CEF 形式の Syslog メッセージの内容とプロパティ

検出された各イベントに関する情報は、イベントの発生直後に、CEF 形式の独立した Syslog メッセージとして UTF-8 エンコーディングで送信されます。

CEF メッセージは、メッセージ本文とヘッダーで構成されています。

CEF メッセージのヘッダーは次の部分で構成されています：

• Syslog プレフィックス：<イベント日時> <イベントが発生したホストの名前> 。
• 「|」文字で区切られた一連のフィールド。Syslog プレフィックスとスペースで区切られています。すべて必須フィールドです。
  • フォーマットバージョン。現在、バージョン番号は 0 であるため、フィールドは「CEF:0」のようになっています。
  • ベンダー。このフィールドの値は AO Kaspersky Lab です。
  • 製品名。このフィールドの値は Kaspersky Web Traffic Security です。
  • 製品バージョン。このフィールドの値は、製品の現在のバージョン（6.1.0.xxxx ）です。
  • イベントクラス。
  • イベント名。
  • 重大度レベル。Low 、 Medium 、 High のいずれかになります。

    例： Oct 30, 2021 10:34:23 host.domain.com CEF:0|AO Kaspersky Lab|Kaspersky Web Traffic Security|6.1.0.1234|LMS_EV_SETTINGS_CHANGED|task settings changed|Low|…

Syslog メッセージのフィールドのうち、本製品のオプションで定義されるイベントに関するフィールドは「<キー>="<値>"」という形式です。1 つのキーに複数の値が存在する場合は、値はカンマで区切られます。キーとキーの間はコロンで区切られます。

メッセージに含まれるキーとその値は、イベントのクラスによって異なります。

検出されたイベントに関する Syslog メッセージの最大サイズは、Kaspersky Web Traffic Security がインストールされているサーバーの Syslog 設定の値によって異なります。単一の外部 Syslog サーバーへの Syslog メッセージのみ設定できます。

CEF メッセージの文字エンコーディング規則：

• スペースをエスケープする必要はありません。
• ヘッダーでは、縦棒（「|」）が区切り文字として使用されます。この文字をヘッダーのいずれかのフィールドで使用する必要がある場合は、バックスラッシュ（「\」）でエスケープする必要があります。メッセージ本文では、「|」をエスケープする必要はありません。
• 単一のバックスラッシュはメッセージヘッダーまたはメッセージ本文では使用できません。ヘッダーフィールドでこの文字を使用する必要がある場合は、2 回繰り返します（「\\」）。
• メッセージ本文では、「=」文字が「キーと値」ペアの区切り文字として使用されます。メッセージ本文のいずれかのフィールドでこの文字を使用する必要がある場合は、バックスラッシュ（「\=」）でエスケープする必要があります。ヘッダー内の「=」文字はエスケープする必要がありません。
• 複数行の値は、キー/値のペアの値でのみ許可されます。改行を示すには、「\n」または「\r」文字を使用します。