Conteúdo e propriedades das mensagens syslog no formato CEF
13 de dezembro de 2023
ID 267200
As informações sobre cada evento detectado são enviadas imediatamente após a ocorrência do evento como uma mensagem syslog separada no formato CEF na codificação UTF-8.
Uma mensagem CEF consiste no corpo e no cabeçalho da mensagem.
O cabeçalho da mensagem CEF consiste nas seguintes partes:
- Prefixo do syslog:
<data e hora do evento>
<nome do host no qual o evento ocorreu>
. - Uma sequência de campos separados por "|" caracteres e separados do prefixo syslog por um espaço. Todos os campos são obrigatórios.
- Versão do formato. Atualmente, o número da versão é 0, portanto, o campo se parece com "CEF:0".
- Fornecedor. O valor deste campo é
AO Kaspersky Lab
. - Nome de aplicativo. O valor desse campo é
Kaspersky Web Traffic Security
. - Versão do produto. O valor desse campo é a versão atual do produto (
6.1.0.xxxx
). - Classe de evento.
- Nome do evento.
- Nível de gravidade. Pode ser
Baixo
,Médio
ouAlto
.Exemplo:
30 de outubro de 2021 10:34:23
host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…
Os campos da mensagem syslog sobre um evento, definidos por opções do aplicativo, têm o formato <key> = "<value>"
. Se uma chave tiver múltiplos valores, esses valores são separados por vírgula. Dois pontos são usados para separar chaves.
As chaves e seus valores contidos na mensagem dependem da classe do evento.
O tamanho máximo de uma mensagem do syslog sobre um evento detectado depende dos valores das configurações do syslog no servidor no qual o Kaspersky Web Traffic Security está instalado. Você só pode configurar mensagens syslog para um único servidor syslog externo.
Regras de codificação de caracteres em mensagens CEF:
- Os espaços não precisam ser escapados.
- No cabeçalho, o caractere de barra vertical ("|") é usado como separador. Se você precisar usar esse caractere em um dos campos de cabeçalho, você deve escapar com uma barra invertida ("\|"). No corpo da mensagem, você não precisa escapar do "|" personagem.
- As barras invertidas simples não são permitidas no cabeçalho ou no corpo da mensagem. Se você precisar usá-lo em um campo de cabeçalho, duplique o caractere ("\\").
- No corpo da mensagem, o caractere "=" é usado como um separador para o par "key-value". Se você precisar usar esse caractere em um dos campos do corpo da mensagem, deverá usar escape com uma barra invertida ("\="). No cabeçalho, o caractere "=" não requer escape.
- Os valores de várias linhas são permitidos somente para os valores em pares de key/value. Para indicar uma quebra de linha, use os caracteres "\n" ou "\r".