Syslogのコンテンツ対応の種類2

• 「user-defined-key」はユーザによって定義されます。
• 「value」には、変数または定数値を指定できます。この変数は「%{variable}」という形式になり、以下をサポートします。
  • 事前定義/カスタム拡張CEFキー
    例: %{rt}、%{wrsScore}
  • リクエストおよび応答のHTTPヘッダフィールド (すべて小文字)
    例: 「%{user-agent_q}」は、リクエストメッセージ内のUser-Agentフィールドを指し、「%{content-length_s}」は応答メッセージ内のContent-Lengthフィールドを指します。

注意 ArcSightのCEF標準に準拠するには、キーと値のペアをスペースで区切ることをお勧めします。

CEFアクセスログ

変数	説明	値
ヘッダ (logVer)	CEF形式バージョン	CEF: 0
ヘッダ (vendor)	アプライアンスベンダー	トレンドマイクロ
ヘッダ (pname)	アプライアンス製品名	Trend Micro Web Security as a Service
ヘッダ (pver)	アプライアンスバージョン	例: 3.0.0.2042
ヘッダ (eventid)	署名ID	例: 100000
ヘッダ (eventName)	説明	アクセスログ
ヘッダ (severity)	リスクレベル	0: 処理=許可/分析 1: 処理=監視/警告/オーバーライド 2: 処理=ブロック
rt	UTCタイムスタンプ	例: 2018/7/5 07:54:15 +0000
logType	ログの種類	1: 成功したアクセスログ 5: 失敗したHTTPSアクセスログ
companyID	会社ID	例: 7800fcab-7611-416c-9ab4-721b7bd6b076
adDomain	ADドメイン	例: trendmicro.com.cn
userName	ユーザ名またはクライアントIP	例: 10.204.214.188
groupName	グループ名	例: testgroup1
userDepartment	ユーザ部門	例: 財務部門
gatewayName	ゲートウェイ名	例: on-premise-2051
app	使用プロトコル	1: HTTP 2: HTTPS 3: HTTP/2
transportBytes	リクエストまたはレスポンスの本文のサイズ	例: 221030
dst	リクエストの送信先IPアドレス	例: 54.231.184.240
src	リクエストの送信元IPアドレス	例: 10.204.214.188
upStreamSize	Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)	例: 501
downStreamSize	サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)	例: 220529
domainName	URLドメイン	例: clients4.google.com
scanType	検索の種類	0: 一致するルールがありません 1: クライアント証明書が必要です 2: 信頼されていないサーバ証明書 10: 承認済みURL/ブロックするURL 13: クライアントは許可されていません 14: 宛先ポートは許可されていません 15: プライベートアドレスへのアクセス 20: Webレピュテーションサービス 21: URLフィルタ 30: 実際のファイルタイプ 33: MIMEタイプ 34: ファイル拡張子名 40: 不正プログラム対策 41: 検索不能ファイル 45: 機械学習型検索 50: ボットネット対策 60: アプリケーション制御 70: 不審オブジェクト分析 (仮想アナライザ) 90: 不審オブジェクトフィルタリング (仮想アナライザ) 100: 情報漏えい対策 110: ランサムウェア
policyName	ポリシー名	例: 初期設定
profileName	プロファイル名	例: 初期設定
severity	WRSスコアしきい値	0: WRS無効 50: WRSセキュリティレベル=低 65: WRSセキュリティレベル=中 80: WRSセキュリティレベル=高
principalName	プリンシパル名	例: testuser@trendmicro.com.cn
cat	URLカテゴリ	例: 検索エンジン/ポータル
appName	アプリケーション名	例: Google
wrsScore	WRSスコア	例: 81
malwareType	不正プログラムの種類	1: ウイルス 2: スパイウェア 3: ジョーク 4: トロイの木馬 5: テストウイルス 6: パッカー 7: 一般 8: その他 9: ボットネット
malwareName	不正プログラム名	例: HEUR_OLEXP.B
fname	ファイル名	例: sample_nice_dda_heurb_1177077.ppt-1
filehash	SHA-1	例: 3f21be4521b5278fb14b8f47afcabe08a17dc504
act	処理	allow (許可) monitor (監視) block (ブロック) warn　(警告) override (オーバライド) analyze (分析)
httpTrans	HTTPトランザクション	JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}
method	HTTP方式	例: GET、PUT、POST
version	HTTPバージョン	例: 1.1
path	HTTPリクエストパス	例: example.html
host	HTTPリクエストホスト	例: client2.example.com
status_code	HTTP応答のステータスコード	例: 200、404、503 注意 –1の値は、リクエストがブロックされたか、予期しない状況が発生したことを示します。
scheme	HTTPまたはHTTPSプロトコル	例: HTTP、HTTPS
url	scheme、host、pathの組み合わせ	例: https://client2.example.com/example.html
<http-request-header-name>_q	HTTPリクエストのヘッダフィールド	例: User-Agent: Mozilla/5.0 注意 対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。 Web Security as a ServiceではCookieが未加工のログに記録されないため、cookie変数は常にnullになります。
<http-response-header-name>_s	HTTP応答のヘッダフィールド	例: Content-Length: 348 注意 対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。 Web Security as a ServiceではCookieが未加工のログに記録されないため、set-cookie変数は常にnullになります。
macAddress	適用エージェントがインストールされているWindowsエンドポイントのMACアドレス	例: 00-50-56-89-02-14 注意 このCEFキーはオンプレミスゲートウェイに適用できません。

May 23 03:09:30 10.206.197.102 CEF: 0|Trend Micro|Trend Micro Web Security|3.7.5.5642|100000|Access Log|1|rt=May 23 2022 03:00:22 +0000 
logType=1 companyId=e3cdd29e-11aa-4e20-bd4d-180dd3a6e938 adDomain=e2e-uw2-hybrid.com 
user=admin group= dep= device=roaming user application=2 traffic=466 dst=172.217.14.202 src=3.94.52.82 inbound=335 
outbound=131 domain=optimizationguide-pa.googleapis.com scanType=0 policy=block-all profile= severity=0 
principalname=admin@e2e-uw2-hybrid.com cat=Computers/Internet appName=The Secure HyperText Transfer Protocol wrs=81 
malwareType=0 malwareName= filename= filehash= action=allow httpTrans={"http_req": {"body_len": 0, "headers": 
{"host": "optimizationguide-pa.googleapis.com:443", "proxy-connection": "keep-alive", "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)
 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"}, "host": "optimizationguide-pa.googleapis.com", 
"version": "1.1", "path": "", "scheme": "https", "method": "CONNECT"}, "ver": "1.1", "http_response": {"body_len": 0, "headers": 
{"true-file-type": "0", "via": "http/1.1 localhost.localdomain.test1 (TMWS)", "proxy-connection": "close"}, "version": "1.1", 
"status_code": 200}} method=CONNECT httpversion=1.1 path= host=optimizationguide-pa.googleapis.com status_code=200 scheme=https 
RequestUrl=https://optimizationguide-pa.googleapis.com:443/ macAddress=00-50-56-89-02-14

May 23 06:59:33 10.206.197.102 CEF: 0|Trend Micro|Trend Micro Web Security|3.7.5.5642|100000|Access Log|1|rt=May 23 2022 06:52:28 +0000 
logType=1 companyId=e3cdd29e-11aa-4e20-bd4d-180dd3a6e938 adDomain=e2e-uw2-hybrid.com user=admin 
group= dep= device=roaming user application=1 traffic=0 dst=104.193.88.77 src=3.94.52.82 inbound=0 outbound=0 domain=www.baidu.com 
scanType=60 policy=block-all profile= severity=0 principalname=admin@e2e-uw2-hybrid.com cat=Computers/Internet appName=Baidu 
wrs=81 malwareType=0 malwareName= filename= filehash= action=block httpTrans={"http_req": {"body_len": 0, "headers": 
{"accept-language": "en-US,en;q\=0.9", "accept-encoding": "gzip, deflate", "accept": 
"text/html,application/xhtml+xml,application/xml;q\=0.9,image/avif,image/webp,image/apng,*/*;q\=0.8,application/signed-exchange;v\=b3;q\=0.9", 
"upgrade-insecure-requests": "1", "host": "www.baidu.com", "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36", "proxy-connection": "keep-alive"}, "host": "www.baidu.com", 
"version": "1.1", "path": "/", "scheme": "http", "method": "GET"}, "ver": "1.1", "http_response": {"body_len": 0, "headers":
 {"true-file-type": "0"}, "version": "", "status_code": -1}} method=GET httpversion=1.1 path=/ host=www.baidu.com status_code=-1 scheme=http 
RequestUrl=http://www.baidu.com/ macAddress=00-50-56-89-02-14

注意 表に示されていない他のCEFキーは、監査ログでは利用できません。そのため、[CEFキー] で他のCEFキーを設定するとnullになります。

Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:49:58 +0000 src= dest= site= score= category= 
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn 
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Save Cloud Syslog Forwarding Setting 
content={"ip": "10.206.197.117", "contentFormat": "rt=%{rt} src=%{src} dest=%{dst} site=%{domainName} 
score=%{wrsScore} category=%{cat} app=%{appName} url=%{url} http_user_agent=%{user-agent_q} 
status=%{status_code} bytes_out=%{downStreamSize} bytes_in=%{upStreamSize} user=%{userName} 
companyid=%{companyID} action=%{act} content=%{httpTrans}", "enable": 1, "port": 8514}

Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:50:13 +0000 src= dest= site= score= category= 
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn 
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Delete Hosted User 
content="data=H:user-160144443485@trendmicro.com.cn"