Содержание и свойства syslog-сообщений в формате CEF
Информация о каждом обнаруженном событии передается сразу после появления события и представляет собой отдельное syslog-сообщение формата CEF в кодировке UTF-8.
Сообщение в формате CEF состоит из тела сообщения и заголовка.
Заголовок CEF-сообщения состоит из следующих частей:
Syslog-префикс: <дата и время события><имя хоста, на котором произошло событие>.
Последовательность полей, разделенных между собой символами «|» и отделенных от syslog-префикса пробелом. Все поля обязательны.
Версия формата. В текущий момент номер версии – 0, соответственно поле имеет вид «CEF:0».
Производитель. Поле заполняется значением AO Kaspersky Lab.
Название программы. Поле заполняется значением Kaspersky Web Traffic Security.
Версия продукта. Поле заполняется номером текущей версии продукта (6.1.0.xxxx).
Класс события.
Имя события.
Уровень критичности. Может принимать значения Low (низкий), Medium (средний) или High (высокий).
Пример:
Oct 30, 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Поля syslog-сообщения о событии, определяемые параметрами программы, представлены в формате <ключ>="<значение>". Если ключ имеет несколько значений, эти значения указываются через запятую. В качестве разделителя между ключами используется двоеточие.
Ключи, а также их значения, содержащиеся в сообщении, зависят от класса события.
Максимальный размер syslog-сообщения об обнаруженном событии зависит от значений параметров syslog на сервере, на котором установлен Kaspersky Web Traffic Security. Вы можете настроить пересылку syslog-сообщений только на один внешний syslog-сервер единовременно.
Правила кодирования символов в CEF-сообщениях:
Пробелы не требуют экранирования.
В заголовке символ вертикальной черты ("|") используется как разделитель. Если вам нужно использовать этот символ в одном из полей заголовка, его следует экранировать символом обратной косой черты ("\|"). В теле сообщения символ "|" не нужно экранировать.
В заголовке и теле сообщения не допускается одиночный символ обратной косой черты. Если нужно его использовать в поле заголовка, символ следует дублировать ("\\").
В теле сообщения символ "=" используется как разделитель пары "ключ-значение". Если нужно использовать этот символ в поле тела сообщения, его следует экранировать символом обратной косой черты ("\="). В заголовке символ «=» не требует экранирования.
Многострочные значения допустимы только для значения в паре "ключ-значение". Для обозначения перехода на следующую строку следует использовать символы "\n" или "\r".