本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

syslogメッセージの形式

Common Event Format (CEF) とLog Event Extended Format (LEEF) のログメッセージ形式は少し異なります。たとえば、GUIの [送信元ユーザ] 列に対応するフィールドは、CEFでは「suser」で、LEEFでは「usrName」です。ログメッセージのフィールドは、イベントがDeep Security AgentまたはManagerで発生したかどうか、およびログメッセージが作成された機能によって異なります。

Syslogメッセージが切り捨てられている場合は、User Datagram Protocol (UDP) を使用していることが原因である可能性があります。切り捨てを防止するには、代わりにTransport Layer Security (TLS) 経由でSyslogメッセージを転送します。TLSに切り替える手順については、Syslog設定の定義を参照してください。

不正プログラム対策, Webレピュテーション, 変更監視、および アプリケーションコントロール 保護モジュールでは、基本的なSyslog形式はサポートされていません。

Syslogメッセージがマネージャから送信される場合、いくつかの違いがあります。元のDeep Security Agentホスト名 (イベントのソース) を維持するため、新しい拡張 (「dvc」または「dvchost」) が使われます。「dvc」はホスト名がIPv4アドレスの場合、「dvchost」はホスト名がIPv6アドレスの場合に使用されます。さらに、イベントにタグが付けられている場合は、「TrendMicroDsTags」という拡張子が使用されます。(これは、今後自動的に実行される自動タグ付けにのみ適用されます。イベントはSyslog経由で転送されるのは、Managerによって収集されるためです。)Manager経由で中継されるログの製品には「 Deep Security Agent」と表示されます。ただし、製品バージョンはマネージャのバージョンです。

CEFのsyslogメッセージの形式

イベントの元のDeep Security Agentソースを特定するために、すべてのCEFイベントに「dvc = IPv4 Address」または「dvchost = Hostname' (」または「IPv6 address」が含まれます。この拡張子は、Deep Security Virtual ApplianceまたはManagerから送信されるイベントにとって重要です。この場合、メッセージのSyslog送信者はイベントの発信者ではないためです。

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

ログエントリがDeep Security ManagerかDeep Security Agentかを判断するには、[デバイス製品]フィールドを確認します。

CEFログエントリのサンプル: Jan 18 11:07:53 dsmhost CEF:0|Trend Micro|Deep Security Manager|<DSM version>|600|Administrator Signed In|4|suser=Master...

Virtual Applianceで保護されていて、Agentで保護されていない仮想マシンで発生したイベントも、Agentからのイベントとして識別されます。

イベントをトリガしたルールの種類を判断するには、「署名ID (Signature ID)」フィールドと「名前 (Name)」フィールドを確認します。

ログエントリのサンプル: Mar 19 15:19:15 root CEF:0|Trend Micro|Deep Security Agent|<DSA version>|123|Out Of Allowed Policy|5|cn1=1...

次の「署名ID (Signature ID)」の値は、トリガされたイベントの種類を示します。

署名ID 説明
10 カスタム 侵入防御 (IPS)ルール
20 ログのみの ファイアウォール ルール
21 ファイアウォール ルールの拒否
30 カスタム 変更監視 ルール
40 カスタム セキュリティログ監視 ルール
100-7499 システムイベント
100-199 ポリシー ファイアウォール ルールと ファイアウォール ステートフル設定
200-299 IPSの内部エラー
300-399 SSL/TLSイベント
500-899 IPSの正規化
1,000,000-1,999,999 トレンドマイクロのIPSルール。署名IDは、IPSルールIDと同一です。
2,000,000-2,999,999 変更監視 ルール。署名IDは、 変更監視 ルールID + 1,000,000です。
3,000,000-3,999,999 セキュリティログ監視 ルール。署名IDは、 セキュリティログ監視 ルールID + 2,000,000です。
4,000,000-4,999,999 不正プログラム対策 イベント。現在は、以下の署名IDのみが使用されています。
  • 4,000,000 - 不正プログラム対策 - リアルタイム検索
  • 4,000,001 - 不正プログラム対策 - 手動検索
  • 4,000,002 - 不正プログラム対策 - 予約検索
  • 4,000,003 - 不正プログラム対策 - クイック検索
  • 4,000,010 - スパイウェア対策 - リアルタイム検索
  • 4,000,011 - スパイウェア対策 - 手動検索
  • 4,000,012 - スパイウェア対策 - 予約検索
  • 4,000,013 - スパイウェア対策 - クイック検索
  • 4,000,020 - 不審アクティビティ - リアルタイム検索
  • 4,000,030 - 不正変更 - リアルタイム検索
5,000,000-5,999,999 Webレピュテーション イベント。現在は、以下の署名IDのみが使用されています。
  • 5,000,000 - Webレピュテーション - ブロック済み
  • 5,000,001 - Webレピュテーション - 検出のみ
6,000,000-6,999,999

アプリケーションコントロール イベント。現在は、以下の署名IDのみが使用されています。

  • 6,001,100 - アプリケーションコントロール - ブロックリスト内の検出のみ
  • 6,001,200 - アプリケーションコントロール - 検出のみ、未許可のリスト
  • 6,002,100 - アプリケーションコントロール - ブロックリスト(ブロックリスト内)
  • 6,002,200 - アプリケーションコントロール –許可リストに含まれていないブロック
7,000,000~7,999,999

デバイスコントロールイベント。現在、次のシグネチャIDのみが使用されています。

  • 7,000,000 -デバイスコントロール- 不明なデバイスへのアクセスがブロックされました
  • 7,000,200 -デバイスコントロール- 不明なデバイスへの書き込みがブロックされました
  • 7,001,000 -デバイスコントロール- USBデバイスへのアクセスがブロックされました
  • 7,001,200 -デバイスコントロール- USBデバイスの書き込みがブロックされました
  • 7,002,000 -デバイスコントロール- モバイルデバイスへのアクセスがブロックされました
  • 7,002,200 -デバイスコントロール- モバイルデバイスの書き込みがブロックされました

次のイベントログの形式の表に示すすべてのCEF拡張が必ずしも各ログエントリに含まれているわけではありません。また、CEF拡張の順序が常に同じであるとは限りません。正規表現を使用してエントリを解析する場合は、表にある各キーと値のペアがあることを前提としたり、またはその順序に依存したりしないようにしてください。
Syslogメッセージは、Syslogプロトコル仕様によって最大64KBに制限されています。長いメッセージの場合は、データが切り捨てられることがあります。Basic Syslog形式は、最大1KBに制限されています。

LEEF 2.0のsyslogメッセージの形式

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEF 2.0ログエントリのサンプル (DSMシステムイベントログのサンプル): LEEF:2.0|Trend Micro|Deep Security Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPUWarning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity:Warning TrendMicroDsTenant=Primary

マネージャーから発信されたイベント

システムイベントログの形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Manager|<DSM version>|600|User Signed In|3|src=10.52.116.160 suser=admin target=admin msg=User signed in from 2001:db8::5

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEF 2.0ログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Manager|<DSA version>|192|cat=System name=Alert Ended desc=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning sev=3 src=10.201.114.164 usrName=System msg=Alert: CPU Warning Threshold Exceeded\nSubject: 10.201.114.164\nSeverity: Warning TrendMicroDsTenant=Primary

LEEF形式では、重要度を示す「sev」という予約キーと、名前を示す「name」という予約キーが使用されます。
CEF拡張フィールドLEEF拡張フィールド名前説明
srcsrcSource IP AddressDeep Security ManagerのIPアドレス。src=10.52.116.23
suserusrNameSource UserDeep Security Manager管理者のアカウント。suser=MasterAdmin
targettargetTarget Entityイベントの件名。Deep Security Managerにログインしている管理者アカウント、またはコンピュータを指定できます。target=MasterAdmin
target=server01
targetIDtargetIDTarget Entity IDManagerで追加された識別子。targetID=1
targetTypetargetTypeTarget Entity Typeイベントの対象のエンティティの種類。targetType=Host
msgmsgDetailsシステムイベントの詳細。イベントの詳細な説明が含まれる場合があります。msg=User password incorrect for username MasterAdmin on an attempt to sign in from 127.0.0.1
msg=A Scan for Recommendations on computer (localhost) has completed...
TrendMicroDsTagsTrendMicroDsTagsEvent TagsDeep Securityイベントタグがイベントに割り当てられているTrendMicroDsTags=suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant NameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントIDTrendMicroDsTenantId=0
TrendMicroDsReasonIdTrendMicroDsReasonIdイベント理由IDイベントの説明の理由IDを示します。各イベントには独自の理由ID定義があります。TrendMicroDsReasonId = 1
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=3
None catCategoryイベントのカテゴリcat=System
None nameNameイベント名name=Alert Ended
None descDescriptionイベントの説明desc:Alert: CPUの警告しきい値の超過

Agentで発生するイベント

不正プログラム対策 イベントフォーマット

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

サンプルCEFログエントリ:CEF:0|Trend Micro|Deep Security Agent|<DSA version>|4000000|Eicar_test_file|6|cn1=1 cn1Label=Host ID dvchost=hostname cn2=205 cn2Label=Quarantine File Size cs6=ContainerImageName | ContainerName | ContainerID cs6Label=Container filePath=C:\\Users\\trend\\Desktop\\eicar.exe act=Delete result=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/TrendMicroDsFileMD5=44D88612FEA8A8F36DE82E1278ABB02F TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsFileSHA256=275A021BBFB6489E54D471899F7DB9D1663FC695EC2FE2A2C4538AABF651FD0F TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEFログエントリのサンプル: LEEF: 2.0|Trend Micro|Deep Security Agent|<DSA version>|4000030|cat=Anti-Malware name=HEU_AEGIS_CRYPT desc=HEU_AEGIS_CRYPT sev=6 cn1=241 cn1Label=Host ID dvc=10.0.0.1 TrendMicroDsTags=FS TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 filePath=C:\\Windows\\System32\\virus.exe act=Terminate msg=Realtime TrendMicroDsMalwareTarget=Multiple TrendMicroDsMalwareTargetType=File System TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E#011 TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1#011 TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E TrendMicroDsDetectionConfidence=95 TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM

CEF拡張フィールドLEEF拡張フィールド名前説明
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=1
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
cn2cn2File Size検出ファイルのサイズ。 cn2=100
cn2Labelcn2LabelFile Sizeフィールドcn2の名前ラベル。cn2Label=Quarantine File Size
cs3cs3Infected Resourceスパイウェアアイテムのパス。このフィールドはスパイウェア検出イベント専用です。 cs3=C:\test\atse_samples\SPYW_Test_Virus.exe
cs3Labelcs3LabelInfected Resourceフィールドcs3の名前ラベル。このフィールドはスパイウェア検出イベント専用です。cs3Label=Infected Resource
cs4cs4Resource Type

Resource Typeの値:

10=ファイルとディレクトリ

11=システムレジストリ

12=インターネットCookie

13=インターネットURLショートカット

14=メモリ内のプログラム

15=プログラム起動領域

16=ブラウザヘルパーオブジェクト

17=レイヤードサービスプロバイダ

18=hostsファイル

19=Windowsポリシー設定

20=ブラウザ

23=Windowsシェル設定

24=IEでダウンロードしたプログラムファイル

25=プログラムの追加/削除

26=サービス

その他=その他

たとえば、システムの再起動後もスパイウェアファイルを存続させるためにレジストリ実行キーを作成するspy.exeという名前のスパイウェアファイルがある場合、スパイウェアのレポートには次の2つのアイテムが含まれます。spy.exeのアイテムはcs4=10 (ファイルとディレクトリ)、実行キーのアイテムはcs4=11 (システムレジストリ) となります。

このフィールドはスパイウェア検出イベント専用です。

cs4=10
cs4Labelcd4LabelResource Typeフィールドcs4の名前ラベル。このフィールドはスパイウェア検出イベント専用です。cs4Label=Resource Type
cs5cs5Risk Level

リスクレベルの値:

0=超低

25=低

50=中

75=高

100=超高

このフィールドはスパイウェア検出イベント専用です。

cs5=25
cs5Labelcs5LabelRisk Levelフィールドcs5の名前ラベル。このフィールドはスパイウェア検出イベント専用です。cs5Label=Risk Level
cs6cs6Container不正プログラムが検出されたDockerコンテナのイメージ名、コンテナ名、コンテナID。 cs6=ContainerImageName | ContainerName | ContainerID
cs6Labelcs6LabelContainer

フィールドcs6の名前ラベル。

cs6Label=Container
cs7cs7Flowこのイベントをトリガしたパケットが、侵入防御ルールによって監視されているトラフィックの方向と同じ方向 (順方向) または逆方向 (逆方向) のどちらで送信されたかを示します。

Flow値:

FWD=接続フロー

REV=リバースフロー

cs7=FWD
cs7Labelcs7LabelFlow

フィールドcs7の名前ラベル。

cs7Label=Flow
filePathfilePathFile Path不正プログラムファイルの場所。filePath=C:\\Users\\Mei\\Desktop\\virus.exe
actactAction不正プログラム対策 エンジンによって実行された処理。値には、Deny Access、Quarantine、Delete、Pass、Clean、Terminate、Unspecifiedがあります。act=Clean
act=Pass
結果結果結果失敗した 不正プログラム対策 処理の結果result=Passed
result=Deleted
result=Quarantined
result=Cleaned
result=Access Denied
result=Terminated
result=Log
result=Failed
result=Pass Failed
result=Delete Failed
result=Quarantine Failed
result=Clean Failed
result=Terminate Failed
result=Log Failed
result=Scan Failed
result=Passed (Scan Failed)
result=Quarantined (Scan Failed)
result=Quarantine Failed (Scan Failed)
result=Deny Access (Scan Failed)
msgmsgMessage検索の種類。値には、Realtime、Scheduled、Manualがあります。msg=Realtime
msg=Scheduled
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.144.199
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=fe80::f018:a3c6:20f9:afa6%5
TrendMicroDsBehaviorRuleIDTrendMicroDsBehaviorRuleID 挙動監視ルールID内部不正プログラムのケース追跡の挙動監視ルールIDです。 BehaviorRuleID = CS913
TrendMicroDsBehaviorType TrendMicroDsBehaviorType 挙動監視の種類検出された挙動監視イベントの種類。 BehaviorType =脅威の検出
TrendMicroDsTagsTrendMicroDsTagsEvents tagsDeep Securityイベントタグがイベントに割り当てられている TrendMicroDsTags=suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントID TrendMicroDsTenantId=0
TrendMicroDsMalwareTargetTrendMicroDsMalwareTargetTarget(s)

不正プログラムが操作を試みた対象のファイル、プロセス、またはレジストリキー (ある場合)。不正プログラムの対象が複数に及ぶ場合、このフィールドの値は「Multiple」になります。

このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。

TrendMicroDsMalwareTarget=N/A
TrendMicroDsMalwareTarget=C:\\Windows\\System32\\cmd.exe
TrendMicroDsMalwareTarget=HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
TrendMicroDsMalwareTarget=Multiple
TrendMicroDsMalwareTargetCount TrendMicroDsMalwareTargetCount ターゲット数ターゲットファイルの数。 TrendMicroDsMalwareTargetCount = 3
TrendMicroDsMalwareTargetTypeTrendMicroDsMalwareTargetTypeTarget Type

この不正プログラムが操作を試みたシステムリソースの種類。ファイルシステム、プロセス、Windowsレジストリなどです。

このフィールドの値が報告されるのは、不審なアクティビティと不正な変更を監視している場合だけです。

TrendMicroDsMalwareTargetType=N/A
TrendMicroDsMalwareTargetType=Exploit
TrendMicroDsMalwareTargetType=File System
TrendMicroDsMalwareTargetType=Process
TrendMicroDsMalwareTargetType=Registry
TrendMicroDsProcessTrendMicroDsProcess Process プロセス名 TrendMicroDsProcess = abc.exe
TrendMicroDsFileMD5TrendMicroDsFileMD5File MD5 ファイルのMD5ハッシュ。TrendMicroDsFileMD5=1947A1BC0982C5871FA3768CD025453E
TrendMicroDsFileSHA1TrendMicroDsFileSHA1File SHA1ファイルのSHA1ハッシュ。TrendMicroDsFileSHA1=5AD084DDCD8F80FBF2EE3F0E4F812E812DEE60C1
TrendMicroDsFileSHA256TrendMicroDsFileSHA256File SHA256ファイルのSHA256ハッシュ。TrendMicroDsFileSHA256=25F231556700749F8F0394CAABDED83C2882317669DA2C01299B45173482FA6E
TrendMicroDsDetectionConfidenceTrendMicroDsDetectionConfidenceThreat Probabilityファイルが不正プログラムモデルと一致する割合 (%表示) を示します。TrendMicroDsDetectionConfidence=95
TrendMicroDsRelevantDetectionNamesTrendMicroDsRelevantDetectionNamesProbable Threat Type機械学習型検索が分析を他の既知の脅威 (セミコロン「;」で区切る) と比較した後にファイルに含まれる脅威の最も可能性の高い種類を示します。TrendMicroDsRelevantDetectionNames=Ransom_CERBER.BZC;Ransom_CERBER.C;Ransom_CRYPNISCA.SM
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=6
None catCategoryCategorycat=Anti-Malware
None nameNameイベント名name=SPYWARE_KEYL_ACTIVE
None descDescriptionイベントの説明。不正プログラム対策 では、イベント名が説明として使用されます。desc=SPYWARE_KEYL_ACTIVE
TrendMicroDsCommandLineTrendMicroDsCommandLineコマンドライン対象プロセスが実行するコマンドTrendMicroDsCommandLine = / tmp / orca-testkit-sample / testsys_m64 -u 1000 -g 1000 -U 1000 -G 1000 -e cve_2017_16995 1 -d 4000000
TrendMicroDsCveTrendMicroDsCveCVECommon Vulnerabilities and Exposuresのいずれかでプロセスの動作が特定された場合のCVE情報。TrendMicroDsCve = CVE-2016-5195、CVE-2016-5195、CVE-2016-5195
TrendMicroDsMitreTrendMicroDsMitreMITREMITER攻撃のシナリオのいずれかでプロセスの動作が特定された場合のMITRE情報。 TrendMicroDsMitre = T1068、T1068、T1068
susersuserユーザ名このイベントをトリガしたユーザアカウント名suser=root

アプリケーションコントロール イベント形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF: 0|Trend Micro|Deep Security Agent|10.2.229|6001200|AppControl detectOnly|6|cn1=202 cn1Label=Host ID dvc=192.168.33.128 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=80D4AC182F97D2AB48EE4310AC51DA5974167C596D133D64A83107B9069745E0 suser=root suid=0 act=detectOnly filePath=/home/user1/Desktop/Directory1//heartbeatSync.sh fsize=20 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason cs2=0CC9713BA896193A527213D9C94892D41797EB7C cs2Label=sha1 cs3=7EA8EF10BEB2E9876D4D7F7E5A46CF8D cs3Label=md5

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEFログエントリのサンプル:LEEF:2.0|Trend Micro|Deep Security Agent|10.0.2883|60|cat=AppControl name=blocked desc=blocked sev=6 cn1=2 cn1Label=Host ID dvc=10.203.156.39 TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 suser=root suid=0 act=blocked filePath=/bin/my.jar fsize=123857 aggregationType=0 repeatCount=1 cs1=notWhitelisted cs1Label=actionReason

CEF拡張フィールドLEEF拡張フィールド名前説明
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=2
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
cs1cs1Reasonアプリケーションコントロールが指定された処理を実行した理由 (例: notWhitelisted: ソフトウェアに一致するルールがなく、承認されていないソフトウェアをブロックするようにアプリケーションコントロールが設定されていた)。cs1=notWhitelisted
cs1Labelcs1Label フィールドcs1の名前ラベル。cs1Label=actionReason
cs2cs2 ファイルのSHA-1ハッシュ (計算済みの場合)。cs2=156F4CB711FDBD668943711F853FB6DA89581AAD
cs2Labelcs2Label フィールドcs2の名前ラベル。cs2Label=sha1
cs3cs3 ファイルのMD5ハッシュ (計算済みの場合)。cs3=4E8701AC951BC4537F8420FDAC7EFBB5
cs3Labelcs3Label フィールドcs3の名前ラベル。cs3Label=md5
actactActionアプリケーションコントロール エンジンによって実行された処理。値には、Blocked、Allowedがあります。act=blocked
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.1.10
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=2001:db8::5
suidsuidUser IDユーザ名のアカウントID番号。suid=0
susersuserUser Name 保護対象コンピュータにソフトウェアをインストールしたユーザアカウントの名前。suser=root
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント名。TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントのID番号。TrendMicroDsTenantId=0
fileHashfileHashFile hashソフトウェアファイルを識別するSHA 256ハッシュ。 fileHash=E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855
filePathfilePathFile Path不正プログラムファイルの場所。filePath=/bin/my.jar
fsizefsizeFile Sizeファイルサイズ (バイト)。fsize=16
aggregationTypeaggregationTypeAggregation Type

イベントの集約方法を示す整数:

  • 0: イベントが集約されません。
  • 1: イベントが、ファイル名、パス、イベントの種類に応じて集約されます。
  • 2: イベントがイベントの種類に応じて集計されます。

イベントの集約については、 アプリケーションコントロールイベントログを表示するを参照してください。

aggregationType=2
repeatCountrepeatCountRepeat Countイベントの発生回数。非集約イベントの値には1を指定します。集約イベントには2以上の値を指定します。repeatCount=4
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=6
None catCategoryCategorycat=AppControl
None nameNameイベント名name=blocked
None descDescriptionイベントの説明。アプリケーションコントロール では、アクションを説明として使用します。desc=blocked

ファイアウォールイベントログの形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF: 0|Trend Micro|Deep Security Agent|<DSA version>|20|Log for TCP Port 80|0|cn1=1 cn1Label=Host ID dvc=hostname act=Log dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.147 out=1019 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49617 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 TrendMicroDsPacketData=AFB...

サンプルLEEFログエントリ: LEEF:2.0 |トレンドマイクロ| Deep Security Agent |<DSAバージョン>|21 | cat =ファイアウォール name =リモートドメイン施行(スプリットトンネル)desc =リモートドメイン施行(スプリットトンネル)sev = 5 cn1 = 37 cn1Label =ホストID dvchost = www.example.com TrendMicroDsTenant =プライマリTrendMicroDsTenantId = 0 act =拒否dstMAC = 67:BF:1B:2F:13:EE srcMAC = 78:FD:E7:07:9F:2C TrendMicroDsFrameType = IP src = 10.0.110.221 dst = 105.152.185.81 out = 177 cs3 = cs3Label =フラグメンテーションビットproto = UDP srcPort = 23 dstPort = 445 cnt = 1 TrendMicroDsPacketData = AFB...

CEF拡張フィールドLEEF拡張フィールド名前説明
actactActionact=Log
act=Deny
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=113
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
cntcntRepeat Countこのイベントが連続して繰り返された回数。cnt=8
cs2cs2TCP Flagscs2=0x10 ACK
cs2=0x14 ACK RST
cs2Labelcs2LabelTCP Flagsフィールドcs2の名前ラベル。cs2Label=TCP Flags
cs3cs3Packet Fragmentation Informationcs3=DF
cs3=MF
cs3=DF MF
cs3Labelcs3LabelFragmentation Bitsフィールドcs3の名前ラベル。cs3Label=Fragmentation Bits
cs4cs4ICMP Type and Code(ICMPプロトコルの場合のみ) ICMPタイプとコード (スペース区切り)。cs4=11 0
cs4=8 0
cs4Labelcs4LabelICMPフィールドcs4の名前ラベル。cs4Label=ICMP Type and Code
dmacdstMACDestination MAC Address送信先コンピュータのネットワークインタフェースのMACアドレス。dmac= 00:0C:29:2F:09:B3
dptdstPortDestination Port(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続またはセッションのポート番号dpt=80
dpt=135
dstdstDestination IP Address送信先コンピュータのIPアドレス。dst=192.168.1.102
dst=10.30.128.2
ininInbound Bytes Read(受信接続の場合のみ) 読み取られた受信バイト数。in=137
in=21
outoutOutbound Bytes Read(送信接続の場合のみ) 読み取られた送信バイト数。out=216
out=13
protoprotoTransport protocol使用するトランスポートプロトコルの名前。proto=tcp
proto=udp
proto=icmp
smacsrcMACSource MAC Address送信元コンピュータのネットワークインタフェースのMACアドレス。smac= 00:0E:04:2C:02:B3
sptsrcPortSource Port(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続またはセッションのポート番号。spt=1032
spt=443
srcsrcSource IP Addressこのイベントにおけるパケットの送信元IPアドレス。src=192.168.1.105
src=10.10.251.231
TrendMicroDsFrameTypeTrendMicroDsFrameTypeEthernet frame type接続のイーサネットフレームの種類。TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
TrendMicroDsPacketDataTrendMicroDsPacketDataPacket dataBase64で表されるパケットデータ。TrendMicroDsPacketData = AFB...
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.144.199
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=exch01.example.com
dvchost=2001:db8::5
TrendMicroDsTagsTrendMicroDsTagsEvent TagsDeep Securityイベントタグがイベントに割り当てられているTrendMicroDsTags=suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant NameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントID TrendMicroDsTenantId=0
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=5
None catCategoryCategorycat=Firewall
None nameNameイベント名name=Remote Domain Enforcement (Split Tunnel)
None descDescriptionイベントの説明。ファイアウォールイベントでは、イベント名が説明として使用されます。desc=Remote Domain Enforcement (Split Tunnel)

変更監視 ログイベント形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|30|New Integrity Monitoring Rule|6|cn1=1 cn1Label=Host ID dvchost=hostname act=updated filePath=c:\\windows\\message.dll suser=admin sproc=C:\\Windows\\System32\\notepad.exe msg=lastModified,sha1,size

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|2002779|cat=Integrity Monitor name=Microsoft Windows - System file modified desc=Microsoft Windows - System file modified sev=8 cn1=37 cn1Label=Host ID dvchost=www.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 act=updated suser=admin sproc = C:\\Windows\\System32\\notepad.exe

CEF拡張フィールドLEEF拡張フィールド名前説明
actactAction変更監視ルールによって検出される処理。値は、created、updated、deleted、またはrenamedのいずれかです。act=created
act=deleted
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=113
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
filePathfilePathTarget Entity変更監視ルールの対象のエンティティ。監視対象のログファイルが含まれます。filePath=C:\WINDOWS\system32\drivers\etc\hosts
susersuserSource User監視対象のファイルを変更したユーザのアカウント。suser=WIN-038M7CQDHIN\Administrator
sprocsprocソースプロセスイベントのソースプロセスの名前。sproc = C:\\Windows\\System32\\notepad.exe
msgmsgAttribute changes(「renamed」処理の場合のみ) 変更された属性名のリスト。
[Manager経由でリレーする] を選択した場合、すべてのイベント処理の種類に完全な説明が含まれます。
msg=lastModified,sha1,size
oldfilePatholdfilePathOld target entity(「renamed」処理の場合のみ) filePathフィールドに記録された新しいエンティティに名前変更された、以前の変更監視ルールの対象のエンティティ。oldFilePath=C:\WINDOWS\system32\logfiles\ds_agent.log
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.144.199
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTagsTrendMicroDsTagsEvents tagsDeep Securityイベントタグがイベントに割り当てられている TrendMicroDsTags=suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントID TrendMicroDsTenantId=0
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=8
None catCategoryCategorycat=Integrity Monitor
None nameNameイベント名name=Microsoft Windows - System file modified
None descDescriptionイベントの説明。変更監視 では、イベント名が説明として使用されます。desc=Microsoft Windows - System file modified

侵入防御 イベントログの形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|1001111|Test Intrusion Prevention Rule|3|cn1=1 cn1Label=Host ID dvchost=hostname dmac=00:50:56:F5:7F:47 smac=00:0C:29:EB:35:DE TrendMicroDsFrameType=IP src=192.168.126.150 dst=72.14.204.105 out=1093 cs3=DF MF cs3Label=Fragmentation Bits proto=TCP spt=49786 dpt=80 cs2=0x00 ACK PSH cs2Label=TCP Flags cnt=1 act=IDS:Reset cn3=10 cn3Label=Intrusion Prevention Packet Position cs5=10 cs5Label=Intrusion Prevention Stream Position cs6=8 cs6Label=Intrusion Prevention Flags TrendMicroDsPacketData=R0VUIC9zP3...

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

サンプルLEEFログエントリ: LEEF:2.0 |トレンドマイクロ| Deep Security Agent |<DSAバージョン>|1000940 | cat =侵入防御 name = Sun Java Runtime Environmentのバッファオーバーフローの脆弱性の詳細desc = Sun Java Runtime Environmentの複数のバッファオーバーフローの脆弱性sev = 10 cn1 = 6 cn1Label =ホストID dvchost = exch01 TrendMicroDsTenant =プライマリTrendMicroDsTenantId = 0 dstMAC = 55:C0:A8:55:FF:41 srcMAC = CA:36:42:B1:78:3D TrendMicroDsFrameType = IP src = 10.0.251.84 dst = 56.19.41.128 out = 166 cs3 = cs3Label =フラグメント化ビット数proto = ICMP srcPort = 0 dstPort = 0 cnt = 1 act = IDS:リセットcn3 = 0 cn3Label = DPIパケットの位置cs5 = 0 cs5Label = DPIストリームの位置cs6 = 0 cs6Label = DPIフラグTrendMicroDsPacketData = R0VUIC9zP3...

CEF拡張フィールドLEEF拡張フィールド名前説明
actactAction (Deep Securityバージョン7.5 SP1以前に作成されたIPSルールでは、Insert、Replace、Deleteも実行することができましたが、現在これらの処理は実行されません。これらの処理の実行を試みる古いIPSルールが実行された場合、ルールが検出のみモードで適用されたことを示すイベントが記録されます)。 act=Block
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=113
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
cn3cn3Intrusion Prevention Packet Positionイベントをトリガしたデータのパケット内の位置。cn3=37
cn3Labelcn3LabelIntrusion Prevention Packet Positionフィールドcn3の名前ラベル。cn3Label=Intrusion Prevention Packet Position
cntcntRepeat Countこのイベントが連続して繰り返された回数。cnt=8
cs1cs1Intrusion Prevention Filter Note(オプション) DPIルールに関連する短いバイナリまたはテキストによる備考を含めることのできる注記用フィールド。注記用フィールドの値がすべて印刷可能なASCII文字の場合、値はテキストとしてログに記録され、スペース (空白文字) はアンダースコアに変換されます。バイナリデータが含まれる場合は、Base64エンコードを使用してログに記録されます。cs1=Drop_data
cs1Labelcs1LabelIntrusion Prevention Noteフィールドcs1の名前ラベル。cs1Label=Intrusion Prevention Note
cs2cs2TCP Flags(TCPプロトコルの場合のみ) TCPフラグバイトの後には、[URG]、[ACK]、[PSH]、[RST]、[SYN]、[FIN] の各フィールドが続きます。このフラグバイトは、TCPヘッダが設定されている場合に存在する可能性があります。cs2=0x10 ACK
cs2=0x14 ACK RST
cs2Labelcs2LabelTCP Flagsフィールドcs2の名前ラベル。cs2Label=TCP Flags
cs3cs3Packet Fragmentation Informationcs3=DF
cs3=MF
cs3=DF MF
cs3Labelcs3LabelFragmentation Bitsフィールドcs3の名前ラベル。cs3Label=Fragmentation Bits
cs4cs4ICMP Type and Code(ICMPプロトコルの場合のみ) 単一のスペースで区切って個別の順序で格納されているICMPタイプとコード。cs4=11 0
cs4=8 0
cs4Labelcs4LabelICMPフィールドcs4の名前ラベル。cs4Label=ICMP Type and Code
cs5cs5Intrusion Prevention Stream Positionイベントをトリガしたデータのストリーム内の位置。cs5=128
cs5=20
cs5Labelcs5LabelIntrusion Prevention Stream Positionフィールドcs5の名前ラベル。cs5Label=Intrusion Prevention Stream Position
cs6cs6Intrusion Prevention Filter Flagsフラグの値の合計値。

1 - Data truncated - データをログに記録できませんでした。
2 - Log Overflow - ログがオーバーフローしました。
4 - Suppressed - ログのしきい値が抑制されました。
8 - Have Data - パケットデータが含まれます。
16 - Reference Data - 以前にログに記録されたデータを参照します。
1 (Data truncated) と8 (Have Data) の組み合わせの例:
cs6=9
cs6Labelcs6LabelIntrusion Prevention Flagsフィールドcs6の名前ラベル。cs6=Intrusion Prevention Filter Flags
dmacdstMACDestination MAC Address送信先コンピュータのネットワークインタフェースMACアドレス。dmac= 00:0C:29:2F:09:B3
dptdstPortDestination Port(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信先コンピュータの接続ポート。dpt=80
dpt=135
dstdstDestination IP Address送信先コンピュータのIPアドレス。dst=192.168.1.102
dst=10.30.128.2
xffxffX-Forwarded-ForX-Forwarded-Forヘッダ内の最後のハブのIPアドレス。
通常は、存在する可能性のあるプロキシを越えた送信元のIPアドレスです。srcフィールドも参照してください。
イベントにxffを含めるには、1006540 [X-Forwarded-For HTTPヘッダのログを有効にする] 侵入防御ルールを有効にします。
xff=192.168.137.1
ininInbound Bytes Read(受信接続の場合のみ) 読み取られた受信バイト数。in=137
in=21
outoutOutbound Bytes Read(送信接続の場合のみ) 読み取られた送信バイト数。out=216
out=13
protoprotoTransport protocol使用する接続トランスポートプロトコルの名前。proto=tcp
proto=udp
proto=icmp
smacsrcMACSource MAC Address送信元コンピュータのネットワークインタフェースMACアドレス。smac= 00:0E:04:2C:02:B3
sptsrcPortSource Port(TCPプロトコルおよびUDPプロトコルの場合のみ) 送信元コンピュータの接続ポート。spt=1032
spt=443
srcsrcSource IP Address送信元コンピュータのIPアドレス。これは、最後のプロキシサーバ (存在する場合) のIP、またはクライアントIPです。xffフィールドも参照してください。src=192.168.1.105
src=10.10.251.231
TrendMicroDsFrameTypeTrendMicroDsFrameTypeEthernet frame type接続のイーサネットフレームの種類。TrendMicroDsFrameType=IP
TrendMicroDsFrameType=ARP
TrendMicroDsFrameType=RevARP
TrendMicroDsFrameType=NetBEUI
TrendMicroDsPacketDataTrendMicroDsPacketDataPacket dataBase64で表されるパケットデータ。TrendMicroDsPacketData = R0VUIC9zP3...
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.144.199
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTagsTrendMicroDsTagsEvent tagsDeep Securityイベントタグがイベントに割り当てられている TrendMicroDsTags=Suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント名TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントIDTrendMicroDsTenantId=0
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=10
None catCategoryカテゴリcat=Intrusion Prevention
None nameNameイベント名name=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities
None descDescriptionイベントの説明。侵入防御 イベントは、イベント名を説明として使用します。desc=Sun Java RunTime Environment Multiple Buffer Overflow Vulnerabilities

セキュリティログ監視 イベント形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|3002795|Microsoft Windows Events|8|cn1=1 cn1Label=Host ID dvchost=hostname cs1Label=LI Description cs1=Multiple Windows Logon Failures fname=Security src=127.0.0.1 duser=(no user) shost=WIN-RM6HM42G65V msg=WinEvtLog Security: AUDIT_FAILURE(4625): Microsoft-Windows-Security-Auditing: (no user): no domain: WIN-RM6HM42G65V: An account failed to log on.Subject: ..

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|3003486|cat=Log Inspection name=Mail Server - MDaemon desc=Server Shutdown. sev=3 cn1=37 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 cs1=Server Shutdown. cs1Label=LI Description fname= shost= msg=

CEF拡張フィールドLEEF拡張フィールド名前説明
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=113
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
cs1cs1Specific Sub-Ruleこのイベントをトリガしたセキュリティログ監視のサブルール。cs1=Multiple Windows audit failure events
cs1Labelcs1LabelLI Descriptionフィールドcs1の名前ラベル。cs1Label=LI Description
duserduserUser Information(解析可能なユーザ名が存在する場合) ログエントリを記録した対象ユーザの名前。duser=(no user)
duser=NETWORK SERVICE
fnamefnameTarget entityセキュリティログ監視 ルールの対象エンティティ。監視対象のログファイルが含まれます。fname=Application
fname=C:\Program Files\CMS\logs\server0.log
msgmsgDetailsセキュリティログ監視イベントの詳細。検出されたログイベントの詳細な説明が含まれる場合があります。msg=WinEvtLog: Application: AUDIT_FAILURE(20187): pgEvent: (no user): no domain: SERVER01: Remote login failure for user 'xyz'
shostshostSource Hostname送信元コンピュータのホスト名。shost=webserver01.corp.com
srcsrcSource IP Address送信元コンピュータのIPアドレス。src=192.168.1.105
src=10.10.251.231
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.144.199
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTagsTrendMicroDsTagsEvents tagsDeep Securityイベントタグがイベントに割り当てられている TrendMicroDsTags=suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントID TrendMicroDsTenantId=0
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=3
None catCategoryCategorycat=Log Inspection
None nameNameイベント名name=Mail Server - MDaemon
None descDescriptionイベントの説明。 desc=Server Shutdown

Webレピュテーション イベント形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリのサンプル: CEF:0|Trend Micro|Deep Security Agent|<DSA version>|5000000|WebReputation|5|cn1=1 cn1Label=Host ID dvchost=hostname request=example.com msg=Blocked By Admin

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEFログエントリのサンプル: LEEF:2.0|Trend Micro|Deep Security Agent|<DSA version>|5000000|cat=Web Reputation name=WebReputation desc=WebReputation sev=6 cn1=3 cn1Label=Host ID dvchost=exch01.example.com TrendMicroDsTenant=Primary TrendMicroDsTenantId=0 request=http://yw.olx5x9ny.org.it/HvuauRH/eighgSS.htm msg=Suspicious

CEF拡張フィールドLEEF拡張フィールド名前説明
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=1
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
requestrequestRequest要求のURL。request=http://www.example.com/index.php
msgmsgMessage処理の種類。値には、Realtime、Scheduled、Manualがあります。msg=Realtime
msg=Scheduled
dvcdvcDevice address

cn1のIPv4アドレス。

送信元がIPv6アドレスまたはホスト名の場合は表示されません(代わりにdvchostを使用します)。

dvc=10.1.144.199
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTagsTrendMicroDsTagsEvents tagsDeep Securityイベントタグがイベントに割り当てられている TrendMicroDsTags=suspicious
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントID TrendMicroDsTenantId=0
None sevSeverityイベントの重要度。重要度は1が最も低く、10が最も高くなります。 sev=6
None catCategoryCategorycat=Web Reputation
None nameNameイベント名name=WebReputation
None descDescriptionイベントの説明。Webレピュテーション では、イベント名が説明として使用されます。desc=WebReputation

デバイスコントロールイベントの形式

CEFの基本形式: CEF:バージョン (Version)|デバイスベンダ (Device Vendor)|デバイス製品 (Device Product)|デバイスバージョン (Device Version)|署名ID (Signature ID)|名前 (Name)|重要度 (Severity)|拡張 (Extension)

CEFログエントリの例: CEF:0|Trend Micro|Deep Security Agent|50.0.1063|7000000|Device Control DeviceControl|6|cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0

LEEF 2.0の基本形式: LEEF:2.0|ベンダ (Vendor)|製品 (Product)|バージョン (Version)|イベントID (EventID)|(区切り文字、タブの場合は省略可能)|拡張 (Extension)

LEEF Log Entryの例: LEEF:2.0|Trend Micro|Deep Security Agent|50.0.1063|7000000|cat=Device Control name=DeviceControl desc=DeviceControl sev=6 cn1=1 cn1Label=Host ID dvchost=test-hostname TrendMicroDsTenant=tenantName TrendMicroDsTenantId=1 device=deviceName processName=processName1 fileName=/tmp/some_path2 vendor=vendorName serial=aaaa-bbbb-cccc model=modelName computerName=computerName domainName=computerDomain deviceType=0 permission=0

CEF拡張フィールドLEEF拡張フィールドNameDescription
cn1cn1Host IdentifierAgentコンピュータの一意の内部識別子。cn1=1
cn1Labelcn1LabelHost IDフィールドcn1の名前ラベル。cn1Label=Host ID
dvchostdvchostDevice host name

cn1のホスト名またはIPv6アドレス。

送信元がIPv4アドレスの場合は表示されません(代わりにdvcフィールドを使用します)。

dvchost=www.example.com
dvchost=2001:db8::5
TrendMicroDsTenantTrendMicroDsTenantTenant nameDeep Securityテナント TrendMicroDsTenant=Primary
TrendMicroDsTenantIdTrendMicroDsTenantIdTenant IDDeep SecurityテナントID TrendMicroDsTenantId=0
デバイスデバイス装置名アクセスされたデバイス。device=Sandisk_USB
プロセス名プロセス名プロセス名プロセス名。processName=someProcess.exe
ファイル名ファイル名ファイル名アクセスされたファイル名。fileName=E:\somepath\a.exe
販売代理店販売代理店ベンダー名デバイスのベンダー名。vendor=sandisk
シリアルシリアルシリアル番号デバイスのシリアル番号。serial=aaa-bbb-ccc
モデルモデル機種,モデル,型,modelデバイスの製品名。モデル=A270_USB
コンピュータ名コンピュータ名コンピュータ名コンピュータ名。computerName=Jonh_Computer
domainNamedomainNameドメイン名ドメイン名。domainName=CompanyDomain
デバイスの種類デバイスの種類デバイスの種類デバイスのデバイスタイプ
USB_STORAGE_DEVICE(1)
MOBILE_DEVICE(2)
deviceType=1
PermissionPermissionPermissionアクセスのブロック理由
ブロック(0)
READ_ONLY(2)
permission=0