|
CEFキー |
説明 |
値 |
|---|---|---|
|
ヘッダ (logVer) |
CEF形式バージョン |
CEF:0 |
|
ヘッダ (vendor) |
アプライアンスベンダ |
Trend Micro |
|
ヘッダ (pname) |
アプライアンス製品 |
Apex Central |
|
ヘッダ (pver) |
アプライアンスバージョン |
2019 |
|
ヘッダ (eventid) |
イベントID |
700106 |
|
ヘッダ (eventName) |
ログ名 |
Data Loss Prevention |
|
ヘッダ (severity) |
重大度 |
3 |
|
cs1Label |
"cs1"フィールドに対応するラベル |
「Policy GUID」 |
|
cs1 |
ポリシーGUID |
例: FAF492CF-164C-4672-9A79-F1AB9CB288A3 |
|
cn1Label |
"cn1"フィールドに対応するラベル |
「Product」 |
|
cn1 |
製品の種類の値 |
例: 15 |
|
rt |
イベントトリガ時刻 (UTC) |
例: "Mar 22 2018 08:23:23 GMT+00:00" |
|
src |
送信元ホストIPアドレス |
例: 10.0.57.160 |
|
smac |
送信元ホストMACアドレス |
例: 74-27-00-0C-65-E7 |
|
shost |
送信元ホスト名 |
例: shost1 |
|
cs4Label |
"cs4"フィールドに対応するラベル |
「Incident_Source_(AD_Account)」 |
|
cs4 |
違反ユーザ名 |
例: Trend |
|
suser |
メール送信者 |
例: sender@example.com |
|
request |
アクセス先のURL |
例: https://example.com/api/content |
|
duser |
受信者のコンマ (,) 区切りリスト |
例: "user1@example.com;user2@example.com;" |
|
msg |
件名 |
例: "Sample,20171017" |
|
filepath |
ファイルパス |
例: "D:\\Windows Live Mail\\Storage Folders\\Imported Fo e52\\Local Folders\\Sent Items\\Archive Aft de1\\Clients,Adv 22b\\" |
|
fname |
トリガファイル名 |
例: "2B43363A-000000A4.eml" |
|
fsize |
ファイルサイズ (バイト) |
例: "3" |
|
cs5Label |
"cs5"フィールドに対応するラベル |
「Rule」 |
|
cs5 |
ルール名 |
例: SAMPLE RULE SET |
|
cs6Label |
"cs6"フィールドに対応するラベル |
"Template" |
|
cs6 |
テンプレート名 |
例: "Apex One policy" |
|
cn3Label |
"cn3"フィールドに対応するラベル |
"Channel" |
|
cn3 |
チャネルの種類 |
例: "3" 詳細については、チャネルマッピングテーブルを参照してください。 |
|
cn2Label |
"cn2"フィールドに対応するラベル |
"Action" |
|
cn2 |
処理結果 |
例: "4" 詳細については、処理結果マッピングテーブルを参照してください。 |
|
cs2Label |
"cs2"フィールドに対応するラベル |
"Policy" |
|
cs2 |
ポリシー名 |
例: "OfficeScan" |
|
cs3Label |
"cs3"フィールドに対応するラベル |
"Product_Entity/Endpoint" |
|
cs3 |
エンドポイントのホスト名 |
例: "Sample_Host" |
|
dvchost |
サーバのホスト名 |
例: "localhost" |
|
deviceFacility |
製品名 |
例: "Apex One" |
|
deviceNtDomain |
Active Directoryドメイン |
例: APEXTMCM |
|
dntdom |
Apex Oneドメイン階層 |
例: OSCEDomain1 |
|
externalId |
イベントのログID |
例: "101" |
|
cfp1Label |
"cfp1Label"フィールドに対応するラベル |
"ForensicFileAvailable" |
|
cfp1 |
フォレンジックファイルのダウンロードが可能かどうかを示す |
|
|
TMCMLogDetectedHost |
ログイベントが発生したエンドポイント名 |
例: MachineHostName |
|
TMCMLogDetectedIP |
ログイベントが発生したIPアドレス |
例: 10.1.2.3 |
|
ApexCentralHost |
Apex Centralホスト名 |
例: TW-CHRIS-W2019 |
|
devicePayloadId |
一意のメッセージGUID |
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697 |
|
TMCMdevicePlatform |
エンドポイントのOS |
例: Windows 7 6.1 (Build 7601) Service Pack 1 |
ログの例:
CEF:0|Trend Micro|Apex Central|2019|700106|Data Loss Prevent ion|3|cs3Label=Product_Entity/Endpoint cs3=Sample_Host dvc host=Sampledvchost cs2Label=Policy cs2=N/A cn1Label=Product cn1=15 rt=Oct 13 2017 02:54:04 GMT+00:00 src=10.0.9.34 smac= 34-E6-D7-84-BC-7F shost=shost1 cs4Label=Incident_Source_(AD_ Account) cs4=12467 filePath=D:\\2. DRIVER\\drivers WIN7\\Dri vers\\DP_CardReader_14032.7z\\O2Micro\\FORCED\\6x86\\ fname= O2MDFvst.INF cs5Label=Rule cs5=SAMPLE RULE SET cs6Label=Temp late cs6=Apex One policy cn3Label=Channel cn3=0 cn2Label=Act ion cn2=4 deviceFacility=Apex One deviceNtDomain=APEXTMCM dn tdom=OSCEDomain1 externalId=101 cfp1Label=ForensicFileAvaila ble cfp1=0 dvchost=localhost TMCMLogDetectedHost=ApexOneClie nt01 TMCMLogDetectedIP=10.201.86.187 ApexCentralHost=TW-CHRI S-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1