CEF-Mail-Tracking-Protokolle (Akzeptierter Datenverkehr)
|
CEF-Schlüssel
|
Beschreibung
|
Wert
|
|
Header (logVer)
|
CEF-Formatversion
|
CEF: 0
|
|
Header (vendor)
|
Appliance-Hersteller
|
Trend Micro
|
|
Header (pname)
|
Appliance-Produkt
|
TMES
|
|
Header (pver)
|
Appliance-Version
|
Beispiel: 1.0.0.0
|
|
Header (eventid)
|
Signatur-ID
|
400101
|
|
Header (eventName)
|
Beschreibung
|
VERFOLGUNG
|
|
Header (severity)
|
E-Mail-Schweregrad
|
4
|
|
rt
|
Zeitpunkt der Protokollerstellung
|
Beispiel: 2019-12-10T08:26:46.728Z
|
|
suser
|
E-Mail-Absender
|
Beispiel: user1@example1.com
|
|
duser
|
E-Mail-Empfänger
|
Beispiel: user2@example2.com
|
|
msg
|
E-Mail-Betreff
|
Beispiel: hallo
|
|
src
|
IP-Quelladresse
|
Beispiel: 10.1.144.199
|
|
deviceÜbersetzteAdresse
|
IP-Adresse des Relay-MTA
|
Beispiel: 204.92.31.146
|
|
cs1Label
|
Interne E-Mail-Nachrichten-ID
|
mailUuid
|
|
cs1
|
Interne E-Mail-Nachrichten-ID
|
Beispiel: 6965222B-13A6-C705-89D4-6251B6C41E03
|
|
cs2Label
|
Richtung der E-Mail-Nachricht
|
Richtung
|
|
cs2
|
Richtung der E-Mail-Nachricht
|
|
|
cs3Label
|
Eindeutige Nachrichtenkennung
|
messageId
|
|
cs3
|
Eindeutige Nachrichtenkennung
|
Beispiel: 201605181642138223747@trend.com
|
|
cs4Label
|
E-Mail-Anhänge
|
attachments
|
|
cs4
|
E-Mail-Anhänge
|
Beispiel: [["FileName", "sha256"], ["FileName", "sha256"], ...]
|
|
cn1Label
|
E-Mail-Nachrichtengröße
|
Nachrichtengröße
|
|
cn1
|
E-Mail-Nachrichtengröße
|
Beispiel: 1809
|
|
act
|
Aktion für eine E-Mail-Nachricht
|
|
|
cs5Label
|
TLS-Informationen
|
tlsInfo
|
|
cs5
|
TLS-Informationen
|
Beispiel: upstreamTLS: Keine; downstreamTLS: TLS 1.2
|
|
cs6Label
|
In E-Mails eingebettete URLs
|
embeddedUrl
|
|
cs6
|
In E-Mails eingebettete URLs
|
Beispiel: ["http://example1.com", "http://example2.com"]
|
Protokollbeispiel:
CEF:0|Trend Micro|TMES|1.0.0.0|400101|TRACKING|4|rt=2019-12-10T08:26:46.728Z
suser=user1@example1.com duser=user2@example2.com msg=DLP--test src=1.1.1.1
deviceTranslatedAddress=2.2.2.2 cs1Label=mailUuid
cs1=7ea8f636-c26e-4b78-a341-9b5becb83db7 cs2Label=direction cs2=incoming
cs3Label=messageId cs3=<201802061558581772031@example.com>
cn1Label=messageSize cn1=41438 act=Delivered cs4Label=attachments
cs4=[{"sha256":"f78960148721b59dcb563b9964a4d47e2a834a4259f46cd12db7c1cfe82ff32e"}]
cs5Label=tlsInfo cs5=upstreamTLS: None; downstreamTLS: TLS 1.2
cs6Lable=embeddedUrl cs6=["http://example1.com", "http://example2.com"]