CEFデバイスアクセス管理ログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

イベントID

700107

ヘッダ (eventName)

ログ名

Device Access Control

ヘッダ (severity)

重大度

3

rt

ログ生成日時 (UTC)

例: "Feb 14 2017 11:14:08 GMT+00:00"

cs1Label

"cs1"フィールドに対応するラベル

"Product Entity/Endpoint"

cs1

サーバのホスト名

例: "Sample_Host"

shost

送信元ホスト名

例: "shost1"

duser

ユーザ名

例: "testserver\\administrator"

dvchost

対象ホスト名

例: "localhost"

cn1Label

"cn1"フィールドに対応するラベル

"Product"

cn1

製品ID

例: "Apex One"

詳細については、製品IDマッピングテーブルを参照してください。

sproc

対象プロセス

例: "C:\\Windows\\explorer.exe"

fname

ファイル名

例: "F:\\Autorun.inf"

cn2Label

"cn2"フィールドに対応するラベル

"Device_Type"

cn2

デバイスの種類

例: "0"

  • 0: USBストレージデバイス

  • 1: 非ストレージUSB

  • 2: CD/DVD

  • 3: フロッピーディスク

  • 4: ネットワークドライバ

cn3Label

"cn3"フィールドに対応するラベル

"Permission"

cn3

権限

例: "3"

  • 0: 変更

  • 1: 読み取りおよび実行

  • 2: 読み取り

  • 3: デバイスの内容のみのリスト表示

  • 4: ブロック

deviceFacility

製品名

例: "Apex One"

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

TMCMLogDetectedHost

ログイベントが発生したエンドポイント名

例: MachineHostName

TMCMLogDetectedIP

ログイベントが発生したIPアドレス

例: 10.1.2.3

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|700107|Device Access C
ontrol|3|rt=Aug 16 2017 04:49:15 GMT+00:00 cs1Label=Product_
Entity/Endpoint cs1=Sample_Host shost=shost1 dvchost=localho
st cn1Label=Product cn1=15 sproc=C:\\Windows\\explorer.exe f
name=F:\\Autorun.inf cn2Label=Device_Type cn2=0 cn3Label=Per
mission cn3=3 deviceFacility=Apex One deviceNtDomain=APEXTMC
M dntdom=OSCEDomain1 TMCMLogDetectedHost=shost1 
TMCMLogDetectedIP=10.0.76.40 ApexCentralHost=TW-CHRIS-W2019
devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697