ビュー:
この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「{CEF Key 1}|{CEF Key 2}|...|{CEF Key n}」のように「|」で区切られた形式で入力します。
次の表に、事前定義済み/カスタムの拡張CEFキーとWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

CEFアクセスログ

CEFキー
説明
ヘッダ (logVer)
CEF形式バージョン
CEF: 0
ヘッダ (vendor)
アプライアンスベンダー
トレンドマイクロ
ヘッダ (pname)
アプライアンス製品名
Trend Micro Web Security as a Service
ヘッダ (pver)
アプライアンスバージョン
例: 3.0.0.2042
ヘッダ (eventid)
署名ID
例: 100000
ヘッダ (eventName)
説明
アクセスログ
ヘッダ (severity)
リスクレベル
  • 0: 処理=許可/分析
  • 1: 処理=監視/警告/オーバーライド
  • 2: 処理=ブロック
rt
UTCタイムスタンプ
例: 2018/7/5 07:54:15 +0000
logType
ログの種類
  • 1: 成功したアクセスログ
  • 5: 失敗したHTTPSアクセスログ
companyID
会社ID
例: 7800fcab-7611-416c-9ab4-721b7bd6b076
adDomain
ADドメイン
例: trendmicro.com.cn
userName
ユーザ名またはクライアントIP
例: 10.204.214.188
groupName
グループ名
例: testgroup1
userDepartment
ユーザ部門
例: 財務部門
gatewayName
ゲートウェイ名
例: on-premise-2051
app
使用プロトコル
  • 1: HTTP
  • 2: HTTPS
  • 3: HTTP/2
transportBytes
リクエストまたはレスポンスの本文のサイズ
例: 221030
dst
リクエストの送信先IPアドレス
例: 54.231.184.240
src
リクエストの送信元IPアドレス
例: 10.204.214.188
upStreamSize
Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)
例: 501
downStreamSize
サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)
例: 220529
domainName
URLドメイン
例: clients4.google.com
scanType
検索の種類
  • 0: 一致するルールがありません
  • 1: クライアント証明書が必要です
  • 2: 信頼されていないサーバ証明書
  • 10: 承認済みURL/ブロックするURL
  • 13: クライアントは許可されていません
  • 14: 宛先ポートは許可されていません
  • 15: プライベートアドレスへのアクセス
  • 20: Webレピュテーションサービス
  • 21: URLフィルタ
  • 30: 実際のファイルタイプ
  • 33: MIMEタイプ
  • 34: ファイル拡張子名
  • 40: 不正プログラム対策
  • 41: 検索不能ファイル
  • 45: 機械学習型検索
  • 50: ボットネット対策
  • 60: アプリケーション制御
  • 70: 不審オブジェクト分析 (仮想アナライザ)
  • 90: 不審オブジェクトフィルタリング (仮想アナライザ)
  • 100: 情報漏えい対策
  • 110: ランサムウェア
policyName
ポリシー名
例: 初期設定
profileName
プロファイル名
例: 初期設定
severity
WRSスコアしきい値
  • 0: WRS無効
  • 50: WRSセキュリティレベル=低
  • 65: WRSセキュリティレベル=中
  • 80: WRSセキュリティレベル=高
principalName
プリンシパル名
例: testuser@trendmicro.com.cn
cat
URLカテゴリ
例: 検索エンジン/ポータル
appName
アプリケーション名
例: Google
wrsScore
WRSスコア
例: 81
malwareType
不正プログラムの種類
  • 1: ウイルス
  • 2: スパイウェア
  • 3: ジョーク
  • 4: トロイの木馬
  • 5: テストウイルス
  • 6: パッカー
  • 7: 一般
  • 8: その他
  • 9: ボットネット
malwareName
不正プログラム名
例: HEUR_OLEXP.B
fname
ファイル名
例: sample_nice_dda_heurb_1177077.ppt-1
filehash
SHA-1
例: 3f21be4521b5278fb14b8f47afcabe08a17dc504
act
処理
  • allow (許可)
  • monitor (監視)
  • block (ブロック)
  • warn (警告)
  • override (オーバライド)
  • analyze (分析)
httpTrans
HTTPトランザクション
JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}
ログ出力の例1:
CEF:0|Trend Micro|Trend Micro Web Security|3.0.0.2040|100000|Access Log|0| 
wrsScore=81 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=2 upStreamSize=1064 
userDepartment= scanType=0 malwareType=0 
httpTrans={"http_req":{"headers":{"host":"clients4.google.com:443",
"proxy-connection":"keep-alive","user-agent":"Chrome WIN 67.0.3396.99 
(a337fbf3c2ab8ebc6b64b0bfdce73a20e2e2252b-refs/branch-heads/3396@{#790}) channel(stable)"},
"host":"clients4.google.com","method":"CONNECT","path":"","scheme":"https"},
"http_response":{"headers":{"content-length":"0"},"status_code":200},"ver":"1.0"}  
malwareName= rt=Jul 29 2018 19:34:11 +0000 policyName=default severity=65 filehash= 
logType=1 dst=172.217.24.206 appName=Google groupName= fname= adDomain= 
gatewayName=on-premise-2040 principalName= downStreamSize=4607 profileName= 
userName=10.204.214.188 src=10.204.214.188 transportBytes=5787
domainName=clients4.google.com cat=Search Engines/Portals act=allow
ログ出力の例2:
CEF:0|Trend Micro|Trend Micro Web Security|3.0.0.2051|100000|Access Log|0| 
wrsScore=49 companyID=7800fcab-7611-416c-9ab4-721b7bd6b076 app=1 upStreamSize=501 
userDepartment= scanType=70 malwareType=8 
httpTrans={"http_req":{"headers":{"accept-encoding":"gzip,deflate",
"host":"s3-us-west-2.amazonaws.com","user-agent":"Mozilla/5.0 
(Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99
Safari/537.36","x-forwarded-for":"10.204.214.188"},"host":"s3-us-west-2.amazonaws.com",
"method":"GET","path":"dda-demo-samples/SAMPLE_NICE_DDA_HEURB_1177077.ppt-1",
"scheme":"http"},"http_response":{"headers":{"content-length":"220160",
"content-type":"binary/octet-stream"},"status_code":200},"ver":"1.0"}
malwareName=HEUR_OLEXP.B rt=Aug 06 2018 02:24:15 +0000 policyName=default severity=0
filehash=3f21be4521b5278fb14b8f47afcabe08a17dc504 logType=1 dst=54.231.184.240 
appName=Amazon Web Services (AWS) groupName= fname=sample_nice_dda_heurb_1177077.ppt-1 
adDomain= gatewayName=on-premise-2051 principalName= downStreamSize=220529 
profileName=default userName=10.204.214.188 src=10.204.214.188 transportBytes=221030
domainName=s3-us-west-2.amazonaws.com cat=Malware Accomplice act=analyze