Тип поля |
Название поля |
Описание |
Пример значения |
---|---|---|---|
CEF заголовок |
CEF:Version |
Версия CEF. |
CEF:0 |
Device Vendor |
Производитель продукта. |
UserGate |
|
Device Product |
Тип продукта. |
NGFW |
|
Device Version |
Версия продукта. |
7 |
|
Source |
Тип журнала. |
idps |
|
Signature |
Название сработавшей сигнатуры СОВ. |
BlackSun Test |
|
Threat Level |
Уровень угрозы сигнатуры. |
Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2). |
|
CEF [расширение] |
rt |
Время, когда было получено событие: миллисекунды с 1 января 1970 года. |
1652344423822 |
deviceExternalId |
Имя, которое однозначно идентифицирует устройство, генерирующее это событие. |
||
suser |
Имя пользователя. |
user_example (Unknown, если пользователь неизвестен) |
|
act |
Действие, принятое устройством в соответствии с настроенными политиками. |
accept |
|
cs1Label |
Поле используется для указания срабатывания правила. |
Rule |
|
cs1 |
Название правила, срабатывание которого вызвало событие. |
IDPS Rule Example |
|
msg |
Уровень угрозы сигнатуры и её название. |
[2] BlackSun |
|
app |
Протокол прикладного уровня. |
HTTP |
|
proto |
Используемый протокол 4-го уровня. |
TCP или UDP |
|
src |
IPv4 источника трафика. |
10.10.10.10 |
|
spt |
Порт источника. |
Может принимать значения от 0 до 65535. |
|
cs2Label |
Поле используется для индикации зоны источника. |
Source Zone |
|
cs2 |
Название зоны источника. |
Trusted |
|
cs3Label |
Поле используется для указания страны источника. |
Source Country |
|
cs3 |
Название страны источника. |
RU (отображается двухбуквенный код страны) |
|
dst |
IPv4 адрес назначения трафика. |
194.226.127.130 |
|
dpt |
Порт назначения. |
Может принимать значения от 0 до 65535. |
|
cs4Label |
Поле используется для индикации зоны назначения. |
Destination Zone |
|
cs4 |
Название зоны назначения. |
Untrusted |
|
cs5Label |
Поле используется для указания страны назначения. |
Destination Country |
|
cs5 |
Название страны назначения. |
RU (отображается двухбуквенный код страны) |
|
in |
Количество переданных входящих байтов; данные передаются в направлении источник -- назначение. |
231 |
|
out |
Количество переданных исходящих байтов; данные передаются в направлении назначение -- источник. |
40 |