|
CEFキー
|
説明
|
値
|
|
ヘッダ (logVer)
|
CEF形式バージョン
|
CEF:0
|
|
ヘッダ (vendor)
|
アプライアンスベンダ
|
Trend Micro
|
|
ヘッダ (pname)
|
アプライアンス製品
|
Apex Central
|
|
ヘッダ (pver)
|
アプライアンスバージョン
|
2019
|
|
ヘッダ (eventid)
|
イベントID
|
700106
|
|
ヘッダ (eventName)
|
ログ名
|
Data Loss Prevention
|
|
ヘッダ (severity)
|
重大度
|
3
|
|
cs1Label
|
cs1フィールドに対応するラベル |
「Policy GUID」
|
|
cs1
|
ポリシーGUID
|
例: FAF492CF-164C-4672-9A79-F1AB9CB288A3
|
|
cn1Label
|
cn1フィールドに対応するラベル |
「Product」
|
|
cn1
|
製品の種類の値
|
例: 15
|
|
rt
|
イベントトリガ時刻 (UTC)
|
例:
Mar 22 2018 08:23:23 GMT+00:00 |
|
src
|
送信元ホストIPアドレス
|
例: 10.0.57.160
|
|
smac
|
送信元ホストMACアドレス
|
例: 74-27-00-0C-65-E7
|
|
shost
|
送信元ホスト名
|
例: shost1
|
|
cs4Label
|
cs4フィールドに対応するラベル |
「Incident_Source_(AD_Account)」
|
|
cs4
|
違反ユーザ名
|
例: Trend
|
|
suser
|
メール送信者
|
例: sender@example.com
|
|
request
|
アクセス先のURL
|
例: https://example.com/api/content
|
|
duser
|
受信者のコンマ (,) 区切りリスト
|
例:
user1@example.com;user2@example.com; |
|
msg
|
件名
|
例:
Sample,20171017 |
|
filepath
|
ファイルパス
|
例:
D:\\Windows Live Mail\\Storage Folders\\Imported Fo e52\\Local Folders\\Sent Items\\Archive Aft de1\\Clients,Adv 22b\\ |
|
fname
|
トリガファイル名
|
例:
2B43363A-000000A4.eml |
|
fsize
|
ファイルサイズ (バイト)
|
例:
3 |
|
cs5Label
|
cs5フィールドに対応するラベル |
「Rule」
|
|
cs5
|
ルール名
|
例: SAMPLE RULE SET
|
|
cs6Label
|
cs6フィールドに対応するラベル |
Template |
|
cs6
|
テンプレート名
|
例:
Apex One policy |
|
cn3Label
|
cn3フィールドに対応するラベル |
Channel |
|
cn3
|
チャネルの種類
|
例:
3 詳細については、チャネルマッピングテーブルを参照してください。
|
|
cn2Label
|
cn2フィールドに対応するラベル |
Action |
|
cn2
|
処理結果
|
例:
4 詳細については、処理結果マッピングテーブルを参照してください。
|
|
cs2Label
|
cs2フィールドに対応するラベル |
Policy |
|
cs2
|
ポリシー名
|
例:
OfficeScan |
|
cs3Label
|
cs3フィールドに対応するラベル |
Product_Entity/Endpoint |
|
cs3
|
エンドポイントのホスト名
|
例:
Sample_Host |
|
dvchost
|
サーバのホスト名
|
例:
localhost |
|
deviceFacility
|
製品名
|
例:
Apex One |
|
deviceNtDomain
|
Active Directoryドメイン
|
例: APEXTMCM
|
|
dntdom
|
Apex Oneドメイン階層
|
例: OSCEDomain1
|
|
externalId
|
イベントのログID
|
例:
101 |
|
cfp1Label
|
cfp1Labelフィールドに対応するラベル |
ForensicFileAvailable |
|
cfp1
|
フォレンジックファイルのダウンロードが可能かどうかを示す
|
|
|
TMCMLogDetectedHost
|
ログイベントが発生したエンドポイント名
|
例: MachineHostName
|
|
TMCMLogDetectedIP
|
ログイベントが発生したIPアドレス
|
例: 10.1.2.3
|
|
ApexCentralHost
|
Apex Centralホスト名
|
例: TW-CHRIS-W2019
|
|
devicePayloadId
|
一意のメッセージGUID
|
例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
エンドポイントのOS
|
例: Windows 7 6.1 (Build 7601) Service Pack 1
|
ログの例:
CEF:0|Trend Micro|Apex Central|2019|700106|Data Loss Prevent ion|3|cs3Label=Product_Entity/Endpoint cs3=Sample_Host dvc host=Sampledvchost cs2Label=Policy cs2=N/A cn1Label=Product cn1=15 rt=Oct 13 2017 02:54:04 GMT+00:00 src=10.0.9.34 smac= 34-E6-D7-84-BC-7F shost=shost1 cs4Label=Incident_Source_(AD_ Account) cs4=12467 filePath=D:\\2. DRIVER\\drivers WIN7\\Dri vers\\DP_CardReader_14032.7z\\O2Micro\\FORCED\\6x86\\ fname= O2MDFvst.INF cs5Label=Rule cs5=SAMPLE RULE SET cs6Label=Temp late cs6=Apex One policy cn3Label=Channel cn3=0 cn2Label=Act ion cn2=4 deviceFacility=Apex One deviceNtDomain=APEXTMCM dn tdom=OSCEDomain1 externalId=101 cfp1Label=ForensicFileAvaila ble cfp1=0 dvchost=localhost TMCMLogDetectedHost=ApexOneClie nt01 TMCMLogDetectedIP=10.201.86.187 ApexCentralHost=TW-CHRI S-W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1