеса

Kaspersky Scan Engine

Использование Kaspersky Scan Engine в режиме HTTP

Логирование в режиме HTTP

Формат логов CEF в режиме HTTP

Kaspersky Scan Engine
Нет результатов
База знаний Онлайн-справка
FAQ Скачать Форум Запрос в поддержку Утилиты для лечения

Формат логов CEF в режиме HTTP

05 марта 2024

ID 186767

Если Kaspersky Scan Engine настроен на запись сообщений системного журнала в формате CEF, записи журнала о событиях выглядят следующим образом:

CEF:0|Kaspersky|Scan Engine HTTP Service|%VERSION%|%EVENT_CLASS_ID%|%EVENT_NAME%|%SEVERITY%| msg=%EVENT_MSG% src=%CLIENT_IP% dvcpid=%HTTP_SERVICE_PID% sproc=unix_socket dvc=%HTTP_SERVICE_IP% dvchost=%HOSTNAME% start=%EVENT_TIME% fileHash=%SCANNED_FILE_MD5_HASH% fname=%SCANNED_FILE_NAME% request=%SCANNED_URL% act=%ACTION_MADE% cs1=%SCAN_RESULT% cs1Label=Scan result cs2=%VIRUS_NAME% cs2Label=Virus name flexString1=%SDK_VERSION% flexString1Label=Anti-Virus Engine version

Запись имеет следующие поля:

  • %VERSION%

    Версия Kaspersky Scan Engine.

  • %EVENT_CLASS_ID%

    Класс события. Возможные значения:

    • 1

      Служебное событие (не связанное со сканированием).

    • 2

      Событие, связанное с ошибками.

    • 3

      Событие, связанное со сканированием (например, результат сканирования).

  • %EVENT_NAME%

    Название события. Возможные значения:

    • Initializing – инициализация Kaspersky Scan Engine.
    • Deinitializing – деинициализация Kaspersky Scan Engine.
    • Service event – произошло служебное событие.
    • Service error – в службе kavhttpd произошла ошибка.
    • Core error – в Kaspersky Anti-Virus Engine произошла ошибка.
    • Scan result – Kaspersky Scan Engine завершил сканирование объекта.
    • Audit – произошло событие аудита системы.
  • %SEVERITY%

    Уровень важности события. Чем выше уровень, тем важнее событие. Возможные значения:

    • 3

      Это значение указывается для событий аудита системы, информационный уровень.

    • 5

      Это значение указывается для служебных событий, когда начинается сканирование или если результат сканирования – CLEAN.

    • 6

      Это значение указывается для событий аудита системы, уровень предупреждения.

    • 7

      Это значение указывается для инициализации, деинициализации и ошибок.

    • 8

      Это значение указывается для событий аудита системы (критический уровень) и если результат сканирования отличен от CLEAN. Эти события считаются опасными.

  • %EVENT_MSG%

    Описание события. Например, текст сообщения об ошибке.

  • %CLIENT_IP%

    IP-адрес HTTP-клиента, отправившего запрос на сканирование в Kaspersky Scan Engine. Это поле появляется только в том случае, если запрос отправляется через TCP-сокет и связан со сканированием.

  • %HTTP_SERVICE_PID%

    PID Kaspersky Scan Engine.

  • %HTTP_SERVICE_IP%

    IP-адрес, который Kaspersky Scan Engine использует для получения запросов на сканирование от клиентов. Это поле появляется только в том случае, если Kaspersky Scan Engine получает запросы на сканирование через TCP-сокет.

  • %HOSTNAME%

    Имя хоста компьютера, на котором работает Kaspersky Scan Engine. Это поле появляется только в том случае, если включено логирование системного журнала в формате CEF.

  • %EVENT_TIME%

    Время и дата события. Время и дата берутся с компьютера, на котором работает Kaspersky Scan Engine.

  • sproc=unix_socket

    Это поле появляется только в том случае, если Kaspersky Scan Engine получает запросы на сканирование через UNIX-сокет.

  • %SCANNED_FILE_MD5_HASH%

    Хеш объекта, переданного на сканирование в Kaspersky Scan Engine. Это поле появляется только в том случае, если клиент отправил запрос на сканирование и Kaspersky Scan Engine завершил сканирование.

  • %SCANNED_FILE_NAME%

    Имя сканируемого файла. Если клиент отправил запрос на сканирование части оперативной памяти, значение этого поля – MEMORY_BLOCK. Это поле появляется только в том случае, если клиент отправил запрос на сканирование и Kaspersky Scan Engine завершил сканирование.

  • %SCANNED_URL%

    URL-адрес, указанный в заголовке X-KAV-ObjectURL запроса на сканирование. Это поле появляется только в том случае, если клиент отправил запрос на сканирование и Kaspersky Scan Engine завершил сканирование.

  • %ACTION_MADE%

    Действие, которое было выполнено в отношении обнаруженной угрозы или легальной программы, которая может быть использована злоумышленниками. Это поле отображается только в событиях, содержащих результаты сканирования.

  • %SCAN_RESULT%

    Результат сканирования. Это поле отображается только в событиях, содержащих результаты сканирования.

  • cs1Label=Scan result

    Это поле отображается только в событиях, содержащих результаты сканирования.

  • %VIRUS_NAME%

    Название обнаруженной угрозы или легальной программы, которая может быть использована злоумышленниками. Это поле появляется только в том случае, если была обнаружена угроза или легальная программа, которая может быть использована злоумышленниками.

  • cs2Label=Virus name

    Это поле появляется только в том случае, если была обнаружена угроза или легальная программа, которая может быть использована злоумышленниками.

  • %SDK_VERSION%

    Версия KAV SDK, на которой основан Kaspersky Scan Engine.

Профессиональные услуги «Лаборатории Касперского»
Внедрение продуктов. Аудит и конфигурирование системы защиты. Свяжитесь с нами и получите помощь экспертов.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!