Описание форматов журналов

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

events

Origin

Модуль, в котором произошло событие

admin_console

Severity

Важность события

Может принимать значения:

• 1 — информационные;

• 4 — предупреждения;

• 7 — ошибки;

• 10 — критичные

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Тип события

login_successful

src

IPv4-адрес источника

192.168.117.254

cat

Компонент, в котором произошло событие

console_auth

cs1Label

Поле используется для указания деталей события

Attributes

cs1

Детали события в формате JSON

{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Название журнала

webaccess

Name

Тип источника

log

Threat Level

Уровень угрозы категории URL

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня

TCP.

app

Протокол прикладного уровня и его версия

HTTP/1.1

suser

Имя пользователя

username

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.)

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Default Allow

cs2Label

Поле используется для указания зоны источника

Source Zone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для указания зоны назначения

Destination Zone

cs4

Название зоны назначения

Untrusted

cs5Label

Поле используется для указания страны назначения

Destination Country

cs5

Название страны назначения

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает, было ли содержимое расшифровано

Decrypted

cs6

Статус расшифрования: расшифровано или нет

true, false

flexString1Label

Поле используется для указания типа контента

Media type

flexString1

Тип контента

text/html

flexString2Label

Поле используется для указания категории запрашиваемого URL-адреса

URL Categories

flexString2

Категория URL

Computers & Technology

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник

1

cn3Label

Поле используется для указания исходного ответа сервера

Response

cn3

Код ответа HTTP

302

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Название журнала

webaccess

Name

Тип источника

log

Threat Level

Уровень угрозы категории URL

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня

TCP.

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.)

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Default Allow

cs2Label

Поле используется для указания зоны источника

SrcZone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для указания зоны назначения

DstZone

cs3

Название зоны назначения

Untrusted

flexString1Label

Поле используется для указания категории запрашиваемого URL-адреса

URLCats

flexString1

Категория URL

Computers & Technology

cn1Label

Поле используется для указания исходного ответа сервера

Response

cn1

Код ответа HTTP

302

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

NGFW

Device Version

Версия продукта

7

Source

Тип журнала

websocket

Origin

Источник события

log

Severity

Уровень опасности

Не используется.

Поле передается с пустыми данными

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1759728622455

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@havntohanmin

act

Действие, предпринятое модулем анализа websocket-трафика на устройстве

pass или deny

reason

Информация о причине возникновения события

{"request":"GET /ws HTTP/1.1\r\nConnection: upgrade\r\nUpgrade: websocket\r\nContent-Length: 0\r\nsec-websocket-version: 13\
r\nsec-websocket-key: +V9uPwL0ZfDTjmwMvnVUZA==\r\nHost: w.com\r\n\r\n","response":"HTTP/1.1 101 Switching Protocols\r\naccess-co
ntrol-allow-origin: *\r\nX-Request-ID: d8814097-a68c-4120-8912-23a11b8e88da\r\nConnection: Upgrade\r\nDate: Mon, 06 Oct 2025 05:
35:52 GMT\r\nsec-websocket-accept: mn0nG2s62J2pY5E8ssleD2gnGRQ=\r\nServer: Cowboy\r\nUpgrade: websocket\r\nx-test-srv: pft-serve
r\r\n\r\n","websocket_profile_name":"test","websocket_profile_guid":"9e939b74-5620-46de-ad4b-7df4a90bd3fb"}

proto

Используемый протокол 4-го уровня

TCP или SSL

app

Используемый протокол прикладного уровня и его версия

HTTP/1.1

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод HTTP-запроса

GET

request

URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.w.com

requestContext

URL-адрес источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила reverse-прокси

Rule

cs1

Название правила reverse-прокси, срабатывание которого вызвало событие

Test rule

cs2Label

Поле используется для указания зоны источника

Source Zone

cs2

Название зоны источника

Management

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для указания зоны назначения

Destination Zone

cs4

Название зоны назначения

Management

cs5Label

Поле используется для указания страны назначения

Destination Country

cs5

Название страны назначения

RU (отображается двухбуквенный код страны)

flexString1Label

Поле используется для указания типа контента

Media type

flexString1

Тип контента

application/json

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник

1

cn3Label

Поле используется для указания кода HTTP-ответа

Response

cn3

Код HTTP-ответа

101

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

NGFW

Device Version

Версия продукта

7

Source

Тип журнала

websocket

Origin

Источник события

log

Severity

Уровень опасности

Не используется.

Поле передается с пустыми данными

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1759728622455

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@havntohanmin

act

Действие, предпринятое модулем анализа websocket-трафика на устройстве

pass или deny

reason

Информация о причине возникновения события

{"request":"GET /ws HTTP/1.1\r\nConnection: upgrade\r\nUpgrade: websocket\r\nContent-Length: 0\r\nsec-websocket-version: 13\
r\nsec-websocket-key: +V9uPwL0ZfDTjmwMvnVUZA==\r\nHost: w.com\r\n\r\n","response":"HTTP/1.1 101 Switching Protocols\r\naccess-co
ntrol-allow-origin: *\r\nX-Request-ID: d8814097-a68c-4120-8912-23a11b8e88da\r\nConnection: Upgrade\r\nDate: Mon, 06 Oct 2025 05:
35:52 GMT\r\nsec-websocket-accept: mn0nG2s62J2pY5E8ssleD2gnGRQ=\r\nServer: Cowboy\r\nUpgrade: websocket\r\nx-test-srv: pft-serve
r\r\n\r\n","websocket_profile_name":"test","websocket_profile_guid":"9e939b74-5620-46de-ad4b-7df4a90bd3fb"}

proto

Используемый протокол 4-го уровня

TCP или SSL

app

Используемый протокол прикладного уровня и его версия

HTTP/1.1

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод HTTP-запроса

GET

request

URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.w.com

requestContext

URL-адрес источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила reverse-прокси

Rule

cs1

Название правила reverse-прокси, срабатывание которого вызвало событие

Test rule

cs2Label

Поле используется для указания зоны источника

Source Zone

cs2

Название зоны источника

Management

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие

firewall

Threat Level

Уровень угрозы приложения

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

accept

proto

Используемый протокол 4-го уровня

TCP или UDP

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

smac

MAC-адрес источника

00:50:56:80:28:08 

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

dmac

MAC-адрес назначения

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT)

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT)

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Allow trusted to untrusted

cs2Label

Поле используется для указания зоны источника

Source Zone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для указания зоны назначения

Destination Zone

cs4

Название зоны назначения

Untrusted

cs5Label

Поле используется для указания страны назначения

Destination Country

cs5

Название страны назначения

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник

1

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие

firewall

Threat Level

Уровень угрозы приложения

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

accept

proto

Используемый протокол 4-го уровня

TCP или UDP

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

smac

MAC-адрес источника

00:50:56:80:28:08 

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

dmac

MAC-адрес назначения

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT)

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT)

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника

SrcZone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для индикации зоны назначения

DstZone

cs3

Название зоны назначения

Untrusted

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Название журнала

waf

Name

Тип источника

log

Threat Level

Уровень угрозы категории URL

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); принимает значение Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

deny

proto

Используемый протокол 4-го уровня

TCP.

app

Протокол прикладного уровня и его версия

HTTP/1.1

suser

Имя пользователя

Unknown

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т. п.)

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Default Allow

cs2Label

Поле используется для указания идентификатора правила

Rule Id

cs2

Идентификатор правила

200016017

cs3Label

Поле используется для указания зоны источника

Source Zone

cs3

Название зоны источника

Trusted

cs4Label

Поле используется для указания страны источника

Source Country

cs4

Название страны источника

RU (отображается двухбуквенный код страны)

cs5Label

Поле используется для указания зоны назначения

Destination Zone

cs5

Название зоны назначения

Untrusted

cs6Label

Поле используется для указания страны назначения

Destination Country

cs6

Название страны назначения

RU (отображается двухбуквенный код страны)

cs7Label

Поле используется для указания профиля ответа

Response Profile

cs7

Название профиля ответа

Unknown

cs8Label

Поле используется для указания названия исключения

Exception Name

cs8

Название исключения

exampleExceptionName

cs9Label

Поле используется для указания идентификатора исключения

Exception Id

cs9

Идентификатор исключения

522d6f5b-af87-4473-91e3-780d8874056d

cs10Label

Поле используется для указания названия пакета экспертизы

Package Name

cs10

Название пакета экспертизы

Owasp top 10

cs11Label

Поле используется для указания версии пакета экспертизы

Package Version

cs11

Версия пакета экспертизы

395

cs12Label

Поле используется для указания идентификатора WAF-профиля

WAF Profile Id

cs12

Идентификатор WAF-профиля

234f96b4-c011-4b6d-96ae-260b2a82895c

cs13Label

Поле используется для указания реального IP-адреса источника

Real Ip

cs13

Реальный IP-адрес источника

172.25.0.1

cs14Label

Поле используется для указания названия страны реального IP-адреса источника

Real Country

cs14

Название страны реального IP-адреса источника

RU (отображается двухбуквенный код стран)

flexString1Label

Поле используется для указания типа контента

Media type

flexString1

Тип контента

text/html

flexString2Label

Поле используется для указания категории запрашиваемого URL-адреса

URL Categories

flexString2

Категория URL

Computers & Technology

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник

1

cn3Label

Поле используется для указания исходного ответа сервера

Response

cn3

Код ответа HTTP

302

cn4Label

Поле используется для указания уровня угрозы

Threat Level

cn4

Уровень угрозы

1

cn5Label

Поле используется для указания времени обновления пакета

Package Update Time

cn5

Время обновления пакета  экспертизы в миллисекундах с 1 января 1970 года

1773237844774955

CEF-заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

waf

Name

Тип источника

log

Threat Level

Уровень угрозы категории URL

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); принимает значение Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

deny

proto

Используемый протокол 4-го уровня

TCP.

app

Протокол прикладного уровня и его версия

HTTP/1.1

suser

Имя пользователя

Unknown

src

IPv4-адрес источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4-адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т. п.)

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Default Allow

cs2Label

Поле используется для указания идентификатора правила

Rule Id

cs2

Идентификатор правила

200016017

cs3Label

Поле используется для указания зоны источника

Source Zone

cs3

Название зоны источника

Trusted

cs4Label

Поле используется для указания зоны назначения

Destination Zone

cs4

Название зоны назначения

Untrusted

cs5Label

Поле используется для указания профиля ответа

Response Profile

cs5

Название профиля ответа

Unknown

cn1Label

Поле используется для указания исходного ответа сервера

Response

cn1

Код ответа HTTP

302

cn2Label

Поле используется для указания уровня угрозы

Threat Level

cn2

Уровень угрозы

1

flexString1Label

Поле используется для указания категории запрашиваемого URL-адреса

URLCats

flexString1

Категория URL

Computers & Technology

timestamp

Время получения события в формате yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

ip_address

IPv4-адрес источника события

192.168.174.134

attributes

Детали события в формате JSON

{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}

event_type

Тип события

logexport_rule_updated

event_severity

Важность события

info (информационные), warning (предупреждения), error (ошибки), critical (критичные)

event_origin

Модуль, в котором произошло событие

core

event_component

Компонент, в котором произошло событие

console_auth

timestamp

Время получения события в формате yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

reasons

Причина, по которой было создано событие, например причина блокировки сайта.

"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]

proto

Используемый протокол 4-го уровня

TCP

host

Имя хоста

www.google.com

action

Действие, принятое устройством в соответствии с настроенными политиками

block

bytes_sent

Количество байтов, переданных в направлении источник — назначение

52

bytes_recv

Количество пакетов, переданных в направлении назначение — источник

100

packets_sent

Количество пакетов, переданных в направлении источник — назначение

2

packets_recv

Количество байтов, переданных в направлении назначение — источник

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.)

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

media_type

Тип контента

application/json

status_code

Код ответа HTTP

302

http_referer

URL источника запроса (реферер HTTP)

https://www.google.com/

decrypted

Поле указывает, было ли содержимое расшифровано

true, false

useragent

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

request_id

Идентификатор запроса

12e4d951-a4a6-4338-a5bb-81a7f4130d93

application

id

Идентификатор приложения

20

name

Название приложения

Youtube

threat_level

Уровень угрозы приложения

0

app_protocol

Протокол прикладного уровня и его версия

HTTP\/1.1"

url_categories

id

Идентификатор категории, к которой относится URL

39

threat_level

Уровень угрозы категории URL

Может принимать значения:

• 1 — очень низкий;

• 2 — низкий;

• 3 — средний;

• 4 — высокий;

• 5 — очень высокий

name

Название категории, к которой относится URL

Social Networking

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника

Trusted

country

Страна источника трафика

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

mac

MAC-адрес источника

01:23:45:67:89:AB

real_ip

country

Название страны реального IP-адреса источника

RU (отображается двухбуквенный код страны)

ip

Реальный IP-адрес источника

172.25.0.1

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

Untrusted

country

Страна назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения

192.168.174.134

port

Порт назначения

Может принимать значения от 0 до 65535

mac

MAC-адрес назначения

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила

Default allow

type

Тип сработавшего правила

user

Имя пользователя

null

timestamp

Время получения события в формате yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

00000006-0a00-010c-c404-ac196d411f90

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@havntohanmin

reasons

Информация о причине возникновения события

{"request":"GET /ws HTTP/1.1\r\nConnection: upgrade\r\nUpgrade: websocket\r\nContent-Length: 0\r\nsec-websocket-version: 13\
r\nsec-websocket-key: +V9uPwL0ZfDTjmwMvnVUZA==\r\nHost: w.com\r\n\r\n","response":"HTTP/1.1 101 Switching Protocols\r\naccess-co
ntrol-allow-origin: *\r\nX-Request-ID: d8814097-a68c-4120-8912-23a11b8e88da\r\nConnection: Upgrade\r\nDate: Mon, 06 Oct 2025 05:
35:52 GMT\r\nsec-websocket-accept: mn0nG2s62J2pY5E8ssleD2gnGRQ=\r\nServer: Cowboy\r\nUpgrade: websocket\r\nx-test-srv: pft-serve
r\r\n\r\n","websocket_profile_name":"test","websocket_profile_guid":"9e939b74-5620-46de-ad4b-7df4a90bd3fb"}

proto

Используемый протокол 4-го уровня

TCP или SSL

host

Имя хоста

w.com

action

Действие, предпринятое модулем анализа websocket-трафика на устройстве

pass или deny

bytes_sent

Количество байтов, переданных в направлении источник — назначение

100

bytes_recv

Количество байтов, переданных в направлении назначение — источник

6

packets_recv

Количество пакетов, переданных в направлении назначение — источник

1

packets_sent

Количество пакетов, переданных в направлении источник — назначение

1

request_method

Метод HTTP-запроса

GET

url

URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.w.com

media_type

Тип контента

application/json

status_code

Код HTTP-ответа

101

http_referer

URL-адрес источника запроса (реферер HTTP)

https://www.google.com/

decrypted

Поле указывает, было ли содержимое расшифровано

true, false

useragent

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

request_id

Идентификатор запроса

application

id

Идентификатор приложения

Не используется.

Поле передается с пустыми данными

name

Название приложения

Не используется.

Поле передается с пустыми данными

threat_level

Уровень угрозы приложения

Не используется.

Поле передается с пустыми данными

app_protocol

Протокол прикладного уровня

HTTP/1.1

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика

Management

country

Название страны источника

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

mac

MAC-адрес источника

Может отсутствовать

real_ip

country

Название страны реального IP-адреса источника

RU (отображается двухбуквенный код страны)

ip

Реальный IP-адрес источника

172.25.0.1

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

country

Название страны назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535

mac

MAC-адрес назначения

Может отсутствовать

rule

guid

Уникальный идентификатор правила reverse-прокси, срабатывание которого создало событие

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила

Не используется.

Поле передается с пустыми данными

name

Название правила reverse-прокси, срабатывание которого вызвало событие

test rule

timestamp

Время получения события в формате yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

proto

Используемый протокол 4-го уровня

TCP или UDP

action

Действие, принятое устройством в соответствии с настроенными политиками

accept

bytes_sent

Количество байтов, переданных в направлении источник — назначение

100

bytes_recv

Количество байтов, переданных в направлении назначение — источник

6

packets_recv

Количество пакетов, переданных в направлении назначение — источник

1

packets_sent

Количество пакетов, переданных в направлении источник — назначение

1

json_data

Дополнительные данные

null

application

id

Идентификатор приложения

195

threat_level

Уровень угрозы приложения

Может принимать значения:

• 1 — очень низкий;

• 2 — низкий;

• 3 — средний;

• 4 — высокий;

• 5 — очень высокий

app_protocol

Протокол прикладного уровня

HTTP

name

Название приложения

Youtube

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика

Trusted

country

Название страны источника

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

Untrusted

country

Название страны назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535

nat

source

ip

Адрес источника после переназначения (если настроены правила NAT)

192.168.117.85 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

destination

ip

Адрес назначения после переназначения (если настроены правила NAT)

64.233.164.198 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила

firewall

name

Название правила, срабатывание которого вызвало событие

Allow trusted to untrusted

timestamp

Время получения события в формате yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

proto

Используемый протокол 4-го уровня

TCP

host

Имя хоста

www.google.com

action

Действие, принятое устройством в соответствии с настроенными политиками

block

rule_id

Идентификатор правила

200016017

waf_profile_name

Название WAF-профиля

wafProfileName

waf_profile_id

Идентификатор WAF-профиля

522d6f5b-af87-4473-91e3-780d8874056d

waf_layer_name

Название WAF-слоя

Detection Evasion

response_profile_name

Название профиля ответа

Unknown

threat_level

Уровень угрозы атаки

Может принимать значения:

• 0 — нулевой;

• 1 — низкий;

• 2 — средний;

• 3 — высокий

package_name

Название пакета экспертизы

Owasp top 10

package_version

Версия пакета экспертизы

340

package_update_time

Время обновления пакета экспертизы: миллисекунды с 1 января 1970 года

1773237844774955

exception_name

Название исключения

name

exception_id

Идентификатор исключения

b4ce2bfa-b090-4318-a4b2-676c5ff62051

bytes_sent

Количество байтов, переданных в направлении источник — назначение

52

bytes_recv

Количество пакетов, переданных в направлении назначение — источник

100

packets_sent

Количество пакетов, переданных в направлении источник — назначение

2

packets_recv

Количество байтов, переданных в направлении назначение — источник

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.)

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

media_type

Тип контента

application/json

status_code

Код ответа HTTP

302

http_referer

URL источника запроса (реферер HTTP)

https://www.google.com/

useragent

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

request_id

Идентификатор запроса

931d66e1-7d3a-4870-9791-b05b5eb6c01a

application

id

Идентификатор приложения

20

name

Название приложения

Youtube

threat_level

Уровень угрозы приложения

0

app_protocol

Протокол прикладного уровня и его версия

HTTP\/1.1"

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника

Trusted

country

Страна источника трафика

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

mac

MAC-адрес источника

01:23:45:67:89:AB

real_ip

country

Название страны реального IP-адреса источника

RU (отображается двухбуквенный код страны)

ip

Реальный IP-адрес источника

172.25.0.1

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

Untrusted

country

Страна назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения

192.168.174.134

port

Порт назначения

Может принимать значения от 0 до 65535

mac

MAC-адрес назначения

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила

Default allow

type

Тип сработавшего правила

user

Имя пользователя

null

url_categories

id

Идентификатор категории, к которой относится URL

39

Уровень угрозы категории URL

Может принимать значения:

• 1 — очень низкий;

• 2 — низкий;

• 3 — средний;

• 4 — высокий;

• 5 — очень высокий

name

Название категории, к которой относится URL

Social Networking