Inhalte und Eigenschaften von Syslog-Nachrichten im CEF-Format
Von jedem erkannten Ereignis werden die Informationen unmittelbar nach dem Auftreten des Ereignisses als separate Syslog-Nachricht im CEF-Format mit UTF-8-Kodierung übertragen.
Eine Nachricht im CEF-Format besteht aus einem Nachrichtenkörper und einer Kopfzeile.
Die Kopfzeile einer CEF-Nachricht besteht aus den folgenden Teilen:
Dem Syslog-Präfix: <Datum und Uhrzeit des Ereignisses><Name des Hosts, auf dem das Ereignis aufgetreten ist>.
Einer Folge von Feldern, durch ein Leerzeichen vom Syslog-Präfix getrennt ist. Die Felder sind untereinander sind durch die Symbole "|" getrennt. Es sind alle Felder erforderlich.
Formatversion. Da die aktuelle Versionsnummer "0" ist, sieht das Feld wie folgt aus: "CEF:0".
Hersteller. Das Feld enthält den Wert AO Kaspersky Lab.
Programmname. Das Feld enthält den Wert Kaspersky Web Traffic Security.
Produktversion. Das Feld enthält die aktuelle Versionsnummer des Produkts ( 6.1.0.xxxx) .
Ereignisklasse.
Ereignisname.
Ereignis-Signifikanz. Kann die Werte Low (niedrig), Medium (mittel) oder High (hoch) annehmen.
Beispiel:
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Die Felder von syslog-Nachrichten, die anhand der Programmeinstellungen ermittelt werden, nehmen das Format <Schlüssel>="<Wert>" an. Wenn der Schlüssel mehrere Werte besitzt, werden diese Werte durch ein Komma voneinander getrennt. Als Trennzeichen zwischen Schlüsseln wird ein Doppelpunkt verwendet.
Die in der Nachricht enthaltenen Schlüssel sowie deren Werte hängen von der Ereignisklasse ab.
Die maximale Größe einer syslog-Nachricht über ein erkanntes Ereignis hängt von den syslog-Parameterwerten des Servers ab, auf dem Kaspersky Web Traffic Security installiert ist. Sie können die Weiterleitung von syslog-Nachrichten immer nur an jeweils einen externen syslog-Server konfigurieren.
Regeln zur Zeichencodierung in CEF-Nachrichten:
Leerzeichen erfordern keine Maskierung durch ein Escape-Symbol.
In der Kopfzeile wird der vertikale Balken ("|") als Trennzeichen verwendet. Wenn Sie dieses Zeichen in einem Ihrer Felder in der Kopfzeilen verwenden möchten, müssen Sie es mit einem vorangestellten Backslash maskieren ("\|"). Im Nachrichtenkörper muss das Zeichen "|" nicht maskiert werden.
Ein einzelner Backslash in der Kopfzeile oder im Körper der Nachricht ist nicht zulässig. Wenn Sie es ihn in einem Feld in der Kopfzeile verwenden möchten, müssen Sie ihn duplizieren ("\\").
Im Nachrichtenkörper wird das Zeichen "=" als Trennzeichen für ein Schlüssel-Wert-Paar verwendet. Wenn Sie dieses Zeichen in einem Feld im Nachrichtenkörper verwenden möchten, müssen Sie es mit einem vorangestellten Backslash maskieren ("\="). In der Kopfzeile muss das Zeichen "=" nicht maskiert werden.
Mehrzeilige Werte sind nur für die Werte von Schlüssel-Wert-Paaren zulässig. Um den Übergang zur nächsten Zeile anzuzeigen, verwenden Sie die Zeichen "\n" oder "\r".