|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF:0
|
|
Header (vendor)
|
Appliance-Hersteller
|
Trend Micro
|
|
Header (pname)
|
Appliance-Produkt
|
Apex Central
|
|
Header (pver)
|
Produktversion des Geräts
|
2019
|
|
Header (eventid)
|
MS: Filteraktion
|
MS:Bereinigen
|
|
Header (eventName)
|
Name der Richtlinie
|
Richtlinie
|
|
Header (severity)
|
Schweregrad
|
3
|
|
cnt
|
Anzahl der Funde
|
Beispiel: 10
|
|
dhost
|
Liste aller Empfänger
|
Beispiel: employee_a1@Acompany.com;employee_a2@Acompany.com
|
|
duser
|
Einer der Empfänger
|
Beispiel: employee_a1@Acompany.com
|
|
act
|
Filteraktion
|
Beispiel:
Säubern Weitere Informationen finden Sie unter Filter-Zuordnungstabelle für Aktionen.
|
|
cs1Label
|
Entsprechende Bezeichnung für das Feld
cs1 |
Beispiel:
Richtlinieneinstellungen |
|
cs1
|
Richtlinieneinstellungen
|
Beispiel:
Default_policy |
|
cs2Label
|
Entsprechende Bezeichnung für das Feld
cs2 |
Beispiel:
Produktversion |
|
cs2
|
Produktversion
|
Beispiel:
11 |
|
cs3Label
|
Entsprechende Bezeichnung für das Feld
cs3 |
Beispiel:
Filtertyp |
|
cs3
|
Filtertyp
|
Beispiel:
Filter 'URL Reputation'
|
|
cs4Label
|
Entsprechende Bezeichnung für das Feld
cs4 |
Beispiel:
CLF_ReasonCode |
|
cs4
|
Ursachencode
|
Beispiel:
access |
|
cs5Label
|
Entsprechende Bezeichnung für das Feld
cs5 |
Beispiel:
CLF_ReasonCodeSource |
|
cs5
|
Ursachencodequelle
|
Beispiel:
web |
|
cs6Label
|
Entsprechende Bezeichnung für das Feld
cs6 |
Beispiel:
Aktion_auf_Nachricht |
|
cs6
|
Aktion
|
Beispiel:
3
|
|
cat
|
Protokolltyp
|
Beispiel:
1705 |
|
dvchost
|
Hostname des Endpunkts
|
Beispiel:
ApexOneClient01 |
|
rt
|
Ereignisauslösezeit in UTC
|
Beispiel:
22. Mär 2018 08:23:23 GMT+00:00 |
|
cn1Label
|
Entsprechende Bezeichnung für das Feld
cn1 |
Beispiel:
Schweregrad |
|
cn1
|
Schweregradcode
|
Beispiel:
2
|
|
TMCMLogSchweregrad
|
Beschreibung der Schwere
|
Zweite Scan Engine
|
|
cn2Label
|
Entsprechende Bezeichnung für das Feld
cn2 |
Filter_Aktions_Ergebnis
|
|
cn2
|
Filteraktionsergebnis
|
Beispiel: 21
Weitere Informationen finden Sie unter Filter – Zuordnungstabelle für Aktionsergebnisse.
|
|
deviceExternalId
|
ID
|
Beispiel:
5 |
|
fname
|
Datei
|
Beispiel:
RERERW~42w.exe |
|
msg
|
Betreff
|
Beispiel:
Öffnen Sie diese E-Mail, um ein kostenloses Telefon zu gewinnen |
|
shost
|
Liste aller Absender/Benutzer mit Verstößen
|
Beispiel: 'bear' <bear@abc.mail.com>;'yumi' <yumi@abc.mail.com>
|
|
suser
|
Einer der Absender/Benutzer mit Verstößen
|
Beispiel: 'bear' <bear@abc.mail.com>
|
|
deviceFacility
|
Produkt
|
Beispiel:
Deep Discovery Email Inspector |
|
src
|
E-Mail-Absender-IP-Adresse
|
Beispiel:
10.206.155.122 |
|
Dateipfad
|
Verdächtiger Dateispeicherort
|
Beispiel:
https://ca91-1.testurl.com:443 |
|
Anforderung
|
Verdächtige URL
|
Beispiel:
https://ca91-1.testurl.com:443 |
|
Grund
|
Kritische Bedrohungsart
|
Beispiel:
E
|
|
ApexCentralHost
|
Apex Central Host-Name
|
Beispiel: TW-CHRIS-W2019
|
|
devicePayloadId
|
Eindeutige Nachrichten-GUID
|
Beispiel: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
Endpunkt-Betriebssystem
|
Beispiel: Windows 7 6.1 (Build 7601) Service Pack 1
|
Protokollbeispiel:
CEF:0|Trend Micro|Apex Central|2019|MS:Clean|This is a policy name|3|deviceExternalId=90045 rt=Sep 17 2018 01:27:42 GMT+00 :00 dhost=user@test.com duser=user@test.com act=Clean cs1Label =Policy_Settings cs1=This is policy content cs2Label=CLF_Produ ctVersion cs2=3.2 cs3Label=Filter_Type cs3=URL reputation filt er cs5Label=CLF_ReasonCodeSource cs5=20 cs6Label=Action_on_Mes sage cs6=0 cat=1705 dvchost=ApexOneClient01 cn1Label=Severity cn1=2 TMCMLogSeverity=Second scan engine fname=NE_AEP.1550 msg=plain_qp_no8_av1u_NE_AEP.1550 shost=user2@test.com suser= user2@test.com cn2Label=Filter_Action_Result cn2=21 deviceFaci lity=Deep Discovery Email Inspector src=10.206.155.122 reason= B,G ApexCentralHost=TW-CHRIS-W2019 devicePayloadId=1C00290C036 0-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (B uild 7601) Service Pack 1