CEF Endpoint Application Controlのログ

CEFキー

説明

ヘッダ (logVer)

CEF形式バージョン

CEF:0

ヘッダ (vendor)

アプライアンスベンダ

Trend Micro

ヘッダ (pname)

アプライアンス製品

Apex Central

ヘッダ (pver)

アプライアンスバージョン

2019

ヘッダ (eventid)

デバイスイベントクラスID

  • 0: 許可

  • 1: ブロック

  • 2: ロックダウン

ヘッダ (eventName)

イベント名

Endpoint Application Control Violation Information

ヘッダ (severity)

重大度

3

deviceExternalId

ID

例: "39"

rt

ログ生成日時 (UTC)

例: "Feb 14 2017 11:14:08 GMT+00:00"

dvchost

コンピュータ名

例: "localhost"

shost

クライアントホスト名

例: "shost1"

cs1

製品サーバのパターンファイルバージョン

例: "1297"

suser

クライアントのユーザ名

例: "TREND\User"

cs2

クライアントのIPv4アドレス

例: "10.0.17.6"

c6a3

クライアントのIPv6アドレス

例: "fe80::38ca:cd15:443c:40bb%11"

cn1

クライアントのステータス

  • 1: データベースを再構築しています

  • 2: オンライン

  • 3: オフライン

filehash

アプリケーションのファイルSHA-1ハッシュ

例: "D6712CAE5EC821F910E14945153AE7871AA536CA"

fname

アプリケーションファイル名

例: "notepad.exe"

cs3

アプリケーションのプロセスコマンドライン

例: "notepad.exe"

duser

ユーザ名

例: "Admin004"

cs4

ルール名

例: "SAMPLE RULE SET"

cs5

ポリシー名

例: "SAMPLE POLICY"

act

ポリシー処理

  • 0: 許可

  • 1: ブロック

  • 2: 許可として報告

  • 3: ブロックとして報告

deviceFacility

製品名

例: "Trend Micro Endpoint Application Control"

deviceNtDomain

Active Directoryドメイン

例: APEXTMCM

dntdom

Apex Oneドメイン階層

例: OSCEDomain1

ApexCentralHost

Apex Centralホスト名

例: TW-CHRIS-W2019

devicePayloadId

一意のメッセージGUID

例: 1C00290C0360-9CDE11EB-D4B8-F51F-C697

ログの例:

CEF:0|Trend Micro|Apex Central|2019|EAC:1|Endpoint Applica
tion Control Violation Information|3|deviceExternalId=39 rt=
Jun 27 2012 03:14:03 GMT+00:00 cs1Label=Version cs1=1.299.00
 suser=TMCM\\QA cs2Label=ApplicationControlEvent_ClientIPAdd
ress_V4 cs2=0.0.0.0 cn1Label=Connection_Status cn1=0 fileHas
h=c0869b72C5606D22D92A6AC986686BB87485A25b fname=P2P_TEST.ex
e cs3Label=Command cs3=C:\\P2P_TEST.exe duser=QA cs4Label=Ru
le cs4=Test cs5Label=Policy cs5=TestPolicy act=Blocked devic
eFacility=Trend Micro Endpoint Application Control deviceNtD
omain=APEXTMCM dntdom=OSCEDomain1 ApexCentralHost=TW-CHRIS-
W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697