|
|
Экспорт журналов в формате JSON
ID статьи: 286
Последнее обновление: 30 янв, 2024
Documentation: Product: LogAn Version: 6.1.9, 7.0.1
Описание журнала событий
|
Название поля
|
Описание
|
Пример значения
|
|
user
|
Имя пользователя.
|
Admin
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
ip_address
|
IPv4-адрес источника события.
|
192.168.174.134
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
attributes
|
Детали события в формате JSON.
|
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}
|
|
event_type
|
Тип события.
|
logexport_rule_updated
|
|
event_severity
|
Важность события.
|
info (информационные), warning (предупреждения), error (ошибки), critical (критичные).
|
|
event_origin
|
Модуль, в котором произошло событие.
|
core
|
|
event_component
|
Компонент, в котором произошло событие.
|
console_auth
|
Описание журнала веб-доступа
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий;
-
2 — низкий;
-
3 — средний;
-
4 — высокий;
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
52
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
packets_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
5
|
|
request_method
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
url
|
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
2
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
media_type
|
Тип контента.
|
application/json
|
|
host
|
Имя хоста.
|
www.google.com
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
app_protocol
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
status_code
|
Код ответа HTTP.
|
302
|
|
bytes_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
100
|
|
http_referer
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
reasons
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]
|
|
useragent
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника.
|
Trusted
|
|
country
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения.
|
192.168.174.134
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого вызвало создание события.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила.
|
Default allow
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий;
-
2 — низкий;
-
3 — средний;
-
4 — высокий;
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий;
-
2 — низкий;
-
3 — средний;
-
4 — высокий;
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
nat
|
source
|
ip
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.117.85 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
destination
|
ip
|
Адрес назначения после переназначения (если настроены правила NAT).
|
64.233.164.198 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
type
|
Тип правила.
|
firewall
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала СОВ
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий;
-
2 — низкий;
-
3 — средний;
-
4 — высокий;
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий;
-
2 — низкий;
-
3 — средний;
-
4 — высокий;
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
Описание журнала АСУ ТП
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
pdu_severity
|
Критичность АСУ ТП.
|
1
|
|
pdu_func
|
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).
|
12
|
|
pdu_address
|
Адрес регистра, с которым необходимо провести операцию.
|
3154
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
details
|
pdu_varname
|
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.
|
VAR
|
|
pdu_device
|
Адрес устройства, используемый в протоколах MMS и OPCUA.
|
DEV
|
|
mb_write_quantity
|
Количество значений для записи (команда Read Write Register).
|
998
|
|
mb_write_addr
|
Начальный адрес регистра для записи (команда Read Write Register).
|
776
|
|
mb_value
|
Записываемое значение (для команд Write Single Coil, Write Single Register).
|
322
|
|
mb_unit_id
|
Адрес устройства.
|
186
|
|
mb_read_quantity
|
Количество значений для чтения (команда Read Write Register).
|
658
|
|
mb_read_addr
|
Начальный адрес регистра для чтения (команда Read Write Register).
|
122
|
|
mb_quantity
|
Количество значений для чтения.
|
875
|
|
mb_payload
|
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).
|
75be5ecdc24f9883
|
|
mb_or_mask
|
Значение маски OR команды Mask Write Register.
|
1024
|
|
mb_message
|
Сообщение Modbus.
|
exception
|
|
mb_exception_code
|
Код ошибки. Актуален для типа сообщения error_response.
|
255
|
|
mb_and_mask
|
Значение маски AND команды Mask Write Register.
|
121
|
|
mb_addr
|
Адрес регистра.
|
3154
|
|
iec104_msgtype
|
Тип запроса.
|
request, response, error_response
|
|
iec104_ioa
|
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.
|
23
|
|
iec104_cot
|
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).
|
6
|
|
iec104_asdu
|
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104.
|
123
|
|
app_protocol
|
Протокол прикладного уровня.
|
Modbus
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
pass
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SCADA Sample Rule
|
Описание журнала инспектирования SSH
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
command
|
Команда, передаваемая по SSH.
|
whoami
|
|
app_threat
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2)
|
|
app_protocol
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
app_id
|
Идентификатор приложения.
|
195
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SSH Rule Example
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
ID статьи: 286
Последнее обновление: 30 янв, 2024
Ревизия: 7
Просмотры: 4315
Комментарии: 0
Теги
Также опубликовано в
|
