|
|
Описание форматов журналов
Экспорт журналов в формате CEF
Формат журнала событий
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
events
|
|
Origin
|
Модуль, в котором произошло событие.
|
admin_console
|
|
Severity
|
Важность события.
|
Может принимать значения:
-
1 — информационные.
-
4 — предупреждения.
-
7 — ошибки.
-
10 — критичные.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Тип события.
|
login_successful
|
|
suser
|
Имя пользователя.
|
Admin
|
|
src
|
IPv4-адрес источника.
|
192.168.117.254
|
|
cat
|
Компонент, в котором произошло событие.
|
console_auth
|
|
cs1Label
|
Поле используется для указания деталей события.
|
Attributes
|
|
cs1
|
Детали события в формате JSON.
|
{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}
|
Формат журнала веб-доступа
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
webaccess
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
captive
|
|
reason
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
{"id":39,"name":"Social Networking","threat_level":3}
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP.
|
|
app
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
requestMethod
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
request
|
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
requestContext
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
requestClientApplication
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Default Allow
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле указывает было ли содержимое расшифровано.
|
Decrypted
|
|
cs6
|
Расшифровано или нет.
|
true, false
|
|
flexString1Label
|
Поле указывает на тип контента.
|
Media type
|
|
flexString1
|
Тип контента.
|
text/html
|
|
flexString2Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URL Categories
|
|
flexString2
|
Категория URL.
|
Computers & Technology
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества переданных пакетов в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество переданных пакетов в направлении назначение — источник.
|
1
|
|
cn3Label
|
Поле указывает исходный ответ сервера.
|
Response
|
|
cn3
|
Код ответа HTTP.
|
302
|
Формат журнала веб-доступа CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
webaccess
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
captive
|
|
reason
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
{"id":39,"name":"Social Networking","threat_level":3}
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP.
|
|
app
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
requestMethod
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
request
|
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
requestContext
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
requestClientApplication
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Default Allow
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
|
flexString1Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URLCats
|
|
flexString1
|
Категория URL.
|
Computers & Technology
|
|
cn1Label
|
Поле указывает исходный ответ сервера.
|
Response
|
|
cn1
|
Код ответа HTTP.
|
302
|
ПримечаниеОбщее правило для компактного формата — значения некоторых полей обрезаются по длине до 80 символов. Например, список url-категорий, url, имя пользователя, имя правила, имя зоны, и т.д.
Формат журнала DNS
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
dns
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
reason
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
dhost
|
Имя хоста назначения, адрес которого определяется с помощью DNS сервера.
|
google.com
|
|
app
|
Протокол прикладного уровня.
|
DNS
|
|
suser
|
Имя пользователя.
|
user1 (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.0.11
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
cs1Label
|
Поле используется для указания сработавшего правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле используется для указания передаваемых данных.
|
Data
|
|
cs6
|
Передаваемые данные.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
flexString1Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URL Categories
|
|
flexString1
|
Категория URL.
|
Search Engines & Portals
|
Формат журнала DNS CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
dns
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
reason
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
dhost
|
Имя хоста назначения, адрес которого определяется с помощью DNS сервера.
|
google.com
|
|
app
|
Протокол прикладного уровня.
|
DNS
|
|
suser
|
Имя пользователя.
|
user1 (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.0.11
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
cs1Label
|
Поле используется для указания сработавшего правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
|
cs4Label
|
Поле используется для указания передаваемых данных.
|
Data
|
|
cs4
|
Передаваемые данные.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
flexString1Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URLCats
|
|
flexString1
|
Категория URL.
|
Search Engines & Portals
|
Формат журнала трафика
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
traffic
|
|
Rule Type
|
Тип правила, срабатывание которого вызвало событие.
|
firewall
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Имя сработавшего приложения
|
my_app
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
00:50:56:80:28:08
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
dmac
|
MAC-адрес назначения.
|
00:50:56:80:7D:21
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
sourceTranslatedAddress
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.174.134 (0.0.0.0 — если нет)
|
|
sourceTranslatedPort
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
destinationTranslatedAddress
|
Адрес назначения после переназначения (если настроены правила NAT).
|
192.226.127.130 (0.0.0.0 — если нет)
|
|
destinationTranslatedPort
|
Порт назначения после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества пакетов, переданных в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
Формат журнала трафика CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
traffic
|
|
Rule Type
|
Тип правила, срабатывание которого вызвало событие.
|
firewall
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Имя сработавшего приложения
|
my_app
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
00:50:56:80:28:08
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
dmac
|
MAC-адрес назначения.
|
00:50:56:80:7D:21
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
sourceTranslatedAddress
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.174.134 (0.0.0.0 — если нет)
|
|
sourceTranslatedPort
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
destinationTranslatedAddress
|
Адрес назначения после переназначения (если настроены правила NAT).
|
192.226.127.130 (0.0.0.0 — если нет)
|
|
destinationTranslatedPort
|
Порт назначения после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
Формат журнала СОВ
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
idps
|
|
Signature
|
Название сработавшей сигнатуры СОВ.
|
BlackSun Test
|
|
Threat Level
|
Уровень угрозы сигнатуры.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Протокол прикладного уровня.
|
HTTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
msg
|
Уровень угрозы сигнатуры и её название.
|
[2] BlackSun
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
IDPS Rule Example
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
Формат журнала СОВ CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
idps
|
|
Signature
|
Название сработавшей сигнатуры СОВ.
|
BlackSun Test
|
|
Threat Level
|
Уровень угрозы сигнатуры.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
app
|
Протокол прикладного уровня.
|
HTTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
msg
|
Уровень угрозы сигнатуры и её название.
|
[2] BlackSun
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
IDPS Rule Example
|
Формат журнала АСУ ТП
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
scada
|
|
Name
|
Тип источника.
|
log
|
|
PDU Severity
|
Критичность АСУ ТП.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
Modbus
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Scada Rule Example
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле указывает на информацию об устройстве.
|
PDU Details
|
|
cs6
|
Информация об устройстве в формате JSON.
|
{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0}
|
Формат журнала инспектирования SSH
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
ssh
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
SSH inspection rule
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Указание на команду, передаваемую по SSH.
|
Command
|
|
cs6
|
Команда, передаваемая по SSH, в формате JSON.
|
whoami
|
Формат журнала инспектирования SSH CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
ssh
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
SSH inspection rule
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
SrcZone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для индикации зоны назначения.
|
DstZone
|
|
cs3
|
Название зоны назначения.
|
Untrusted
|
|
cs4Label
|
Указание на команду, передаваемую по SSH.
|
Command
|
|
cs4
|
Команда, передаваемая по SSH, в формате JSON.
|
whoami
|
Формат журнала защиты почтового трафика
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
mailsecurity
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@einersonstal
|
|
act
|
Действие, выполненное устройством в соответствии с настроенными политиками.
|
mark
|
|
app
|
Протокол прикладного уровня.
|
SMTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4-адрес источника.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4-адрес назначения.
|
10.10.10.10
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
10
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
10
|
|
cs1Label
|
Поле используется для указания названия правила.
|
Rule
|
|
cs1
|
Название правила защиты почтового трафика.
|
Mail security rule
|
|
cs2Label
|
Поле используется для указания зоны источника.
|
Source Zone
|
|
cs2
|
Зона источника.
|
Untrusted
|
|
cs3Label
|
Поле используется для индикации страны источника трафика.
|
Source Country
|
|
cs3
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
cs4Label
|
Поле используется для указания зоны назначения трафика.
|
Destination Zone
|
|
cs4
|
Название зоны назначения трафика.
|
Untrusted
|
|
cs5Label
|
Поле используется для индикации страны назначения трафика.
|
Destination Country
|
|
cs5
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле используется для указания почтового адреса получателя.
|
To
|
|
cs6
|
Email получателя.
|
receiver@example.com
|
|
flexString1Label
|
Поле используется для указания почтового адреса отправителя.
|
From
|
|
flexString1
|
Email отправителя.
|
sender@example.com
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества переданных пакетов в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество переданных пакетов в направлении назначение — источник.
|
1
|
Формат журнала защиты почтового трафика CEF Compact:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
mailsecurity
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@einersonstal
|
|
act
|
Действие, выполненное устройством в соответствии с настроенными политиками.
|
mark
|
|
app
|
Протокол прикладного уровня.
|
SMTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4-адрес источника.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4-адрес назначения.
|
10.10.10.10
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
10
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
10
|
|
cs1Label
|
Поле используется для указания названия правила.
|
Rule
|
|
cs1
|
Название правила защиты почтового трафика.
|
Mail security rule
|
|
cs2Label
|
Поле используется для указания зоны источника.
|
SrcZone
|
|
cs2
|
Зона источника.
|
Untrusted
|
|
cs4Label
|
Поле используется для указания зоны назначения трафика.
|
DstZone
|
|
cs4
|
Название зоны назначения трафика.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания почтового адреса отправителя.
|
From
|
|
cs5
|
Email отправителя.
|
sender@example.com
|
|
cs6Label
|
Поле используется для указания почтового адреса получателя.
|
To
|
|
cs6
|
Email получателя.
|
receiver@example.com
|
Формат журнала событий конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Severity
|
Важность события.
|
Может принимать значения:
-
1 — error;
-
2 — warning;
-
3 — info;
-
4 — audit success;
-
5 — audit failure.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
msg
|
Подробная информация о событии.
|
Состояние Windows Defender успешно изменено на SECURITY_PRODUCT_STATE_ON.
|
|
suser
|
Имя пользователя.
|
Admin
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для индикации имени конечного устройства или сенсора.
|
endpointName
|
|
cs2
|
Имя конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания на тип события.
|
logLevel
|
|
cs3
|
Тип события.
|
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка
|
|
cs4Label
|
Поле используется для указания категории события.
|
logCategoryString
|
|
cs4
|
Категория события.
|
Special Logon
|
|
cs5Label
|
Поле используется для индикации типа журнала.
|
logFile
|
|
cs5
|
Тип журнала, содержащего важную информацию о программных и аппаратных событиях.
|
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell
|
|
cs6Label
|
Поле используется для указания на источник журнала событий.
|
sourceName
|
|
cs6
|
Источник журнала событий.
|
Microsoft-Windows-Security-Auditing
|
|
cn1Label
|
Поле используется для индикации кода события журнала.
|
logEventCode
|
|
cn1
|
Код события журнала.
|
1154
|
|
cn2Label
|
Поле используется для указания на идентификатор события.
|
logEventId
|
|
cn2
|
Идентификатор события.
|
10016
|
|
cn3Label
|
Поле используется для индикации типа события лога.
|
logEventType
|
|
cn3
|
Тип события лога.
|
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).
|
|
flexString1Label
|
Поле используется для индикации строки вставки.
|
insertionString
|
|
flexString1
|
Строка вставки – данные блока EventData события Windows.
|
Windows DefenderSECURITY_PRODUCT_STATE_ON
|
Формат журнала правил конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
shost
|
Имя хоста.
|
www.google.com
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
filePath
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания правила, срабатывание которого создало запись в журнале.
|
Rule
|
|
cs3
|
Название правила.
|
Test rule name
|
|
flexString1Label
|
Поле указывает на тип контента.
|
Media type
|
|
flexString1
|
Тип контента.
|
text/html
|
|
flexString2Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
Categories
|
|
flexString2
|
Категория URL.
|
Computers & Technology
|
Формат журнала правил конечных устройств CEF Format:
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
shost
|
Имя хоста.
|
www.google.com
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
filePath
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания правила, срабатывание которого создало запись в журнале.
|
Rule
|
|
cs3
|
Название правила.
|
Test rule name
|
Формат журнала приложений конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_applications
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Значение по умолчанию.
|
0
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие (запуск или остановка приложения).
|
start, stop
|
|
suser
|
Пользователь.
|
DESKTOP-0731NFQ\User
|
|
filePath
|
Расположение файла.
|
C:\\Windows\\system32\\cmd.exe
|
|
spid
|
Идентификатор процесса.
|
3860
|
|
fileHash
|
Хэш приложения.
|
B4979A9F970029889713D756C3F123643DDE73DA
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для индикации командной строки.
|
cmdLine
|
|
cs3
|
Запрос командной строки.
|
C:\\Windows\\system32\\sc.exe start w32time task_started
|
|
cs4Label
|
Поле используется для указания идентификатора сессии.
|
sessionId
|
|
cs4
|
Идентификатор сессии.
|
1656395717
|
Формат журнала аппаратуры конечных устройств
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Тип журнала.
|
endpoint_hardware
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Значение по умолчанию.
|
0
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Идентификатор устройства, сгенерировавшего это событие.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
act
|
Действие (подключение или извлечение устройства).
|
add_device, remove_device
|
|
sourceServiceName
|
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.
|
USBHUB3
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
cs2Label
|
Поле используется для указания на имя NetBIOS конечного устройства.
|
endpointName
|
|
cs2
|
Имя NetBIOS конечного устройства.
|
DESKTOP-0731NFQ
|
|
cs3Label
|
Поле используется для указания идентификатора подключаемого/извлекаемого устройства.
|
deviceId
|
|
cs3
|
Идентификатор устройства.
|
USB\\VID_0E0F&PID_0002\\6&201153C1&0&8
|
|
cs4Label
|
Поле используется для индикации имени устройства.
|
deviceName
|
|
cs4
|
Название устройства.
|
Kingston DataTraveler 2.0 USB Device
|
Формат журнала Windows Active Directory
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
endpoint_log
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы.
|
Может принимать значения от 1 до 10 (указанный уровень угрозы, умноженный на 2).
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
suser
|
Имя пользователя.
|
user1.dep.local
|
|
msg
|
Описание события в журнале AD.
|
Group membership information
Subject: Security ID: S-1-0-0 Account Name: — Account Domain: — Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: S-1-5-21-3795870133-5220325-2125745684-1103 Account Name: user1 Account Domain: DEP Logon ID: 0xA57A446 Event in sequence: 1 of 1 Group Membership: %{S-1-5-21-3795870133-5220325-2125745684-513} %{S-1-1-0} %{S-1-5-32-544} %{S-1-5-32-555} %{S-1-5-32-545} %{S-1-5-32-554} %{S-1-5-2} %{S-1-5-11} %{S-1-5-15} %{S-1-5-21-3795870133-5220325-2125745684-512} %{S-1-5-21-3795870133-5220325-2125745684-572} %{S-1-5-64-10} %{S-1-16-12288} The subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe. The logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network). The New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on. This event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.
|
|
cn1Label
|
Поле используется для указания кода события из журнала AD.
|
logEventCode
|
|
cn1
|
Код события.
|
4627
|
|
cn2Label
|
Поле используется для указания номера идентификатора события из журнала AD.
|
logEventId
|
|
cn2
|
Идентификатор события.
|
4627
|
|
cn3Label
|
Поле используется для указания типа события журнала Windows (Система\Безопасность\Приложение и т. д.).
|
logEventType
|
|
cn3
|
Тип события журнала Windows.
|
4
|
|
cs1Label
|
Поле используется для указания идентификатора конечного устройства — источника события.
|
endpointId
|
|
cs1
|
Идентификатор конечного устройства.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
cs2Label
|
Поле используется для указания имени конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).
|
endpointName
|
|
cs2
|
Имя конечного устройства.
|
dep.local
|
|
cs3Label
|
Поле используется для указания уровня важности события в журнале AD.
|
logLevel
|
|
cs3
|
Уровень важности события.
|
Audit Success
|
|
cs4Label
|
Поле используется для указания кода категории события (12554 Group Membership, 12544 Logon, 14337 Kerberos Service Ticket Operations и тд)
|
logCategoryString
|
|
cs4
|
Категория события.
|
Group Membership
|
|
cs5Label
|
Поле используется для указания файла журнала Windows.
|
logFile
|
|
cs5
|
Файл журнала Windows
|
Security
|
|
cs6Label
|
Поле используется для указания источника из журнала AD.
|
sourceName
|
|
cs6
|
Источник из журнала AD.
|
Microsoft-Windows-Security-Auditing
|
|
flexString1Label
|
Поле используется для указания содержания события из журнала AD.
|
insertionString
|
|
flexString1
|
Параметры события из журнала AD после парсинга сообщения.
|
['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%
{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}
\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']
|
Формат журнала Syslog
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
syslog
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы.
|
Может принимать значения:
-
0 — emergencies;
-
1 — alerts;
-
2 — critical;
-
3 — errors;
-
4 — warnings;
-
5 — notifications;
-
6 — informational;
-
7 — debugging.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
msg
|
Описание события.
|
[3603:3603:1128/175000.938565:ERROR:CONSOLE(6)] "console.assert", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)
|
|
cn1Label
|
Поле используется для указания типа источника событий syslog.
Подробнее о значениях syslog facility смотрите в RFC 5424.
|
Facility
|
|
cn1
|
Тип источника событий syslog. Например, user-level messages.
|
1
|
|
cs1Label
|
Поле используется для указания имени устройства, на котором произошло событие.
|
Hostname
|
|
cs1
|
Имя компьютера, на котором произошло событие.
|
node1
|
|
cs2Label
|
Поле используется для указания приложения, вызвавшего событие.
|
Tag
|
|
cs2
|
Приложение, вызвавшее событие.
|
org.gnome.Shell.desktop
|
|
cs3Label
|
Поле используется для указания идентификатора процесса события.
|
ProcessID
|
|
cs3
|
PID процесса вызвавшего событие.
|
3036
|
|
cs4Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs4
|
Название правила, срабатывание которого вызвало событие.
|
Example — Allow user-level messages
|
Формат журнала RADIUS
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
radius
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы.
|
Может принимать значения:
-
0 — emergencies;
-
1 — alerts;
-
2 — critical;
-
3 — errors;
-
4 — warnings;
-
5 — notifications;
-
6 — informational;
-
7 — debugging.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Статус пользователя (acct_status_type).
|
start, stop, interim update, accounting-on, accounting-off
|
|
suser
|
Имя пользователя.
|
Unknown, если ползователь неизвестен. |
|
src_ip
|
IP-адрес источника, откуда пришло сообщение.
|
192.168.57.4
|
|
dst
|
IP-адрес NAS, авторизовавшего пользователя.
|
172.16.1.4
|
|
dvc
|
IP-аадрес пользователя (framed ip address).
|
192.168.57.29
|
|
cs1Label
|
Поле используется для указания группы, в которой состоит пользователь.
|
user groups
|
|
cs1
|
Строка групп в которых состоит пользователь.
|
test_group
|
Формат журнала UserID
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
UserGate
|
|
Device Product
|
Тип продукта.
|
NGFW
|
|
Device Version
|
Версия продукта.
|
7
|
|
Source
|
Название журнала.
|
userid
|
|
Name
|
Тип источника.
|
log
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1701085036026
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
reason
|
Причина, по которой было создано событие.
|
{"user_groups_sids":["S-1-5-21-3795870133-5220325-2125745684-513","S-1-5-21-3795870133-5220325-2125745684-512"],
"user_sid":"S-1-5-21-3795870133-5220325-2125745684-1103","login":"user1","domain":"DEV","event_id":4624}
|
|
suser
|
Имя пользователя.
|
user1 (Unknown, если пользователь неизвестен)
|
|
src
|
IPv4 источника трафика.
|
10.10.0.11
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
dev.local
|
Экспорт журналов в формате JSON
Описание журнала событий
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
ip_address
|
IPv4-адрес источника события.
|
192.168.174.134
|
|
attributes
|
Детали события в формате JSON.
|
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}
|
|
event_type
|
Тип события.
|
logexport_rule_updated
|
|
event_severity
|
Важность события.
|
info (информационные), warning (предупреждения), error (ошибки), critical (критичные).
|
|
event_origin
|
Модуль, в котором произошло событие.
|
core
|
|
event_component
|
Компонент, в котором произошло событие.
|
console_auth
|
|
user
|
Имя пользователя.
|
{"guid":"37333739-3733-3734-3635-366400000000","name":"System","groups":[]}}
|
Описание журнала веб-доступа
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
reasons
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
host
|
Имя хоста.
|
www.google.com
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
52
|
|
bytes_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
100
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
2
|
|
packets_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
5
|
|
request_method
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
url
|
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
media_type
|
Тип контента.
|
application/json
|
|
status_code
|
Код ответа HTTP.
|
302
|
|
http_referer
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
useragent
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
application
|
id
|
Идентификатор приложения.
|
20
|
|
name
|
Название приложения.
|
Youtube
|
|
threat_level
|
Уровень угрозы приложения.
|
0
|
|
app_protocol
|
Протокол прикладного уровня и его версия.
|
HTTP\/1.1"
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника.
|
Trusted
|
|
country
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения.
|
192.168.174.134
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого вызвало создание события.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила.
|
Default allow
|
|
type
|
Тип сработавшего правила.
|
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала DNS
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
00000000-0000-0000-0000-000000000000
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
reasons
|
Причина, по которой было создано событие, например, url категория, на которых сработало правило.
|
{"url_cats":[{"id":37,"name":"Search Engines & Portals","threat_level":1}]}
|
|
proto
|
Используемый протокол 4-го уровня.
|
UDP
|
|
host
|
Имя хоста.
|
google.com
|
|
data
|
Поле используется для указания передаваемых данных.
|
{"question":[{"domain":"google.com","type":"A","class":"IN"}],
"answer":[{"domain":"google.com","type":"TXT","class":"IN","ttl":5,"data":"Blocked"},{"domain":"google.com","type":"A","class":"IN","ttl":5,"data":"10.10.0.1"}]}
|
|
url_categories
|
id
|
Идентификатор сработавшей URL-категории.
|
37
|
|
threat_level
|
Уровень угрозы сработавшей категории.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей категории.
|
Search Engines & Portals
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
application
|
id
|
Идентификатор приложения.
|
5
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
0
|
|
app_protocol
|
Протокол прикладного уровня.
|
DNS
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535. Для DNS обычно используется порт 53.
|
|
mac
|
MAC-адрес назначения
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Rule1
|
|
Type
|
Тип сработавшего правила.
|
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
user1
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
json_data
|
Дополнительные данные.
|
null
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
app_protocol
|
Протокол прикладного уровня.
|
HTTP
|
|
name
|
Название приложения.
|
Youtube
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
nat
|
source
|
ip
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.117.85 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
destination
|
ip
|
Адрес назначения после переназначения (если настроены правила NAT).
|
64.233.164.198 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
type
|
Тип правила.
|
firewall
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала СОВ
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
json_data
|
Дополнительные данные.
|
null
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
app_protocol
|
Протокол прикладного уровня.
|
HTTP
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
type
|
Тип сработавшего правила
|
idps
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
Описание журнала АСУ ТП
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
pdu_severity
|
Критичность АСУ ТП.
|
1
|
|
pdu_func
|
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).
|
12
|
|
pdu_address
|
Адрес регистра, с которым необходимо провести операцию.
|
3154
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
details
|
pdu_varname
|
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.
|
VAR
|
|
pdu_device
|
Адрес устройства, используемый в протоколах MMS и OPCUA.
|
DEV
|
|
mb_write_quantity
|
Количество значений для записи (команда Read Write Register).
|
998
|
|
mb_write_addr
|
Начальный адрес регистра для записи (команда Read Write Register).
|
776
|
|
mb_value
|
Записываемое значение (для команд Write Single Coil, Write Single Register).
|
322
|
|
mb_unit_id
|
Адрес устройства.
|
186
|
|
mb_read_quantity
|
Количество значений для чтения (команда Read Write Register).
|
658
|
|
mb_read_addr
|
Начальный адрес регистра для чтения (команда Read Write Register).
|
122
|
|
mb_quantity
|
Количество значений для чтения.
|
875
|
|
mb_payload
|
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).
|
75be5ecdc24f9883
|
|
mb_or_mask
|
Значение маски OR команды Mask Write Register.
|
1024
|
|
mb_message
|
Сообщение Modbus.
|
exception
|
|
mb_exception_code
|
Код ошибки. Актуален для типа сообщения error_response.
|
255
|
|
mb_and_mask
|
Значение маски AND команды Mask Write Register.
|
121
|
|
mb_addr
|
Адрес регистра.
|
3154
|
|
iec104_msgtype
|
Тип запроса.
|
request, response, error_response
|
|
iec104_ioa
|
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.
|
23
|
|
iec104_cot
|
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).
|
6
|
|
iec104_asdu
|
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104.
|
123
|
|
app_protocol
|
Протокол прикладного уровня.
|
Modbus
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
pass
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SCADA Sample Rule
|
Описание журнала инспектирования SSH
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
command
|
Команда, передаваемая по SSH.
|
whoami
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
|
|
app_protocol
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SSH Rule Example
|
|
type
|
Тип сработавшего правила.
|
ssh
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала защиты почтового трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
mark
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
0
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
0
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
0
|
|
packets_rcv
|
Количество пакетов, переданных в направлении назначение — источник.
|
0
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
from
|
Почтовый адрес отправителя.
|
sender@example.com
|
|
to
|
Почтовый адрес получателя.
|
receiver@example.com
|
|
application
|
id
|
Идентификатор приложения.
|
9
|
|
name
|
Название приложения.
|
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2).
|
|
app_protocol
|
Сетевой протокол прикладного уровня.
|
SMTP
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
01:23:45:67:89:AB
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
10.10.10.10
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
port
|
MAC-адрес назначения.
|
01:23:45:67:89:AB
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Mail security rule
|
|
type
|
Тип сработавшего правила.
|
Mail security rule
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала событий конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
user_name
|
Имя пользователя.
|
DESKTOP-0731NFQ\\Username
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
status
|
Результат выполнения WMI или SNMP запроса.
|
OK, Error
|
|
source_name
|
Источник журнала событий.
|
Microsoft-Windows-Security-Auditing
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
node
|
Идентификатор конечного устройства или узла, на котором запущен сенсор.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
log_level
|
Тип события.
|
Аудит успеха, Предупреждение, Сведения, Аудит отказа, Ошибка
|
|
log_file
|
Тип журнала, содержащего важную информацию о программных и аппаратных событиях.
|
Security (файл журнала безопасности), Application (файл журнала приложений), System (файл системного журнала), Windows PowerShell
|
|
log_event_type
|
Тип события лога.
|
1 (error), 2 (warning), 3 (information), 4 (audit success), 5 (audit failure).
|
|
log_event_id
|
Идентификатор события.
|
4672
|
|
log_event_code
|
Код события журнала.
|
14056
|
|
log_category_string
|
Категория события.
|
Special Logon
|
|
insertion_string
|
Строка вставки – данные блока EventData события Windows.
|
Windows DefenderSECURITY_PRODUCT_STATE_ON
|
|
error
|
Ошибка WMI или SNMP, возникшая в результате выполнения запроса.
|
0
|
|
data
|
Подробная информация о событии.
|
Тип запуска службы "Установщик модулей Windows" был изменен с "Автоматически" на "Вручную".
|
|
counter_id
|
Идентификатор счётчика, добавленного в WMI или SNMP сенсор.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
computer_name
|
Имя компьютера.
|
DESKTOP-0731NFQ
|
Описание журнала правил конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
00000006-0000-0000-f04d-14bdad0f01bb
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP
|
|
host
|
Имя хоста.
|
www.google.com
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
drop, accept, nat
|
|
endpoint_name
|
Имя конечного устройства.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
media_type
|
Тип контента.
|
application/json
|
|
app_name
|
Приложение, к которому было применено правило межсетевого экрана.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
source
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
ip
|
IPv4-адрес назначения.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Default allow
|
|
type
|
Тип сработавшего правила.
|
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
Описание журнала приложений конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
user_name
|
Имя пользователя, под учётной записью которого выполнен вход на конечном устройстве.
|
DESKTOP-0731NFQ\\User
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
process_id
|
Идентификатор процесса.
|
3916
|
|
hash
|
Хэш приложения.
|
B4CE5C3495FEA0A4FDBAC8ABDCD199F7E4CA8C1F
|
|
app_name
|
Приложение, которое было запущено/остановлено.
|
C:\\Program Files (x86)\\Microsoft\\Edge\\Application\\msedge.exe
|
|
action
|
Действие (запуск или остановка приложения).
|
start, stop
|
|
version
|
Версия приложения.
|
6.2.19041.746
|
|
subject
|
Субъект подписи.
|
Microsoft Corporation
|
|
issuer
|
Издатель сертификата для приложения.
|
Microsoft Windows Production PCA 2011
|
|
cmd_line
|
Запрос командной строки.
|
C:\\Windows\\system32\\svchost.exe -k wsappx -p -s AppXSvc
|
|
session_id
|
Идентификатор сессии.
|
1656038456
|
Описание журнала аппаратуры конечных устройств
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
endpoint_name
|
Название конечного устройства или сенсора.
|
DESKTOP-0731NFQ
|
|
endpoint_id
|
Идентификатор конечного устройства или сенсора.
|
35fb5820-74db-4eac-b05b-d01bc284c4e8
|
|
action
|
Действие (подключение/извлечение устройства).
|
add_device, remove_device
|
|
device_name
|
Название устройства, которое было подключено/извлечено.
|
Generic USB Hub
|
|
device_id
|
Идентификатор устройства.
|
USB\\VID_0E0F&PID_0002\\6&201153C1&0&7
|
|
service
|
Драйвер Windows, обеспечивающий взаимодействие компьютера с оборудованием/устройством.
|
USBHUB3
|
Описание журнала Windows Active Directory
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node_name
|
Имя, которое однозначно идентифицирует устройство UserGate, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
endpoint_id
|
Идентификатор конечного устройства — источника события.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
endpoint_name
|
Имя конечного устройства — источника события (UserGate клиента, сенсора WMI итд.).
|
dep.local
|
|
user_name
|
Поле «Пользователь» из журнала AD.
|
user1.dep.local
|
|
log_level
|
Поле «Keywords» из журнала AD.
|
Audit Success
|
|
log_category_string
|
Код категории события из журнала AD.
|
Group Membership
|
|
log_file
|
Файл журнала Windows.
|
Security
|
|
source_name
|
Поле «Источник» из журнала AD.
|
Microsoft-Windows-Security-Auditing
|
|
data
|
Описание события в журнале AD.
|
Group membership information.\r\n\r\nSubject:\r\n\tSecurity ID:\t\tS-1-0-0\r\n\tAccount Name:\t\t-\r\n\tAccount Domain:\t\t-\r\n\tLogon ID:\t\t0x0\r\n\r\nLogon Type:\t\t\t3\r\n\r\nNew Logon:\r\n\tSecurity ID:\t\tS-1-5-21-3795870133-5220325-2125745684-1103\r\n\tAccount Name:\t\tuser1\r\n\tAccount Domain:\t\tDEP\r\n\tLogon ID:\t\t0x7A25A21\r\n\r\nEvent in sequence:\t\t1 of 1\r\n\r\nGroup Membership:\t\t\t\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-513}\r\n\t\t%{S-1-1-0}\r\n\t\t%{S-1-5-32-544}\r\n\t\t%{S-1-5-32-555}\r\n\t\t%{S-1-5-32-545}\r\n\t\t%{S-1-5-32-554}\r\n\t\t%{S-1-5-2}\r\n\t\t%{S-1-5-11}\r\n\t\t%{S-1-5-15}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-512}\r\n\t\t%{S-1-5-21-3795870133-5220325-2125745684-572}\r\n\t\t%{S-1-5-64-10}\r\n\t\t%{S-1-16-12288}\r\n\r\nThe subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.\r\n\r\nThe logon type field indicates the kind of logon that occurred. The most common types are 2 (interactive) and 3 (network).\r\n\r\nThe New Logon fields indicate the account for whom the new logon was created, i.e. the account that was logged on.\r\n\r\nThis event is generated when the Audit Group Membership subcategory is configured. The Logon ID field can be used to correlate this event with the corresponding user logon event as well as to any other security audit events generated during this logon session.
|
|
computer_name
|
Узел Windows из журнала AD, на котором произошло событие.
|
DC1.dep.local
|
|
insertion_string
|
Параметры события из журнала AD после парсинга сообщения.
|
['S-1-0-0', '-', '-', '0x0', 'S-1-5-21-3795870133-5220325-2125745684-1103', 'user1', 'DEP', '0x7a25a21', '3', '1', '1', '\\r\\n\\t\\t%
{S-1-5-21-3795870133-5220325-2125745684-513}\\r\\n\\t\\t%{S-1-1-0}\\r\\n\\t\\t%{S-1-5-32-544}\\r\\n\\t\\t%{S-1-5-32-555}\\r\\n\\t\\t%{S-1-5-32-545}\\r\\n\\t\\t%{S-1-5-32-554}\\r\\n\\t\\t%{S-1-5-2}\\r\\n\\t\\t%{S-1-5-11}
\\r\\n\\t\\t%{S-1-5-15}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-512}\\r\\n\\t\\t%{S-1-5-21-3795870133-5220325-2125745684-572}\\r\\n\\t\\t%{S-1-5-64-10}\\r\\n\\t\\t%{S-1-16-12288}']
|
|
error
|
Код ошибки из журнала AD, которая произошла при получении данных.
|
0
|
|
status
|
Описание ошибки из журнала AD, которая произошла при получении данных.
|
|
|
counter_id
|
Идентификатор счетчика WMI сенсора.
|
login_logout
|
|
log_event_code
|
Поле «Код события» из журнала AD.
|
4627
|
|
log_event_id
|
Поле «Идентификатор события» из журнала AD.
|
4627
|
|
log_event_type
|
Тип событий журнала Windows (Система\Безопасность\Приложение и т. д.).
|
4
|
Описание журнала Syslog
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
syslog_facility
|
Тип источника события syslog. Например, user-level messages.
Подробнее о значениях syslog facility смотрите в RFC 5424.
|
1
|
|
syslog_severity
|
Уровень важности события syslog. Например, warning.
Подробнее о значениях syslog severity смотрите в RFC 5424.
|
4
|
|
computer_name
|
Имя устройства, на котором произошло событие.
|
node1
|
|
app_name
|
Приложение, вызвавшее событие.
|
org.gnome.Shell.desktop
|
|
process_id
|
PID процесса, вызвавшего событие.
|
3036
|
|
data
|
Описание события.
|
[3603:3603:1130/125201.838651:ERROR:CONSOLE(6)] \"console.assert\", source: devtools://devtools/bundled/devtools-frontend/front_end/panels/console/console.js (6)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Example — Allow user-level messages
|
|
type
|
Тип сработавшего правила.
|
|
Описание журнала RADIUS
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
event_type
|
Статус пользователя (acct_status_type).
|
start, stop, interim update, accounting-on, accounting-off
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
src_ip
|
IP-адрес источника, откуда пришло сообщение.
|
192.168.57.4
|
|
nas_ip
|
IP-адрес NAS, авторизовавшего пользователя.
|
172.16.1.4
|
|
framed_ip
|
IP-адрес пользователя.
|
192.168.57.29
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
745591c3-9d21-092d-8db4-5b9b0000044f
|
|
name
|
Имя пользователя.
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
aa218609-8716-9252-df20-88c43a0d0bf6
|
|
name
|
Название группы, в которой состоит пользователь.
|
test_group
|
Описание журнала UserID
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ntoorereaeda
|
|
reasons
|
Причина, по которой было создано событие.
|
{\"user_groups_sids\":[\"S-1-5-21-3795870133-5220325-2125745684-513\",\"S-1-5-21-3795870133-5220325-2125745684-512\",\"S-1-5-21-3795870133-5220325-2125745684-572\"],
\"user_sid\":\"S-1-5-21-3795870133-5220325-2125745684-1103\",\"login\":\"user1\",\"domain\":\"DEV\",\"event_id\":4624}
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
login
|
|
src_ip
|
IPv4 источника события.
|
10.10.0.11
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
16535060-5a1a-4e92-8331-239406ec34da
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
dev.local
|
|
type
|
Тип сработавшего правила.
|
syslog
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
745591c3-9d21-092d-8db4-5b9b0000044f
|
|
name
|
Имя пользователя.
|
user1
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
aa218609-8716-9252-df20-88c43a0d0bf6
|
|
name
|
Название группы, в которой состоит пользователь.
|
CN=Domain Users,CN=Users,DC=dev,DC=local
|
|
