Conteúdo de mensagens syslog sobre eventos de processamento de tráfego

Exemplo:

Oct 9 10:13:06 localhost KWTS: type="Response": method="GET": action="Block": blocked_by_rule="protection_rules [Workspace1/-/Rule2]": processing_time="952": scan_result="Malware": workspace="Workspace1": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="http://example.com/eicar.com": kata-alert="NotDetected": "eicar.com", filesize="69", kata_upload="SkippedByAction", guid="", rules="access_rules [Workspace1/Group1/Rule1], protection_rules [Workspace1/-/Rule2]", av-status="Detected", threats="EICAR-Test-File/Block", ap-status="NotDetected", mlf-status="NotDetected", encrypted="NotDetected", macros="NotDetected", kata-alert="NotDetected"

type

Tipo de mensagem HTTP. O seu valor pode ser Request ou Response.

method

Método de solicitação HTTP.

action

Ação executada em um objeto detectado. Ela pode tomar um dos seguintes valores:

• Allow – Permitir.
• Block – Bloquear.
• Redirect – Redirecionar.

blocked_by_rule

Nome da regra de processamento de tráfego que fez com que o recurso da Web fosse bloqueado.

Ela é exibida no seguinte formato:

• Para regras de bypass: "[<Nome da regra>]"
• Para regras de proteção e regras de acesso: "[<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>]"

redirected_by_rule

Nome da regra de processamento de tráfego que fez com que o usuário fosse redirecionado ao URL especificado.

Ela é exibida no seguinte formato:

• Para regras de bypass: "[<Nome da regra>]"
• Para regras de acesso: "[<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>]"

processing_time

Duração do processamento da mensagem HTTP, em milissegundos.

O tempo é contado do início do processamento do cabeçalho da mensagem HTTP até que um registro da verificação concluída seja salvo no log de eventos do aplicativo e no log de eventos do Syslog.

scan_result

Resultado da verificação da mensagem HTTP.

Se várias ameaças forem detectadas, o nome da ameaça de maior prioridade é exibido.

Se ameaças foram eliminadas ou não foram detectadas, o resultado da verificação de maior prioridade é exibido (Desinfetado, não detectado, Não verificado).

área de trabalho

Nome da área de trabalho associada ao evento de processamento de tráfego. Se não houver área de trabalho, um traço é exibido.

http_user_name

Nome da conta de usuário que iniciou a solicitação HTTP.

http_user_agent

Aplicativo cliente que iniciou a solicitação HTTP.

http_user_ip

Endereço IP do computador a partir do qual a solicitação HTTP foi enviada.

url

URL do recurso da Web que o usuário solicitou.

kata-alert

Resultado da verificação de URL para verificar se correspondem a objetos detectados pelo KATA.

Os seguintes valores são possíveis:

• NotDetected – O URL foi verificado, nenhuma ameaça foi detectada.
• Detected – uma correspondência com um objeto no cache do KATA foi detectada. A ID do objeto, critérios de correspondência e tecnologia são indicados. Por exemplo, kata-alert="Detected/128563/Url/Sb".
• NotScanned/AccessRuleSettings – Uma verificação não foi executada porque a regra de proteção não foi aplicada de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – uma verificação não foi executada porque o arquivo foi ignorado sem verificação com base em uma regra de bypass.
• NotScanned/ProtectionRuleSettings – Uma verificação não foi executada porque a ação Ignorar verificação está definida para objetos Objetos detectados pelo KATA na regra de proteção.
• NotScanned/ApplicationSettings – uma verificação não foi executada porque o modo de recebimento de objetos detectado pelo KATA ou a integração do KATA está desativado, de acordo com as configurações do aplicativo.
• ScanError/InternalError – A verificação terminou com um erro.

Para um objeto de tipo MIME multipart, informações sobre todas as partes constituintes são fornecidas. Para cada parte constituinte, a chave da parte é usada com o número de sequência após o qual todos os atributos dessa parte constituinte são transmitidos (as seguintes chaves: filename, filesize, part_mimetype, kata_upload, guid, rules, av_status, ap_status, mlf-status, encrypted, macros e kata-alert).

Por exemplo, part1 "news.html", <attributes of constituent part 1>: part2 <attributes of constituent part 2>.

filename

Nome do objeto verificado.

Se a mensagem HTTP não contiver nenhum objeto, "nofile" é indicado. Nesse caso, todos os campos subsequentes pertencem ao URL verificado.

filesize

Tamanho do objeto verificado.

Se a mensagem HTTP não contiver objetos ou se o tamanho do arquivo não for obrigatório para aplicar as regras, "NotApplicable" é indicado.

part_mimetype

Tipo MIME da parte constituinte do objeto multipart. O valor de cabeçalho para tipo de conteúdo (Content-Type) é usado.

Se a mensagem HTTP não contiver objetos ou se a definição do tipo MIME não for obrigatória aplicar as regras, "NotApplicable" será indicado.

kata_upload

Resultado da verificação para envio do objeto ao servidor do KATA.

Os seguintes valores são possíveis:

• NotApplicable – a mensagem HTTP não contém arquivos.
• Scheduled – a transmissão do arquivo é agendada.
• DisabledBySettings – o modo para enviar arquivos ao servidor do KATA ou a integração do KATA é desativada nas configurações do aplicativo.
• SkippedByAction – a mensagem HTTP foi ignorada de acordo com a regra de bypass sem ser verificada ou a ação Bloquear ou Redirecionar foi aplicada a ela.
• RejectedByFilter – o arquivo não satisfaz as condições para ser enviado ao servidor do KATA.
• Failed/QueueOverflowed – o arquivo deve ser enviado ao servidor do KATA, mas a transmissão não pôde ser agendada devido ao estouro de fila.
• Failed/InternalError – o arquivo deve ser enviado ao servidor do KATA, mas a transmissão não pôde ser agendada devido a um erro interno do aplicativo.

guid

ID atribuído a um objeto pelo aplicativo.

O ID é transmitido somente se um dos seguintes status tiver sido atribuído ao verificar se o objeto deve ser enviado ao servidor do KATA:

• Scheduled.
• Failed/QueueOverflowed.
• Failed/InternalError.

Para outros status, o campo guid é transmitido com um valor em branco.

rules

Nomes das regras de processamento de tráfego acionadas no seguinte formato:

"bypass_rule [<Nome da regra>], access_rules [<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>], protection_rules [<Nome da área de trabalho>/<Nome do grupo de regras>/<Nome da regra>]".

Se uma regra não estiver associada a uma área de trabalho, um traço é exibido em vez do nome da área de trabalho.

Se uma regra não for parte de um grupo de regras, um traço é exibido em vez do nome do grupo.

Se nenhuma regra de processamento de tráfego foi aplicada, a política de proteção padrão é aplicada. O valor "default_policy [Default Policy]" é exibido.

av_status

Resultados da verificação de um recurso da Web pelo módulo Antivírus.

Os seguintes valores são possíveis:

• Detected – vírus ou outras ameaças foram encontrados no objeto. Os nomes das ameaças detectadas e a ação executada em um objeto pelo aplicativo são separados por vírgulas. Por exemplo, av-status="Detected", threats="EICAR-Test-File/Block".
• ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.
• ScanError/InternalError – A verificação terminou com um erro interno.
• ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antivírus não foram carregados.
• IncompleteScan/MaxNestingLevelReached – uma verificação não foi executada porque o nível de aninhamento do arquivo comprimido verificado excede o nível de aninhamento máximo permitido.
• IncompleteScan/EncryptedArchive – uma verificação não foi executada porque o objeto está criptografado.
• Disinfected – ameaças foram detectadas e todas foram desinfectadas.
• NotDetected – o objeto foi verificado, nenhuma ameaça foi detectada.
• NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.
• NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.
• NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.

ap_status

Resultados de uma verificação de recurso da Web pelo módulo Antiphishing.

Os seguintes valores são possíveis:

• Detectado (bases locais) – o link foi reconhecido como um link de phishing com base nos registros nos bancos de dados locais do aplicativo.
• Detectado (KSN) – o link foi reconhecido como link de phishing com base em uma verificação de reputação da KSN.
• Detectado (heurísticas) – o link foi reconhecido como um link de phishing com base nos dados de análise heurística.
• ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.
• ScanError/InternalError – A verificação terminou com um erro interno.
• ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antiphishing não foram carregados.
• NotDetected – o objeto foi verificado, nenhuma ameaça foi detectada.
• NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.
• NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.
• NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.

mlf-status

Resultados da verificação de links em busca de objetos maliciosos.

Os seguintes valores são possíveis:

• Detectado (bases locais) – o link foi considerado malicioso, com base em registros nos bancos de dados de anti-vírus local.
• Detectado (KSN) – o link foi considerado malicioso com base em uma verificação de reputação da KSN.
• ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.
• ScanError/InternalError – A verificação terminou com um erro interno.
• ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antiphishing não foram carregados.
• NotDetected – O link foi verificado, nenhuma ameaça foi detectada.
• NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.
• NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.
• NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.

encrypted

Informações sobre a criptografia do objeto verificado.

Os seguintes valores são possíveis:

• Detected – Ameaças foram detectadas.
• ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.
• ScanError/InternalError – A verificação terminou com um erro interno.
• ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antivírus não foram carregados.
• NotDetected – O link foi verificado, nenhuma ameaça foi detectada. NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.
• NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.
• NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.
• NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.

macros

Informações sobre a presença de macros no objeto verificado.

Os seguintes valores são possíveis:

• Detected – macros foram detectadas.
• ScanError/Timeout – a verificação terminou com um erro porque a duração máxima de verificação foi excedida.
• ScanError/InternalError – A verificação terminou com um erro interno.
• ScanError/BasesNotLoaded – a verificação terminou com um erro porque os bancos de dados do módulo Antivírus não foram carregados.
• NotDetected – O objeto foi verificado, nenhuma macro foi detectada.
• NotScanned/AccessRuleSettings – regras de proteção não foram aplicadas ao objeto, de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – o objeto não foi verificado porque uma regra de bypass foi aplicada e ele.
• NotScanned/ProtectionRuleSettings – o objeto não foi verificado de acordo com a ação definida na regra de proteção.
• NotScanned/ApplicationSettings – o objeto não foi verificado de acordo com as configurações definidas do aplicativo.

kata-alert

Resultado da verificação de um arquivo contido em uma mensagem HTTP ou em uma parte constituinte (para objetos multipart) para verificar se correspondem a objetos detectados pelo KATA.

Os seguintes valores são possíveis:

• NotDetected – O URL foi verificado, nenhuma ameaça foi detectada.
• Detected – uma correspondência com um objeto no cache do KATA foi detectada. A ID do objeto, critérios de correspondência e tecnologia são indicados. Por exemplo, kata-alert="Detected/124567/Md5/Yara".
• NotScanned/AccessRuleSettings – Uma verificação não foi executada porque a regra de proteção não foi aplicada de acordo com a ação definida na regra de acesso.
• NotScanned/BypassRuleSettings – uma verificação não foi executada porque o arquivo foi ignorado sem verificação com base em uma regra de bypass.
• NotScanned/ProtectionRuleSettings – Uma verificação não foi executada porque a ação Ignorar verificação está definida para objetos Objetos detectados pelo KATA na regra de proteção.
• NotScanned/ApplicationSettings – uma verificação não foi executada porque o modo de recebimento de objetos detectado pelo KATA ou a integração do KATA está desativado, de acordo com as configurações do aplicativo.
• ScanError/InternalError – A verificação terminou com um erro.