Conteúdo e propriedades das mensagens syslog no formato CEF

As informações sobre cada evento detectado são enviadas imediatamente após a ocorrência do evento como uma mensagem syslog separada no formato CEF na codificação UTF-8.

Uma mensagem CEF consiste no corpo e no cabeçalho da mensagem.

O cabeçalho da mensagem CEF consiste nas seguintes partes:

• Prefixo do syslog: <data e hora do evento> <nome do host no qual o evento ocorreu>.
• Uma sequência de campos separados por "|" caracteres e separados do prefixo syslog por um espaço. Todos os campos são obrigatórios.
  • Versão do formato. Atualmente, o número da versão é 0, portanto, o campo se parece com "CEF:0".
  • Fornecedor. O valor deste campo é AO Kaspersky Lab.
  • Nome de aplicativo. O valor desse campo é Kaspersky Web Traffic Security.
  • Versão do produto. O valor desse campo é a versão atual do produto ( 6.1.0.xxxx ).
  • Classe de evento.
  • Nome do evento.
  • Nível de gravidade. Pode ser Baixo, Médio ou Alto.

    Exemplo: 30 de outubro de 2021 10:34:23 host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…

Os campos da mensagem syslog sobre um evento, definidos por opções do aplicativo, têm o formato <key> = "<value>". Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. Dois pontos são usados para separar chaves.

As chaves e seus valores contidos na mensagem dependem da classe do evento.

O tamanho máximo de uma mensagem do syslog sobre um evento detectado depende dos valores das configurações do syslog no servidor no qual o Kaspersky Web Traffic Security está instalado. Você só pode configurar mensagens syslog para um único servidor syslog externo.

Regras de codificação de caracteres em mensagens CEF:

• Os espaços não precisam ser escapados.
• No cabeçalho, o caractere de barra vertical ("|") é usado como separador. Se você precisar usar esse caractere em um dos campos de cabeçalho, você deve escapar com uma barra invertida ("\|"). No corpo da mensagem, você não precisa escapar do "|" personagem.
• As barras invertidas simples não são permitidas no cabeçalho ou no corpo da mensagem. Se você precisar usá-lo em um campo de cabeçalho, duplique o caractere ("\\").
• No corpo da mensagem, o caractere "=" é usado como um separador para o par "key-value". Se você precisar usar esse caractere em um dos campos do corpo da mensagem, deverá usar escape com uma barra invertida ("\="). No cabeçalho, o caractere "=" não requer escape.
• Os valores de várias linhas são permitidos somente para os valores em pares de key/value. Para indicar uma quebra de linha, use os caracteres "\n" ou "\r".