Экспорт журналов в формате JSON
ID статьи: 1274
Последнее обновление: 05 сен, 2024
Documentation:
Product: LogAn, SIEM
Version: 7.1.x
Описание журнала событий
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
ip_address
IPv4-адрес источника события.
192.168.174.134
attributes
Детали события в формате JSON.
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}
event_type
Тип события.
logexport_rule_updated
event_severity
Важность события.
info (информационные), warning (предупреждения), error (ошибки), critical (критичные).
event_origin
Модуль, в котором произошло событие.
core
event_component
Компонент, в котором произошло событие.
console_auth
user
Имя пользователя.
{"guid":"37333739-3733-3734-3635-366400000000","name":"System","groups":[]}}
Описание журнала веб-доступа
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
session
Идентификатор сессии.
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
reasons
Причина, по которой было создано событие, например, причина блокировки сайта.
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]
proto
Используемый протокол 4-го уровня.
TCP
host
Имя хоста.
www.google.com
action
Действие, принятое устройством в соответствии с настроенными политиками.
block
bytes_sent
Количество байтов, переданных в направлении источник — назначение.
52
bytes_recv
Количество пакетов, переданных в направлении назначение — источник.
100
packets_sent
Количество пакетов, переданных в направлении источник — назначение.
2
packets_recv
Количество байтов, переданных в направлении назначение — источник.
5
request_method
Метод, используемый для доступа к URL-адресу (POST , GET и т.п.).
GET
url
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
http://www.secure.com
media_type
Тип контента.
application/json
status_code
Код ответа HTTP.
302
http_referer
URL источника запроса (реферер HTTP).
https://www.google.com/
decrypted
Поле указывает было ли содержимое расшифровано.
true, false
useragent
Useragent пользовательского браузера.
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
application
id
Идентификатор приложения.
20
name
Название приложения.
Youtube
threat_level
Уровень угрозы приложения.
0
app_protocol
Протокол прикладного уровня и его версия.
HTTP\/1.1"
url_categories
id
Идентификатор категории, к которой относится URL .
39
threat_level
Уровень угрозы категории URL .
Может принимать значения:
1 — очень низкий.
2 — низкий.
3 — средний.
4 — высокий.
5 — очень высокий.
name
Название категории, к которой относится URL .
Social Networking
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника.
Trusted
country
Страна источника трафика.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
mac
MAC-адрес источника
01:23:45:67:89:AB
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Страна назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения.
192.168.174.134
port
Порт назначения.
Может принимать значения от 0 до 65535.
mac
MAC-адрес назначения.
01:23:45:67:89:AB
rule
guid
Уникальный идентификатор правила, срабатывание которого вызвало создание события.
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
name
Название правила.
Default allow
type
Тип сработавшего правила.
user
guid
Уникальный идентификатор пользователя.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя
user_name
groups
guid
Уникальный идентификатор группы, в которой состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
Описание журнала DNS
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
session
Идентификатор сессии.
00000000-0000-0000-0000-000000000000
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ntoorereaeda
reasons
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
proto
Используемый протокол 4-го уровня.
UDP
host
Имя хоста.
google.com
data
Поле используется для указания передаваемых данных.
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
url_categories
id
Идентификатор сработавшей URL-категории.
37
threat_level
Уровень угрозы сработавшей категории.
Может принимать значения:
1 — очень низкий.
2 — низкий.
3 — средний.
4 — высокий.
5 — очень высокий.
name
Название сработавшей категории.
Search Engines & Portals
action
Действие, принятое устройством в соответствии с настроенными политиками.
block
application
id
Идентификатор приложения.
5
name
Название приложения.
threat_level
Уровень угрозы приложения.
0
app_protocol
Протокол прикладного уровня.
DNS
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника трафика.
Trusted
country
Название страны источника.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника трафика.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
mac
MAC-адрес источника.
01:23:45:67:89:AB
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Название страны назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения трафика.
104.19.197.151
port
Порт назначения
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
mac
MAC-адрес назначения
01:23:45:67:89:AB
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
name
Название правила, срабатывание которого вызвало событие.
Rule1
Type
Тип сработавшего правила.
user
guid
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя.
user1
groups
guid
Уникальный идентификатор группы, в которых состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
Описание журнала трафика
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
session
Идентификатор сессии.
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
proto
Используемый протокол 4-го уровня.
TCP или UDP
action
Действие, принятое устройством в соответствии с настроенными политиками.
accept
bytes_sent
Количество байтов, переданных в направлении источник — назначение.
100
bytes_recv
Количество байтов, переданных в направлении назначение — источник.
6
packets_recv
Количество пакетов, переданных в направлении назначение — источник.
1
packets_sent
Количество пакетов, переданных в направлении источник — назначение.
1
json_data
Дополнительные данные.
null
application
id
Идентификатор приложения.
195
threat_level
Уровень угрозы приложения.
Может принимать значения:
1 — очень низкий.
2 — низкий.
3 — средний.
4 — высокий.
5 — очень высокий.
app_protocol
Протокол прикладного уровня.
HTTP
name
Название приложения.
Youtube
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника трафика.
Trusted
country
Название страны источника.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника трафика.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Название страны назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения трафика.
104.19.197.151
port
Порт назначения
Может принимать значения от 0 до 65535.
nat
source
ip
Адрес источника после переназначения (если настроены правила NAT).
192.168.117.85 (если NAT не настроен, то: "nat":null )
port
Порт источника после переназначения (если настроены правила NAT).
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null )
destination
ip
Адрес назначения после переназначения (если настроены правила NAT).
64.233.164.198 (если NAT не настроен, то: "nat":null )
port
Порт источника после переназначения (если настроены правила NAT).
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null )
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
type
Тип правила.
firewall
name
Название правила, срабатывание которого вызвало событие.
Allow trusted to untrusted
user
guid
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя.
Admin
groups
guid
Уникальный идентификатор группы, в которых состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
Описание журнала СОВ
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
session
Идентификатор сессии.
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
proto
Используемый протокол 4-го уровня.
TCP или UDP
action
Действие, принятое устройством в соответствии с настроенными политиками.
accept
bytes_sent
Количество байтов, переданных в направлении источник — назначение.
100
bytes_recv
Количество байтов, переданных в направлении назначение — источник.
6
packets_sent
Количество пакетов, переданных в направлении источник — назначение.
1
packets_recv
Количество пакетов, переданных в направлении назначение — источник.
1
json_data
Дополнительные данные.
null
application
id
Идентификатор приложения.
195
threat_level
Уровень угрозы приложения.
Может принимать значения:
1 — очень низкий.
2 — низкий.
3 — средний.
4 — высокий.
5 — очень высокий.
name
Название приложения.
Youtube
app_protocol
Протокол прикладного уровня.
HTTP
user
guid
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя.
Admin
groups
guid
Уникальный идентификатор группы, в которых состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
name
Название правила, срабатывание которого вызвало событие.
Allow trusted to untrusted
type
Тип сработавшего правила
idps
signatures
id
Идентификатор сработавшей сигнатуры.
999999
threat_level
Уровень угрозы сработавшей сигнатуры.
Может принимать значения:
1 — очень низкий.
2 — низкий.
3 — средний.
4 — высокий.
5 — очень высокий.
name
Название сработавшей сигнатуры.
BlackSun Test
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника трафика.
Trusted
country
Название страны источника.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника трафика.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
mac
MAC-адрес источника.
01:23:45:67:89:AB
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Название страны назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения трафика.
104.19.197.151
port
Порт назначения.
Может принимать значения от 0 до 65535.
mac
MAC-адрес назначения.
01:23:45:67:89:AB
Описание журнала АСУ ТП
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
pdu_severity
Критичность АСУ ТП.
1
pdu_func
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).
12
pdu_address
Адрес регистра, с которым необходимо провести операцию.
3154
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
details
pdu_varname
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.
VAR
pdu_device
Адрес устройства, используемый в протоколах MMS и OPCUA.
DEV
mb_write_quantity
Количество значений для записи (команда Read Write Register).
998
mb_write_addr
Начальный адрес регистра для записи (команда Read Write Register).
776
mb_value
Записываемое значение (для команд Write Single Coil, Write Single Register).
322
mb_unit_id
Адрес устройства.
186
mb_read_quantity
Количество значений для чтения (команда Read Write Register).
658
mb_read_addr
Начальный адрес регистра для чтения (команда Read Write Register).
122
mb_quantity
Количество значений для чтения.
875
mb_payload
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).
75be5ecdc24f9883
mb_or_mask
Значение маски OR команды Mask Write Register.
1024
mb_message
Сообщение Modbus.
exception
mb_exception_code
Код ошибки. Актуален для типа сообщения error_response.
255
mb_and_mask
Значение маски AND команды Mask Write Register.
121
mb_addr
Адрес регистра.
3154
iec104_msgtype
Тип запроса.
request, response, error_response
iec104_ioa
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.
23
iec104_cot
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).
6
iec104_asdu
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104.
123
app_protocol
Протокол прикладного уровня.
Modbus
action
Действие, принятое устройством в соответствии с настроенными политиками.
pass
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника трафика.
Trusted
country
Название страны источника.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника трафика.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Название страны назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения трафика.
104.19.197.151
port
Порт назначения
Может принимать значения от 0 до 65535.
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
name
Название правила, срабатывание которого вызвало событие.
SCADA Sample Rule
Описание журнала инспектирования SSH
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
command
Команда, передаваемая по SSH.
whoami
action
Действие, принятое устройством в соответствии с настроенными политиками.
block
application
id
Идентификатор приложения.
195
name
Название приложения.
threat_level
Уровень угрозы приложения.
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
app_protocol
Протокол прикладного уровня.
SSH или SFTP
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника трафика.
Trusted
country
Название страны источника.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника трафика.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
mac
MAC-адрес источника.
FA:16:3E:65:1C:B4
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Название страны назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения трафика.
104.19.197.151
port
Порт назначения.
Может принимать значения от 0 до 65535.
mac
MAC-адрес назначения.
01:23:45:67:89:AB
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
name
Название правила, срабатывание которого вызвало событие.
SSH Rule Example
type
Тип сработавшего правила.
ssh
user
guid
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя.
Admin
groups
guid
Уникальный идентификатор группы, в которых состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
Описание журнала защиты почтового трафика
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ersthetatica
action
Действие, принятое устройством в соответствии с настроенными политиками.
mark
bytes_sent
Количество байтов, переданных в направлении источник — назначение.
0
bytes_recv
Количество байтов, переданных в направлении назначение — источник.
0
packets_sent
Количество пакетов, переданных в направлении источник — назначение.
0
packets_rcv
Количество пакетов, переданных в направлении назначение — источник.
0
decrypted
Поле указывает было ли содержимое расшифровано.
true, false
from
Почтовый адрес отправителя.
sender@example.com
to
Почтовый адрес получателя.
receiver@example.com
application
id
Идентификатор приложения.
9
name
Название приложения.
threat_level
Уровень угрозы приложения.
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
app_protocol
Сетевой протокол прикладного уровня.
SMTP
source
zone
guid
Уникальный идентификатор зоны источника трафика.
d0038912-0d8a-4583-a525-e63950b1da47
name
Название зоны источника трафика.
Trusted
country
Название страны источника.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес источника трафика.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
mac
MAC-адрес источника.
01:23:45:67:89:AB
destination
zone
guid
Уникальный идентификатор зоны назначения трафика.
3c0b1253-f069-4060-903b-5fec4f465db0
name
Название зоны назначения трафика.
Untrusted
country
Название страны назначения.
RU (отображается двухбуквенный код страны)
ip
IPv4-адрес назначения трафика.
10.10.10.10
port
Порт назначения.
Может принимать значения от 0 до 65535.
port
MAC-адрес назначения.
01:23:45:67:89:AB
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
59e38e06-533a-4771-9664-031c3e8b2e1f
name
Название правила, срабатывание которого вызвало событие.
Mail security rule
type
Тип сработавшего правила.
Mail security rule
user
guid
Уникальный идентификатор пользователя.
a7a3cd49-8232-4f1a-962a-3659af89e96f
name
Имя пользователя.
user_name
groups
guid
Уникальный идентификатор группы, в которой состоит пользователь.
919878b2-e882-49ed-3331-8ec72c3c79cb
name
Название группы, в которой состоит пользователь.
Default Group
Описание журнала событий конечных устройств
Название поля
Описание
Пример значения
user_name
Имя пользователя.
DESKTOP-0731NFQ\\Username
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
status
Результат выполнения WMI или SNMP запроса.
OK, Error
source_name
Источник журнала событий.
Microsoft-Windows-Security-Auditing
endpoint_name
Название конечного устройства или сенсора.
DESKTOP-0731NFQ
endpoint_id
Идентификатор конечного устройства или сенсора.
35fb5820-74db-4eac-b05b-d01bc284c4e8
node
Идентификатор конечного устройства или узла, на котором запущен сенсор.
35fb5820-74db-4eac-b05b-d01bc284c4e8
log_level
Тип события.
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка
log_file
Тип журнала, содержащего важную информацию о программных и аппаратных событиях.
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell
log_event_type
Тип события лога.
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).
log_event_id
Идентификатор события.
4672
log_event_code
Код события журнала.
14056
log_category_string
Категория события.
Special Logon
insertion_string
Строка вставки – данные блока EventData события Windows.
Windows DefenderSECURITY_PRODUCT_STATE_ON
error
Ошибка WMI или SNMP, возникшая в результате выполнения запроса.
0
data
Подробная информация о событии.
Тип запуска службы "Установщик модулей Windows" был изменен с "Автоматически" на "Вручную".
counter_id
Идентификатор счётчика, добавленного в WMI или SNMP сенсор.
35fb5820-74db-4eac-b05b-d01bc284c4e8
computer_name
Имя компьютера.
DESKTOP-0731NFQ
Описание журнала правил конечных устройств
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
session
Идентификатор сессии.
00000006-0000-0000-f04d-14bdad0f01bb
proto
Используемый протокол 4-го уровня.
TCP
host
Имя хоста.
www.google.com
action
Действие, принятое устройством в соответствии с настроенными политиками.
drop, accept, nat
endpoint_name
Имя конечного устройства.
DESKTOP-0731NFQ
endpoint_id
Идентификатор конечного устройства.
35fb5820-74db-4eac-b05b-d01bc284c4e8
media_type
Тип контента.
application/json
app_name
Приложение, к которому было применено правило межсетевого экрана.
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
source
ip
IPv4-адрес источника.
10.10.10.10
port
Порт источника.
Может принимать значения от 0 до 65535.
destination
ip
IPv4-адрес назначения.
104.19.197.151
port
Порт назначения
Может принимать значения от 0 до 65535.
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
name
Название правила, срабатывание которого вызвало событие.
Default allow
type
Тип сработавшего правила.
url_categories
id
Идентификатор категории, к которой относится URL .
39
threat_level
Уровень угрозы категории URL .
Может принимать значения:
1 — очень низкий.
2 — низкий.
3 — средний.
4 — высокий.
5 — очень высокий.
name
Название категории, к которой относится URL .
Social Networking
Описание журнала приложений конечных устройств
Название поля
Описание
Пример значения
user_name
Имя пользователя, под учётной записью которого выполнен вход на конечном устройстве.
DESKTOP-0731NFQ\\User
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
endpoint_name
Название конечного устройства или сенсора.
DESKTOP-0731NFQ
endpoint_id
Идентификатор конечного устройства или сенсора.
35fb5820-74db-4eac-b05b-d01bc284c4e8
process_id
Идентификатор процесса.
3916
hash
Хэш приложения.
B4CE5C3495FEA0A4FDBAC8ABDCD199F7E4CA8C1F
app_name
Приложение, которое было запущено/остановлено.
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
action
Действие (запуск или остановка приложения).
start, stop
version
Версия приложения.
6.2.19041.746
subject
Субъект подписи.
Microsoft Corporation
issuer
Издатель сертификата для приложения.
Microsoft Windows Production PCA 2011
cmd_line
Запрос командной строки.
C:\\Windows\\system32\\svchost.exe -k wsappx -p -s AppXSvc
session_id
Идентификатор сессии.
1656038456
Описание журнала аппаратуры конечных устройств
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
endpoint_name
Название конечного устройства или сенсора.
DESKTOP-0731NFQ
endpoint_id
Идентификатор конечного устройства или сенсора.
35fb5820-74db-4eac-b05b-d01bc284c4e8
action
Действие (подключение/извлечение устройства).
add_device, remove_device
device_name
Название устройства, которое было подключено/извлечено.
Generic USB Hub
device_id
Идентификатор устройства.
USB\\VID_0E0F&PID_0002\\6&201153C1&0&7
service
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.
USBHUB3
Описание журнала Windows Active Directory
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node_name
Имя, которое однозначно идентифицирует устройство UserGate, генерирующее это событие.
utmcore@ntoorereaeda
endpoint_id
Идентификатор конечного устройства — источника события.
16535060-5a1a-4e92-8331-239406ec34da
endpoint_name
Имя конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).
dep.local
user_name
Поле «Пользователь» из журнала AD.
user1.dep.local
log_level
Поле «Keywords» из журнала AD.
Audit Success
log_category_string
Код категории события из журнала AD.
Group Membership
log_file
Файл журнала Windows.
Security
source_name
Поле «Источник» из журнала AD.
Microsoft-Windows-Security-Auditing
data
Описание события в журнале AD.
Group membership information.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-3795870133-5220325-2125745684-1103\r\n\tAccount Name:\t\tuser1\r\n\tAccount Domain:\t\tDEP\r\n\tLogon ID:\t\t0x7A25A21\r\n\r\nEvent in sequence:\t\t1 of 1\r\n\r\nGroup Membership:\t\t\t\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-513}\r\n\t\t%{S-1-1-0}\r\n\t\t%{S-1-5-32-544}\r\n\t\t%{S-1-5-32-555}\r\n\t\t%{S-1-5-32-545}\r\n\t\t%{S-1-5-32-554}\r\n\t\t%{S-1-5-2}\r\n\t\t%{S-1-5-11}\r\n\t\t%{S-1-5-15}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-512}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-572}\r\n\t\t%{S-1-5-64-10}\r\n\t\t%{S-1-16-12288}\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThis event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.
computer_name
Узел Windows из журнала AD, на котором произошло событие.
DC1.dep.local
insertion_string
Параметры события из журнала AD после парсинга сообщения.
['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%
{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}
\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']
error
Код ошибки из журнала AD, которая произошла при получении данных.
0
status
Описание ошибки из журнала AD, которая произошла при получении данных.
counter_id
Идентификатор счетчика WMI сенсора.
login_logout
log_event_code
Поле «Код события» из журнала AD.
4627
log_event_id
Поле «Идентификатор события» из журнала AD.
4627
log_event_type
Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.).
4
Описание журнала Syslog
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ntoorereaeda
syslog_facility
Тип источника события syslog. Например, user-level messages.
Подробнее о значениях syslog facility смотрите в RFC 5424 .
1
syslog_severity
Уровень важности события syslog. Например, warning.
Подробнее о значениях syslog severity смотрите в RFC 5424 .
4
computer_name
Имя устройства, на котором произошло событие.
node1
app_name
Приложение, вызвавшее событие.
org.gnome.Shell.desktop
process_id
PID процесса, вызвавшего событие.
3036
data
Описание события.
[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
16535060-5a1a-4e92-8331-239406ec34da
name
Название правила, срабатывание которого вызвало событие.
Example — Allow user-level messages
type
Тип сработавшего правила.
Описание журнала RADIUS
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ntoorereaeda
event_type
Статус пользователя (acct_status_type).
start, stop, interim update, accounting-on, accounting-off
action
Действие, принятое устройством в соответствии с настроенными политиками.
login
src_ip
IP-адрес источника, откуда пришло сообщение.
192.168.57.4
nas_ip
IP-адрес NAS, авторизовавшего пользователя.
172.16.1.4
framed_ip
IP-адрес пользователя.
192.168.57.29
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
16535060-5a1a-4e92-8331-239406ec34da
user
guid
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
745591c3-9d21-092d-8db4-5b9b0000044f
name
Имя пользователя.
user_name
groups
guid
Уникальный идентификатор группы, в которой состоит пользователь.
aa218609-8716-9252-df20-88c43a0d0bf6
name
Название группы, в которой состоит пользователь.
test_group
Описание журнала UserID
Название поля
Описание
Пример значения
timestamp
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
2022-05-12T08:11:46.15869Z
node
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
utmcore@ntoorereaeda
reasons
Причина, по которой было создано событие.
{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"],
\"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624}
action
Действие, принятое устройством в соответствии с настроенными политиками.
login
src_ip
IPv4 источника события.
10.10.0.11
rule
guid
Уникальный идентификатор правила, срабатывание которого создало событие.
16535060-5a1a-4e92-8331-239406ec34da
name
Название правила, срабатывание которого вызвало событие.
dev.local
type
Тип сработавшего правила.
syslog
user
guid
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
745591c3-9d21-092d-8db4-5b9b0000044f
name
Имя пользователя.
user1
groups
guid
Уникальный идентификатор группы, в которых состоит пользователь.
aa218609-8716-9252-df20-88c43a0d0bf6
name
Название группы, в которой состоит пользователь.
CN=Domain Users,CN=Users,DC=dev,DC=local
ID статьи: 1274
Последнее обновление: 05 сен, 2024
Ревизия: 20
Просмотры: 4472
Комментарии: 0
Теги
