ビュー:
この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「user-defined-key-1=value-1 user-defined-key-2=value-2 … user-defined-key-n=value-n」の形式で入力し、
  • user-defined-key」はユーザによって定義されます。
  • value」には、変数または定数値を指定できます。この変数は「%{variable}」という形式になり、以下をサポートします。
    • 事前定義/カスタム拡張CEFキー
      例: %{rt}、%{wrsScore}
    • リクエストおよび応答のHTTPヘッダフィールド (すべて小文字)
      例: 「%{user-agent_q}」は、リクエストメッセージ内のUser-Agentフィールドを指し、「%{content-length_s}」は応答メッセージ内のContent-Lengthフィールドを指します。
このフィールドは2,048文字以内で指定する必要があります。
注意
注意
ArcSightのCEF標準に準拠するには、キーと値のペアをスペースで区切ることをお勧めします。
次の表に、変数とWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

CEFアクセスログ

変数
説明
ヘッダ (logVer)
CEF形式バージョン
CEF: 0
ヘッダ (vendor)
アプライアンスベンダー
トレンドマイクロ
ヘッダ (pname)
アプライアンス製品名
Trend Micro Web Security as a Service
ヘッダ (pver)
アプライアンスバージョン
例: 3.0.0.2042
ヘッダ (eventid)
署名ID
例: 100000
ヘッダ (eventName)
説明
アクセスログ
ヘッダ (severity)
リスクレベル
  • 0: 処理=許可/分析
  • 1: 処理=監視/警告/オーバーライド
  • 2: 処理=ブロック
rt
UTCタイムスタンプ
例: 2018/7/5 07:54:15 +0000
logType
ログの種類
  • 1: 成功したアクセスログ
  • 5: 失敗したHTTPSアクセスログ
companyID
会社ID
例: 7800fcab-7611-416c-9ab4-721b7bd6b076
adDomain
ADドメイン
例: trendmicro.com.cn
userName
ユーザ名またはクライアントIP
例: 10.204.214.188
groupName
グループ名
例: testgroup1
userDepartment
ユーザ部門
例: 財務部門
gatewayName
ゲートウェイ名
例: on-premise-2051
app
使用プロトコル
  • 1: HTTP
  • 2: HTTPS
  • 3: HTTP/2
transportBytes
リクエストまたはレスポンスの本文のサイズ
例: 221030
dst
リクエストの送信先IPアドレス
例: 54.231.184.240
src
リクエストの送信元IPアドレス
例: 10.204.214.188
upStreamSize
Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)
例: 501
downStreamSize
サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)
例: 220529
domainName
URLドメイン
例: clients4.google.com
scanType
検索の種類
  • 0: 一致するルールがありません
  • 1: クライアント証明書が必要です
  • 2: 信頼されていないサーバ証明書
  • 10: 承認済みURL/ブロックするURL
  • 13: クライアントは許可されていません
  • 14: 宛先ポートは許可されていません
  • 15: プライベートアドレスへのアクセス
  • 20: Webレピュテーションサービス
  • 21: URLフィルタ
  • 30: 実際のファイルタイプ
  • 33: MIMEタイプ
  • 34: ファイル拡張子名
  • 40: 不正プログラム対策
  • 41: 検索不能ファイル
  • 45: 機械学習型検索
  • 50: ボットネット対策
  • 60: アプリケーション制御
  • 70: 不審オブジェクト分析 (仮想アナライザ)
  • 90: 不審オブジェクトフィルタリング (仮想アナライザ)
  • 100: 情報漏えい対策
  • 110: ランサムウェア
policyName
ポリシー名
例: 初期設定
profileName
プロファイル名
例: 初期設定
severity
WRSスコアしきい値
  • 0: WRS無効
  • 50: WRSセキュリティレベル=低
  • 65: WRSセキュリティレベル=中
  • 80: WRSセキュリティレベル=高
principalName
プリンシパル名
例: testuser@trendmicro.com.cn
cat
URLカテゴリ
例: 検索エンジン/ポータル
appName
アプリケーション名
例: Google
wrsScore
WRSスコア
例: 81
malwareType
不正プログラムの種類
  • 1: ウイルス
  • 2: スパイウェア
  • 3: ジョーク
  • 4: トロイの木馬
  • 5: テストウイルス
  • 6: パッカー
  • 7: 一般
  • 8: その他
  • 9: ボットネット
malwareName
不正プログラム名
例: HEUR_OLEXP.B
fname
ファイル名
例: sample_nice_dda_heurb_1177077.ppt-1
filehash
SHA-1
例: 3f21be4521b5278fb14b8f47afcabe08a17dc504
act
処理
  • allow (許可)
  • monitor (監視)
  • block (ブロック)
  • warn (警告)
  • override (オーバライド)
  • analyze (分析)
httpTrans
HTTPトランザクション
JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}
method
HTTP方式
例: GET、PUT、POST
version
HTTPバージョン
例: 1.1
path
HTTPリクエストパス
例: example.html
host
HTTPリクエストホスト
例: client2.example.com
status_code
HTTP応答のステータスコード
例: 200、404、503
注意
注意
–1の値は、リクエストがブロックされたか、予期しない状況が発生したことを示します。
scheme
HTTPまたはHTTPSプロトコル
例: HTTP、HTTPS
url
scheme、host、pathの組み合わせ
例: https://client2.example.com/example.html
<http-request-header-name>_q
HTTPリクエストのヘッダフィールド
例: User-Agent: Mozilla/5.0
注意
注意
対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。
Web Security as a ServiceではCookieが未加工のログに記録されないため、cookie変数は常にnullになります。
<http-response-header-name>_s
HTTP応答のヘッダフィールド
例: Content-Length: 348
注意
注意
対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。
Web Security as a ServiceではCookieが未加工のログに記録されないため、set-cookie変数は常にnullになります。
ログ出力の例1:
Oct 25 08:13:13 10.206.197.112 CEF: 0|Trend Micro|Trend Micro Web Security|3.1.0.2485|100000|Access Log|1|
act=allow app=2 cat=Proxy cn1=0 cn1Label=malwareType cn2=0 cn2Label=scanType cs1=200 cs1Label=ResponseCode cs2=default 
cs2Label=policyName cs3= cs3=encoding cs4= cs4Label=URL Path cs5=https cs5Label=method desinationDnsDomain=login.live.com 
dhost=login.live.com dvchost=roaming user end=Oct 25 2019 08:04:47 +0000 fileHash= fname= in=291 out=122 proto=tcp RequestURL=https://login.live.com:443/ 
requestClientApplication=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 
requestMethod=https shost=10.206.197.110 src=10.206.197.110
ログ出力の例2:
Oct 25 08:18:15 10.206.197.112 CEF: 0|Trend Micro|Trend Micro Web Security|3.1.0.2485|100000|Access Log|1|
act=allow app=1 cat=Proxy cn1=0 cn1Label=malwareType cn2=0 cn2Label=scanType cs1=502 cs1Label=ResponseCode cs2=default 
cs2Label=policyName cs3=gzip, deflate cs3=encoding cs4=job/4v20-e2e-ops-an/ cs4Label=URL Path cs5=http cs5Label=method 
desinationDnsDomain=10.202.240.69 dhost=10.202.240.69 dvchost=roaming user end=Oct 25 2019 08:06:24 +0000 fileHash=8aaceef018f9e7cde0b381a9d1237b29e113c1c2 
fname= in=538 out=510 proto=tcp RequestURL=http://10.202.240.69:8080/job/4v20-e2e-ops-an/ 
requestClientApplication=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 
requestMethod=http shost=10.206.197.110 src=10.206.197.110