Conteúdo de mensagens syslog sobre eventos de processamento de tráfego
3 de julho de 2024
ID 179953
Cada mensagem syslog contém os seguintes campos definidos pelos parâmetros do protocolo Syslog no sistema operacional:
- data e hora do evento;
- nome do host onde o evento aconteceu;
- nome do aplicativo (o valor é sempre
KWTS
).
Os campos da mensagem syslog sobre um evento de processamento de tráfego, definidos por opções do aplicativo, têm o formato <chave> = "<valor>"
. Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. Dois pontos são usados para separar chaves.
Exemplo:
|
As chaves, bem como seus valores contidos em uma mensagem, são apresentadas na tabela abaixo.
Informações sobre eventos de processamento de tráfego em uma mensagem syslog
Chave | Descrição e valores possíveis |
---|---|
| Tipo de mensagem HTTP. O seu valor pode ser |
| Método de solicitação HTTP. |
| Ação executada em um objeto detectado. Ela pode tomar um dos seguintes valores:
|
| Nome da regra de processamento de tráfego que fez com que o recurso da Web fosse bloqueado. Ela é exibida no seguinte formato:
|
| Nome da regra de processamento de tráfego que fez com que o usuário fosse redirecionado ao URL especificado. Ela é exibida no seguinte formato:
|
| Duração do processamento da mensagem HTTP, em milissegundos. O tempo é contado do início do processamento do cabeçalho da mensagem HTTP até que um registro da verificação concluída seja salvo no log de eventos do aplicativo e no log de eventos do Syslog. |
| Resultado da verificação da mensagem HTTP. Se várias ameaças forem detectadas, o nome da ameaça de maior prioridade é exibido. Se ameaças foram eliminadas ou não foram detectadas, o resultado da verificação de maior prioridade é exibido (Desinfetado, não detectado, Não verificado). |
| Nome da área de trabalho associada ao evento de processamento de tráfego. Se não houver área de trabalho, um traço é exibido. |
| Nome da conta de usuário que iniciou a solicitação HTTP. |
| Aplicativo cliente que iniciou a solicitação HTTP. |
| Endereço IP do computador a partir do qual a solicitação HTTP foi enviada. |
| URL do recurso da Web que o usuário solicitou. |
| Resultado da verificação de URL para verificar se correspondem a objetos detectados pelo KATA. Os seguintes valores são possíveis:
|
Para um objeto de tipo MIME multipart, informações sobre todas as partes constituintes são fornecidas. Para cada parte constituinte, a chave da Por exemplo, | |
| Nome do objeto verificado. Se a mensagem HTTP não contiver nenhum objeto, |
| Tamanho do objeto verificado. Se a mensagem HTTP não contiver objetos ou se o tamanho do arquivo não for obrigatório para aplicar as regras, |
| Tipo MIME da parte constituinte do objeto multipart. O valor de cabeçalho para tipo de conteúdo (Content-Type) é usado. Se a mensagem HTTP não contiver objetos ou se a definição do tipo MIME não for obrigatória aplicar as regras, |
| Resultado da verificação para envio do objeto ao servidor do KATA. Os seguintes valores são possíveis:
|
| ID atribuído a um objeto pelo aplicativo. O ID é transmitido somente se um dos seguintes status tiver sido atribuído ao verificar se o objeto deve ser enviado ao servidor do KATA:
Para outros status, o campo |
| Nomes das regras de processamento de tráfego acionadas no seguinte formato:
Se uma regra não estiver associada a uma área de trabalho, um traço é exibido em vez do nome da área de trabalho. Se uma regra não for parte de um grupo de regras, um traço é exibido em vez do nome do grupo. Se nenhuma regra de processamento de tráfego foi aplicada, a política de proteção padrão é aplicada. O valor |
| Resultados da verificação de um recurso da Web pelo módulo Antivírus. Os seguintes valores são possíveis:
|
| Resultados de uma verificação de recurso da Web pelo módulo Antiphishing. Os seguintes valores são possíveis:
|
| Resultados da verificação de links em busca de objetos maliciosos. Os seguintes valores são possíveis:
|
| Informações sobre a criptografia do objeto verificado. Os seguintes valores são possíveis:
|
| Informações sobre a presença de macros no objeto verificado. Os seguintes valores são possíveis:
|
| Resultado da verificação de um arquivo contido em uma mensagem HTTP ou em uma parte constituinte (para objetos multipart) para verificar se correspondem a objetos detectados pelo KATA. Os seguintes valores são possíveis:
|