23.1.4. Формат журнала СОВ

Тип поля

Название поля

Описание

Пример значения

CEF заголовок

CEF:Version

Версия CEF.

CEF:0

Device Vendor

Производитель продукта.

UserGate

Device Product

Тип продукта.

NGFW

Device Version

Версия продукта.

7

Source

Тип журнала.

idps

Signature

Название сработавшей сигнатуры СОВ.

BlackSun Test

Threat Level

Уровень угрозы сигнатуры.

Может принимать значения от 2 до 10 (указанный уровень угрозы, умноженный на 2).

CEF [расширение]

rt

Время, когда было получено событие: миллисекунды с 1 января 1970 года.

1652344423822

deviceExternalId

Имя, которое однозначно идентифицирует устройство, генерирующее это событие.

utmcore@ersthetatica

suser

Имя пользователя.

user_example (Unknown, если пользователь неизвестен)

act

Действие, принятое устройством в соответствии с настроенными политиками.

accept

cs1Label

Поле используется для указания срабатывания правила.

Rule

cs1

Название правила, срабатывание которого вызвало событие.

IDPS Rule Example

msg

Уровень угрозы сигнатуры и её название.

[2] BlackSun

app

Протокол прикладного уровня.

HTTP

proto

Используемый протокол 4-го уровня.

TCP или UDP

src

IPv4 источника трафика.

10.10.10.10

spt

Порт источника.

Может принимать значения от 0 до 65535.

cs2Label

Поле используется для индикации зоны источника.

Source Zone

cs2

Название зоны источника.

Trusted

cs3Label

Поле используется для указания страны источника.

Source Country

cs3

Название страны источника.

RU (отображается двухбуквенный код страны)

dst

IPv4 адрес назначения трафика.

194.226.127.130

dpt

Порт назначения.

Может принимать значения от 0 до 65535.

cs4Label

Поле используется для индикации зоны назначения.

Destination Zone

cs4

Название зоны назначения.

Untrusted

cs5Label

Поле используется для указания страны назначения.

Destination Country

cs5

Название страны назначения.

RU (отображается двухбуквенный код страны)

in

Количество переданных входящих байтов; данные передаются в направлении источник -- назначение.

231

out

Количество переданных исходящих байтов; данные передаются в направлении назначение -- источник.

40