|
|
Экспорт журналов в формате JSON
ID статьи: 1523
Последнее обновление: 31 окт, 2024
Documentation: Product: LogAn, SIEM Version: 7.1.x, 7.2.x
Описание журнала событий
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
ip_address
|
IPv4-адрес источника события.
|
192.168.174.134
|
|
attributes
|
Детали события в формате JSON.
|
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}
|
|
event_type
|
Тип события.
|
logexport_rule_updated
|
|
event_severity
|
Важность события.
|
info (информационные), warning (предупреждения), error (ошибки), critical (критичные).
|
|
event_origin
|
Модуль, в котором произошло событие.
|
core
|
|
event_component
|
Компонент, в котором произошло событие.
|
console_auth
|
|
user
|
Имя пользователя.
|
{"guid":"37333739-3733-3734-3635-366400000000","name":"System","groups":[]}}
|
Описание журнала веб-доступа
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
reasons
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
host
|
Имя хоста.
|
www.google.com
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
52
|
|
bytes_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
100
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
2
|
|
packets_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
5
|
|
request_method
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
url
|
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
media_type
|
Тип контента.
|
application/json
|
|
status_code
|
Код ответа HTTP.
|
302
|
|
http_referer
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
useragent
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
application
|
id
|
Идентификатор приложения.
|
20
|
|
name
|
Название приложения.
|
Youtube
|
|
threat_level
|
Уровень угрозы приложения.
|
0
|
|
app_protocol
|
Протокол прикладного уровня и его версия.
|
HTTP\/1.1"
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника.
|
Trusted
|
|
country
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения.
|
192.168.174.134
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого вызвало создание события.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила.
|
Default allow
|
|
type
|
Тип сработавшего правила.
|
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала DNS
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
00000000-0000-0000-0000-000000000000
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
reasons
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
host
|
Имя хоста.
|
google.com
|
|
data
|
Поле используется для указания передаваемых данных.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
url_categories
|
id
|
Идентификатор сработавшей URL-категории.
|
37
|
|
threat_level
|
Уровень угрозы сработавшей категории.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей категории.
|
Search Engines & Portals
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
application
|
id
|
Идентификатор приложения.
|
5
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
0
|
|
app_protocol
|
Протокол прикладного уровня.
|
DNS
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
mac
|
MAC-адрес назначения
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
Type
|
Тип сработавшего правила.
|
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
user1
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
json_data
|
Дополнительные данные.
|
null
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
app_protocol
|
Протокол прикладного уровня.
|
HTTP
|
|
name
|
Название приложения.
|
Youtube
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
nat
|
source
|
ip
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.117.85 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
destination
|
ip
|
Адрес назначения после переназначения (если настроены правила NAT).
|
64.233.164.198 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
type
|
Тип правила.
|
firewall
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала СОВ
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
json_data
|
Дополнительные данные.
|
null
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
app_protocol
|
Протокол прикладного уровня.
|
HTTP
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
type
|
Тип сработавшего правила
|
idps
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
Описание журнала АСУ ТП
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
pdu_severity
|
Критичность АСУ ТП.
|
1
|
|
pdu_func
|
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).
|
12
|
|
pdu_address
|
Адрес регистра, с которым необходимо провести операцию.
|
3154
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
details
|
pdu_varname
|
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.
|
VAR
|
|
pdu_device
|
Адрес устройства, используемый в протоколах MMS и OPCUA.
|
DEV
|
|
mb_write_quantity
|
Количество значений для записи (команда Read Write Register).
|
998
|
|
mb_write_addr
|
Начальный адрес регистра для записи (команда Read Write Register).
|
776
|
|
mb_value
|
Записываемое значение (для команд Write Single Coil, Write Single Register).
|
322
|
|
mb_unit_id
|
Адрес устройства.
|
186
|
|
mb_read_quantity
|
Количество значений для чтения (команда Read Write Register).
|
658
|
|
mb_read_addr
|
Начальный адрес регистра для чтения (команда Read Write Register).
|
122
|
|
mb_quantity
|
Количество значений для чтения.
|
875
|
|
mb_payload
|
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).
|
75be5ecdc24f9883
|
|
mb_or_mask
|
Значение маски OR команды Mask Write Register.
|
1024
|
|
mb_message
|
Сообщение Modbus.
|
exception
|
|
mb_exception_code
|
Код ошибки. Актуален для типа сообщения error_response.
|
255
|
|
mb_and_mask
|
Значение маски AND команды Mask Write Register.
|
121
|
|
mb_addr
|
Адрес регистра.
|
3154
|
|
iec104_msgtype
|
Тип запроса.
|
request, response, error_response
|
|
iec104_ioa
|
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.
|
23
|
|
iec104_cot
|
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).
|
6
|
|
iec104_asdu
|
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104.
|
123
|
|
app_protocol
|
Протокол прикладного уровня.
|
Modbus
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
pass
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SCADA Sample Rule
|
Описание журнала инспектирования SSH
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
command
|
Команда, передаваемая по SSH.
|
whoami
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
|
|
app_protocol
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SSH Rule Example
|
|
type
|
Тип сработавшего правила.
|
ssh
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала защиты почтового трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
mark
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
0
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
0
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
0
|
|
packets_rcv
|
Количество пакетов, переданных в направлении назначение — источник.
|
0
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
from
|
Почтовый адрес отправителя.
|
sender@example.com
|
|
to
|
Почтовый адрес получателя.
|
receiver@example.com
|
|
application
|
id
|
Идентификатор приложения.
|
9
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
|
|
app_protocol
|
Сетевой протокол прикладного уровня.
|
SMTP
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
10.10.10.10
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
port
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Mail security rule
|
|
type
|
Тип сработавшего правила.
|
Mail security rule
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала событий конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
user_name
|
Имя пользователя.
|
DESKTOP-0731NFQ\\Username
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
status
|
Результат выполнения WMI или SNMP запроса.
|
OK, Error
|
|
source_name
|
Источник журнала событий.
|
Microsoft-Windows-Security-Auditing
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
node
|
Идентификатор конечного устройства или узла, на котором запущен сенсор.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
log_level
|
Тип события.
|
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка
|
|
log_file
|
Тип журнала, содержащего важную информацию о программных и аппаратных событиях.
|
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell
|
|
log_event_type
|
Тип события лога.
|
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).
|
|
log_event_id
|
Идентификатор события.
|
4672
|
|
log_event_code
|
Код события журнала.
|
14056
|
|
log_category_string
|
Категория события.
|
Special Logon
|
|
insertion_string
|
Строка вставки – данные блока EventData события Windows.
|
Windows DefenderSECURITY_PRODUCT_STATE_ON
|
|
error
|
Ошибка WMI или SNMP, возникшая в результате выполнения запроса.
|
0
|
|
data
|
Подробная информация о событии.
|
Тип запуска службы "Установщик модулей Windows" был изменен с "Автоматически" на "Вручную".
|
|
counter_id
|
Идентификатор счётчика, добавленного в WMI или SNMP сенсор.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
computer_name
|
Имя компьютера.
|
DESKTOP-0731NFQ
|
Описание журнала правил конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
00000006-0000-0000-f04d-14bdad0f01bb
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
host
|
Имя хоста.
|
www.google.com
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
drop, accept, nat
|
|
endpoint_name
|
Имя конечного устройства.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
media_type
|
Тип контента.
|
application/json
|
|
app_name
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
source
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
ip
|
IPv4-адрес назначения.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Default allow
|
|
type
|
Тип сработавшего правила.
|
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
Описание журнала приложений конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
user_name
|
Имя пользователя, под учётной записью которого выполнен вход на конечном устройстве.
|
DESKTOP-0731NFQ\\User
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
process_id
|
Идентификатор процесса.
|
3916
|
|
hash
|
Хэш приложения.
|
B4CE5C3495FEA0A4FDBAC8ABDCD199F7E4CA8C1F
|
|
app_name
|
Приложение, которое было запущено/остановлено.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
action
|
Действие (запуск или остановка приложения).
|
start, stop
|
|
version
|
Версия приложения.
|
6.2.19041.746
|
|
subject
|
Субъект подписи.
|
Microsoft Corporation
|
|
issuer
|
Издатель сертификата для приложения.
|
Microsoft Windows Production PCA 2011
|
|
cmd_line
|
Запрос командной строки.
|
C:\\Windows\\system32\\svchost.exe -k wsappx -p -s AppXSvc
|
|
session_id
|
Идентификатор сессии.
|
1656038456
|
Описание журнала аппаратуры конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
action
|
Действие (подключение/извлечение устройства).
|
add_device, remove_device
|
|
device_name
|
Название устройства, которое было подключено/извлечено.
|
Generic USB Hub
|
|
device_id
|
Идентификатор устройства.
|
USB\\VID_0E0F&PID_0002\\6&201153C1&0&7
|
|
service
|
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.
|
USBHUB3
|
Описание журнала Syslog
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
syslog_facility
|
Тип источника события syslog. Например, user-level messages.
Подробнее о значениях syslog facility смотрите в RFC 5424.
|
1
|
|
syslog_severity
|
Уровень важности события syslog. Например, warning.
Подробнее о значениях syslog severity смотрите в RFC 5424.
|
4
|
|
computer_name
|
Имя устройства, на котором произошло событие.
|
node1
|
|
app_name
|
Приложение, вызвавшее событие.
|
org.gnome.Shell.desktop
|
|
process_id
|
PID процесса, вызвавшего событие.
|
3036
|
|
data
|
Описание события.
|
[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Example — Allow user-level messages
|
|
type
|
Тип сработавшего правила.
|
|
Описание журнала RADIUS
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
event_type
|
Статус пользователя (acct_status_type).
|
start, stop, interim update, accounting-on, accounting-off
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
src_ip
|
IP-адрес источника, откуда пришло сообщение.
|
192.168.57.4
|
|
nas_ip
|
IP-адрес NAS, авторизовавшего пользователя.
|
172.16.1.4
|
|
framed_ip
|
IP-адрес пользователя.
|
192.168.57.29
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
745591c3-9d21-092d-8db4-5b9b0000044f
|
|
name
|
Имя пользователя.
|
user_name
|
|
groups
|
Название группы, в которой состоит пользователь.
|
test_group
|
Описание журнала UserID
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
reasons
|
Причина, по которой было создано событие.
|
{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"],
\"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624}
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
src_ip
|
IPv4 источника события.
|
10.10.0.11
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
dev.local
|
|
type
|
Тип сработавшего правила.
|
syslog
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
745591c3-9d21-092d-8db4-5b9b0000044f
|
|
name
|
Имя пользователя.
|
user1
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
aa218609-8716-9252-df20-88c43a0d0bf6
|
|
name
|
Название группы, в которой состоит пользователь.
|
CN=Domain Users,CN=Users,DC=dev,DC=local
|
ID статьи: 1523
Последнее обновление: 31 окт, 2024
Ревизия: 8
Просмотры: 928
Комментарии: 0
Теги
|
