Conteúdo de mensagens syslog sobre eventos de processamento de tráfego
13 de dezembro de 2023
ID 179953
Cada mensagem syslog contém os seguintes campos definidos pelos parâmetros do protocolo Syslog no sistema operacional:
- data e hora do evento;
- nome do host onde o evento aconteceu;
- nome do aplicativo (o valor é sempre
KWTS
).
Os campos da mensagem syslog sobre um evento de processamento de tráfego, definidos por opções do aplicativo, têm o formato <chave> = "<valor>"
. Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. Dois pontos são usados para separar chaves.
Exemplo:
|
As chaves, bem como seus valores contidos em uma mensagem, são apresentadas na tabela abaixo.
Informações sobre eventos de processamento de tráfego em uma mensagem syslog
Chave | Descrição e valores possíveis |
---|---|
| Tipo de mensagem HTTP. O seu valor pode ser |
| Método de solicitação HTTP. |
| Ação executada em um objeto detectado. Ela pode tomar um dos seguintes valores:
|
| Nome da regra de processamento de tráfego que fez com que o recurso da Web fosse bloqueado. Ela é exibida no seguinte formato:
|
| Nome da regra de processamento de tráfego que fez com que o usuário fosse redirecionado ao URL especificado. Ela é exibida no seguinte formato:
|
| Duração do processamento da mensagem HTTP, em milissegundos. O tempo é contado do início do processamento do cabeçalho da mensagem HTTP até que um registro da verificação concluída seja salvo no log de eventos do aplicativo e no log de eventos do Syslog. |
| Resultado da verificação da mensagem HTTP. Se várias ameaças forem detectadas, o nome da ameaça de maior prioridade é exibido. Se ameaças foram eliminadas ou não foram detectadas, o resultado da verificação de maior prioridade é exibido (Desinfetado, não detectado, Não verificado). |
| Nome da área de trabalho associada ao evento de processamento de tráfego. Se não houver área de trabalho, um traço é exibido. |
| Nome da conta de usuário que iniciou a solicitação HTTP. |
| Aplicativo cliente que iniciou a solicitação HTTP. |
| Endereço IP do computador a partir do qual a solicitação HTTP foi enviada. |
| URL do recurso da Web que o usuário solicitou. |
| Resultado da verificação de URL para verificar se correspondem a objetos detectados pelo KATA. Os seguintes valores são possíveis:
|
Para um objeto de tipo MIME multipart, informações sobre todas as partes constituintes são fornecidas. Para cada parte constituinte, a chave da Por exemplo, | |
| Nome do objeto verificado. Se a mensagem HTTP não contiver nenhum objeto, |
| Tamanho do objeto verificado. Se a mensagem HTTP não contiver objetos ou se o tamanho do arquivo não for obrigatório para aplicar as regras, |
| Tipo MIME da parte constituinte do objeto multipart. O valor de cabeçalho para tipo de conteúdo (Content-Type) é usado. Se a mensagem HTTP não contiver objetos ou se a definição do tipo MIME não for obrigatória aplicar as regras, |
| Resultado da verificação para envio do objeto ao servidor do KATA. Os seguintes valores são possíveis:
|
| ID atribuído a um objeto pelo aplicativo. O ID é transmitido somente se um dos seguintes status tiver sido atribuído ao verificar se o objeto deve ser enviado ao servidor do KATA:
Para outros status, o campo |
| Nomes das regras de processamento de tráfego acionadas no seguinte formato:
Se uma regra não estiver associada a uma área de trabalho, um traço é exibido em vez do nome da área de trabalho. Se uma regra não for parte de um grupo de regras, um traço é exibido em vez do nome do grupo. Se nenhuma regra de processamento de tráfego foi aplicada, a política de proteção padrão é aplicada. O valor |
| Resultados da verificação de um recurso da Web pelo módulo Antivírus. Os seguintes valores são possíveis:
|
| Resultados de uma verificação de recurso da Web pelo módulo Antiphishing. Os seguintes valores são possíveis:
|
| Resultados da verificação de links em busca de objetos maliciosos. Os seguintes valores são possíveis:
|
| Informações sobre a criptografia do objeto verificado. Os seguintes valores são possíveis:
|
| Informações sobre a presença de macros no objeto verificado. Os seguintes valores são possíveis:
|
| Resultado da verificação de um arquivo contido em uma mensagem HTTP ou em uma parte constituinte (para objetos multipart) para verificar se correspondem a objetos detectados pelo KATA. Os seguintes valores são possíveis:
|