ビュー:
CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF:0
ヘッダ (vendor)
製品ベンダ
Trend Micro
ヘッダ (pname)
製品名
Apex Central
ヘッダ (pver)
製品バージョン
2019
ヘッダ (eventid)
イベントID
1745
ヘッダ (eventName)
ログ名
製品監査イベント
ヘッダ (severity)
重大度
3
cat
ログの種類
1745
deviceFacility
管理下の製品
例: Apex One
dvchost
管理下のエンドポイントの表示名
例: localhost
rt
イベントトリガ時刻 (UTC)
例: Mar 22 2018 08:23:23 GMT+00:00
cn1Label
cn1フィールドに対応するラベル
SLF_CategoryID
cn1
カテゴリID
例: 536,870,912
cn2Label
「cn2」フィールドに対応するラベル
SLF_SeverityLevel
cn2
重大度レベル
例: 4
  • 1 =エラー
  • 2 =警告
  • 4 =情報
  • 16 =監査失敗
suser
イベントを発生させたユーザの名前
例: administrator
deviceNtDomain
Active Directoryドメイン
例: APEXTMCM
dntdom
Apex Oneドメイン階層
例: OSCEDomain1
ApexCentralHost
Apex Centralホスト名
例: TW-CHRIS-W2019
devicePayloadId
一意のメッセージGUID
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
ログの例:
CEF:0|Trend Micro|Apex Central|2019|Delete|1009490 - Block A
dministrative Share - 1 (ATT&CK T1077,T1105)|3|rt=Apr 20 202
0 03:33:15 GMT+00:00 dvchost=OSCEClient22 deviceFacility=Ape
x One act=Delete, src=10.1.1.8 dst=80.1.1.8 smac=54-BF-64-84
-7F-08 spt=88 dmac=54-BF-64-84-7F-18 dpt=448 cn2Label=SLF_Is
DetectionOnly cn2=1 deviceDirection=Outbound cn3Label=SLF_Ra
nk cn3=100 cn4Label=SLF_SeverityCode cn4=4 proto=10008 cs2La
bel=SLF_ConnectionType cs2=Suspicious Client Application Act
ivity cn1Label=SLF_RuleID cn1=1009490 cs1Label=SLF_RuleConte
nt cs1=1009490 - Block Administrative Share - 1 (ATT&CK T107
7,T1105) cnt=1 deviceNtDomain=APEXTMCM dntdom=OSCEDomain1