Syslogのコンテンツ対応の種類2
この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「user-defined-key-1=value-1 user-defined-key-2=value-2 … user-defined-key-n=value-n」の形式で入力し、
-
「user-defined-key」はユーザによって定義されます。
-
「value」には、変数または定数値を指定できます。この変数は「%{variable}」という形式になり、以下をサポートします。
-
事前定義/カスタム拡張CEFキー
例: %{rt}、%{wrsScore}
-
リクエストおよび応答のHTTPヘッダフィールド (すべて小文字)
例: 「%{user-agent_q}」は、リクエストメッセージ内のUser-Agentフィールドを指し、「%{content-length_s}」は応答メッセージ内のContent-Lengthフィールドを指します。
-
このフィールドは2,048文字以内で指定する必要があります。
ArcSightのCEF標準に準拠するには、キーと値のペアをスペースで区切ることをお勧めします。
次の表に、変数とWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。
|
変数 |
説明 |
値 |
|---|---|---|
|
ヘッダ (logVer) |
CEF形式バージョン |
CEF: 0 |
|
ヘッダ (vendor) |
アプライアンスベンダー |
トレンドマイクロ |
|
ヘッダ (pname) |
アプライアンス製品名 |
Trend Micro Web Security as a Service |
|
ヘッダ (pver) |
アプライアンスバージョン |
例: 3.0.0.2042 |
|
ヘッダ (eventid) |
署名ID |
例: 100000 |
|
ヘッダ (eventName) |
説明 |
アクセスログ |
|
ヘッダ (severity) |
リスクレベル |
|
|
rt |
UTCタイムスタンプ |
例: 2018/7/5 07:54:15 +0000 |
|
logType |
ログの種類 |
|
|
companyID |
会社ID |
例: 7800fcab-7611-416c-9ab4-721b7bd6b076 |
|
adDomain |
ADドメイン |
例: trendmicro.com.cn |
|
userName |
ユーザ名またはクライアントIP |
例: 10.204.214.188 |
|
groupName |
グループ名 |
例: testgroup1 |
|
userDepartment |
ユーザ部門 |
例: 財務部門 |
|
gatewayName |
ゲートウェイ名 |
例: on-premise-2051 |
|
app |
使用プロトコル |
|
|
transportBytes |
リクエストまたはレスポンスの本文のサイズ |
例: 221030 |
|
dst |
リクエストの送信先IPアドレス |
例: 54.231.184.240 |
|
src |
リクエストの送信元IPアドレス |
例: 10.204.214.188 |
|
upStreamSize |
Web Security as a Serviceからサーバへのアップストリームペイロード (バイト) |
例: 501 |
|
downStreamSize |
サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト) |
例: 220529 |
|
domainName |
URLドメイン |
例: clients4.google.com |
|
scanType |
検索の種類 |
|
|
policyName |
ポリシー名 |
例: 初期設定 |
|
profileName |
プロファイル名 |
例: 初期設定 |
|
severity |
WRSスコアしきい値 |
|
|
principalName |
プリンシパル名 |
例: testuser@trendmicro.com.cn |
|
cat |
URLカテゴリ |
例: 検索エンジン/ポータル |
|
appName |
アプリケーション名 |
例: Google |
|
wrsScore |
WRSスコア |
例: 81 |
|
malwareType |
不正プログラムの種類 |
|
|
malwareName |
不正プログラム名 |
例: HEUR_OLEXP.B |
|
fname |
ファイル名 |
例: sample_nice_dda_heurb_1177077.ppt-1 |
|
filehash |
SHA-1 |
例: 3f21be4521b5278fb14b8f47afcabe08a17dc504 |
|
act |
処理 |
|
|
httpTrans |
HTTPトランザクション |
JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}} |
|
method |
HTTP方式 |
例: GET、PUT、POST |
|
version |
HTTPバージョン |
例: 1.1 |
|
path |
HTTPリクエストパス |
例: example.html |
|
host |
HTTPリクエストホスト |
例: client2.example.com |
|
status_code |
HTTP応答のステータスコード |
例: 200、404、503 |
|
scheme |
HTTPまたはHTTPSプロトコル |
例: HTTP、HTTPS |
|
url |
scheme、host、pathの組み合わせ |
例: https://client2.example.com/example.html |
|
<http-request-header-name>_q |
HTTPリクエストのヘッダフィールド |
例: User-Agent: Mozilla/5.0 注:
対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。 Web Security as a ServiceではCookieが未加工のログに記録されないため、cookie変数は常にnullになります。 |
|
<http-response-header-name>_s |
HTTP応答のヘッダフィールド |
例: Content-Length: 348 注:
対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。 Web Security as a ServiceではCookieが未加工のログに記録されないため、set-cookie変数は常にnullになります。 |
|
macAddress |
適用エージェントがインストールされているWindowsエンドポイントのMACアドレス |
例: 00-50-56-89-02-14 注:
このCEFキーはオンプレミスゲートウェイに適用できません。 |
アクセスログ出力の例1:
May 23 03:09:30 10.206.197.102 CEF: 0|Trend Micro|Trend Micro Web Security|3.7.5.5642|100000|Access Log|1|rt=May 23 2022 03:00:22 +0000
logType=1 companyId=e3cdd29e-11aa-4e20-bd4d-180dd3a6e938 adDomain=e2e-uw2-hybrid.com
user=admin group= dep= device=roaming user application=2 traffic=466 dst=172.217.14.202 src=3.94.52.82 inbound=335
outbound=131 domain=optimizationguide-pa.googleapis.com scanType=0 policy=block-all profile= severity=0
principalname=admin@e2e-uw2-hybrid.com cat=Computers/Internet appName=The Secure HyperText Transfer Protocol wrs=81
malwareType=0 malwareName= filename= filehash= action=allow httpTrans={"http_req": {"body_len": 0, "headers":
{"host": "optimizationguide-pa.googleapis.com:443", "proxy-connection": "keep-alive", "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36"}, "host": "optimizationguide-pa.googleapis.com",
"version": "1.1", "path": "", "scheme": "https", "method": "CONNECT"}, "ver": "1.1", "http_response": {"body_len": 0, "headers":
{"true-file-type": "0", "via": "http/1.1 localhost.localdomain.test1 (TMWS)", "proxy-connection": "close"}, "version": "1.1",
"status_code": 200}} method=CONNECT httpversion=1.1 path= host=optimizationguide-pa.googleapis.com status_code=200 scheme=https
RequestUrl=https://optimizationguide-pa.googleapis.com:443/ macAddress=00-50-56-89-02-14
アクセスログ出力の例2:
May 23 06:59:33 10.206.197.102 CEF: 0|Trend Micro|Trend Micro Web Security|3.7.5.5642|100000|Access Log|1|rt=May 23 2022 06:52:28 +0000
logType=1 companyId=e3cdd29e-11aa-4e20-bd4d-180dd3a6e938 adDomain=e2e-uw2-hybrid.com user=admin
group= dep= device=roaming user application=1 traffic=0 dst=104.193.88.77 src=3.94.52.82 inbound=0 outbound=0 domain=www.baidu.com
scanType=60 policy=block-all profile= severity=0 principalname=admin@e2e-uw2-hybrid.com cat=Computers/Internet appName=Baidu
wrs=81 malwareType=0 malwareName= filename= filehash= action=block httpTrans={"http_req": {"body_len": 0, "headers":
{"accept-language": "en-US,en;q\=0.9", "accept-encoding": "gzip, deflate", "accept":
"text/html,application/xhtml+xml,application/xml;q\=0.9,image/avif,image/webp,image/apng,*/*;q\=0.8,application/signed-exchange;v\=b3;q\=0.9",
"upgrade-insecure-requests": "1", "host": "www.baidu.com", "user-agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36", "proxy-connection": "keep-alive"}, "host": "www.baidu.com",
"version": "1.1", "path": "/", "scheme": "http", "method": "GET"}, "ver": "1.1", "http_response": {"body_len": 0, "headers":
{"true-file-type": "0"}, "version": "", "status_code": -1}} method=GET httpversion=1.1 path=/ host=www.baidu.com status_code=-1 scheme=http
RequestUrl=http://www.baidu.com/ macAddress=00-50-56-89-02-14
|
CEFキー |
説明 |
値 |
|---|---|---|
|
ヘッダ (logVer) |
CEF形式バージョン |
CEF: 0 |
|
ヘッダ (vendor) |
アプライアンスベンダー |
トレンドマイクロ |
|
ヘッダ (pname) |
アプライアンス製品名 |
Trend Micro Web Security as a Service |
|
ヘッダ (pver) |
アプライアンスバージョン |
例: 3.4.1.5449 |
|
ヘッダ (eventid) |
署名ID |
例: 100001 |
|
ヘッダ (eventName) |
説明 |
監査ログ |
|
ヘッダ (severity) |
リスクレベル |
0 |
|
rt |
UTCタイムスタンプ |
例: Nov 04 2020 02:15:06 +0000 |
|
userName |
メールアドレス |
例: user@example.com |
|
companyID |
会社ID |
例: 7800fcab-7611-416c-9ab4-721b7bd6b076 |
|
logType |
ログの種類 |
3: 監査ログ |
|
act |
管理操作 |
例: 管理者ログオン |
|
httpTrans |
詳細な運用情報 |
次の出力サンプルを参照 |
表に示されていない他のCEFキーは、監査ログでは利用できません。そのため、[CEFキー] で他のCEFキーを設定するとnullになります。
監査ログ出力の例1:
Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security as a Service|
3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:49:58 +0000 src= dest= site= score= category=
app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn
companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Save Cloud Syslog Forwarding Setting
content={"ip": "10.206.197.117", "contentFormat": "rt=%{rt} src=%{src} dest=%{dst} site=%{domainName}
score=%{wrsScore} category=%{cat} app=%{appName} url=%{url} http_user_agent=%{user-agent_q}
status=%{status_code} bytes_out=%{downStreamSize} bytes_in=%{upStreamSize} user=%{userName}
companyid=%{companyID} action=%{act} content=%{httpTrans}", "enable": 1, "port": 8514}
監査ログ出力の例2:
Nov 2 09:57:55 ad173.onmicrosoft.com CEF: 0|Trend Micro|Trend Micro Web Security as a Service| 3.4.1.5440|100001|Audit Log|0|rt=Nov 02 2020 09:50:13 +0000 src= dest= site= score= category= app= url= http_user_agent= status= bytes_out= bytes_in= user=admin@trendmicro.com.cn companyid=d528b12f-08df-4c1f-be10-8ab6c74bf3e2 action=Delete Hosted User content="data=H:user-160144443485@trendmicro.com.cn"
