Описание форматов журналов

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

events

Origin

Модуль, в котором произошло событие

admin_console

Severity

Важность события

Может принимать значения:

• 1 — информационные;

• 4 — предупреждения;

• 7 — ошибки;

• 10 — критичные

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Тип события

login_successful

src

IPv4-адрес источника

192.168.117.254

cat

Компонент, в котором произошло событие

console_auth

cs1Label

Поле используется для указания деталей события

Attributes

cs1

Детали события в формате JSON

{"name":"MIME_BUILTIN_COMPOSITE","module":"nlist_import"}

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Название журнала

webaccess

Name

Тип источника

log

Threat Level

Уровень угрозы категории URL

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня

TCP.

src

IPv4 источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4 адрес назначения трафика

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.).

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола.

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP).

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Default Allow

cs2Label

Поле используется для индикации зоны источника

Source Zone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения

Destination Zone

cs4

Название зоны назначения

Untrusted

cs5Label

Поле используется для указания страны назначения

Destination Country

cs5

Название страны назначения

RU (отображается двухбуквенный код страны)

cs6Label

Поле указывает было ли содержимое расшифровано

Decrypted

cs6

Расшифровано или нет

true, false

flexString1Label

Поле указывает на тип контента

Media type

flexString1

Тип контента

text/html

flexString2Label

Поле указывает на категорию запрашиваемого URL-адреса

URL Categories

flexString2

Категория URL

Computers & Technology

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества переданных пакетов в направлении назначение — источник

Packets received

cn2

Количество переданных пакетов в направлении назначение — источник

1

cn3Label

Поле указывает исходный ответ сервера

Response

cn3

Код ответа HTTP

302

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Название журнала

webaccess

Name

Тип источника

log

Threat Level

Уровень угрозы категории URL

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

captive

reason

Причина, по которой было создано событие, например, причина блокировки сайта

{"id":39,"name":"Social Networking","threat_level":3}

proto

Используемый протокол 4-го уровня

TCP.

src

IPv4 источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4 адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.)

GET

request

В случае HTTP-запроса поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

requestContext

URL источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Default Allow

cs2Label

Поле используется для индикации зоны источника

SrcZone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для индикации зоны назначения

DstZone

cs3

Название зоны назначения

Untrusted

flexString1Label

Поле указывает на категорию запрашиваемого URL-адреса

URLCats

flexString1

Категория URL

Computers & Technology

cn1Label

Поле указывает исходный ответ сервера

Response

cn1

Код ответа HTTP

302

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

NGFW

Device Version

Версия продукта

7

Source

Тип журнала

websocket

Origin

Источник события

log

Severity

Уровень опасности

Не используется.

Поле передается с пустыми данными

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1759728622455

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@havntohanmin

act

Действие, предпринятое модулем анализа websocket-трафика на устройстве

pass или deny

reason

Информация о причине возникновения события

{"request":"GET /ws HTTP/1.1\r\nConnection: upgrade\r\nUpgrade: websocket\r\nContent-Length: 0\r\nsec-websocket-version: 13\
r\nsec-websocket-key: +V9uPwL0ZfDTjmwMvnVUZA==\r\nHost: w.com\r\n\r\n","response":"HTTP/1.1 101 Switching Protocols\r\naccess-co
ntrol-allow-origin: *\r\nX-Request-ID: d8814097-a68c-4120-8912-23a11b8e88da\r\nConnection: Upgrade\r\nDate: Mon, 06 Oct 2025 05:
35:52 GMT\r\nsec-websocket-accept: mn0nG2s62J2pY5E8ssleD2gnGRQ=\r\nServer: Cowboy\r\nUpgrade: websocket\r\nx-test-srv: pft-serve
r\r\n\r\n","websocket_profile_name":"test","websocket_profile_guid":"9e939b74-5620-46de-ad4b-7df4a90bd3fb"}

proto

Используемый протокол 4-го уровня

TCP или SSL

app

Используемый протокол прикладного уровня и его версия

HTTP/1.1

src

IPv4 источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4 адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод HTTP-запроса

GET

request

URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.w.com

requestContext

URL-адрес источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила reverse-прокси

Rule

cs1

Название правила reverse-прокси, срабатывание которого вызвало событие

Test rule

cs2Label

Поле используется для индикации зоны источника

Source Zone

cs2

Название зоны источника

Management

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения

Destination Zone

cs4

Название зоны назначения

Management

cs5Label

Поле используется для указания страны назначения

Destination Country

cs5

Название страны назначения

RU (отображается двухбуквенный код страны)

flexString1Label

Поле указывает на тип контента

Media type

flexString1

Тип контента

application/json

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник

1

cn3Label

Поле указывает на код HTTP-ответа

Response

cn3

Код HTTP-ответа

101

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

NGFW

Device Version

Версия продукта

7

Source

Тип журнала

websocket

Origin

Источник события

log

Severity

Уровень опасности

Не используется.

Поле передается с пустыми данными

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1759728622455

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@havntohanmin

act

Действие, предпринятое модулем анализа websocket-трафика на устройстве

pass или deny

reason

Информация о причине возникновения события

{"request":"GET /ws HTTP/1.1\r\nConnection: upgrade\r\nUpgrade: websocket\r\nContent-Length: 0\r\nsec-websocket-version: 13\
r\nsec-websocket-key: +V9uPwL0ZfDTjmwMvnVUZA==\r\nHost: w.com\r\n\r\n","response":"HTTP/1.1 101 Switching Protocols\r\naccess-co
ntrol-allow-origin: *\r\nX-Request-ID: d8814097-a68c-4120-8912-23a11b8e88da\r\nConnection: Upgrade\r\nDate: Mon, 06 Oct 2025 05:
35:52 GMT\r\nsec-websocket-accept: mn0nG2s62J2pY5E8ssleD2gnGRQ=\r\nServer: Cowboy\r\nUpgrade: websocket\r\nx-test-srv: pft-serve
r\r\n\r\n","websocket_profile_name":"test","websocket_profile_guid":"9e939b74-5620-46de-ad4b-7df4a90bd3fb"}

proto

Используемый протокол 4-го уровня

TCP или SSL

app

Используемый протокол прикладного уровня и его версия

HTTP/1.1

src

IPv4 источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

dst

IPv4 адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

requestMethod

Метод http-запроса

GET

request

URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.w.com

requestContext

URL-адрес источника запроса (реферер HTTP)

https://www.google.com/

requestClientApplication

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

cs1Label

Поле используется для указания срабатывания правила reverse-прокси

Rule

cs1

Название правила reverse-прокси, срабатывание которого вызвало событие

Test rule

cs2Label

Поле используется для индикации зоны источника

Source Zone

cs2

Название зоны источника

Management

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие

firewall

Threat Level

Уровень угрозы приложения

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

accept

proto

Используемый протокол 4-го уровня

TCP или UDP

src

IPv4 источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

smac

MAC-адрес источника

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

dmac

MAC-адрес назначения

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT)

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT)

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника

Source Zone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для указания страны источника

Source Country

cs3

Название страны источника

RU (отображается двухбуквенный код страны)

cs4Label

Поле используется для индикации зоны назначения

Destination Zone

cs4

Название зоны назначения

Untrusted

cs5Label

Поле используется для указания страны назначения

Destination Country

cs5

Название страны назначения

RU (отображается двухбуквенный код страны)

cn1Label

Поле используется для указания количества переданных пакетов в направлении источник — назначение

Packets sent

cn1

Количество переданных пакетов в направлении источник — назначение

3

cn2Label

Поле используется для указания количества пакетов, переданных в направлении назначение — источник

Packets received

cn2

Количество пакетов, переданных в направлении назначение — источник

1

CEF заголовок

CEF:Version

Версия CEF

CEF:0

Device Vendor

Производитель продукта

UserGate

Device Product

Тип продукта

WAF

Device Version

Версия продукта

7

Source

Тип журнала

traffic

Rule Type

Тип правила, срабатывание которого вызвало событие

firewall

Threat Level

Уровень угрозы приложения

Может принимать значения 2, 4, 6, 8, 10 (установленный уровень угрозы, умноженный на 2); Unknown, если категория не определена

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

act

Действие, принятое устройством в соответствии с настроенными политиками

accept

proto

Используемый протокол 4-го уровня

TCP или UDP

src

IPv4 источника трафика

10.10.10.10

spt

Порт источника

Может принимать значения от 0 до 65535

smac

MAC-адрес источника

00:50:56:80:28:08 

dst

IPv4 адрес назначения трафика

194.226.127.130

dpt

Порт назначения

Может принимать значения от 0 до 65535

dmac

MAC-адрес назначения

00:50:56:80:7D:21 

in

Количество переданных входящих байтов; данные передаются в направлении источник — назначение

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение — источник

40

sourceTranslatedAddress

Адрес источника после переназначения (если настроены правила NAT)

192.168.174.134 (0.0.0.0 — если нет)

sourceTranslatedPort

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

destinationTranslatedAddress

Адрес назначения после переназначения (если настроены правила NAT)

192.226.127.130 (0.0.0.0 — если нет)

destinationTranslatedPort

Порт назначения после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (0 — если нет)

cs1Label

Поле используется для указания срабатывания правила

Rule

cs1

Название правила, срабатывание которого вызвало событие

Allow trusted to untrusted

cs2Label

Поле используется для индикации зоны источника

SrcZone

cs2

Название зоны источника

Trusted

cs3Label

Поле используется для индикации зоны назначения

DstZone

cs3

Название зоны назначения

Untrusted

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

ip_address

IPv4-адрес источника события

192.168.174.134

attributes

Детали события в формате JSON

{"rule":{"logrotate":12,"attributes":{"timezone":"Asia/Novosibirsk"},"id":"66f9de9f-d698-4bec-b3b0-ba65b46d3608","name":"Example log export ftp"}

event_type

Тип события

logexport_rule_updated

event_severity

Важность события

info (информационные), warning (предупреждения), error (ошибки), critical (критичные)

event_origin

Модуль, в котором произошло событие

core

event_component

Компонент, в котором произошло событие

console_auth

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

reasons

Причина, по которой было создано событие, например, причина блокировки сайта.

"url_cats":[{"id":39,"name":"Social Networking","threat_level":3}]

proto

Используемый протокол 4-го уровня

TCP

host

Имя хоста

www.google.com

action

Действие, принятое устройством в соответствии с настроенными политиками

block

bytes_sent

Количество байтов, переданных в направлении источник — назначение

52

bytes_recv

Количество пакетов, переданных в направлении назначение — источник

100

packets_sent

Количество пакетов, переданных в направлении источник — назначение

2

packets_recv

Количество байтов, переданных в направлении назначение — источник

5

request_method

Метод, используемый для доступа к URL-адресу (POST, GET и т.п.)

GET

url

Поле содержит URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.secure.com

media_type

Тип контента

application/json

status_code

Код ответа HTTP

302

http_referer

URL источника запроса (реферер HTTP)

https://www.google.com/

decrypted

Поле указывает, было ли содержимое расшифровано

true, false

useragent

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

application

id

Идентификатор приложения

20

name

Название приложения

Youtube

threat_level

Уровень угрозы приложения

0

app_protocol

Протокол прикладного уровня и его версия

HTTP\/1.1"

url_categories

id

Идентификатор категории, к которой относится URL

39

threat_level

Уровень угрозы категории URL

Может принимать значения:

• 1 — очень низкий;

• 2 — низкий;

• 3 — средний;

• 4 — высокий;

• 5 — очень высокий

name

Название категории, к которой относится URL

Social Networking

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника

Trusted

country

Страна источника трафика

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

mac

MAC-адрес источника

01:23:45:67:89:AB

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

Untrusted

country

Страна назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения

192.168.174.134

port

Порт назначения

Может принимать значения от 0 до 65535

mac

MAC-адрес назначения

01:23:45:67:89:AB

rule

guid

Уникальный идентификатор правила, срабатывание которого вызвало создание события

f93da24d-74f9-4f8c-9e9b-8e6d02346fb4

name

Название правила

Default allow

type

Тип сработавшего правила

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

00000006-0a00-010c-c404-ac196d411f90

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@havntohanmin

reasons

Информация о причине возникновения события

{"request":"GET /ws HTTP/1.1\r\nConnection: upgrade\r\nUpgrade: websocket\r\nContent-Length: 0\r\nsec-websocket-version: 13\
r\nsec-websocket-key: +V9uPwL0ZfDTjmwMvnVUZA==\r\nHost: w.com\r\n\r\n","response":"HTTP/1.1 101 Switching Protocols\r\naccess-co
ntrol-allow-origin: *\r\nX-Request-ID: d8814097-a68c-4120-8912-23a11b8e88da\r\nConnection: Upgrade\r\nDate: Mon, 06 Oct 2025 05:
35:52 GMT\r\nsec-websocket-accept: mn0nG2s62J2pY5E8ssleD2gnGRQ=\r\nServer: Cowboy\r\nUpgrade: websocket\r\nx-test-srv: pft-serve
r\r\n\r\n","websocket_profile_name":"test","websocket_profile_guid":"9e939b74-5620-46de-ad4b-7df4a90bd3fb"}

proto

Используемый протокол 4-го уровня

TCP или SSL

host

Имя хоста

w.com

action

Действие, предпринятое модулем анализа websocket-трафика на устройстве

pass или deny

bytes_sent

Количество байтов, переданных в направлении источник — назначение

100

bytes_recv

Количество байтов, переданных в направлении назначение — источник

6

packets_recv

Количество пакетов, переданных в направлении назначение — источник

1

packets_sent

Количество пакетов, переданных в направлении источник — назначение

1

request_method

Метод HTTP-запроса

GET

url

URL-адрес запрашиваемого ресурса с указанием используемого протокола

http://www.w.com

media_type

Тип контента

application/json

status_code

Код HTTP-ответа

101

http_referer

URL-адрес источника запроса (реферер HTTP)

https://www.google.com/

decrypted

Поле указывает, было ли содержимое расшифровано

true, false

useragent

Useragent пользовательского браузера

Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:96.0) Gecko/20100101 Firefox/96.0

request_id

Идентификатор запроса

application

id

Идентификатор приложения

Не используется.

Поле передается с пустыми данными

name

Название приложения

Не используется.

Поле передается с пустыми данными

threat_level

Уровень угрозы приложения

Не используется.

Поле передается с пустыми данными

app_protocol

Протокол прикладного уровня

HTTP/1.1

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика

Management

country

Название страны источника

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

mac

MAC-адрес источника

Может отсутствовать

real_ip

country

Название страны реального IP-адреса источника

RU (отображается двухбуквенный код страны)

ip

Реальный IP-адрес источника

172.25.0.1

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

country

Название страны назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535

mac

MAC-адрес назначения

Может отсутствовать

rule

guid

Уникальный идентификатор правила reverse-прокси, срабатывание которого создало событие

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила

Не используется.

Поле передается с пустыми данными

name

Название правила reverse-прокси, срабатывание которого вызвало событие

test rule

timestamp

Время получения события в формате: yyyy-mm-ddThh:mm:ssZ

2022-05-12T08:11:46.15869Z

session

Идентификатор сессии

a7a3cd49-8232-4f1a-962a-3659af89e96f (если System: 00000000-0000-0000-0000-000000000000)

node

Имя, которое однозначно идентифицирует устройство, генерирующее это событие

wafcore@ersthetatica

proto

Используемый протокол 4-го уровня

TCP или UDP

action

Действие, принятое устройством в соответствии с настроенными политиками

accept

bytes_sent

Количество байтов, переданных в направлении источник — назначение

100

bytes_recv

Количество байтов, переданных в направлении назначение — источник

6

packets_recv

Количество пакетов, переданных в направлении назначение — источник

1

packets_sent

Количество пакетов, переданных в направлении источник — назначение

1

json_data

Дополнительные данные

null

application

id

Идентификатор приложения

195

threat_level

Уровень угрозы приложения

Может принимать значения:

• 1 — очень низкий;

• 2 — низкий;

• 3 — средний;

• 4 — высокий;

• 5 — очень высокий

app_protocol

Протокол прикладного уровня

HTTP

name

Название приложения

Youtube

source

zone

guid

Уникальный идентификатор зоны источника трафика

d0038912-0d8a-4583-a525-e63950b1da47

name

Название зоны источника трафика

Trusted

country

Название страны источника

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес источника трафика

10.10.10.10

port

Порт источника

Может принимать значения от 0 до 65535

destination

zone

guid

Уникальный идентификатор зоны назначения трафика

3c0b1253-f069-4060-903b-5fec4f465db0

name

Название зоны назначения трафика

Untrusted

country

Название страны назначения

RU (отображается двухбуквенный код страны)

ip

IPv4-адрес назначения трафика

104.19.197.151

port

Порт назначения

Может принимать значения от 0 до 65535

nat

source

ip

Адрес источника после переназначения (если настроены правила NAT)

192.168.117.85 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

destination

ip

Адрес назначения после переназначения (если настроены правила NAT)

64.233.164.198 (если NAT не настроен, то: "nat":null)

port

Порт источника после переназначения (если настроены правила NAT)

Может принимать значения от 0 до 65535 (если NAT не настроен, то: "nat":null)

rule

guid

Уникальный идентификатор правила, срабатывание которого создало событие

59e38e06-533a-4771-9664-031c3e8b2e1f

type

Тип правила

firewall

name

Название правила, срабатывание которого вызвало событие

Allow trusted to untrusted