Экспорт журналов в формате CEF

ID статьи: 1522
Последнее обновление: 31 окт, 2024
Documentation:
Product: LogAn, SIEM
Version: 7.1.x, 7.2.x

Формат журнала событий

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

events

Origin

Модуль, в котором произошло событие.

admin_console

Severity

Важность события.

Может принимать значения:

  • 1 — информационные.

  • 4 — предупреждения.

  • 7 — ошибки.

  • 10 — критичные.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Тип события.

login_successful

suser

Имя пользователя.

Admin

src

IPv4-адрес источника.

192.168.117.254

cat

Компонент, в котором произошло событие.

console_auth

cs1Label

Поле используется для указания деталей события.

Attributes

cs1

Детали события в формате JSON.

{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}

Формат журнала веб-доступа

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня.

TCP.

app

Протокол прикладного уровня и его версия.

HTTP/1.1

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает было ли содержимое расшифровано.

Decrypted

cs6

Расшифровано или нет.

true, false

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString2

Категория URL.

Computers & Technology

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник.

1

cn3Label

Поле указывает исходный ответ сервера.

Response

cn3

Код ответа HTTP.

302

Формат журнала веб-доступа CEF Compact:

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

webaccess

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта.

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня.

TCP.

app

Протокол прикладного уровня и его версия.

HTTP/1.1

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера.

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Default Allow

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URLCats

flexString1

Категория URL.

Computers & Technology

cn1Label

Поле указывает исходный ответ сервера.

Response

cn1

Код ответа HTTP.

302

ПримечаниеОбщее правило для компактного формата — значения некоторых полей обрезаются по длине до 80 символов. Например, список url-категорий, url, имя пользователя, имя правила, имя зоны, и т.д.

Формат журнала DNS

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

dns

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

block

reason

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

proto

Используемый протокол 4-го уровня.

UDP

dhost

Имя хоста назначения, адрес которого определяется с помощью DNS сервера.

google.com

app

Протокол прикладного уровня.

DNS

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

cs1Label

Поле используется для указания сработавшего правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Rule1

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания передаваемых данных.

Data

cs6

Передаваемые данные.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URL Categories

flexString1

Категория URL.

Search Engines & Portals

Формат журнала DNS CEF Compact:

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

dns

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

block

reason

Причина, по которой было создано событие, например, url категория, на которых сработало правило.

{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}

proto

Используемый протокол 4-го уровня.

UDP

dhost

Имя хоста назначения, адрес которого определяется с помощью DNS сервера.

google.com

app

Протокол прикладного уровня.

DNS

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.

cs1Label

Поле используется для указания сработавшего правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Rule1

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

cs4Label

Поле используется для указания передаваемых данных.

Data

cs4

Передаваемые данные.

{"question":[{"domain":"google.com","type":"A","class":"IN"}],

"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса.

URLCats

flexString1

Категория URL.

Search Engines & Portals

Формат журнала трафика

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Имя сработавшего приложения

my_app

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

dmac

MAC-адрес назначения.

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник.

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник.

1

Формат журнала трафика CEF Compact:

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие.

firewall

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Имя сработавшего приложения

my_app

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

dmac

MAC-адрес назначения.

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT).

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT).

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT).

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

Формат журнала СОВ

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Протокол прикладного уровня.

HTTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

Формат журнала СОВ CEF Compact:

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP или UDP

app

Протокол прикладного уровня.

HTTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

40

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

Формат журнала АСУ ТП

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

scada

Name

Тип источника.

log

PDU Severity

Критичность АСУ ТП.

Может принимать значения:

  • 1 — очень низкий.

  • 2 — низкий.

  • 3 — средний.

  • 4 — высокий.

  • 5 — очень высокий.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

Modbus

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

Scada Rule Example

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает на информацию об устройстве.

PDU Details

cs6

Информация об устройстве в формате JSON.

{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0}

Формат журнала инспектирования SSH

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Указание на команду, передаваемую по SSH.

Command

cs6

Команда, передаваемая по SSH, в формате JSON.

whoami

Формат журнала инспектирования SSH CEF Compact:

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

ssh

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

app

Протокол прикладного уровня.

SSH или SFTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

smac

MAC-адрес источника.

FA:16:3E:65:1C:B4

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

SSH inspection rule

cs2Label

Поле используется для индикации зоны источника.

SrcZone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для индикации зоны назначения.

DstZone

cs3

Название зоны назначения.

Untrusted

cs4Label

Указание на команду, передаваемую по SSH.

Command

cs4

Команда, передаваемая по SSH, в формате JSON.

whoami

Формат журнала защиты почтового трафика

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

app

Протокол прикладного уровня.

SMTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

10

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

cs2Label

Поле используется для указания зоны источника.

Source Zone

cs2

Зона источника.

Untrusted

cs3Label

Поле используется для индикации страны источника трафика.

Source Country

cs3

Страна источника трафика.

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для указания зоны назначения трафика.

Destination Zone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для индикации страны назначения трафика.

Destination Country

cs5

Страна назначения.

RU (отображается двухбуквенный код страны)

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

flexString1Label

Поле используется для указания почтового адреса отправителя.

From

flexString1

Email отправителя.

sender@example.com

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение.

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение.

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник.

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник.

1

Формат журнала защиты почтового трафика CEF Compact

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

mailsecurity

Name

Тип источника.

log

Threat Level

Уровень угрозы приложения.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@einersonstal

act

Действие, выполненное устройством в соответствии с настроенными политиками.

mark

app

Протокол прикладного уровня.

SMTP

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

src

IPv4-адрес источника.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4-адрес назначения.

10.10.10.10

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение.

10

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.

10

cs1Label

Поле используется для указания названия правила.

Rule

cs1

Название правила защиты почтового трафика.

Mail security rule

cs2Label

Поле используется для указания зоны источника.

SrcZone

cs2

Зона источника.

Untrusted

cs4Label

Поле используется для указания зоны назначения трафика.

DstZone

cs4

Название зоны назначения трафика.

Untrusted

cs5Label

Поле используется для указания почтового адреса отправителя.

From

cs5

Email отправителя.

sender@example.com

cs6Label

Поле используется для указания почтового адреса получателя.

To

cs6

Email получателя.

receiver@example.com

Формат журнала событий конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Severity

Важность события.

Может принимать значения:

  • 1 — error;

  • 2 — warning;

  • 3 — info;

  • 4 — audit success;

  • 5 — audit failure.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

msg

Подробная информация о событии.

Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.

suser

Имя пользователя.

Admin

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для индикации имени конечного устройства или сенсора.

endpointName

cs2

Имя конечного устройства или сенсора.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания на тип события.

logLevel

cs3

Тип события.

Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка

cs4Label

Поле используется для указания категории события.

logCategoryString

cs4

Категория события.

Special Logon

cs5Label

Поле используется для индикации типа журнала.

logFile

cs5

Тип журнала, содержащего важную информацию о программных и аппаратных событиях.

Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell

cs6Label

Поле используется для указания на источник журнала событий.

sourceName

cs6

Источник журнала событий.

Microsoft-Windows-Security-Auditing

cn1Label

Поле используется для индикации кода события журнала.

logEventCode

cn1

Код события журнала.

1154

cn2Label

Поле используется для указания на идентификатор события.

logEventId

cn2

Идентификатор события.

10016

cn3Label

Поле используется для индикации типа события лога.

logEventType

cn3

Тип события лога.

1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).

flexString1Label

Поле используется для индикации строки вставки.

insertionString

flexString1

Строка вставки – данные блока EventData события Windows.

Windows DefenderSECURITY_PRODUCT_STATE_ON

Формат журнала правил конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP

shost

Имя хоста.

www.google.com

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

filePath

Приложение, к которому было применено правило межсетевого экрана.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания правила, срабатывание которого создало запись в журнале.

Rule

cs3

Название правила.

Test rule name

flexString1Label

Поле указывает на тип контента.

Media type

flexString1

Тип контента.

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса.

Categories

flexString2

Категория URL.

Computers & Technology

Формат журнала правил конечных устройств CEF Format:

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_log

Name

Тип источника.

log

Threat Level

Уровень угрозы категории URL.

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

proto

Используемый протокол 4-го уровня.

TCP

shost

Имя хоста.

www.google.com

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

filePath

Приложение, к которому было применено правило межсетевого экрана.

C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства или сенсора.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания правила, срабатывание которого создало запись в журнале.

Rule

cs3

Название правила.

Test rule name

Формат журнала приложений конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_applications

Name

Тип источника.

log

Threat Level

Значение по умолчанию.

0

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие (запуск или остановка приложения).

start, stop

suser

Пользователь.

DESKTOP-0731NFQ\User

filePath

Расположение файла.

C:\\Windows\\system32\\cmd.exe

spid

Идентификатор процесса.

3860

fileHash

Хэш приложения.

B4979A9F970029889713D756C3F123643DDE73DA

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для индикации командной строки.

cmdLine

cs3

Запрос командной строки.

C:\\Windows\\system32\\sc.exe start w32time task_started

cs4Label

Поле используется для указания идентификатора сессии.

sessionId

cs4

Идентификатор сессии.

1656395717

Формат журнала аппаратуры конечных устройств

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

endpoint_hardware

Name

Тип источника.

log

Threat Level

Значение по умолчанию.

0

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Идентификатор устройства, сгенерировавшего это событие.

35fb5820-74db-4eac-b05b-d01bc284c4e8

act

Действие (подключение или извлечение устройства).

add_device, remove_device

sourceServiceName

Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.

USBHUB3

cs1Label

Поле используется для указания идентификатора конечного устройства.

endpointId

cs1

Идентификатор конечного устройства.

35fb5820-74db-4eac-b05b-d01bc284c4e8

cs2Label

Поле используется для указания на имя NetBIOS конечного устройства.

endpointName

cs2

Имя NetBIOS конечного устройства.

DESKTOP-0731NFQ

cs3Label

Поле используется для указания идентификатора подключаемого/извлекаемого устройства.

deviceId

cs3

Идентификатор устройства.

USB\\VID_0E0F&PID_0002\\6&201153C1&0&8

cs4Label

Поле используется для индикации имени устройства.

deviceName

cs4

Название устройства.

Kingston DataTraveler 2.0 USB Device

Формат журнала Syslog

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

syslog

Name

Тип источника.

log

Threat Level

Уровень угрозы.

Может принимать значения:

  • 0 — emergencies;

  • 1 — alerts;

  • 2 — critical;

  • 3 — errors;

  • 4 — warnings;

  • 5 — notifications;

  • 6 — informational;

  • 7 — debugging.

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

msg

Описание события.

[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)

cn1Label

Поле используется для указания типа источника событий syslog.

Подробнее о значениях syslog facility смотрите в RFC 5424.

Facility

cn1

Тип источника событий syslog. Например, user-level messages.

1

cs1Label

Поле используется для указания имени устройства, на котором произошло событие.

Hostname

cs1

Имя компьютера, на котором произошло событие.

node1

cs2Label

Поле используется для указания приложения, вызвавшего событие.

Tag

cs2

Приложение, вызвавшее событие.

org.gnome.Shell.desktop

cs3Label

Поле используется для указания идентификатора процесса события.

ProcessID

cs3

PID процесса вызвавшего событие.

3036

cs4Label

Поле используется для указания срабатывания правила.

Rule

cs4

Название правила, срабатывание которого вызвало событие.

Example — Allow user-level messages

Формат журнала RADIUS

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

radius

Name

Тип источника.

log

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Статус пользователя (acct_status_type).

start, stop, interim update, accounting-on, accounting-off

suser

Имя пользователя.

Unknown, если пользователь неизвестен.

src_ip

IP-адрес источника, откуда пришло сообщение.

192.168.57.4

dst

IP-адрес NAS, авторизовавшего пользователя.

172.16.1.4

dvc

IP-адрес пользователя (framed ip address). 

192.168.57.29

cs1Label

Поле используется для указания группы, в которой состоит пользователь.

user groups

cs1

Строка групп в которых состоит пользователь.

test_group

Формат журнала UserID

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Название журнала.

userid

Name

Тип источника.

log

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1701085036026

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ntoorereaeda

act

Действие, принятое устройством в соответствии с настроенными политиками.

login

reason

Причина, по которой было создано событие.

{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"],

"user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624}

suser

Имя пользователя.

user1 (Unknown, если пользователь неизвестен)

src

IPv4 источника трафика.

10.10.0.11

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

dev.local

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1522
Последнее обновление: 31 окт, 2024
Ревизия: 7
Просмотры: 777
Комментарии: 0
Теги