|
|
Описание форматов журналов
ID статьи: 186
Последнее обновление: 01 фев, 2024
Documentation: Version: 5.x, 6.1.9, 7.0.1
Экспорт журналов в формате CEF
Формат журнала событий
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
Usergate
|
|
Device Product
|
Тип продукта.
|
UTM
|
|
Device Version
|
Версия продукта.
|
6
|
|
Source
|
Тип журнала.
|
events
|
|
Origin
|
Модуль, в котором произошло событие.
|
admin_console
|
|
Severity
|
Важность события.
|
Может принимать значения:
-
1 — информационные.
-
4 — предупреждения.
-
7 — ошибки.
-
10 — критичные.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
suser
|
Имя пользователя.
|
Admin
|
|
cat
|
Компонент, в котором произошло событие.
|
console_auth
|
|
act
|
Тип события.
|
login_successful
|
|
src
|
IPv4-адрес источника.
|
192.168.117.254
|
|
cs1Label
|
Поле используется для указания деталей события.
|
Attributes
|
|
cs1
|
Детали события в формате JSON.
|
{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}
|
Формат журнала веб-доступа
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
Usergate
|
|
Device Product
|
Тип продукта.
|
UTM
|
|
Device Version
|
Версия продукта.
|
6
|
|
Source
|
Название журнала.
|
webaccess
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы категории URL.
|
Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена.
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
captive
|
|
reason
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
{"id":39,"name":"Social Networking","threat_level":3}
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Default Allow
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Поле указывает было ли содержимое расшифровано.
|
Decrypted
|
|
cs6
|
Расшифровано или нет.
|
true, false
|
|
app
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
requestMethod
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
request
|
В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
requestContext
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
requestClientApplication
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
cn3Label
|
Поле указывает исходный ответ сервера.
|
Response
|
|
cn3
|
Код ответа HTTP.
|
302
|
|
flexString1Label
|
Поле указывает на тип контента.
|
Media type
|
|
flexString1
|
Тип контента.
|
text/html
|
|
flexString2Label
|
Поле указывает на категорию запрашиваемого URL-адреса.
|
URL Categories
|
|
flexString2
|
Категория URL.
|
Computers & Technology
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества переданных пакетов в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество переданных пакетов в направлении назначение — источник.
|
1
|
Формат журнала трафика
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
Usergate
|
|
Device Product
|
Тип продукта.
|
UTM
|
|
Device Version
|
Версия продукта.
|
6
|
|
Source
|
Тип журнала.
|
traffic
|
|
Rule Type
|
Тип правила, срабатывание которого вызвало событие.
|
firewall
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
sourceTranslatedAddress
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.174.134 (0.0.0.0 — если нет)
|
|
sourceTranslatedPort
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
destinationTranslatedAddress
|
Адрес назначения после переназначения (если настроены правила NAT).
|
192.226.127.130 (0.0.0.0 — если нет)
|
|
destinationTranslatedPort
|
Порт назначения после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (0 — если нет)
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
|
cn1Label
|
Поле используется для указания количества переданных пакетов в направлении источник — назначение.
|
Packets sent
|
|
cn1
|
Количество переданных пакетов в направлении источник — назначение.
|
3
|
|
cn2Label
|
Поле используется для указания количества пакетов, переданных в направлении назначение — источник.
|
Packets received
|
|
cn2
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
Формат журнала СОВ
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
Usergate
|
|
Device Product
|
Тип продукта.
|
UTM
|
|
Device Version
|
Версия продукта.
|
6
|
|
Source
|
Тип журнала.
|
idps
|
|
Signature
|
Название сработавшей сигнатуры СОВ.
|
BlackSun Test
|
|
Threat Level
|
Уровень угрозы сигнатуры.
|
Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2).
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
IDPS Rule Example
|
|
msg
|
Уровень угрозы сигнатуры и её название.
|
[2] BlackSun
|
|
app
|
Протокол прикладного уровня.
|
HTTP
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
in
|
Количество переданных входящих байтов; данные передаются в направлении источник — назначение.
|
231
|
|
out
|
Количество переданных исходящих байтов; данные передаются в направлении назначение — источник.
|
40
|
Формат журнала АСУ ТП
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
Usergate
|
|
Device Product
|
Тип продукта.
|
UTM
|
|
Device Version
|
Версия продукта.
|
6
|
|
Source
|
Название журнала.
|
scada
|
|
Name
|
Тип источника.
|
log
|
|
PDU Severity
|
Критичность АСУ ТП.
|
1
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
Scada Rule Example
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
app
|
Протокол прикладного уровня.
|
Modbus
|
|
cs6Label
|
Поле указывает на информацию об устройстве.
|
PDU Details
|
|
cs6
|
Информация об устройстве в формате JSON.
|
{"protocol":"modbus","pdu_severity":0,"pdu_func":"3","pdu_address":0, "mb_value":0,"mb_quantity":0,"mb_payload":"AAIAAA==", "mb_message":"response","mb_addr":0}
|
Формат журнала инспектирования SSH
|
Тип поля
|
Название поля
|
Описание
|
Пример значения
|
|
CEF заголовок
|
CEF:Version
|
Версия CEF.
|
CEF:0
|
|
Device Vendor
|
Производитель продукта.
|
Usergate
|
|
Device Product
|
Тип продукта.
|
UTM
|
|
Device Version
|
Версия продукта.
|
6
|
|
Source
|
Название журнала.
|
ssh
|
|
Name
|
Тип источника.
|
log
|
|
Threat Level
|
Уровень угрозы приложения.
|
Может принимать значения от 1 (если приложения нет) до 10 (указанный уровень угрозы, умноженный на 2).
|
|
CEF [расширение]
|
rt
|
Время, когда было получено событие: миллисекунды с 1 января 1970 года.
|
1652344423822
|
|
deviceExternalId
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
act
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
app
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
suser
|
Имя пользователя.
|
user_example (Unknown, если пользователь неизвестен)
|
|
cs1Label
|
Поле используется для указания срабатывания правила.
|
Rule
|
|
cs1
|
Название правила, срабатывание которого вызвало событие.
|
SSH inspection rule
|
|
src
|
IPv4 источника трафика.
|
10.10.10.10
|
|
spt
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
smac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
cs2Label
|
Поле используется для индикации зоны источника.
|
Source Zone
|
|
cs2
|
Название зоны источника.
|
Trusted
|
|
cs3Label
|
Поле используется для указания страны источника.
|
Source Country
|
|
cs3
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
dst
|
IPv4 адрес назначения трафика.
|
194.226.127.130
|
|
dpt
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
cs4Label
|
Поле используется для индикации зоны назначения.
|
Destination Zone
|
|
cs4
|
Название зоны назначения.
|
Untrusted
|
|
cs5Label
|
Поле используется для указания страны назначения.
|
Destination Country
|
|
cs5
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
cs6Label
|
Указание на команду, передаваемую по SSH.
|
Command
|
|
cs6
|
Команда, передаваемая по SSH, в формате JSON.
|
whoami
|
Экспорт журналов в формате JSON
Описание журнала событий
|
Название поля
|
Описание
|
Пример значения
|
|
user
|
Имя пользователя.
|
Admin
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
ip_address
|
IPv4-адрес источника события.
|
192.168.174.134
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
attributes
|
Детали события в формате JSON.
|
{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}
|
|
event_type
|
Тип события.
|
logexport_rule_updated
|
|
event_severity
|
Важность события.
|
info (информационные), warning (предупреждения), error (ошибки), critical (критичные).
|
|
event_origin
|
Модуль, в котором произошло событие.
|
core
|
|
event_component
|
Компонент, в котором произошло событие.
|
console_auth
|
Описание журнала веб-доступа
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
url_categories
|
id
|
Идентификатор категории, к которой относится URL.
|
39
|
|
threat_level
|
Уровень угрозы категории URL.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название категории, к которой относится URL.
|
Social Networking
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
52
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
packets_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
5
|
|
request_method
|
Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).
|
GET
|
|
url
|
Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.
|
http://www.secure.com
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
2
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
media_type
|
Тип контента.
|
application/json
|
|
host
|
Имя хоста.
|
www.google.com
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
app_protocol
|
Протокол прикладного уровня и его версия.
|
HTTP/1.1
|
|
status_code
|
Код ответа HTTP.
|
302
|
|
bytes_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
100
|
|
http_referer
|
URL источника запроса (реферер HTTP).
|
https://www.google.com/
|
|
decrypted
|
Поле указывает было ли содержимое расшифровано.
|
true, false
|
|
reasons
|
Причина, по которой было создано событие, например, причина блокировки сайта.
|
"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]
|
|
useragent
|
Useragent пользовательского браузера.
|
Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника.
|
Trusted
|
|
country
|
Страна источника трафика.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Страна назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения.
|
192.168.174.134
|
|
port
|
Порт назначения.
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого вызвало создание события.
|
f93da24d-74f9-4f8c-9e9b-8e6d02346fb4
|
|
name
|
Название правила.
|
Default allow
|
|
user
|
guid
|
Уникальный идентификатор пользователя.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя
|
user_name
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которой состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала трафика
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
nat
|
source
|
ip
|
Адрес источника после переназначения (если настроены правила NAT).
|
192.168.117.85 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
destination
|
ip
|
Адрес назначения после переназначения (если настроены правила NAT).
|
64.233.164.198 (если NAT не настроен, то: "nat":null)
|
|
port
|
Порт источника после переназначения (если настроены правила NAT).
|
Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
type
|
Тип правила.
|
firewall
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
Описание журнала СОВ
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
session
|
Идентификатор сессии.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)
|
|
packets_sent
|
Количество пакетов, переданных в направлении источник — назначение.
|
1
|
|
packets_recv
|
Количество пакетов, переданных в направлении назначение — источник.
|
1
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
proto
|
Используемый протокол 4-го уровня.
|
TCP или UDP
|
|
bytes_sent
|
Количество байтов, переданных в направлении источник — назначение.
|
100
|
|
bytes_recv
|
Количество байтов, переданных в направлении назначение — источник.
|
6
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
accept
|
|
application
|
id
|
Идентификатор приложения.
|
195
|
|
threat_level
|
Уровень угрозы приложения.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название приложения.
|
Youtube
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
Allow trusted to untrusted
|
|
signatures
|
id
|
Идентификатор сработавшей сигнатуры.
|
999999
|
|
threat_level
|
Уровень угрозы сработавшей сигнатуры.
|
Может принимать значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
|
name
|
Название сработавшей сигнатуры.
|
BlackSun Test
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
Описание журнала АСУ ТП
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
pdu_severity
|
Критичность АСУ ТП.
|
1
|
|
pdu_func
|
Код функции (говорит ведомому устройству, какие данные или выполнение какого действия требует от него ведущее устройство).
|
12
|
|
pdu_address
|
Адрес регистра, с которым необходимо провести операцию.
|
3154
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
details
|
pdu_varname
|
Имя переменной. Параметр, в основном, используется для обмена данными в режиме реального времени. Параметр относится к протоколу MMS.
|
VAR
|
|
pdu_device
|
Адрес устройства, используемый в протоколах MMS и OPCUA.
|
DEV
|
|
mb_write_quantity
|
Количество значений для записи (команда Read Write Register).
|
998
|
|
mb_write_addr
|
Начальный адрес регистра для записи (команда Read Write Register).
|
776
|
|
mb_value
|
Записываемое значение (для команд Write Single Coil, Write Single Register).
|
322
|
|
mb_unit_id
|
Адрес устройства.
|
186
|
|
mb_read_quantity
|
Количество значений для чтения (команда Read Write Register).
|
658
|
|
mb_read_addr
|
Начальный адрес регистра для чтения (команда Read Write Register).
|
122
|
|
mb_quantity
|
Количество значений для чтения.
|
875
|
|
mb_payload
|
Значения регистров (для команд Read Coil, Read Holding Registers, Read Input Registers, Read/Write Multiple registers, Write Multiple Coil).
|
75be5ecdc24f9883
|
|
mb_or_mask
|
Значение маски OR команды Mask Write Register.
|
1024
|
|
mb_message
|
Сообщение Modbus.
|
exception
|
|
mb_exception_code
|
Код ошибки. Актуален для типа сообщения error_response.
|
255
|
|
mb_and_mask
|
Значение маски AND команды Mask Write Register.
|
121
|
|
mb_addr
|
Адрес регистра.
|
3154
|
|
iec104_msgtype
|
Тип запроса.
|
request, response, error_response
|
|
iec104_ioa
|
Адрес объекта информации, который позволяет однозначно идентифицировать приёмной стороной тип события.
|
23
|
|
iec104_cot
|
Причина передачи протокольного блока данных прикладного уровня (Application Protocol Data Unit, APDU).
|
6
|
|
iec104_asdu
|
Адрес ASDU (COA — Common Object Address). Параметр относится к протоколу IEC-104.
|
123
|
|
app_protocol
|
Протокол прикладного уровня.
|
Modbus
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
pass
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SCADA Sample Rule
|
Описание журнала инспектирования SSH
|
Название поля
|
Описание
|
Пример значения
|
|
timestamp
|
Время получения события в формате: yyyy-mm-ddThh:mm:ssZ.
|
2022-05-12T08:11:46.15869Z
|
|
node
|
Имя, которое однозначно идентифицирует устройство, генерирующее это событие.
|
utmcore@ersthetatica
|
|
command
|
Команда, передаваемая по SSH.
|
whoami
|
|
app_threat
|
Уровень угрозы приложения.
|
Может принимать значения от 2 до 10 (установленный уровень угрозы приложения, умноженный на 2)
|
|
app_protocol
|
Протокол прикладного уровня.
|
SSH или SFTP
|
|
app_id
|
Идентификатор приложения.
|
195
|
|
action
|
Действие, принятое устройством в соответствии с настроенными политиками.
|
block
|
|
source
|
zone
|
guid
|
Уникальный идентификатор зоны источника трафика.
|
d0038912-0d8a-4583-a525-e63950b1da47
|
|
name
|
Название зоны источника трафика.
|
Trusted
|
|
country
|
Название страны источника.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес источника трафика.
|
10.10.10.10
|
|
port
|
Порт источника.
|
Может принимать значения от 0 до 65535.
|
|
mac
|
MAC-адрес источника.
|
FA:16:3E:65:1C:B4
|
|
destination
|
zone
|
guid
|
Уникальный идентификатор зоны назначения трафика.
|
3c0b1253-f069-4060-903b-5fec4f465db0
|
|
name
|
Название зоны назначения трафика.
|
Untrusted
|
|
country
|
Название страны назначения.
|
RU (отображается двухбуквенный код страны)
|
|
ip
|
IPv4-адрес назначения трафика.
|
104.19.197.151
|
|
port
|
Порт назначения
|
Может принимать значения от 0 до 65535.
|
|
rule
|
guid
|
Уникальный идентификатор правила, срабатывание которого создало событие.
|
59e38e06-533a-4771-9664-031c3e8b2e1f
|
|
name
|
Название правила, срабатывание которого вызвало событие.
|
SSH Rule Example
|
|
user
|
guid
|
Уникальный идентификатор пользователя. Если пользователь типа Unknown, то идентификатор: 00000000-0000-0000-0000-000000000000.
|
a7a3cd49-8232-4f1a-962a-3659af89e96f
|
|
name
|
Имя пользователя.
|
Admin
|
|
groups
|
guid
|
Уникальный идентификатор группы, в которых состоит пользователь.
|
919878b2-e882-49ed-3331-8ec72c3c79cb
|
|
name
|
Название группы, в которой состоит пользователь.
|
Default Group
|
ID статьи: 186
Последнее обновление: 01 фев, 2024
Ревизия: 6
Просмотры: 3304
Комментарии: 0
Теги
Также опубликовано в
|
