Conteúdo e propriedades de mensagens syslog no formato CEF

23 de maio de 2024

ID 151684

As informações sobre cada evento detectado são retransmitidas como uma mensagem syslog separada no formato CEF com codificação UTF-8.

Uma mensagem no formato CEF consiste em um corpo e um cabeçalho de mensagem. Cada mensagem syslog contém os seguintes campos definidos pelos parâmetros do protocolo Syslog no sistema operacional:

  • Data e hora do evento
  • Nome do host onde o evento aconteceu
  • Nome do aplicativo (sempre KSMG)

Os campos de mensagem de evento do syslog definidos pelas configurações do aplicativo têm o formato <key>="<value>". Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. As chaves são separadas por dois pontos.

As chaves e seus valores contidos em uma mensagem dependem da classe específica do evento.

Exemplo:

16 de julho 10:34:23 host.domain.com

KSMG: CEF:0|AO Kaspersky Lab|Kaspersky Secure Mail Gateway|2.0.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|severity|cn1=taskId cn1Label=TaskId cs1=taskName csLabel=TaskName act=created/changed/deleted

O tamanho máximo de uma mensagem syslog sobre um evento detectado depende dos valores das configurações de syslog no servidor em que o Kaspersky Secure Mail Gateway está instalado. É possível configurar o encaminhamento de mensagens syslog para apenas um servidor syslog externo simultaneamente.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.