Syslog 消息格式
CEF 和 LEEF 日志消息格式稍有不同。例如,GUI 中的“源用户”列与 CEF 中名为 "suser" 的字段对应;在 LEEF 中,同一字段的名称改为 "usrName"。日志消息字段还因事件来自客户端还是趋势科技服务器深度安全防护系统管理中心而异,并且因创建了日志消息的功能而异。
如果从管理中心发送 syslog 消息,则存在若干差异。为了保留原始主机名(事件源),提供了新的扩展名("dvc" 或 "dvchost")。如果主机名为 IPv4 地址,则使用 "dvc";"dvchost" 用于主机名和 IPv6 地址。此外,如果标记了事件,则使用扩展名 "TrendMicroDsTags"(这仅适用于将来运行的自动标记,因为仅当事件由管理中心收集时,它们才通过 syslog 转发)。用于通过管理中心中继的日志的产品仍将显示为“趋势科技服务器深度安全防护系统客户端”;但是,产品版本是管理中心的版本。
CEF syslog 消息格式
所有 CEF 事件都包括 dvc=IPv4 地址或 dvchost=Hostname(或 IPv6 地址)以便确定事件的原始源。此扩展名对于从虚拟设备或管理中心发送的事件很重要,因为在这种情况下,消息的 syslog 发送者不是事件的发起者。
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
要确定日志条目是来自于趋势科技服务器深度安全防护系统管理中心还是趋势科技服务器深度安全防护系统客户端,请查看“设备产品”文本框:
CEF 日志条目示例: Jan 18 11:07:53 dsmhost CEF:0|Trend Micro|Deep Security Manager|<DSM version>|600|Administrator Signed In|4|suser=Master...
要进一步确定触发事件的规则种类,请查看“签名 ID”和“名称”文本框:
日志条目示例: Mar 19 15:19:15 root CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|123|Out Of Allowed Policy|5|cn1=1...
“签名 ID”值指示已触发的事件种类:
| 签名 ID | 描述 |
| 10 | 定制入侵防御 (IPS) 规则 |
| 20 | 仅记录防火墙规则 |
| 21 | 拒绝防火墙规则 |
| 30 | 定制完整性监控规则 |
| 40 | 定制日志审查规则 |
| 100-7499 | 系统事件 |
| 100-199 | 策略防火墙规则和防火墙状态配置 |
| 200-299 | IPS 内部错误 |
| 300-399 | SSL/TLS 事件 |
| 500-899 | IPS 规范化 |
| 1,000,000-1,999,999 | 趋势科技 IPS 规则。签名 ID 与 IPS 规则 ID 相同。 |
| 2,000,000-2,999,999 | 完整性监控规则。签名 ID 等于完整性监控规则 ID + 1,000,000。 |
| 3,000,000-3,999,999 | 日志审查规则。签名 ID 等于日志审查规则 ID + 2,000,000。 |
| 4,000,000-4,999,999 | 防恶意软件事件。当前,仅使用以下签名 ID:
|
| 5,000,000-5,999,999 | Web 信誉事件。当前,仅使用以下签名 ID:
|
| 6,000,000-6,999,999 |
应用程序控制事件。当前,仅使用以下签名 ID:
|
LEEF 2.0 syslog 消息格式
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 2.0 日志条目示例(DSM 系统事件日志示例): LEEF:2.0|Trend Micro|Deep Security Manager|<DSA 版本>|192|cat=System name=Alert Ended desc=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning sev=3 src=10.201.114.164 usrName=System msg=Alert:CPUWarning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary
在管理中心中发起的事件
系统事件日志格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Deep Security Manager|<DSM version>|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User signed in from 2001:db8::5
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 2.0 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Manager|<DSA 版本>|192|cat=System name=Alert Ended desc=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning sev=3 src=10.201.114.164 usrName=System msg=Alert:CPU Warning Threshold Exceeded\nSubject:10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary
LEEF 格式使用预留的 "sev" 键表示严重性,使用 "name" 表示名称值。| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| src | src | 源 IP 地址 | 趋势科技服务器深度安全防护系统管理中心 IP 地址。 | src=10.52.116.23 |
| suser | usrName | 源用户 | 趋势科技服务器深度安全防护系统管理中心管理员帐户。 | suser=MasterAdmin |
| target | target | 目标实体 | 事件主题。可能是管理员帐户登录到趋势科技服务器深度安全防护系统管理中心或计算机。 | target=MasterAdmin target=server01 |
| targetID | targetID | 目标实体 ID | 在管理中心中添加的标识符。 | targetID=1 |
| targetType | targetType | 目标实体类型 | 事件目标实体类型。 | targetType=Host |
| msg | msg | 详细信息 | 系统事件的详细信息。可能包含事件的详细描述。 | msg=User password incorrect for username MasterAdmin on an attempt to sign in from 127.0.0.1 msg=A Scan for Recommendations on computer (localhost) has completed... |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=3 |
| 无 | cat | 类别 | 事件类别 | cat=System |
| 无 | name | 名称 | 事件名称 | name=Alert Ended |
| 无 | desc | 描述 | 事件描述 | desc:Alert:已超出 CPU 警告阈值 |
来自客户端的事件
防恶意软件事件格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例:CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|4000000|Eicar_test_file|6|cn1=1 cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size filePath=C:\\Users\\trend\\Desktop\\eicar.exe act=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/A
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA 版本>|4000030|cat=Anti-Malware name=HEU_AEGIS_CRYPT desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\\Windows\\System32\\virus.exe act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File System
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=1 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| cn2 | cn2 | 文件大小 | 隔离文件的大小。仅当选择了从客户端/设备“直接转发”时才包括此扩展。 | cn2=100 |
| cn2Label | cn2Label | 文件大小 | 字段 cn2 的名称标签。 | cn2Label=Quarantine File Size |
| filePath | filePath | 文件路径 | 恶意软件文件的位置。 | filePath=C:\\Users\\Mei\\Desktop\\virus.exe |
| act | act | 操作 | 防恶意软件引擎执行的操作。可能的值有:拒绝访问、隔离、删除、不予处理、清除、终止和未指定。 | act=Clean act=Pass |
| msg | msg | 消息 | 扫描类型。可能的值有:Realtime、Scheduled 和 Manual。 | msg=Realtime msg=Scheduled |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=www.example.com dvchost=fe80::f018:a3c6:20f9:afa6%5 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| TrendMicroDsMalwareTarget | TrendMicroDsMalwareTarget | 目标 |
恶意软件尝试影响的文件、进程或注册表项(如果有)。如果恶意软件尝试影响多个对象,则此字段将包含值 "Multiple"。 只有可疑活动监控和未经授权的更改监控的此字段包含值。 |
TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings TrendMicroDsMalwareTarget=Multiple |
| TrendMicroDsMalwareTargetType | TrendMicroDsMalwareTargetType | 目标类型 |
此恶意软件尝试影响的系统资源的类型(例如,文件系统、进程或 Windows 注册表)。 只有可疑活动监控和未经授权的更改监控的此字段包含值。 |
TrendMicroDsMalwareTargetType=N/A TrendMicroDsMalwareTargetType=Exploit TrendMicroDsMalwareTargetType=File System TrendMicroDsMalwareTargetType=Process TrendMicroDsMalwareTargetType=Registry |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=6 |
| 无 | cat | 类别 | 类别 | cat=Anti-Malware |
| 无 | name | 名称 | 事件名称 | name=SPYWARE_KEYL_ACTIVE |
| 无 | desc | 描述 | 事件描述。防恶意软件事件使用事件名称作为描述。 | desc=SPYWARE_KEYL_ACTIVE |
应用程序控制事件格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例:CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|60|cn1=2 cn1Label=Host ID dvc=10.203.156.39 act=blocked filePath=/bin/my.jar
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root suid=0 act=blocked filePath=/bin/my.jar fsize=123857 cs1=notWhitelisted cs1Label=actionReason
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=2 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| cs1 | cs1 | 原因 | 应用程序控制执行指定操作的原因,例如 "notWhitelisted"(软件不具有匹配的规则,并且应用程序控制已配置为阻止无法识别的软件)。 | cs1=notWhitelisted |
| cs1Label | cs1Label | 字段 cs1 的名称标签。 | cs1Label=actionReason | |
| cs2 | cs2 | 如果对其进行计算,则计算结果是文件的 SHA-1 哈希。 | cs2=156F4CB711FDBD668943711F853FB6DA89581AAD | |
| cs2Label | cs2Label | 字段 cs2 的名称标签。 | cs2Label=sha1 | |
| cs3 | cs3 | 如果对其进行计算,则计算结果是文件的 MD5 哈希。 | cs3=4E8701AC951BC4537F8420FDAC7EFBB5 | |
| cs3Label | cs3Label | 字段 cs3 的名称标签。 | cs3Label=md5 | |
| act | act | 操作 | 应用程序控制引擎执行的操作。可能的值有:blocked 和 allowed。 | act=blocked |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.1.10 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=www.example.com dvchost=2001:db8::5 |
| suid | suid | 用户 ID | 用户名的帐户 ID 编号。 | suid=0 |
| suser | suser | 用户名 | 在受保护计算机上安装了软件的用户帐户的名称。 | suser=root |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户名称。 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID 编号。 | TrendMicroDsTenantId=0 |
| fileHash | fileHash | 文件哈希 | 标识软件文件的 SHA 256 哈希。 | fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 |
| filePath | filePath | 文件路径 | 恶意软件文件的位置。 | filePath=/bin/my.jar |
| fsize | fsize | 文件大小 | 文件大小(以字节为单位)。 | fsize=16 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=6 |
| 无 | cat | 类别 | 类别 | cat=AppControl |
| 无 | name | 名称 | 事件名称 | name=blocked |
| 无 | desc | 描述 | 事件描述。应用程序控制将操作用作描述。 | desc=blocked |
防火墙事件日志格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|20|Log for TCP Port 80|0|cn1=1 cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 TrendMicroDsPacketData=AFB...
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|21|cat=Firewall name=Remote Domain Enforcement (Split Tunnel) desc=Remote Domain Enforcement (Split Tunnel) sev=5 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=Deny dstMAC=67:BF:1B:2F:13:EE srcMAC=78:FD:E7:07:9F:2C TrendMicroDsFrameType=IP src=10.0.110.221 dst=105.152.185.81 out=177 cs3= cs3Label=Fragmentation Bits proto=UDP srcPort=23 dstPort=445 cnt=1
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| act | act | 操作 | act=Log act=Deny |
|
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| cnt | cnt | 重复计数 | 连续重复此事件的次数。 | cnt=8 |
| cs2 | cs2 | TCP 标志 | cs2=0x10 ACK cs2=0x14 ACK RST |
|
| cs2Label | cs2Label | TCP 标志 | 字段 cs2 的名称标签。 | cs2Label=TCP Flags |
| cs3 | cs3 | 数据包片段信息 | cs3=DF cs3=MF cs3=DF MF |
|
| cs3Label | cs3Label | 片段位 | 字段 cs3 的名称标签。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP 类型和代码 | (仅针对 ICMP 协议)ICMP 类型和代码(以空格分隔)。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | 字段 cs4 的名称标签。 | cs4Label=ICMP Type and Code |
| dmac | dstMAC | 目标 MAC 地址 | 目标计算机的网络接口的 MAC 地址。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | 目标端口 | (仅限 TCP 和 UDP 协议)目标计算机的连接或会话的端口号。 | dpt=80 dpt=135 |
| dst | dst | 目标 IP 地址 | 目标计算机的 IP 地址。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | 读取的入站字节 | (仅针对入站连接)读取的入站字节数。 | in=137 in=21 |
| out | out | 读取的出站字节 | (仅针对出站连接)读取的出站字节数。 | out=216 out=13 |
| proto | proto | 传输协议 | 所用的传输协议的名称。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | 源 MAC 地址 | 源计算机的网络接口的 MAC 地址。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | 源端口 | (仅针对 TCP 和 UDP 协议)源计算机的连接或会话的端口号。 | spt=1032 spt=443 |
| src | src | 源 IP 地址 | 源计算机的 IP 地址。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | 以太网帧类型 | 连接以太网帧类型。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | 数据包数据 | TrendMicroDsPacketData=AA...BA\= | |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=exch01.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=5 |
| 无 | cat | 类别 | 类别 | cat=Firewall |
| 无 | name | 名称 | 事件名称 | name=Remote Domain Enforcement (Split Tunnel) |
| 无 | desc | 描述 | 事件描述。防火墙事件使用事件名称作为描述。 | desc=Remote Domain Enforcement (Split Tunnel) |
完整性监控日志事件格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|30|New Integrity Monitoring Rule|6|cn1=1 cn1Label=Host ID dvchost=hostname act=updated filePath=c:\\windows\\message.dll msg=lastModified,sha1,size
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA 版本>|2002779|cat=Integrity Monitor name=Microsoft Windows - System file modified desc=Microsoft Windows - System file modified sev=8 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| act | act | 操作 | 完整性规则检测到的操作。可包含:创建、更新、检测或更名。 | act=created act=deleted |
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| filePath | filePath | 目标实体 | 完整性规则目标实体。可能包含文件或目录路径、注册表项等。 | filePath=C:\WINDOWS\system32\drivers\etc\hosts |
| msg | msg | 属性更改 | (仅针对 "updated" 操作)已更改的属性名称的列表。 如果选择了“通过管理中心中继”,则所有事件操作类型都包括完整描述。 |
msg=lastModified,sha1,size |
| oldfilePath | oldfilePath | 旧目标实体 | (仅针对 "renamed" 操作)要捕获从先前的目标实体到新目标实体的更名操作的先前完整性规则目标实体会记录在 filePath 文本框中。 | oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=8 |
| 无 | cat | 类别 | 类别 | cat=Integrity Monitor |
| 无 | name | 名称 | 事件名称 | name=Microsoft Windows - System file modified |
| 无 | desc | 描述 | 事件描述。完整性监控事件使用事件名称作为描述。 | desc=Microsoft Windows - System file modified |
入侵防御事件日志格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|1001111|Test Intrusion Prevention Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10 cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|1000940|cat=Intrusion Prevention name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities sev=10 cn1=6 cn1Label=Host ID dvchost=exch01 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 dstMAC=55:C0:A8:55:FF:41 srcMAC=CA:36:42:B1:78:3D TrendMicroDsFrameType=IP src=10.0.251.84 dst=56.19.41.128 out=166 cs3= cs3Label=Fragmentation Bits proto=ICMP srcPort=0 dstPort=0 cnt=1 act=IDS:Reset cn3=0 cn3Label=DPI Packet Position cs5=0 cs5Label=DPI Stream Position cs6=0 cs6Label=DPI Flags
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| act | act | 操作 | (在趋势科技服务器深度安全防护系统 7.5 SP1 以前的版本中编写的 IPS 规则还可以执行插入、替换和删除操作。现在不再执行这些操作。如果触发了仍尝试执行这些操作的旧版 IPS 规则,则事件将指示该规则是以“仅检测”模式应用的。) | act=Block |
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| cn3 | cn3 | 入侵防御数据包位置 | 触发事件的数据的数据包内部位置。 | cn3=37 |
| cn3Label | cn3Label | 入侵防御数据包位置 | 字段 cn3 的名称标签。 | cn3Label=Intrusion Prevention Packet Position |
| cnt | cnt | 重复计数 | 连续重复此事件的次数。 | cnt=8 |
| cs1 | cs1 | 入侵防御过滤器注释 | (可选)包含与有效载荷文件相关联的简短二进制或文本注释的注释文本框。如果注释文本框的值全部为可打印的 ASCII 字符,将会记录为文本,并且会将空格转换为下划线。如果此文本框包含二进制数据,则会使用 Base-64 编码进行记录。 | cs1=Drop_data |
| cs1Label | cs1Label | 入侵防御注释 | 字段 cs1 的名称标签。 | cs1Label=Intrusion Prevention Note |
| cs2 | cs2 | TCP 标志 | (仅针对 TCP 协议)如果设置了 TCP 标头位,则会显示有后跟 URG、ACK、PSH、RST、SYN 和 FIN 文本框的原始 TCP 标志字节。 | cs2=0x10 ACK cs2=0x14 ACK RST |
| cs2Label | cs2Label | TCP 标志 | 字段 cs2 的名称标签。 | cs2Label=TCP Flags |
| cs3 | cs3 | 数据包片段信息 | cs3=DF cs3=MF cs3=DF MF |
|
| cs3Label | cs3Label | 片段位 | 字段 cs3 的名称标签。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP 类型和代码 | (仅针对 ICMP 协议)按其各自顺序存储的 ICMP 类型和代码(以空格分隔)。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | 字段 cs4 的名称标签。 | cs4Label=ICMP Type and Code |
| cs5 | cs5 | 入侵防御流位置 | 触发事件的数据的流内部位置。 | cs5=128 cs5=20 |
| cs5Label | cs5Label | 入侵防御流位置 | 字段 cs5 的名称标签。 | cs5Label=Intrusion Prevention Stream Position |
| cs6 | cs6 | 入侵防御过滤器标志 | 包括以下标志值的和的合并值: 1 - 已截短数据 - 无法记录数据。 2 - 日志溢出 - 日志在此日志后溢出。 4 - 已抑制 - 在此日志后抑制了日志阈值。 8 - 包含数据 - 包含数据包数据 16 - 引用数据 - 引用先前已记录的数据。 |
以下示例可能是 1(已截短数据)和 8(包含数据)的求和组合: cs6=9 |
| cs6Label | cs6Label | 入侵防御标志 | 字段 cs6 的名称标签。 | cs6=Intrusion Prevention Filter Flags |
| dmac | dstMAC | 目标 MAC 地址 | 目标计算机网络接口 MAC 地址。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | 目标端口 | (仅针对 TCP 和 UDP 协议)目标计算机连接端口。 | dpt=80 dpt=135 |
| dst | dst | 目标 IP 地址 | 目标计算机 IP 地址。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | 读取的入站字节 | (仅针对入站连接)读取的入站字节数。 | in=137 in=21 |
| out | out | 读取的出站字节 | (仅针对出站连接)读取的出站字节数。 | out=216 out=13 |
| proto | proto | 传输协议 | 所用的连接传输协议的名称。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | 源 MAC 地址 | 源计算机网络接口 MAC 地址。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | 源端口 | (仅针对 TCP 和 UDP 协议)源计算机连接端口。 | spt=1032 spt=443 |
| src | src | 源 IP 地址 | 源计算机的 IP 地址。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | 以太网帧类型 | 连接以太网帧类型。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | 数据包数据 | TrendMicroDsPacketData=AA...BA\= | |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=Suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户名称 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=10 |
| 无 | cat | 类别 | 类别 | cat=Intrusion Prevention |
| 无 | name | 名称 | 事件名称 | name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
| 无 | desc | 描述 | 事件描述。入侵防御事件使用事件名称作为描述。 | desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
日志审查事件格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例: CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|3002795|Microsoft Windows Events|8|cn1=1 cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security:AUDIT_FAILURE(4625):Microsoft-Windows-Security-Auditing:(no user):no domain:WIN-RM6HM42G65V:An account failed to log on.Subject: ..
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|3003486|cat=Log Inspection name=Mail Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI Description fname= shost= msg=
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=113 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| cs1 | cs1 | 特定子规则 | 触发此事件的日志审查子规则。 | cs1=Multiple Windows audit failure events |
| cs1Label | cs1Label | LI 描述 | 字段 cs1 的名称标签。 | cs1Label=LI Description |
| duser | duser | 用户信息 | (如果存在可解析的用户名)启动日志条目的目标用户的名称。 | duser=(no user) duser=NETWORK SERVICE |
| fname | fname | 目标实体 | 日志审查规则目标实体。可能包含文件或目录路径、注册表项等。 | fname=Application fname=C:\Program Files\CMS\logs\server0.log |
| msg | msg | 详细信息 | 日志审查事件的详细信息。可能包含检测到的日志事件的详细描述。 | msg=WinEvtLog:Application:AUDIT_FAILURE(20187):pgEvent:(no user):no domain:SERVER01:Remote login failure for user 'xyz' |
| shost | shost | 源主机名 | 源计算机的主机名。 | shost=webserver01.corp.com |
| src | src | 源 IP 地址 | 源计算机的 IP 地址。 | src=192.168.1.105 src=10.10.251.231 |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=3 |
| 无 | cat | 类别 | 类别 | cat=Log Inspection |
| 无 | name | 名称 | 事件名称 | name=Mail Server - MDaemon |
| 无 | desc | 描述 | 事件描述。 | desc=Server Shutdown |
Web 信誉事件格式
基本 CEF 格式: CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
CEF 日志条目示例:CEF:0|Trend Micro|Deep Security Agent|<DSA 版本>|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=example.com msg=Blocked By Admin
基本 LEEF 2.0 格式:LEEF:2.0|供应商|产品|版本|事件 ID|(分隔符字符,为 Tab 时可选)|扩展
LEEF 日志条目示例: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA 版本>|5000000|cat=Web Reputation name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious
| CEF 扩展字段 | LEEF 扩展字段 | 名称 | 描述 | 示例 |
| cn1 | cn1 | 主机标识符 | 客户端计算机的内部唯一标识符。 | cn1=1 |
| cn1Label | cn1Label | 主机 ID | 字段 cn1 的名称标签。 | cn1Label=Host ID |
| request | request | 请求 | 请求的 URL。 | request=http://www.example.com/index.php |
| msg | msg | 消息 | 操作类型。可能的值有:Realtime、Scheduled 和 Manual。 | msg=Realtime msg=Scheduled |
| dvc | dvc | 设备地址 |
cn1 的 IPv4 地址。 当源是 IPv6 地址或主机名时,不会显示此字段。(改为使用 dvchost。) |
dvc=10.1.144.199 |
| dvchost | dvchost | 设备主机名称 |
cn1 的主机名或 IPv6 地址。 当源是 IPv4 地址时,不会显示此字段。(改为使用 dvc 字段。) |
dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | 事件标记 | 分配给事件的趋势科技服务器深度安全防护系统事件标记 | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | 租户名称 | 趋势科技服务器深度安全防护系统租户 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | 租户 ID | 趋势科技服务器深度安全防护系统租户 ID | TrendMicroDsTenantId=0 |
| 无 | sev | 严重性 | 事件的严重性。1 代表最低的严重性;10 代表最高的严重性。 | sev=6 |
| 无 | cat | 类别 | 类别 | cat=Web Reputation |
| 无 | name | 名称 | 事件名称 | name=WebReputation |
| 无 | desc | 描述 | 事件描述。Web 信誉事件使用事件名称作为描述。 | desc=WebReputation |
