 |
重要截至2026年3月31日,趨勢科技將產品重新命名為TrendAI™。如果您在此日期之後遇到接收syslog的問題,請檢查是否有任何針對
Trend Micro的過濾器,並將條款更新為TrendAI™。 |
Common Event Format (CEF) 和 Log Event Extended Format (LEEF) 日誌訊息格式略有不同。例如,GUI 中的
"Source User" 欄位在 CEF 中對應的欄位名稱為 "suser";在 LEEF 中,相同的欄位名稱則為 "usrName"。日誌訊息欄位也會根據事件是否源自代理或
伺服器與工作負載保護 以及哪個功能創建了日誌訊息而有所不同。
 |
注意
|
如果 syslog 訊息是從 伺服器與工作負載保護 發送的,會有幾個不同之處。為了保留原始代理主機名稱(事件的來源),會出現一個新的擴展("dvc" 或 "dvchost")。如果主機名稱是 IPv4 地址,則使用
"dvc";如果是主機名稱和 IPv6 地址,則使用 "dvchost"。
此外,如果事件被標記,則使用擴充功能 "TrendMicroDsTags"。這僅適用於未來自動標記,因為事件僅在被伺服器與工作負載保護收集時通過syslog轉發。通過工作負載安全轉發的日誌產品仍將顯示為 "Deep Security Agent";然而,產品版本是伺服器與工作負載保護的版本。
CEF syslog 訊息格式
所有 CEF 事件都包含 'dvc=IPv4 地址' 或 'dvchost=主機名'(或 IPv6 地址),以確定事件來源的原始代理。此擴展對於從 伺服器與工作負載保護 發送的事件非常重要,因為在這種情況下,消息的 syslog 發送者不是事件的發起者。
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|Extension要判斷日誌條目是來自 伺服器與工作負載保護 還是代理,請查看「裝置產品」欄位:
Sample CEF Log Entry:
Jan 18 11:07:53 dsmhost CEF:0|TrendAI™|Workload Security Manager|<Workload Security
version>|600|Administrator Signed In|4|suser=Master... |
注意在受虛擬裝置保護但沒有內部代理程式的虛擬機上發生的事件,仍然會被識別為來自代理程式。
|
要進一步確定觸發事件的規則類型,請查看「簽章 ID」和「名稱」欄位:
Sample Log Entry:
Mar 19 15:19:15 root CEF:0|TrendAI™|Deep Security Agent|<Agent version>|123|Out Of
Allowed Policy|5|cn1=1..."簽章 ID" 值表示已觸發的事件類型:
|
簽章 ID
|
說明
|
|
10
|
自訂入侵防護 (IPS) 規則
|
|
20
|
僅記錄防火牆規則
|
|
21
|
拒絕防火牆規則
|
|
30
|
自訂完整性監控規則
|
|
40
|
自訂日誌檢查規則
|
|
100-7499
|
系統事件
|
|
100-199
|
策略防火牆規則和防火牆有狀態配置
|
|
200-299
|
IPS 內部錯誤
|
|
300-399
|
SSL/TLS 事件
|
|
500-899
|
IPS 正常化
|
|
1,000,000-1,999,999
|
TrendAI™ IPS 規則。簽章 ID 與 IPS 規則 ID 相同。
|
|
2,000,000-2,999,999
|
完整性監控規則。簽章 ID 是完整性監控規則 ID + 1,000,000。
|
|
3,000,000-3,999,999
|
日誌檢查規則。簽章 ID 是日誌檢查規則 ID 加上 2,000,000。
|
|
4,000,000-4,999,999
|
惡意程式防護事件。目前僅使用這些簽章 ID:
|
|
5,000,000-5,999,999
|
網頁信譽評等事件。目前僅使用這些簽章 ID:
|
|
6,000,000-6,999,999
|
Application Control 事件。目前僅使用這些簽章 ID:
|
|
7,000,000-7,999,999
|
周邊設備存取控管事件。目前僅使用這些簽章 ID:
|
|
注意
|
LEEF 2.0 syslog 訊息格式
Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF 2.0 Log Entry (Workload Security System Event Log Sample):
LEEF:2.0|TrendAI™|伺服器與工作負載保護 Manager|<Agent version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold
Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System
msg=Alert: CPUWarning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity:Warning
TrendMicroDsTenant=Primary來自伺服器與工作負載保護的事件
系統事件記錄檔格式
Base CEF Format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|伺服器與工作負載保護 Manager|<伺服器與工作負載保護 version>|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User
signed in from 2001:db8::5Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF 2.0 Log Entry:
LEEF:2.0|TrendAI™|伺服器與工作負載保護 Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold
Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System
msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning
TrendMicroDsTenant=Primary |
注意LEEF 格式使用保留的 "sev" 鍵來顯示嚴重性,並使用 "name" 來顯示名稱值。
|
|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
||
|
src
|
src
|
來源 IP 位址
|
伺服器與工作負載保護 IP 位址。
|
src=10.52.116.23
|
||
|
suser
|
usrName
|
來源使用者
|
伺服器與工作負載保護 管理員的帳戶。
|
suser=主管理員
|
||
|
目標
|
目標
|
目標實體
|
事件的主體。可以是登入伺服器與工作負載保護的管理員帳戶,或是一台電腦防護。
|
目標=MasterAdmin 目標=server01
|
||
|
目標ID
|
目標ID
|
目標實體 ID
|
在伺服器與工作負載保護中新增的識別碼。
|
targetID=1
|
||
|
目標類型
|
目標類型
|
目標實體類型
|
事件目標實體類型。
|
目標類型=主機
|
||
|
訊息
|
訊息
|
詳細資訊
|
系統事件的詳細資訊。可能包含事件的詳細描述。
|
msg=使用者 MasterAdmin 從 127.0.0.1 嘗試登入時密碼錯誤 msg=對電腦 (localhost) 進行的建議掃瞄已完成...
|
||
|
TrendMicroDsProcessImagePath
|
TrendMicroDsProcessImagePath
|
處理影像路徑
|
生成惡意程式防護事件檢測的進程完整路徑。
|
TrendMicroDsProcessImagePath=/usr/bin/bash
|
||
|
TrendMicroDsProcessPid
|
TrendMicroDsProcessPid
|
進程 PID
|
生成惡意程式防護事件檢測的進程 PID
|
TrendMicroDsProcessPid=4422
|
||
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
||
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
||
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
||
|
TrendMicroDsReasonId
|
TrendMicroDsReasonId
|
事件原因 ID
|
指示事件描述的原因 ID。每個事件都有其自己的原因 ID 定義。
|
TrendMicroDsReasonId=1
|
||
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=3
|
||
|
無
|
貓
|
類別
|
事件類別
|
cat=系統
|
||
|
無
|
名稱
|
名稱
|
事件名稱
|
警報已結束
|
||
|
無
|
描述
|
說明
|
事件說明
|
desc:警報:超過CPU警告閾值
|
代理程式中發生的事件
惡意程式防護事件格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|4000000|Eicar_test_file|6|cn1=1
cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size cs6=ContainerImageName
| ContainerName | ContainerID cs6Label=Container filePath=C:\Users\trend\Desktop\eicar.exe
act=Delete result=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F
TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SMBase LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF: 2.0|TrendAI™|Deep Security Agent|<Agent version>|4000030|cat=Anti-Malware name=HEU_AEGIS_CRYPT
desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\Windows\System32\virus.exe
act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File
System TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=1
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cn2
|
cn2
|
檔案大小
|
隔離檔案的大小。僅在選擇從代理/設備「直接轉發」時包含此擴展。
|
cn2=100
|
|
cn2標籤
|
cn2標籤
|
檔案大小
|
欄位 cn2 的名稱標籤。
|
cn2Label=隔離檔案大小
|
|
cs3
|
cs3
|
中毒資源
|
間諜程式項目的路徑。此欄位僅適用於間諜程式偵測事件。
|
cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
|
|
cs3標籤
|
cs3標籤
|
中毒資源
|
此欄位的名稱標籤為 cs3。此欄位僅用於間諜程式偵測事件。
|
cs3Label=中毒資源
|
|
cs4
|
cs4
|
資源類型
|
資源類型值:
例如,如果有一個名為 spy.exe 的間諜程式檔案,會在系統重新啟動後創建一個登錄執行鍵以保持其持續性,那麼在間諜程式報告中將有兩個項目:spy.exe 的項目具有
cs4=10(檔案和目錄),而登錄執行鍵的項目具有 cs4=11(系統登錄)。
此欄位僅適用於間諜程式偵測事件。
|
cs4=10
|
|
cs4標籤
|
cd4標籤
|
資源類型
|
欄位 cs4 的名稱標籤。此欄位僅用於間諜程式偵測事件。
|
cs4Label=資源類型
|
|
cs5
|
cs5
|
風險等級
|
風險等級值:
此欄位僅適用於間諜程式偵測事件。
|
cs5=25
|
|
cs5標籤
|
cs5標籤
|
風險等級
|
欄位 cs5 的名稱標籤。此欄位僅用於間諜程式偵測事件。
|
cs5Label=風險等級
|
|
cs6
|
cs6
|
容器
|
Docker 容器的映像名稱、容器名稱和偵測到惡意程式的容器 ID。
|
cs6=ContainerImageName | ContainerName | ContainerID
|
|
cs6標籤
|
cs6標籤
|
容器
|
欄位 cs6 的名稱標籤。
|
cs6Label=容器
|
|
filePath
|
filePath
|
檔案路徑
|
惡意程式檔案的位置資訊。
|
filePath=C:\Users\Mei\Desktop\virus.exe
|
|
行動
|
行動
|
處理行動
|
惡意程式防護引擎執行的操作。可能的值有:拒絕存取、隔離、刪除、暫不處理、清除、終止和未指定。
|
act=清理
act=暫不處理
|
|
結果
|
結果
|
結果
|
失敗的惡意程式防護操作結果。
|
result=通過
結果=已刪除
result=已隔離
result=已清除
result=拒絕存取
result=已終止
result=日誌
結果=失敗
結果=暫不處理 失敗
結果=刪除失敗
result=隔離失敗
結果=清理失敗
結果=終止失敗
result=記錄失敗
result=掃瞄失敗
result=通過(掃瞄失敗)
result=已隔離(掃瞄失敗)
result=隔離失敗(掃瞄失敗)
result=拒絕存取(掃瞄失敗)
|
|
訊息
|
訊息
|
訊息
|
掃瞄類型。可能的值為:即時、排程和手動。
|
即時
msg=已排程
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com
dvchost=fe80::f018:a3c6:20f9:afa6%5
|
|
TrendMicroDsBehaviorRuleID
|
TrendMicroDsBehaviorRuleID
|
行為監控規則 ID
|
內部惡意程式案例追蹤的行為監控規則 ID。
|
BehaviorRuleID=CS913
|
|
TrendMicroDsBehaviorType
|
TrendMicroDsBehaviorType
|
行為監控類型
|
檢測到的行為監控事件類型。
|
BehaviorType=安全威脅-偵測
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
TrendMicroDs惡意軟體目標計數
|
TrendMicroDs惡意軟體目標計數
|
目標數量
|
目標檔案的數量。
|
TrendMicroDsMalwareTargetCount=3
|
|
TrendMicroDs惡意軟體目標
|
TrendMicroDs惡意軟體目標
|
目標
|
惡意程式試圖影響的檔案、程序或登錄機碼(如果有的話)。如果惡意程式試圖影響多個項目,則此欄位將包含值 "Multiple"
只有可疑活動監控和未經授權變更監控具有此欄位的值。
|
TrendMicroDsMalwareTarget=不適用
TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe
TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings
TrendMicroDsMalwareTarget=多重
|
|
TrendMicroDs惡意軟體目標類型
|
TrendMicroDs惡意軟體目標類型
|
目標類型
|
此惡意程式試圖影響的系統資源類型,例如檔案系統、進程或 Windows 登錄。
只有可疑活動監控和未經授權變更監控具有此欄位的值。
|
TrendMicroDsMalwareTargetType=不適用
TrendMicroDsMalwareTargetType=漏洞利用
TrendMicroDsMalwareTargetType=檔案系統
TrendMicroDsMalwareTargetType=進程
TrendMicroDsMalwareTargetType=登錄檔
|
|
TrendMicroDsProcess
|
TrendMicroDsProcess
|
處理程序
|
程序名稱
|
TrendMicroDsProcess= abc.exe
|
|
TrendMicroDsFileMD5
|
TrendMicroDsFileMD5
|
檔案 MD5
|
該檔案的MD5雜湊值
|
TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
|
|
TrendMicroDsFileSHA1
|
TrendMicroDsFileSHA1
|
檔案 SHA1
|
該檔案的 SHA1 雜湊值
|
TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
|
|
TrendMicroDsFileSHA256
|
TrendMicroDsFileSHA256
|
檔案 SHA256
|
該檔案的 SHA256 雜湊值
|
TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
|
|
TrendMicroDsDetectionConfidence
|
TrendMicroDsDetectionConfidence
|
安全威脅可能性
|
指示檔案與惡意程式模型的匹配程度(以百分比表示)
|
TrendMicroDsDetectionConfidence=95
|
|
TrendMicroDs相關檢測名稱
|
TrendMicroDs相關檢測名稱
|
可能的安全威脅類型
|
在 Machine Learning 將分析結果與其他已知威脅進行比較後,指示檔案中最可能包含的安全威脅類型(以分號 ";" 分隔)
|
TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=6
|
|
無
|
貓
|
類別
|
類別
|
cat=惡意程式防護
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=間諜軟體_鍵盤記錄_啟動
|
|
無
|
描述
|
說明
|
事件說明。惡意程式防護使用事件名稱作為說明。
|
desc=間諜軟體鍵盤記錄器啟動中
|
|
TrendMicroDsCommandLine
|
TrendMicroDsCommandLine
|
命令列
|
主體程序執行的命令
|
TrendMicroDsCommandLine=/tmp/orca-testkit-sample/testsys_m64 -u 1000 -g 1000 -U 1000
-G 1000 -e cve_2017_16995 1 -d 4000000
|
|
TrendMicroDsCve
|
TrendMicroDsCve
|
CVE
|
如果在常見弱點和暴露中識別到該進程行為,則提供 CVE 資訊。
|
TrendMicroDsCve=CVE-2016-5195,CVE-2016-5195,CVE-2016-5195
|
|
TrendMicroDsMitre
|
TrendMicroDsMitre
|
MITRE
|
如果在 MITRE 攻擊場景中識別到該進程行為,則顯示 MITRE 資訊。
|
TrendMicroDsMitre=T1068,T1068,T1068
|
|
suser
|
suser
|
使用者名稱
|
觸發此事件的使用者帳號名稱
|
suser=root
|
Application Control 事件格式
Base CEF format: CEF:版本|裝置供應商|裝置產品|裝置版本|簽章 ID|名稱|嚴重性|擴展
Example CEF Log Entry:
CEF: 0|TrendAI™|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202
cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root
suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20
aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C
cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5Base LEEF 2.0 format: LEEF:2.0|供應商|產品|版本|事件ID|(分隔符號,若分隔符號為Tab則可選填)|擴展
Example LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked
sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root
suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0 repeatCount=1
cs1=notWhitelisted cs1Label=actionReason|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=2
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cs1
|
cs1
|
原因
|
Application Control 執行指定動作的原因,例如 "notWhitelisted"(該軟體沒有匹配的規則,且 Application Control
被配置為封鎖未識別的軟體)。
|
cs1=未列入白名單
|
|
cs1標籤
|
cs1標籤
|
欄位 cs1 的名稱標籤。
|
cs1Label=動作原因
|
|
|
cs2
|
cs2
|
如果已計算,則為檔案的 SHA-1 雜湊值。
|
cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
|
|
|
cs2標籤
|
cs2標籤
|
欄位 cs2 的名稱標籤。
|
cs2Label=sha1
|
|
|
cs3
|
cs3
|
如果已計算,則為檔案的 MD5 雜湊值。
|
cs3=4E8701AC951BC4537F8420FDAC7EFBB5
|
|
|
cs3標籤
|
cs3標籤
|
欄位 cs3 的名稱標籤。
|
cs3Label=md5
|
|
|
行動
|
行動
|
處理行動
|
由 Application Control 引擎執行的操作。可能的值為:已封鎖、允許。
|
act=已封鎖
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.1.10
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
suid
|
suid
|
用戶 ID
|
使用者名稱的帳戶ID號碼。
|
suid=0
|
|
suser
|
suser
|
使用者名稱
|
安裝軟體在受保護電腦上的使用者帳號名稱。
|
suser=root
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶名稱。
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID 號碼。
|
TrendMicroDsTenantId=0
|
|
fileHash
|
fileHash
|
檔案雜湊
|
識別軟體檔案的 SHA 256 雜湊值。
|
fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
|
|
filePath
|
filePath
|
檔案路徑
|
惡意程式檔案的位置資訊。
|
filePath=/bin/my.jar
|
|
fsize
|
fsize
|
檔案大小
|
檔案大小(位元組)。
|
fsize=16
|
|
聚合類型
|
聚合類型
|
聚合類型
|
指示事件如何聚合的整數:
如需有關事件彙總的資訊,請參閱 查看 Application Control 事件日誌。
|
aggregationType=2
|
|
重複次數
|
重複次數
|
重複次數
|
事件發生的次數。未聚合的事件值為1。聚合的事件值為2或更多。
|
重複次數=4
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=6
|
|
無
|
貓
|
類別
|
類別
|
cat=應用程式控制
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=已封鎖
|
|
無
|
描述
|
說明
|
事件說明。Application Control 使用該動作作為說明。
|
desc=已封鎖
|
防火牆事件日誌格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|20|Log for TCP Port 80|0|cn1=1
cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE
TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF
cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP
Flags cnt=1 TrendMicroDsPacketData=AFB...Sample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|21|cat=Firewall name=Remote
Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5
cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0
act=Deny dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP
src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP
srcPort=23 dstPort=445 cnt=1 TrendMicroDsPacketData=AFB...Sample TendMicroDsScannerIp Log Entry:
CEF Field : (wait check), LEEF Field: TrendMicroDsScannerIp, Name: Scanner IP, Description:
Scanner IP Address, Example: TrendMicroDsScannerIp=192.168.33.1TrendMicroDsTargetPortList Log Entry:
CEF Field : (wait check), LEEF Field: TrendMicroDsTargetPortList, Name: Target Port
List, Description: Scanned Port List, Example: TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
行動
|
行動
|
處理行動
|
|
act=日誌
act=拒絕
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
計數
|
計數
|
重複次數
|
此事件連續重複的次數。
|
cnt=8
|
|
cs2
|
cs2
|
TCP 標誌
|
|
cs2=0x10 確認
cs2=0x14 ACK RST
|
|
cs2標籤
|
cs2標籤
|
TCP 標誌
|
欄位 cs2 的名稱標籤。
|
cs2Label=TCP 標誌
|
|
cs3
|
cs3
|
封包分段資訊
|
|
cs3=DF
cs3=MF
cs3=DF MF
|
|
cs3標籤
|
cs3標籤
|
碎片位元
|
欄位 cs3 的名稱標籤。
|
cs3Label=碎片位元
|
|
cs4
|
cs4
|
ICMP 類型和代碼
|
(僅適用於 ICMP 通訊協定)ICMP 類型和代碼,以空格分隔。
|
cs4=11 0
cs4=8 0
|
|
cs4標籤
|
cs4標籤
|
ICMP
|
欄位 cs4 的名稱標籤。
|
ICMP 類型和代碼
|
|
dmac
|
dstMAC
|
目的地 MAC 位址
|
目的電腦網路介面的 MAC 位址。
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
目標通訊埠
|
(僅適用於 TCP 和 UDP 通訊協定)目的地電腦連線或會話的通訊埠號碼。
|
dpt=80
dpt=135
|
|
目標
|
目標
|
目標 IP 位址
|
目標電腦的 IP 位址。
|
dst=192.168.1.102
dst=10.30.128.2
|
|
在
|
在
|
輸入位元組讀取
|
(僅適用於輸入連線)已讀取的輸入位元組數。
|
輸入=137
in=21
|
|
輸出
|
輸出
|
輸出位元組讀取
|
(僅適用於輸出連線)已讀取的輸出位元組數。
|
out=216
out=13
|
|
proto
|
proto
|
傳輸通訊協定
|
所使用的傳輸通訊協定名稱。
|
proto=tcp
proto=udp
proto=icmp
|
|
smac
|
srcMAC
|
來源 MAC 位址
|
來源電腦網路介面的 MAC 位址。
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
來源通訊埠
|
(僅適用於 TCP 和 UDP 通訊協定)來源電腦連線或會話的通訊埠號碼。
|
spt=1032
spt=443
|
|
src
|
src
|
來源 IP 位址
|
此事件中封包的來源 IP 位址。
|
src=192.168.1.105
src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
乙太網路幀類型
|
連接乙太網路幀類型。
|
TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
封包資料
|
封包資料,以Base64表示。
|
TrendMicroDsPacketData=AFB...
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=exch01.example.com
dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=5
|
|
無
|
貓
|
類別
|
類別
|
cat=防火牆
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=遠端網域強制執行(分割隧道)
|
|
無
|
描述
|
說明
|
事件說明。防火牆事件使用事件名稱作為說明。
|
desc=遠端網域強制執行(分割隧道)
|
|
TrendMicroDsScannerIp
|
TrendMicroDsScannerIp
|
掃描器 IP
|
掃描器 IP 位址
|
TrendMicroDsScannerIp=192.168.33.1
|
|
TrendMicroDsTargetPortList
|
TrendMicroDsTargetPortList
|
目標端口列表
|
掃描的端口列表
|
TrendMicroDsTargetPortList=12;13;16;18;22;23;27;32;38;42;44;47;48;60;67;
|
完整性監控日誌事件格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|30|New Integrity Monitoring Rule|6|cn1=1
cn1Label=Host ID dvchost=hostname act=updated filePath=c:\windows\message.dll suser=admin
sproc=C:\Windows\System32\notepad.exe msg=lastModified,sha1,sizeBase LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|2002779|cat=Integrity Monitor
name=Microsoft Windows - System file modified desc=Microsoft Windows - System file
modified sev=8 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 act=updated suser=admin sproc=C:\Windows\System32\notepad.exe|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
行動
|
行動
|
處理行動
|
由完整性規則檢測到的操作。可能包含:創建、更新、刪除或重命名。
|
act=已建立
act=已刪除
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
filePath
|
filePath
|
目標實體
|
完整性規則目標實體。可能包含檔案或目錄路徑、註冊表鍵等。
|
filePath=C:\WINDOWS\system32\drivers\etc\hosts
|
|
suser
|
suser
|
來源使用者
|
更改被監控檔案的使用者帳戶。
|
suser=WIN-038M7CQDHIN\管理員
|
|
存儲過程
|
存儲過程
|
來源程序
|
事件來源進程的名稱。
|
sproc=C:\Windows\System32\notepad.exe
|
|
訊息
|
訊息
|
屬性變更
|
(僅適用於“重新命名”操作)更改屬性名稱的列表。如果選擇“通過管理器中繼”,則所有事件操作類型都包含完整描述。
|
msg=最後修改,sha1,大小
|
|
oldfilePath
|
oldfilePath
|
舊目標實體
|
(僅適用於“重命名”操作)先前的完整性規則目標實體將重命名操作從先前的目標實體捕獲到新的目標實體,並記錄在 filePath 欄位中。
|
oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=8
|
|
無
|
貓
|
類別
|
類別
|
cat=完整性監控
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=Microsoft Windows - 系統檔案已修改
|
|
無
|
描述
|
說明
|
事件說明。完整性監控使用事件名稱作為說明。
|
desc=Microsoft Windows - 系統檔案已修改
|
入侵防護事件日誌格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|1001111|Test Intrusion Prevention
Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE
TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF
cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP
Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10
cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention
Flags TrendMicroDsPacketData=R0VUIC9zP3...Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|1000940|cat=Intrusion Prevention
name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=Sun
Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1Label=Host
ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41
srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128
out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset
cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI
Flags TrendMicroDsPacketData=R0VUIC9zP3...|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
行動
|
行動
|
處理行動
|
(在 Deep Security 7.5 SP1 版本之前編寫的 IPS 規則還可以執行插入、替換和刪除操作。這些操作不再執行。如果觸發了仍然嘗試執行這些操作的舊
IPS 規則,事件將顯示該規則已在僅檢測模式下應用。)
|
act=封鎖
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cn3
|
cn3
|
入侵防護封包位置
|
觸發事件的資料封包中的位置。
|
cn3=37
|
|
cn3標籤
|
cn3標籤
|
入侵防護封包位置
|
欄位 cn3 的名稱標籤。
|
cn3Label=入侵防護封包位置
|
|
計數
|
計數
|
重複次數
|
此事件連續重複的次數。
|
cnt=8
|
|
cs1
|
cs1
|
入侵防護過濾器註解
|
(可選)一個備註欄位,可以包含與有效負載文件相關的簡短二進位或文字備註。如果備註欄位的值全部是可打印的 ASCII 字元,將作為文字記錄,空格將轉換為底線。如果包含二進位資料,將使用
Base-64 編碼記錄。
|
cs1=刪除資料
|
|
cs1標籤
|
cs1標籤
|
入侵防護注意事項
|
欄位 cs1 的名稱標籤。
|
入侵防護註記
|
|
cs2
|
cs2
|
TCP 標誌
|
(僅適用於 TCP 通訊協定)如果已設置 TCP 標頭,則可能會出現原始 TCP 標誌位元組以及 URG、ACK、PSH、RST、SYN 和 FIN 欄位。
|
cs2=0x10 確認
cs2=0x14 ACK RST
|
|
cs2標籤
|
cs2標籤
|
TCP 標誌
|
欄位 cs2 的名稱標籤。
|
cs2Label=TCP 標誌
|
|
cs3
|
cs3
|
封包分段資訊
|
|
cs3=DF
cs3=MF
cs3=DF MF
|
|
cs3標籤
|
cs3標籤
|
碎片位元
|
欄位 cs3 的名稱標籤。
|
cs3Label=碎片位元
|
|
cs4
|
cs4
|
ICMP 類型和代碼
|
(僅適用於 ICMP 通訊協定)ICMP 類型和代碼按順序存儲,以空格分隔。
|
cs4=11 0
cs4=8 0
|
|
cs4標籤
|
cs4標籤
|
ICMP
|
欄位 cs4 的名稱標籤。
|
ICMP 類型和代碼
|
|
cs5
|
cs5
|
入侵防護串流位置
|
觸發事件的資料流位置。
|
cs5=128
cs5=20
|
|
cs5標籤
|
cs5標籤
|
入侵防護串流位置
|
欄位 cs5 的名稱標籤。
|
cs5Label=入侵防護串流位置
|
|
cs6
|
cs6
|
入侵防護過濾標誌
|
包含旗標值總和的合併值:
|
以下範例將是 1(資料防護被截斷)和 8(有資料防護)的總和組合:cs6=9
|
|
cs6標籤
|
cs6標籤
|
入侵防護標誌
|
欄位 cs6 的名稱標籤。
|
入侵防護過濾器標誌
|
|
dmac
|
dstMAC
|
目的地 MAC 位址
|
目標電腦網路介面 MAC 位址。
|
dmac= 00:0C:29:2F:09:B3
|
|
dpt
|
dstPort
|
目標通訊埠
|
目標電腦連接埠。僅適用於 TCP 和 UDP 通訊協定。
|
dpt=80
dpt=135
|
|
目標
|
目標
|
目標 IP 位址
|
目標電腦防護 IP 位址。
|
dst=192.168.1.102
dst=10.30.128.2
|
|
xff
|
xff
|
X-Forwarded-For
|
X-Forwarded-For 標頭中最後一個集線器的 IP 位址。這通常是原始 IP 位址,超越可能存在的 Proxy。另請參閱 src 欄位。若要在事件中包含
xff,請啟用 "1006540 - 啟用 X-Forwarded-For HTTP 標頭記錄" 入侵防護規則。
|
xff=192.168.137.1
|
|
在
|
在
|
輸入位元組讀取
|
讀取的輸入位元組數。僅適用於輸入連線。
|
輸入=137
in=21
|
|
輸出
|
輸出
|
輸出位元組讀取
|
讀取的輸出位元組數。僅適用於輸出連線。
|
out=216
out=13
|
|
proto
|
proto
|
傳輸通訊協定
|
所使用的連接傳輸通訊協定名稱。
|
proto=tcp
proto=udp
proto=icmp
|
|
smac
|
srcMAC
|
來源 MAC 位址
|
來源電腦網路介面 MAC 位址。
|
smac= 00:0E:04:2C:02:B3
|
|
spt
|
srcPort
|
來源通訊埠
|
來源電腦連接埠。僅適用於 TCP 和 UDP 通訊協定。
|
spt=1032
spt=443
|
|
src
|
src
|
來源 IP 位址
|
來源電腦 IP 位址。這是最後一個 Proxy 伺服器的 IP,如果存在的話,或者是客戶端 IP。另請參閱 xff 欄位。
|
src=192.168.1.105
src=10.10.251.231
|
|
TrendMicroDsFrameType
|
TrendMicroDsFrameType
|
乙太網路幀類型
|
連接乙太網路幀類型。
|
TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
|
|
TrendMicroDsPacketData
|
TrendMicroDsPacketData
|
封包資料
|
封包資料,以Base64表示。
|
TrendMicroDsPacketData=R0VUIC9zP3...
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。改用 dvchost。
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不顯示。改用 dvc 欄位。
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶名稱
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=10
|
|
無
|
貓
|
類別
|
類別
|
cat=入侵防護
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=Sun Java 執行環境多個緩衝區溢位弱點
|
|
無
|
描述
|
說明
|
事件說明。入侵防護事件使用事件名稱作為說明。
|
desc=週日 Java 運行時環境多個緩衝區溢位弱點
|
|
cn2
|
cn2
|
狀態碼
|
狀態碼。
|
cn2=-501
|
日誌檢查事件格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|3002795|Microsoft Windows Events|8|cn1=1
cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon
Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog
Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: (no user): no
domain: WIN-RM6HM42G65V: An account failed to log on. Subject: ..Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|3003486|cat=Log Inspection name=Mail
Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=exch01.example.com
TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI
Description fname= shost= msg=|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=113
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
cs1
|
cs1
|
特定子規則
|
觸發此事件的日誌檢查子規則。
|
多個 Windows 稽核失敗事件
|
|
cs1標籤
|
cs1標籤
|
LI 說明
|
欄位 cs1 的名稱標籤。
|
cs1Label=LI 說明
|
|
duser
|
duser
|
使用者資訊
|
(如果存在可解析的用戶名)目標用戶的名稱啟動了日誌條目。
|
duser=(無使用者)
duser=網路服務
|
|
fname
|
fname
|
目標實體
|
日誌檢查規則目標實體。可能包含檔案或目錄路徑、註冊表鍵等。
|
fname=應用程式
fname=C:\程式集\CMS\logs\server0.log
|
|
訊息
|
訊息
|
詳細資訊
|
日誌檢查事件的詳細資訊。可能包含檢測到的日誌事件的詳細描述。
|
msg=WinEvtLog: Application: AUDIT_FAILURE(20187): pgEvent: (no user): no domain: SERVER01:
使用者 'xyz' 遠端登入失敗
|
|
主機
|
主機
|
來源主機名稱
|
來源電腦防護主機名稱。
|
shost=webserver01.corp.com
|
|
src
|
src
|
來源 IP 位址
|
來源電腦 IP 位址。
|
src=192.168.1.105
src=10.10.251.231
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=3
|
|
無
|
貓
|
類別
|
類別
|
cat=日誌檢查
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=郵件伺服器 - MDaemon
|
|
無
|
描述
|
說明
|
事件說明。
|
伺服器關閉
|
網頁信譽評等事件格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|<Agent version>|5000000|WebReputation|5|cn1=1 cn1Label=Host
ID dvchost=hostname request=example.com msg=Blocked By AdminBase LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|<Agent version>|5000000|cat=Web Reputation name=WebReputation
desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary
TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=1
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
請求
|
請求
|
請求
|
請求的 URL。
|
request=http://www.example.com/index.php
|
|
訊息
|
訊息
|
訊息
|
操作類型。可能的值為:即時、排程和手動。
|
即時
msg=已排程
|
|
dvc
|
dvc
|
裝置位址
|
cn1 的 IPv4 位址。
如果來源是 IPv6 位址或主機名稱,則不會顯示。(改用 dvchost。)
|
dvc=10.1.144.199
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
趨勢科技Ds標籤
|
趨勢科技Ds標籤
|
事件標籤
|
伺服器與工作負載保護 事件標籤已分配給該事件
|
TrendMicroDsTags=可疑
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
無
|
sev
|
嚴重性
|
事件的嚴重程度。1 是最輕微的;10 是最嚴重的。
|
sev=6
|
|
無
|
貓
|
類別
|
類別
|
cat=網頁信譽評等
|
|
無
|
名稱
|
名稱
|
事件名稱
|
name=網絡聲譽
|
|
無
|
描述
|
說明
|
事件說明。網頁信譽評等使用事件名稱作為說明。
|
desc=網路聲譽
|
周邊設備存取控管事件格式
Base CEF format:
CEF:Version|Device Vendor|Device Product|Device Version|Signature ID|Name|Severity|ExtensionSample CEF Log Entry:
CEF:0|TrendAI™|Deep Security Agent|50.0.1063|7000000|Device Control DeviceControl|6|cn1=1
cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1
device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName
serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain
deviceType=0 permission=0Base LEEF 2.0 format:
LEEF:2.0|Vendor|Product|Version|EventID|(Delimiter Character, optional if the Delimiter
Character is tab)|ExtensionSample LEEF Log Entry:
LEEF:2.0|TrendAI™|Deep Security Agent|50.0.1063|7000000|cat=Device Control name=DeviceControl
desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName
TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2
vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName
domainName=computerDomain deviceType=0 permission=0|
CEF 擴展欄位
|
LEEF 擴展欄位
|
名稱
|
說明
|
範例
|
|
cn1
|
cn1
|
主機識別碼
|
代理電腦的內部唯一識別碼。
|
cn1=1
|
|
cn1標籤
|
cn1標籤
|
主機 ID
|
欄位 cn1 的名稱標籤。
|
cn1Label=主機 ID
|
|
dvchost
|
dvchost
|
裝置主機名稱
|
cn1 的主機名稱或 IPv6 位址。
如果來源是 IPv4 位址,則不會顯示。(改用 dvc 欄位。)
|
dvchost=www.example.com
dvchost=2001:db8::5
|
|
TrendMicroDsTenant
|
TrendMicroDsTenant
|
租戶名稱
|
伺服器與工作負載保護 租戶
|
TrendMicroDsTenant=主要
|
|
TrendMicroDsTenantId
|
TrendMicroDsTenantId
|
租戶 ID
|
伺服器與工作負載保護 租戶 ID
|
TrendMicroDsTenantId=0
|
|
裝置
|
裝置
|
裝置名稱
|
被存取的裝置。
|
裝置=Sandisk_USB
|
|
processName
|
processName
|
程序名稱
|
進程名稱。
|
processName=someProcess.exe
|
|
檔案名稱
|
檔案名稱
|
檔案名稱
|
被存取的檔案名稱。
|
fileName=E:\somepath\a.exe
|
|
廠商
|
廠商
|
供應商名稱
|
裝置的供應商名稱。
|
供應商=sandisk
|
|
序號
|
序號
|
產品序號
|
裝置的產品序號。
|
serial=aaa-bbb-ccc
|
|
模型
|
模型
|
型號
|
裝置的產品名稱。
|
型號=A270_USB
|
|
電腦名稱
|
電腦名稱
|
電腦名稱
|
電腦名稱。
|
computerName=Jonh_Computer
|
|
網域名稱
|
網域名稱
|
網域名稱
|
網域名稱。
|
domainName=公司網域
|
|
deviceType
|
deviceType
|
裝置類型
|
裝置 USB_STORAGE_DEVICE(1) MOBILE_DEVICE(2) 的裝置類型
|
deviceType=1
|
|
權限
|
權限
|
權限
|
訪問的封鎖原因 封鎖(0) 只讀(2)
|
permission=0
|