|
|
Описание форматов журналов
Экспорт журналов в формате CEF
Формат журнала событий
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
events
|
|
Origin
|
Модуль, в котором произошло событие.
|
admin_console
|
|
Severity
|
Важность события.
|
Может принимать значения:
-
1 — информационные.
-
4 — предупреждения.
-
7 — ошибки.
-
10 — критичные.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Тип события.
|
login_successful
|
|
suser
|
Имя пользователя.
|
Admin
|
|
src
|
IPv4-адрес источника.
|
192.168.117.254
|
|
cat
|
Компонент, в котором произошло событие.
|
console_auth
|
|
cs1Label
|
Поле используется для указания деталей события.
|
Attributes
|
|
cs1
|
Детали события в формате JSON.
|
{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}
|
Формат журнала веб-доступа
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
webaccess
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
captive
|
|
reason
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
{"id":39,"name":"Social Networking","threat_level":3}
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP.
|
|
app
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
requestMethod
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
request
|
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
requestContext
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
requestClientApplication
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Default Allow
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле указывает было ли содержимое расшифровано.
|
Decrypted
|
|
cs6
|
Расшифровано или нет.
|
true, false
|
|
flexString1Label
|
Поле указывает на тип контента.
|
Media type
|
|
flexString1
|
Тип контента.
|
text/html
|
|
flexString2Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URL Categories
|
|
flexString2
|
Категория URL.
|
Computers & Technology
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества переданных пакетов в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество переданных пакетов в направлении назначение — источник.
|
1
|
|
cn3Label
|
Поле указывает исходный ответ сервера.
|
Response
|
|
cn3
|
Код ответа HTTP.
|
302
|
Формат журнала веб-доступа CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
webaccess
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
captive
|
|
reason
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
{"id":39,"name":"Social Networking","threat_level":3}
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP.
|
|
app
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
requestMethod
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
request
|
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
requestContext
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
requestClientApplication
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Default Allow
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
|
flexString1Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URLCats
|
|
flexString1
|
Категория URL.
|
Computers & Technology
|
|
cn1Label
|
Поле указывает исходный ответ сервера.
|
Response
|
|
cn1
|
Код ответа HTTP.
|
302
|
ПримечаниеОбщее правило для компактного формата — значения некоторых полей обрезаются по длине до 80 символов. Например, список url-категорий, url, имя пользователя, имя правила, имя зоны, и т.д.
Формат журнала DNS
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
dns
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
reason
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
dhost
|
Имя хоста назначения, адрес которого определяется с помощью DNS сервера.
|
google.com
|
|
app
|
Протокол прикладного уровня.
|
DNS
|
|
suser
|
Имя пользователя.
|
user1 (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.0.11
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
cs1Label
|
Поле используется для указания сработавшего правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле используется для указания передаваемых данных.
|
Data
|
|
cs6
|
Передаваемые данные.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
flexString1Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URL Categories
|
|
flexString1
|
Категория URL.
|
Search Engines & Portals
|
Формат журнала DNS CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
dns
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
reason
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
dhost
|
Имя хоста назначения, адрес которого определяется с помощью DNS сервера.
|
google.com
|
|
app
|
Протокол прикладного уровня.
|
DNS
|
|
suser
|
Имя пользователя.
|
user1 (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.0.11
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
cs1Label
|
Поле используется для указания сработавшего правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
|
cs4Label
|
Поле используется для указания передаваемых данных.
|
Data
|
|
cs4
|
Передаваемые данные.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
flexString1Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URLCats
|
|
flexString1
|
Категория URL.
|
Search Engines & Portals
|
Формат журнала трафика
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
traffic
|
|
Rule Type
|
Тип правила, срабатывание которого вызвало событие.
|
firewall
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Имя сработавшего приложения
|
my_app
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
00:50:56:80:28:08
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
dmac
|
MAC-адрес назначения.
|
00:50:56:80:7D:21
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
sourceTranslatedAddress
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.174.134 (0.0.0.0 — если нет)
|
|
sourceTranslatedPort
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
destinationTranslatedAddress
|
Адрес назначения после переназначения (если настроены правила NAT).
|
192.226.127.130 (0.0.0.0 — если нет)
|
|
destinationTranslatedPort
|
Порт назначения после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества пакетов, переданных в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
Формат журнала трафика CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
traffic
|
|
Rule Type
|
Тип правила, срабатывание которого вызвало событие.
|
firewall
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Имя сработавшего приложения
|
my_app
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
00:50:56:80:28:08
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
dmac
|
MAC-адрес назначения.
|
00:50:56:80:7D:21
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
sourceTranslatedAddress
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.174.134 (0.0.0.0 — если нет)
|
|
sourceTranslatedPort
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
destinationTranslatedAddress
|
Адрес назначения после переназначения (если настроены правила NAT).
|
192.226.127.130 (0.0.0.0 — если нет)
|
|
destinationTranslatedPort
|
Порт назначения после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
Формат журнала СОВ
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
idps
|
|
Signature
|
Название сработавшей сигнатуры СОВ.
|
BlackSun Test
|
|
Threat Level
|
Уровень угрозы сигнатуры.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Протокол прикладного уровня.
|
HTTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
msg
|
Уровень угрозы сигнатуры и её название.
|
[2] BlackSun
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
IDPS Rule Example
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
Формат журнала СОВ CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
idps
|
|
Signature
|
Название сработавшей сигнатуры СОВ.
|
BlackSun Test
|
|
Threat Level
|
Уровень угрозы сигнатуры.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Протокол прикладного уровня.
|
HTTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
msg
|
Уровень угрозы сигнатуры и её название.
|
[2] BlackSun
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
IDPS Rule Example
|
Формат журнала АСУ ТП
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
scada
|
|
Name
|
Тип источника.
|
log
|
|
PDU Severity
|
Критичность АСУ ТП.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
Modbus
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Scada Rule Example
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле указывает на информацию об устройстве.
|
PDU Details
|
|
cs6
|
Информация об устройстве в формате JSON.
|
{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0}
|
Формат журнала инспектирования SSH
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
ssh
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
SSH inspection rule
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Указание на команду, передаваемую по SSH.
|
Command
|
|
cs6
|
Команда, передаваемая по SSH, в формате JSON.
|
whoami
|
Формат журнала инспектирования SSH CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
ssh
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
SSH inspection rule
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
|
cs4Label
|
Указание на команду, передаваемую по SSH.
|
Command
|
|
cs4
|
Команда, передаваемая по SSH, в формате JSON.
|
whoami
|
Формат журнала защиты почтового трафика
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
mailsecurity
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@einersonstal
|
|
act
|
Действие, выполненное устройством в соответствии с настроенными политиками.
|
mark
|
|
app
|
Протокол прикладного уровня.
|
SMTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4-адрес источника.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4-адрес назначения.
|
10.10.10.10
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
10
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
10
|
|
cs1Label
|
Поле используется для указания названия правила.
|
Rule
|
|
cs1
|
Название правила защиты почтового трафика.
|
Mail security rule
|
|
cs2Label
|
Поле используется для указания зоны источника.
|
Source Zone
|
|
cs2
|
Зона источника.
|
Untrusted
|
|
cs3Label
|
Поле используется для индикации страны источника трафика.
|
Source Country
|
|
cs3
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для указания зоны назначения трафика.
|
Destination Zone
|
|
cs4
|
Название зоны назначения трафика.
|
Untrusted
|
|
cs5Label
|
Поле используется для индикации страны назначения трафика.
|
Destination Country
|
|
cs5
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле используется для указания почтового адреса получателя.
|
To
|
|
cs6
|
Email получателя.
|
receiver@example.com
|
|
flexString1Label
|
Поле используется для указания почтового адреса отправителя.
|
From
|
|
flexString1
|
Email отправителя.
|
sender@example.com
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества переданных пакетов в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество переданных пакетов в направлении назначение — источник.
|
1
|
Формат журнала защиты почтового трафика CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
mailsecurity
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@einersonstal
|
|
act
|
Действие, выполненное устройством в соответствии с настроенными политиками.
|
mark
|
|
app
|
Протокол прикладного уровня.
|
SMTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4-адрес источника.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4-адрес назначения.
|
10.10.10.10
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
10
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
10
|
|
cs1Label
|
Поле используется для указания названия правила.
|
Rule
|
|
cs1
|
Название правила защиты почтового трафика.
|
Mail security rule
|
|
cs2Label
|
Поле используется для указания зоны источника.
|
SrcZone
|
|
cs2
|
Зона источника.
|
Untrusted
|
|
cs4Label
|
Поле используется для указания зоны назначения трафика.
|
DstZone
|
|
cs4
|
Название зоны назначения трафика.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания почтового адреса отправителя.
|
From
|
|
cs5
|
Email отправителя.
|
sender@example.com
|
|
cs6Label
|
Поле используется для указания почтового адреса получателя.
|
To
|
|
cs6
|
Email получателя.
|
receiver@example.com
|
Формат журнала событий конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Severity
|
Важность события.
|
Может принимать значения:
-
1 — error;
-
2 — warning;
-
3 — info;
-
4 — audit success;
-
5 — audit failure.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
msg
|
Подробная информация о событии.
|
Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.
|
|
suser
|
Имя пользователя.
|
Admin
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для индикации имени конечного устройства или сенсора.
|
endpointName
|
|
cs2
|
Имя конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания на тип события.
|
logLevel
|
|
cs3
|
Тип события.
|
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка
|
|
cs4Label
|
Поле используется для указания категории события.
|
logCategoryString
|
|
cs4
|
Категория события.
|
Special Logon
|
|
cs5Label
|
Поле используется для индикации типа журнала.
|
logFile
|
|
cs5
|
Тип журнала, содержащего важную информацию о программных и аппаратных событиях.
|
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell
|
|
cs6Label
|
Поле используется для указания на источник журнала событий.
|
sourceName
|
|
cs6
|
Источник журнала событий.
|
Microsoft-Windows-Security-Auditing
|
|
cn1Label
|
Поле используется для индикации кода события журнала.
|
logEventCode
|
|
cn1
|
Код события журнала.
|
1154
|
|
cn2Label
|
Поле используется для указания на идентификатор события.
|
logEventId
|
|
cn2
|
Идентификатор события.
|
10016
|
|
cn3Label
|
Поле используется для индикации типа события лога.
|
logEventType
|
|
cn3
|
Тип события лога.
|
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).
|
|
flexString1Label
|
Поле используется для индикации строки вставки.
|
insertionString
|
|
flexString1
|
Строка вставки – данные блока EventData события Windows.
|
Windows DefenderSECURITY_PRODUCT_STATE_ON
|
Формат журнала правил конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
shost
|
Имя хоста.
|
www.google.com
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
filePath
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания правила, срабатывание которого создало запись в журнале.
|
Rule
|
|
cs3
|
Название правила.
|
Test rule name
|
|
flexString1Label
|
Поле указывает на тип контента.
|
Media type
|
|
flexString1
|
Тип контента.
|
text/html
|
|
flexString2Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
Categories
|
|
flexString2
|
Категория URL.
|
Computers & Technology
|
Формат журнала правил конечных устройств CEF Format:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
shost
|
Имя хоста.
|
www.google.com
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
filePath
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания правила, срабатывание которого создало запись в журнале.
|
Rule
|
|
cs3
|
Название правила.
|
Test rule name
|
Формат журнала приложений конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_applications
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Значение по умолчанию.
|
0
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие (запуск или остановка приложения).
|
start, stop
|
|
suser
|
Пользователь.
|
DESKTOP-0731NFQ\User
|
|
filePath
|
Расположение файла.
|
C:\\Windows\\system32\\cmd.exe
|
|
spid
|
Идентификатор процесса.
|
3860
|
|
fileHash
|
Хэш приложения.
|
B4979A9F970029889713D756C3F123643DDE73DA
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для индикации командной строки.
|
cmdLine
|
|
cs3
|
Запрос командной строки.
|
C:\\Windows\\system32\\sc.exe start w32time task_started
|
|
cs4Label
|
Поле используется для указания идентификатора сессии.
|
sessionId
|
|
cs4
|
Идентификатор сессии.
|
1656395717
|
Формат журнала аппаратуры конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_hardware
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Значение по умолчанию.
|
0
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие (подключение или извлечение устройства).
|
add_device, remove_device
|
|
sourceServiceName
|
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.
|
USBHUB3
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания идентификатора подключаемого/извлекаемого устройства.
|
deviceId
|
|
cs3
|
Идентификатор устройства.
|
USB\\VID_0E0F&PID_0002\\6&201153C1&0&8
|
|
cs4Label
|
Поле используется для индикации имени устройства.
|
deviceName
|
|
cs4
|
Название устройства.
|
Kingston DataTraveler 2.0 USB Device
|
Формат журнала Syslog
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
syslog
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы.
|
Может принимать значения:
-
0 — emergencies;
-
1 — alerts;
-
2 — critical;
-
3 — errors;
-
4 — warnings;
-
5 — notifications;
-
6 — informational;
-
7 — debugging.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
msg
|
Описание события.
|
[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)
|
|
cn1Label
|
Поле используется для указания типа источника событий syslog.
Подробнее о значениях syslog facility смотрите в RFC 5424.
|
Facility
|
|
cn1
|
Тип источника событий syslog. Например, user-level messages.
|
1
|
|
cs1Label
|
Поле используется для указания имени устройства, на котором произошло событие.
|
Hostname
|
|
cs1
|
Имя компьютера, на котором произошло событие.
|
node1
|
|
cs2Label
|
Поле используется для указания приложения, вызвавшего событие.
|
Tag
|
|
cs2
|
Приложение, вызвавшее событие.
|
org.gnome.Shell.desktop
|
|
cs3Label
|
Поле используется для указания идентификатора процесса события.
|
ProcessID
|
|
cs3
|
PID процесса вызвавшего событие.
|
3036
|
|
cs4Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs4
|
Название правила, срабатывание которого вызвало событие.
|
Example — Allow user-level messages
|
Формат журнала RADIUS
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
radius
|
|
Name
|
Тип источника.
|
log
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Статус пользователя (acct_status_type).
|
start, stop, interim update, accounting-on, accounting-off
|
|
suser
|
Имя пользователя.
|
Unknown, если пользователь неизвестен.
|
|
src_ip
|
IP-адрес источника, откуда пришло сообщение.
|
192.168.57.4
|
|
dst
|
IP-адрес NAS, авторизовавшего пользователя.
|
172.16.1.4
|
|
dvc
|
IP-адрес пользователя (framed ip address).
|
192.168.57.29
|
|
cs1Label
|
Поле используется для указания группы, в которой состоит пользователь.
|
user groups
|
|
cs1
|
Строка групп в которых состоит пользователь.
|
test_group
|
Формат журнала UserID
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
userid
|
|
Name
|
Тип источника.
|
log
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
reason
|
Причина, по которой было создано событие.
|
{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"],
"user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624}
|
|
suser
|
Имя пользователя.
|
user1 (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.0.11
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
dev.local
|
Экспорт журналов в формате JSON
Описание журнала событий
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
ip_address
|
IPv4-адрес источника события.
|
192.168.174.134
|
|
attributes
|
Детали события в формате JSON.
|
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}
|
|
event_type
|
Тип события.
|
logexport_rule_updated
|
|
event_severity
|
Важность события.
|
info (информационные), warning (предупреждения), error (ошибки), critical (критичные).
|
|
event_origin
|
Модуль, в котором произошло событие.
|
core
|
|
event_component
|
Компонент, в котором произошло событие.
|
console_auth
|
|
user
|
Имя пользователя.
|
{"guid":"37333739-3733-3734-3635-366400000000","name":"System","groups":[]}}
|
Описание журнала веб-доступа
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
reasons
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
host
|
Имя хоста.
|
www.google.com
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
52
|
|
bytes_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
100
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
2
|
|
packets_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
5
|
|
request_method
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
url
|
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
media_type
|
Тип контента.
|
application/json
|
|
status_code
|
Код ответа HTTP.
|
302
|
|
http_referer
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
useragent
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
application
|
id
|
Идентификатор приложения.
|
20
|
|
name
|
Название приложения.
|
Youtube
|
|
threat_level
|
Уровень угрозы приложения.
|
0
|
|
app_protocol
|
Протокол прикладного уровня и его версия.
|
HTTP\/1.1"
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника.
|
Trusted
|
|
country
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения.
|
192.168.174.134
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого вызвало создание события.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила.
|
Default allow
|
|
type
|
Тип сработавшего правила.
|
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала DNS
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
00000000-0000-0000-0000-000000000000
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
reasons
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
host
|
Имя хоста.
|
google.com
|
|
data
|
Поле используется для указания передаваемых данных.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
url_categories
|
id
|
Идентификатор сработавшей URL-категории.
|
37
|
|
threat_level
|
Уровень угрозы сработавшей категории.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей категории.
|
Search Engines & Portals
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
application
|
id
|
Идентификатор приложения.
|
5
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
0
|
|
app_protocol
|
Протокол прикладного уровня.
|
DNS
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
mac
|
MAC-адрес назначения
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
Type
|
Тип сработавшего правила.
|
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
user1
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
json_data
|
Дополнительные данные.
|
null
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
app_protocol
|
Протокол прикладного уровня.
|
HTTP
|
|
name
|
Название приложения.
|
Youtube
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
nat
|
source
|
ip
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.117.85 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
destination
|
ip
|
Адрес назначения после переназначения (если настроены правила NAT).
|
64.233.164.198 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
type
|
Тип правила.
|
firewall
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала СОВ
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
json_data
|
Дополнительные данные.
|
null
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
app_protocol
|
Протокол прикладного уровня.
|
HTTP
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
type
|
Тип сработавшего правила
|
idps
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
Описание журнала АСУ ТП
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
pdu_severity
|
Критичность АСУ ТП.
|
1
|
|
pdu_func
|
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).
|
12
|
|
pdu_address
|
Адрес регистра, с которым необходимо провести операцию.
|
3154
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
details
|
pdu_varname
|
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.
|
VAR
|
|
pdu_device
|
Адрес устройства, используемый в протоколах MMS и OPCUA.
|
DEV
|
|
mb_write_quantity
|
Количество значений для записи (команда Read Write Register).
|
998
|
|
mb_write_addr
|
Начальный адрес регистра для записи (команда Read Write Register).
|
776
|
|
mb_value
|
Записываемое значение (для команд Write Single Coil, Write Single Register).
|
322
|
|
mb_unit_id
|
Адрес устройства.
|
186
|
|
mb_read_quantity
|
Количество значений для чтения (команда Read Write Register).
|
658
|
|
mb_read_addr
|
Начальный адрес регистра для чтения (команда Read Write Register).
|
122
|
|
mb_quantity
|
Количество значений для чтения.
|
875
|
|
mb_payload
|
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).
|
75be5ecdc24f9883
|
|
mb_or_mask
|
Значение маски OR команды Mask Write Register.
|
1024
|
|
mb_message
|
Сообщение Modbus.
|
exception
|
|
mb_exception_code
|
Код ошибки. Актуален для типа сообщения error_response.
|
255
|
|
mb_and_mask
|
Значение маски AND команды Mask Write Register.
|
121
|
|
mb_addr
|
Адрес регистра.
|
3154
|
|
iec104_msgtype
|
Тип запроса.
|
request, response, error_response
|
|
iec104_ioa
|
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.
|
23
|
|
iec104_cot
|
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).
|
6
|
|
iec104_asdu
|
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104.
|
123
|
|
app_protocol
|
Протокол прикладного уровня.
|
Modbus
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
pass
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SCADA Sample Rule
|
Описание журнала инспектирования SSH
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
command
|
Команда, передаваемая по SSH.
|
whoami
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
|
|
app_protocol
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SSH Rule Example
|
|
type
|
Тип сработавшего правила.
|
ssh
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала защиты почтового трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
mark
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
0
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
0
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
0
|
|
packets_rcv
|
Количество пакетов, переданных в направлении назначение — источник.
|
0
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
from
|
Почтовый адрес отправителя.
|
sender@example.com
|
|
to
|
Почтовый адрес получателя.
|
receiver@example.com
|
|
application
|
id
|
Идентификатор приложения.
|
9
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
|
|
app_protocol
|
Сетевой протокол прикладного уровня.
|
SMTP
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
10.10.10.10
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
port
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Mail security rule
|
|
type
|
Тип сработавшего правила.
|
Mail security rule
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала событий конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
user_name
|
Имя пользователя.
|
DESKTOP-0731NFQ\\Username
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
status
|
Результат выполнения WMI или SNMP запроса.
|
OK, Error
|
|
source_name
|
Источник журнала событий.
|
Microsoft-Windows-Security-Auditing
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
node
|
Идентификатор конечного устройства или узла, на котором запущен сенсор.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
log_level
|
Тип события.
|
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка
|
|
log_file
|
Тип журнала, содержащего важную информацию о программных и аппаратных событиях.
|
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell
|
|
log_event_type
|
Тип события лога.
|
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).
|
|
log_event_id
|
Идентификатор события.
|
4672
|
|
log_event_code
|
Код события журнала.
|
14056
|
|
log_category_string
|
Категория события.
|
Special Logon
|
|
insertion_string
|
Строка вставки – данные блока EventData события Windows.
|
Windows DefenderSECURITY_PRODUCT_STATE_ON
|
|
error
|
Ошибка WMI или SNMP, возникшая в результате выполнения запроса.
|
0
|
|
data
|
Подробная информация о событии.
|
Тип запуска службы "Установщик модулей Windows" был изменен с "Автоматически" на "Вручную".
|
|
counter_id
|
Идентификатор счётчика, добавленного в WMI или SNMP сенсор.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
computer_name
|
Имя компьютера.
|
DESKTOP-0731NFQ
|
Описание журнала правил конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
00000006-0000-0000-f04d-14bdad0f01bb
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
host
|
Имя хоста.
|
www.google.com
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
drop, accept, nat
|
|
endpoint_name
|
Имя конечного устройства.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
media_type
|
Тип контента.
|
application/json
|
|
app_name
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
source
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
ip
|
IPv4-адрес назначения.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Default allow
|
|
type
|
Тип сработавшего правила.
|
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
Описание журнала приложений конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
user_name
|
Имя пользователя, под учётной записью которого выполнен вход на конечном устройстве.
|
DESKTOP-0731NFQ\\User
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
process_id
|
Идентификатор процесса.
|
3916
|
|
hash
|
Хэш приложения.
|
B4CE5C3495FEA0A4FDBAC8ABDCD199F7E4CA8C1F
|
|
app_name
|
Приложение, которое было запущено/остановлено.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
action
|
Действие (запуск или остановка приложения).
|
start, stop
|
|
version
|
Версия приложения.
|
6.2.19041.746
|
|
subject
|
Субъект подписи.
|
Microsoft Corporation
|
|
issuer
|
Издатель сертификата для приложения.
|
Microsoft Windows Production PCA 2011
|
|
cmd_line
|
Запрос командной строки.
|
C:\\Windows\\system32\\svchost.exe -k wsappx -p -s AppXSvc
|
|
session_id
|
Идентификатор сессии.
|
1656038456
|
Описание журнала аппаратуры конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
action
|
Действие (подключение/извлечение устройства).
|
add_device, remove_device
|
|
device_name
|
Название устройства, которое было подключено/извлечено.
|
Generic USB Hub
|
|
device_id
|
Идентификатор устройства.
|
USB\\VID_0E0F&PID_0002\\6&201153C1&0&7
|
|
service
|
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.
|
USBHUB3
|
Описание журнала Syslog
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
syslog_facility
|
Тип источника события syslog. Например, user-level messages.
Подробнее о значениях syslog facility смотрите в RFC 5424.
|
1
|
|
syslog_severity
|
Уровень важности события syslog. Например, warning.
Подробнее о значениях syslog severity смотрите в RFC 5424.
|
4
|
|
computer_name
|
Имя устройства, на котором произошло событие.
|
node1
|
|
app_name
|
Приложение, вызвавшее событие.
|
org.gnome.Shell.desktop
|
|
process_id
|
PID процесса, вызвавшего событие.
|
3036
|
|
data
|
Описание события.
|
[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Example — Allow user-level messages
|
|
type
|
Тип сработавшего правила.
|
|
Описание журнала RADIUS
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
event_type
|
Статус пользователя (acct_status_type).
|
start, stop, interim update, accounting-on, accounting-off
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
src_ip
|
IP-адрес источника, откуда пришло сообщение.
|
192.168.57.4
|
|
nas_ip
|
IP-адрес NAS, авторизовавшего пользователя.
|
172.16.1.4
|
|
framed_ip
|
IP-адрес пользователя.
|
192.168.57.29
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
745591c3-9d21-092d-8db4-5b9b0000044f
|
|
name
|
Имя пользователя.
|
user_name
|
|
groups
|
Название группы, в которой состоит пользователь.
|
test_group
|
Описание журнала UserID
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
reasons
|
Причина, по которой было создано событие.
|
{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"],
\"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624}
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
src_ip
|
IPv4 источника события.
|
10.10.0.11
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
dev.local
|
|
type
|
Тип сработавшего правила.
|
syslog
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
745591c3-9d21-092d-8db4-5b9b0000044f
|
|
name
|
Имя пользователя.
|
user1
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
aa218609-8716-9252-df20-88c43a0d0bf6
|
|
name
|
Название группы, в которой состоит пользователь.
|
CN=Domain Users,CN=Users,DC=dev,DC=local
|
|
