本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
syslogメッセージの形式
Common Event Format (CEF) とLog Event Extended Format (LEEF) のログメッセージ形式は少し異なります。たとえば、GUIの [送信元ユーザ] 列に対応するフィールドは、CEFでは「suser」で、LEEFでは「usrName」です。ログメッセージのフィールドは、イベントがDeep Security AgentまたはManagerで発生したかどうか、およびログメッセージが作成された機能によって異なります。
Syslogメッセージが切り捨てられている場合は、User Datagram Protocol (UDP) を使用していることが原因である可能性があります。切り捨てを防止するには、代わりにTransport Layer Security (TLS) 経由でSyslogメッセージを転送します。TLSに切り替える手順については、Syslog設定の定義を参照してください。
不正プログラム対策, Webレピュテーション, 変更監視、および アプリケーションコントロール 保護モジュールでは、基本的なSyslog形式はサポートされていません。
Syslogメッセージがマネージャから送信される場合、いくつかの違いがあります。元のDeep Security Agentホスト名 (イベントのソース) を維持するため、新しい拡張 (「dvc」または「dvchost」) が使われます。「dvc」はホスト名がIPv4アドレスの場合、「dvchost」はホスト名がIPv6アドレスの場合に使用されます。さらに、イベントにタグが付けられている場合は、「TrendMicroDsTags」という拡張子が使用されます。(これは、今後自動的に実行される自動タグ付けにのみ適用されます。イベントはSyslog経由で転送されるのは、Managerによって収集されるためです。)Manager経由で中継されるログの製品には「 Deep Security Agent」と表示されます。ただし、製品バージョンはマネージャのバージョンです。
CEFのsyslogメッセージの形式
イベントの元のDeep Security Agentソースを特定するために、すべてのCEFイベントに「dvc = IPv4 Address」または「dvchost = Hostname' (」または「IPv6 address」が含まれます。この拡張子は、Deep Security Virtual ApplianceまたはManagerから送信されるイベントにとって重要です。この場合、メッセージのSyslog送信者はイベントの発信者ではないためです。
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
ログエントリがDeep Security ManagerかDeep Security Agentかを判断するには、[デバイス製品]フィールドを確認します。
CEFログエントリのサンプル: Jan 18 11:07:53 dsmhost CEF:0|Trend Micro|Deep Security Manager|<DSM version>|600|Administrator Signed In|4|suser=Master...
イベントをトリガしたルールの種類を判断するには、「署名ID (Signature ID)」フィールドと「名前 (Name)」フィールドを確認します。
ログエントリのサンプル: Mar 19 15:19:15 root CEF:0|Trend Micro|Deep Security Agent|<DSA version>|123|Out Of Allowed Policy|5|cn1=1...
次の「署名ID (Signature ID)」の値は、トリガされたイベントの種類を示します。
| 署名ID | 説明 |
| 10 | カスタム 侵入防御 (IPS)ルール |
| 20 | ログのみの ファイアウォール ルール |
| 21 | ファイアウォール ルールの拒否 |
| 30 | カスタム 変更監視 ルール |
| 40 | カスタム セキュリティログ監視 ルール |
| 100-7499 | システムイベント |
| 100-199 | ポリシー ファイアウォール ルールと ファイアウォール ステートフル設定 |
| 200-299 | IPSの内部エラー |
| 300-399 | SSL/TLSイベント |
| 500-899 | IPSの正規化 |
| 1,000,000-1,999,999 | トレンドマイクロのIPSルール。署名IDは、IPSルールIDと同一です。 |
| 2,000,000-2,999,999 | 変更監視 ルール。署名IDは、 変更監視 ルールID + 1,000,000です。 |
| 3,000,000-3,999,999 | セキュリティログ監視 ルール。署名IDは、 セキュリティログ監視 ルールID + 2,000,000です。 |
| 4,000,000-4,999,999 | 不正プログラム対策 イベント。現在は、以下の署名IDのみが使用されています。
|
| 5,000,000-5,999,999 | Webレピュテーション イベント。現在は、以下の署名IDのみが使用されています。
|
| 6,000,000-6,999,999 |
アプリケーションコントロール イベント。現在は、以下の署名IDのみが使用されています。
|
| 7,000,000~7,999,999 |
デバイスコントロールイベント。現在、次のシグネチャIDのみが使用されています。
|
LEEF 2.0のsyslogメッセージの形式
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEF 2.0ログエントリのサンプル (DSMシステムイベントログのサンプル): LEEF:2.0|Trend Micro|Deep Security Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPUWarning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary
マネージャーから発信されたイベント
システムイベントログの形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Manager|<DSM version>|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User signed in from 2001:db8::5
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEF 2.0ログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning TrendMicroDsTenant=Primary
LEEF形式では、重要度を示す「sev」という予約キーと、名前を示す「name」という予約キーが使用されます。| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| src | src | Source IP Address | Deep Security ManagerのIPアドレス。 | src=10.52.116.23 |
| suser | usrName | Source User | Deep Security Manager管理者のアカウント。 | suser=MasterAdmin |
| target | target | Target Entity | イベントの件名。Deep Security Managerにログインしている管理者アカウント、またはコンピュータを指定できます。 | target=MasterAdmin target=server01 |
| targetID | targetID | Target Entity ID | Managerで追加された識別子。 | targetID=1 |
| targetType | targetType | Target Entity Type | イベントの対象のエンティティの種類。 | targetType=Host |
| msg | msg | Details | システムイベントの詳細。イベントの詳細な説明が含まれる場合があります。 | msg=User password incorrect for username MasterAdmin on an attempt to sign in from 127.0.0.1 msg=A Scan for Recommendations on computer (localhost) has completed... |
| TrendMicroDsTags | TrendMicroDsTags | Event Tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant Name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| TrendMicroDsReasonId | TrendMicroDsReasonId | イベント理由ID | イベントの説明の理由IDを示します。各イベントには独自の理由ID定義があります。 | TrendMicroDsReasonId = 1 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=3 |
| None | cat | Category | イベントのカテゴリ | cat=System |
| None | name | Name | イベント名 | name=Alert Ended |
| None | desc | Description | イベントの説明 | desc:Alert: CPUの警告しきい値の超過 |
Agentで発生するイベント
不正プログラム対策 イベントフォーマット
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
サンプルCEFログエントリ:CEF:0 |トレンドマイクロ| | Deep Security Agent |<DSAバージョン> | 4000000 | Eicar_test_file | 6 | cn1 = 1 cn1Label =ホストID dvchost =ホスト名cn2 = 205 cn2Label =隔離ファイルサイズcs6 = ContainerImageName | ContainerName | ContainerIDのcs6Label =コンテナfilePathに= C:\\ユーザー\\傾向\\デスクトップ\\eicar.exe行為=削除結果=削除MSG =リアルタイムTrendMicroDsMalwareTarget = N / A TrendMicroDsMalwareTargetType = N / TrendMicroDsFileMD5 = 44D88612FEA8A8F36DE82E1278ABB02F TrendMicroDsFileSHA1 = 3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256 = 275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F TrendMicroDsDetectionConfidence = 95 TrendMicroDsRelevantDetectionNames = Ransom_CERBER .BZC; Ransom_CERBER.C; Ransom_CRYPNISCA.SM
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF: 2.0|Trend Micro|Deep Security Agent|<DSA version>|4000030|cat=Anti-Malware name=HEU_AEGIS_CRYPT desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\\Windows\\System32\\virus.exe act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File System TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011 TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=1 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| cn2 | cn2 | File Size | 検出ファイルのサイズ。 | cn2=100 |
| cn2Label | cn2Label | File Size | フィールドcn2の名前ラベル。 | cn2Label=Quarantine File Size |
| cs3 | cs3 | Infected Resource | スパイウェアアイテムのパス。このフィールドはスパイウェア検出イベント専用です。 | cs3=C:\test\atse_samples\SPYW_Test_Virus.exe |
| cs3Label | cs3Label | Infected Resource | フィールドcs3の名前ラベル。このフィールドはスパイウェア検出イベント専用です。 | cs3Label=Infected Resource |
| cs4 | cs4 | Resource Type | Resource Typeの値: 10=ファイルとディレクトリ 11=システムレジストリ 12=インターネットCookie 13=インターネットURLショートカット 14=メモリ内のプログラム 15=プログラム起動領域 16=ブラウザヘルパーオブジェクト 17=レイヤードサービスプロバイダ 18=hostsファイル 19=Windowsポリシー設定 20=ブラウザ 23=Windowsシェル設定 24=IEでダウンロードしたプログラムファイル 25=プログラムの追加/削除 26=サービス その他=その他 たとえば、システムの再起動後もスパイウェアファイルを存続させるためにレジストリ実行キーを作成するspy.exeという名前のスパイウェアファイルがある場合、スパイウェアのレポートには次の2つのアイテムが含まれます。spy.exeのアイテムはcs4=10 (ファイルとディレクトリ)、実行キーのアイテムはcs4=11 (システムレジストリ) となります。 このフィールドはスパイウェア検出イベント専用です。 | cs4=10 |
| cs4Label | cd4Label | Resource Type | フィールドcs4の名前ラベル。このフィールドはスパイウェア検出イベント専用です。 | cs4Label=Resource Type |
| cs5 | cs5 | Risk Level | リスクレベルの値: 0=超低 25=低 50=中 75=高 100=超高 このフィールドはスパイウェア検出イベント専用です。 | cs5=25 |
| cs5Label | cs5Label | Risk Level | フィールドcs5の名前ラベル。このフィールドはスパイウェア検出イベント専用です。 | cs5Label=Risk Level |
| cs6 | cs6 | Container | 不正プログラムが検出されたDockerコンテナのイメージ名、コンテナ名、コンテナID。 | cs6=ContainerImageName | ContainerName | ContainerID |
| cs6Label | cs6Label | Container | フィールドcs6の名前ラベル。 | cs6Label=Container |
| cs7 | cs7 | Flow | このイベントをトリガしたパケットが、侵入防御ルールによって監視されているトラフィックの方向と同じ方向 (順方向) または逆方向 (逆方向) のどちらで送信されたかを示します。
Flow値: FWD=接続フロー REV=リバースフロー | cs7=FWD |
| cs7Label | cs7Label | Flow | フィールドcs7の名前ラベル。 | cs7Label=Flow |
| filePath | filePath | File Path | 不正プログラムファイルの場所。 | filePath=C:\\Users\\Mei\\Desktop\\virus.exe |
| act | act | Action | 不正プログラム対策 エンジンによって実行された処理。値には、Deny Access、Quarantine、Delete、Pass、Clean、Terminate、Unspecifiedがあります。 | act=Clean act=Pass |
| 結果 | 結果 | 結果 | 失敗した 不正プログラム対策 処理の結果 | result=Passed result=Deleted result=Quarantined result=Cleaned result=Access Denied result=Terminated result=Log result=Failed result=Pass Failed result=Delete Failed result=Quarantine Failed result=Clean Failed result=Terminate Failed result=Log Failed result=Scan Failed result=Passed (Scan Failed) result=Quarantined (Scan Failed) result=Quarantine Failed (Scan Failed) result=Deny Access (Scan Failed) |
| msg | msg | Message | 検索の種類。値には、Realtime、Scheduled、Manualがあります。 | msg=Realtime msg=Scheduled |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=fe80::f018:a3c6:20f9:afa6%5 |
| TrendMicroDsBehaviorRuleID | TrendMicroDsBehaviorRuleID | 挙動監視ルールID | 内部不正プログラムのケース追跡の挙動監視ルールIDです。 | BehaviorRuleID = CS913 |
| TrendMicroDsBehaviorType | TrendMicroDsBehaviorType | 挙動監視の種類 | 検出された挙動監視イベントの種類。 | BehaviorType =脅威の検出 |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| TrendMicroDsMalwareTarget | TrendMicroDsMalwareTarget | Target(s) | 不正プログラムが操作を試みた対象のファイル、プロセス、またはレジストリキー (ある場合)。不正プログラムの対象が複数に及ぶ場合、このフィールドの値は「Multiple」になります。 このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。 | TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings TrendMicroDsMalwareTarget=Multiple |
| TrendMicroDsMalwareTargetCount | TrendMicroDsMalwareTargetCount | ターゲット数 | ターゲットファイルの数。 | TrendMicroDsMalwareTargetCount = 3 |
| TrendMicroDsMalwareTargetType | TrendMicroDsMalwareTargetType | Target Type | この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。 このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。 | TrendMicroDsMalwareTargetType=N/A TrendMicroDsMalwareTargetType=Exploit TrendMicroDsMalwareTargetType=File System TrendMicroDsMalwareTargetType=Process TrendMicroDsMalwareTargetType=Registry |
| TrendMicroDsProcess | TrendMicroDsProcess | Process | プロセス名 | TrendMicroDsProcess = abc.exe |
| TrendMicroDsFileMD5 | TrendMicroDsFileMD5 | File MD5 | ファイルのMD5ハッシュ。 | TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E |
| TrendMicroDsFileSHA1 | TrendMicroDsFileSHA1 | File SHA1 | ファイルのSHA1ハッシュ。 | TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1 |
| TrendMicroDsFileSHA256 | TrendMicroDsFileSHA256 | File SHA256 | ファイルのSHA256ハッシュ。 | TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E |
| TrendMicroDsDetectionConfidence | TrendMicroDsDetectionConfidence | Threat Probability | ファイルが不正プログラムモデルと一致する割合 (%表示) を示します。 | TrendMicroDsDetectionConfidence=95 |
| TrendMicroDsRelevantDetectionNames | TrendMicroDsRelevantDetectionNames | Probable Threat Type | 機械学習型検索が分析を他の既知の脅威 (セミコロン「;」で区切る) と比較した後にファイルに含まれる脅威の最も可能性の高い種類を示します。 | TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=6 |
| None | cat | Category | Category | cat=Anti-Malware |
| None | name | Name | イベント名 | name=SPYWARE_KEYL_ACTIVE |
| None | desc | Description | イベントの説明。不正プログラム対策 では、イベント名が説明として使用されます。 | desc=SPYWARE_KEYL_ACTIVE |
| TrendMicroDsCommandLine | TrendMicroDsCommandLine | コマンドライン | 対象プロセスが実行するコマンド | TrendMicroDsCommandLine = / tmp / orca-testkit-sample / testsys_m64 -u 1000 -g 1000 -U 1000 -G 1000 -e cve_2017_16995 1 -d 4000000 |
| TrendMicroDsCve | TrendMicroDsCve | CVE | Common Vulnerabilities and Exposuresのいずれかでプロセスの動作が特定された場合のCVE情報。 | TrendMicroDsCve = CVE-2016-5195、CVE-2016-5195、CVE-2016-5195 |
| TrendMicroDsMitre | TrendMicroDsMitre | MITRE | MITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。 | TrendMicroDsMitre = T1068、T1068、T1068 |
| suser | suser | ユーザ名 | このイベントをトリガしたユーザアカウント名 | suser=root |
アプリケーションコントロール イベント形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF: 0|Trend Micro|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202 cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル:LEEF:2.0|Trend Micro|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=2 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| cs1 | cs1 | Reason | アプリケーションコントロールが指定された処理を実行した理由 (例: notWhitelisted: ソフトウェアに一致するルールがなく、承認されていないソフトウェアをブロックするようにアプリケーションコントロールが設定されていた)。 | cs1=notWhitelisted |
| cs1Label | cs1Label | フィールドcs1の名前ラベル。 | cs1Label=actionReason | |
| cs2 | cs2 | ファイルのSHA-1ハッシュ (計算済みの場合)。 | cs2=156F4CB711FDBD668943711F853FB6DA89581AAD | |
| cs2Label | cs2Label | フィールドcs2の名前ラベル。 | cs2Label=sha1 | |
| cs3 | cs3 | ファイルのMD5ハッシュ (計算済みの場合)。 | cs3=4E8701AC951BC4537F8420FDAC7EFBB5 | |
| cs3Label | cs3Label | フィールドcs3の名前ラベル。 | cs3Label=md5 | |
| act | act | Action | アプリケーションコントロール エンジンによって実行された処理。値には、Blocked、Allowedがあります。 | act=blocked |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.1.10 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=2001:db8::5 |
| suid | suid | User ID | ユーザ名のアカウントID番号。 | suid=0 |
| suser | suser | User Name | 保護対象コンピュータにソフトウェアをインストールしたユーザアカウントの名前。 | suser=root |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント名。 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントのID番号。 | TrendMicroDsTenantId=0 |
| fileHash | fileHash | File hash | ソフトウェアファイルを識別するSHA 256ハッシュ。 | fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 |
| filePath | filePath | File Path | 不正プログラムファイルの場所。 | filePath=/bin/my.jar |
| fsize | fsize | File Size | ファイルサイズ (バイト)。 | fsize=16 |
| aggregationType | aggregationType | Aggregation Type | イベントの集約方法を示す整数:
イベントの集約については、 アプリケーションコントロールイベントログを表示するを参照してください。 | aggregationType=2 |
| repeatCount | repeatCount | Repeat Count | イベントの発生回数。非集約イベントの値には1を指定します。集約イベントには2以上の値を指定します。 | repeatCount=4 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=6 |
| None | cat | Category | Category | cat=AppControl |
| None | name | Name | イベント名 | name=blocked |
| None | desc | Description | イベントの説明。アプリケーションコントロール では、アクションを説明として使用します。 | desc=blocked |
ファイアウォールイベントログの形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF: 0|Trend Micro|Deep Security Agent|<DSA version>|20|Log for TCP Port 80|0|cn1=1 cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 TrendMicroDsPacketData=AFB...
サンプルLEEFログエントリ: LEEF:2.0 |トレンドマイクロ| Deep Security Agent |<DSAバージョン>|21 | cat =ファイアウォール name =リモートドメイン施行(スプリットトンネル)desc =リモートドメイン施行(スプリットトンネル)sev = 5 cn1 = 37 cn1Label =ホストID dvchost = www.example.com TrendMicroDsTenant =プライマリTrendMicroDsTenantId = 0 act =拒否dstMAC = 67:BF:1B:2F:13:EE srcMAC = 78:FD:E7:07:9F:2C TrendMicroDsFrameType = IP src = 10.0.110.221 dst = 105.152.185.81 out = 177 cs3 = cs3Label =フラグメンテーションビットproto = UDP srcPort = 23 dstPort = 445 cnt = 1 TrendMicroDsPacketData = AFB...
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| act | act | Action | act=Log act=Deny | |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| cnt | cnt | Repeat Count | このイベントが連続して繰り返された回数。 | cnt=8 |
| cs2 | cs2 | TCP Flags | cs2=0x10 ACK cs2=0x14 ACK RST | |
| cs2Label | cs2Label | TCP Flags | フィールドcs2の名前ラベル。 | cs2Label=TCP Flags |
| cs3 | cs3 | Packet Fragmentation Information | cs3=DF cs3=MF cs3=DF MF | |
| cs3Label | cs3Label | Fragmentation Bits | フィールドcs3の名前ラベル。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP Type and Code | (ICMPプロトコルの場合のみ) ICMPタイプとコード (スペース区切り)。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | フィールドcs4の名前ラベル。 | cs4Label=ICMP Type and Code |
| dmac | dstMAC | Destination MAC Address | 送信先コンピュータのネットワークインタフェースのMACアドレス。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | Destination Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続またはセッションのポート番号。 | dpt=80 dpt=135 |
| dst | dst | Destination IP Address | 送信先コンピュータのIPアドレス。 | dst=192.168.1.102 dst=10.30.128.2 |
| in | in | Inbound Bytes Read | (受信接続の場合のみ) 読み取られた受信バイト数。 | in=137 in=21 |
| out | out | Outbound Bytes Read | (送信接続の場合のみ) 読み取られた送信バイト数。 | out=216 out=13 |
| proto | proto | Transport protocol | 使用するトランスポートプロトコルの名前。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | Source MAC Address | 送信元コンピュータのネットワークインタフェースのMACアドレス。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | Source Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続またはセッションのポート番号。 | spt=1032 spt=443 |
| src | src | Source IP Address | このイベントにおけるパケットの送信元IPアドレス。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | Ethernet frame type | 接続のイーサネットフレームの種類。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | Packet data | Base64で表されるパケットデータ。 | TrendMicroDsPacketData = AFB... |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=exch01.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | Event Tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant Name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=5 |
| None | cat | Category | Category | cat=Firewall |
| None | name | Name | イベント名 | name=Remote Domain Enforcement (Split Tunnel) |
| None | desc | Description | イベントの説明。ファイアウォールイベントでは、イベント名が説明として使用されます。 | desc=Remote Domain Enforcement (Split Tunnel) |
変更監視 ログイベント形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|30|New Integrity Monitoring Rule|6|cn1=1 cn1Label=Host ID dvchost=hostname act=updated filePath=c:\\windows\\message.dll suser=admin sproc=C:\\Windows\\System32\\notepad.exe msg=lastModified,sha1,size
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|2002779|cat=Integrity Monitor name=Microsoft Windows - System file modified desc=Microsoft Windows - System file modified sev=8 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated suser=admin sproc = C:\\Windows\\System32\\notepad.exe
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| act | act | Action | 変更監視ルールによって検出される処理。値は、created、updated、deleted、またはrenamedのいずれかです。 | act=created act=deleted |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| filePath | filePath | Target Entity | 変更監視ルールの対象のエンティティ。監視対象のログファイルが含まれます。 | filePath=C:\WINDOWS\system32\drivers\etc\hosts |
| suser | suser | Source User | 監視対象のファイルを変更したユーザのアカウント。 | suser=WIN-038M7CQDHIN\Administrator |
| sproc | sproc | ソースプロセス | イベントのソースプロセスの名前。 | sproc = C:\\Windows\\System32\\notepad.exe |
| msg | msg | Attribute changes | (「renamed」処理の場合のみ) 変更された属性名のリスト。 [Manager経由でリレーする] を選択した場合、すべてのイベント処理の種類に完全な説明が含まれます。 | msg=lastModified,sha1,size |
| oldfilePath | oldfilePath | Old target entity | (「renamed」処理の場合のみ) filePathフィールドに記録された新しいエンティティに名前変更された、以前の変更監視ルールの対象のエンティティ。 | oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=8 |
| None | cat | Category | Category | cat=Integrity Monitor |
| None | name | Name | イベント名 | name=Microsoft Windows - System file modified |
| None | desc | Description | イベントの説明。変更監視 では、イベント名が説明として使用されます。 | desc=Microsoft Windows - System file modified |
侵入防御 イベントログの形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|1001111|Test Intrusion Prevention Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10 cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
サンプルLEEFログエントリ: LEEF:2.0 |トレンドマイクロ| Deep Security Agent |<DSAバージョン>|1000940 | cat =侵入防御 name = Sun Java Runtime Environmentのバッファオーバーフローの脆弱性の詳細desc = Sun Java Runtime Environmentの複数のバッファオーバーフローの脆弱性sev = 10 cn1 = 6 cn1Label =ホストID dvchost = exch01 TrendMicroDsTenant =プライマリTrendMicroDsTenantId = 0 dstMAC = 55:C0:A8:55:FF:41 srcMAC = CA:36:42:B1:78:3D TrendMicroDsFrameType = IP src = 10.0.251.84 dst = 56.19.41.128 out = 166 cs3 = cs3Label =フラグメント化ビット数proto = ICMP srcPort = 0 dstPort = 0 cnt = 1 act = IDS:リセットcn3 = 0 cn3Label = DPIパケットの位置cs5 = 0 cs5Label = DPIストリームの位置cs6 = 0 cs6Label = DPIフラグTrendMicroDsPacketData = R0VUIC9zP3...
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| act | act | Action | (Deep Securityバージョン7.5 SP1以前に作成されたIPSルールでは、Insert、Replace、Deleteも実行することができましたが、現在これらの処理は実行されません。これらの処理の実行を試みる古いIPSルールが実行された場合、ルールが検出のみモードで適用されたことを示すイベントが記録されます)。 | act=Block |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| cn3 | cn3 | Intrusion Prevention Packet Position | イベントをトリガしたデータのパケット内の位置。 | cn3=37 |
| cn3Label | cn3Label | Intrusion Prevention Packet Position | フィールドcn3の名前ラベル。 | cn3Label=Intrusion Prevention Packet Position |
| cnt | cnt | Repeat Count | このイベントが連続して繰り返された回数。 | cnt=8 |
| cs1 | cs1 | Intrusion Prevention Filter Note | (オプション) DPIルールに関連する短いバイナリまたはテキストによる備考を含めることのできる注記用フィールド。注記用フィールドの値がすべて印刷可能なASCII文字の場合、値はテキストとしてログに記録され、スペース (空白文字) はアンダースコアに変換されます。バイナリデータが含まれる場合は、Base64エンコードを使用してログに記録されます。 | cs1=Drop_data |
| cs1Label | cs1Label | Intrusion Prevention Note | フィールドcs1の名前ラベル。 | cs1Label=Intrusion Prevention Note |
| cs2 | cs2 | TCP Flags | (TCPプロトコルの場合のみ) TCPフラグバイトの後には、[URG]、[ACK]、[PSH]、[RST]、[SYN]、[FIN] の各フィールドが続きます。このフラグバイトは、TCPヘッダが設定されている場合に存在する可能性があります。 | cs2=0x10 ACK cs2=0x14 ACK RST |
| cs2Label | cs2Label | TCP Flags | フィールドcs2の名前ラベル。 | cs2Label=TCP Flags |
| cs3 | cs3 | Packet Fragmentation Information | cs3=DF cs3=MF cs3=DF MF | |
| cs3Label | cs3Label | Fragmentation Bits | フィールドcs3の名前ラベル。 | cs3Label=Fragmentation Bits |
| cs4 | cs4 | ICMP Type and Code | (ICMPプロトコルの場合のみ) 単一のスペースで区切って個別の順序で格納されているICMPタイプとコード。 | cs4=11 0 cs4=8 0 |
| cs4Label | cs4Label | ICMP | フィールドcs4の名前ラベル。 | cs4Label=ICMP Type and Code |
| cs5 | cs5 | Intrusion Prevention Stream Position | イベントをトリガしたデータのストリーム内の位置。 | cs5=128 cs5=20 |
| cs5Label | cs5Label | Intrusion Prevention Stream Position | フィールドcs5の名前ラベル。 | cs5Label=Intrusion Prevention Stream Position |
| cs6 | cs6 | Intrusion Prevention Filter Flags | フラグの値の合計値。 1 - Data truncated - データをログに記録できませんでした。 2 - Log Overflow - ログがオーバーフローしました。 4 - Suppressed - ログのしきい値が抑制されました。 8 - Have Data - パケットデータが含まれます。 16 - Reference Data - 以前にログに記録されたデータを参照します。 | 1 (Data truncated) と8 (Have Data) の組み合わせの例: cs6=9 |
| cs6Label | cs6Label | Intrusion Prevention Flags | フィールドcs6の名前ラベル。 | cs6=Intrusion Prevention Filter Flags |
| dmac | dstMAC | Destination MAC Address | 送信先コンピュータのネットワークインタフェースMACアドレス。 | dmac= 00:0C:29:2F:09:B3 |
| dpt | dstPort | Destination Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続ポート。 | dpt=80 dpt=135 |
| dst | dst | Destination IP Address | 送信先コンピュータのIPアドレス。 | dst=192.168.1.102 dst=10.30.128.2 |
| xff | xff | X-Forwarded-For | X-Forwarded-Forヘッダ内の最後のハブのIPアドレス。 通常は、存在する可能性のあるプロキシを越えた送信元のIPアドレスです。srcフィールドも参照してください。 イベントにxffを含めるには、1006540 [X-Forwarded-For HTTPヘッダのログを有効にする] 侵入防御ルールを有効にします。 | xff=192.168.137.1 |
| in | in | Inbound Bytes Read | (受信接続の場合のみ) 読み取られた受信バイト数。 | in=137 in=21 |
| out | out | Outbound Bytes Read | (送信接続の場合のみ) 読み取られた送信バイト数。 | out=216 out=13 |
| proto | proto | Transport protocol | 使用する接続トランスポートプロトコルの名前。 | proto=tcp proto=udp proto=icmp |
| smac | srcMAC | Source MAC Address | 送信元コンピュータのネットワークインタフェースMACアドレス。 | smac= 00:0E:04:2C:02:B3 |
| spt | srcPort | Source Port | (TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続ポート。 | spt=1032 spt=443 |
| src | src | Source IP Address | 送信元コンピュータのIPアドレス。これは、最後のプロキシサーバ (存在する場合) のIP、またはクライアントIPです。xffフィールドも参照してください。 | src=192.168.1.105 src=10.10.251.231 |
| TrendMicroDsFrameType | TrendMicroDsFrameType | Ethernet frame type | 接続のイーサネットフレームの種類。 | TrendMicroDsFrameType=IP TrendMicroDsFrameType=ARP TrendMicroDsFrameType=RevARP TrendMicroDsFrameType=NetBEUI |
| TrendMicroDsPacketData | TrendMicroDsPacketData | Packet data | Base64で表されるパケットデータ。 | TrendMicroDsPacketData = R0VUIC9zP3... |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | Event tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=Suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント名 | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=10 |
| None | cat | Category | カテゴリ | cat=Intrusion Prevention |
| None | name | Name | イベント名 | name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
| None | desc | Description | イベントの説明。侵入防御 イベントは、イベント名を説明として使用します。 | desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities |
セキュリティログ監視 イベント形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|3002795|Microsoft Windows Events|8|cn1=1 cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: (no user): no domain: WIN-RM6HM42G65V: An account failed to log on.Subject: ..
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|3003486|cat=Log Inspection name=Mail Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI Description fname= shost= msg=
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=113 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| cs1 | cs1 | Specific Sub-Rule | このイベントをトリガしたセキュリティログ監視のサブルール。 | cs1=Multiple Windows audit failure events |
| cs1Label | cs1Label | LI Description | フィールドcs1の名前ラベル。 | cs1Label=LI Description |
| duser | duser | User Information | (解析可能なユーザ名が存在する場合) ログエントリを記録した対象ユーザの名前。 | duser=(no user) duser=NETWORK SERVICE |
| fname | fname | Target entity | セキュリティログ監視 ルールの対象エンティティ。監視対象のログファイルが含まれます。 | fname=Application fname=C:\Program Files\CMS\logs\server0.log |
| msg | msg | Details | セキュリティログ監視イベントの詳細。検出されたログイベントの詳細な説明が含まれる場合があります。 | msg=WinEvtLog: Application: AUDIT_FAILURE(20187): pgEvent: (no user): no domain: SERVER01: Remote login failure for user 'xyz' |
| shost | shost | Source Hostname | 送信元コンピュータのホスト名。 | shost=webserver01.corp.com |
| src | src | Source IP Address | 送信元コンピュータのIPアドレス。 | src=192.168.1.105 src=10.10.251.231 |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=3 |
| None | cat | Category | Category | cat=Log Inspection |
| None | name | Name | イベント名 | name=Mail Server - MDaemon |
| None | desc | Description | イベントの説明。 | desc=Server Shutdown |
Webレピュテーション イベント形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=example.com msg=Blocked By Admin
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|5000000|cat=Web Reputation name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious
| CEF拡張フィールド | LEEF拡張フィールド | 名前 | 説明 | 例 |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=1 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| request | request | Request | 要求のURL。 | request=http://www.example.com/index.php |
| msg | msg | Message | 処理の種類。値には、Realtime、Scheduled、Manualがあります。 | msg=Realtime msg=Scheduled |
| dvc | dvc | Device address | cn1のIPv4アドレス。 送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。 | dvc=10.1.144.199 |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTags | TrendMicroDsTags | Events tags | Deep Securityイベントタグがイベントに割り当てられている | TrendMicroDsTags=suspicious |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| None | sev | Severity | イベントの重要度。重要度は1が最も低く、10が最も高くなります。 | sev=6 |
| None | cat | Category | Category | cat=Web Reputation |
| None | name | Name | イベント名 | name=WebReputation |
| None | desc | Description | イベントの説明。Webレピュテーション では、イベント名が説明として使用されます。 | desc=WebReputation |
デバイスコントロールイベントの形式
CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)
CEFログエントリの例: CEF:0|Trend Micro|Deep Security Agent|50.0.1063|7000000|Device Control DeviceControl|6|cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0
LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)
LEEF Log Entryの例: LEEF:2.0|Trend Micro|Deep Security Agent|50.0.1063|7000000|cat=Device Control name=DeviceControl desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0
| CEF拡張フィールド | LEEF拡張フィールド | Name | Description | 例 |
| cn1 | cn1 | Host Identifier | Agentコンピュータの一意の内部識別子。 | cn1=1 |
| cn1Label | cn1Label | Host ID | フィールドcn1の名前ラベル。 | cn1Label=Host ID |
| dvchost | dvchost | Device host name | cn1のホスト名またはIPv6アドレス。 送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。 | dvchost=www.example.com dvchost=2001:db8::5 |
| TrendMicroDsTenant | TrendMicroDsTenant | Tenant name | Deep Securityテナント | TrendMicroDsTenant=Primary |
| TrendMicroDsTenantId | TrendMicroDsTenantId | Tenant ID | Deep SecurityテナントID | TrendMicroDsTenantId=0 |
| デバイス | デバイス | 装置名 | アクセスされたデバイス。 | device=Sandisk_USB |
| プロセス名 | プロセス名 | プロセス名 | プロセス名。 | processName=someProcess.exe |
| ファイル名 | ファイル名 | ファイル名 | アクセスされたファイル名。 | fileName=E:\somepath\a.exe |
| 販売代理店 | 販売代理店 | ベンダー名 | デバイスのベンダー名。 | vendor=sandisk |
| シリアル | シリアル | シリアル番号 | デバイスのシリアル番号。 | serial=aaa-bbb-ccc |
| モデル | モデル | 機種,モデル,型,model | デバイスの製品名。 | モデル=A270_USB |
| コンピュータ名 | コンピュータ名 | コンピュータ名 | コンピュータ名。 | computerName=Jonh_Computer |
| domainName | domainName | ドメイン名 | ドメイン名。 | domainName=CompanyDomain |
| デバイスの種類 | デバイスの種類 | デバイスの種類 | デバイスのデバイスタイプ USB_STORAGE_DEVICE(1) MOBILE_DEVICE(2) | deviceType=1 |
| Permission | Permission | Permission | アクセスのブロック理由 ブロック(0) READ_ONLY(2) | permission=0 |