Syslogのコンテンツ対応の種類2

この種類のSyslogのコンテンツ対応の場合、[CEFキー] フィールドは「user-defined-key-1=value-1 user-defined-key-2=value-2 … user-defined-key-n=value-n」の形式で入力し、

「user-defined-key」はユーザによって定義されます。
「value」には、変数または定数値を指定できます。この変数は「%{variable}」という形式になり、以下をサポートします。
- 事前定義/カスタム拡張CEFキー
  
  例: %{rt}、%{wrsScore}
- リクエストおよび応答のHTTPヘッダフィールド (すべて小文字)
  
  例: 「%{user-agent_q}」は、リクエストメッセージ内のUser-Agentフィールドを指し、「%{content-length_s}」は応答メッセージ内のContent-Lengthフィールドを指します。

このフィールドは2,048文字以内で指定する必要があります。

注:

ArcSightのCEF標準に準拠するには、キーと値のペアをスペースで区切ることをお勧めします。

次の表に、変数とWeb Security as a Serviceのログ出力 (値) のsyslogコンテンツの対応を示します。

表 1. CEFアクセスログ
変数	説明	値
ヘッダ (logVer)	CEF形式バージョン	CEF: 0
ヘッダ (vendor)	アプライアンスベンダー	トレンドマイクロ
ヘッダ (pname)	アプライアンス製品名	Trend Micro Web Security as a Service
ヘッダ (pver)	アプライアンスバージョン	例: 3.0.0.2042
ヘッダ (eventid)	署名ID	例: 100000
ヘッダ (eventName)	説明	アクセスログ
ヘッダ (severity)	リスクレベル	0: 処理=許可/分析 1: 処理=監視/警告/オーバーライド 2: 処理=ブロック
rt	UTCタイムスタンプ	例: 2018/7/5 07:54:15 +0000
logType	ログの種類	1: 成功したアクセスログ 5: 失敗したHTTPSアクセスログ
companyID	会社ID	例: 7800fcab-7611-416c-9ab4-721b7bd6b076
adDomain	ADドメイン	例: trendmicro.com.cn
userName	ユーザ名またはクライアントIP	例: 10.204.214.188
groupName	グループ名	例: testgroup1
userDepartment	ユーザ部門	例: 財務部門
gatewayName	ゲートウェイ名	例: on-premise-2051
app	使用プロトコル	1: HTTP 2: HTTPS 3: HTTP/2
transportBytes	リクエストまたはレスポンスの本文のサイズ	例: 221030
dst	リクエストの送信先IPアドレス	例: 54.231.184.240
src	リクエストの送信元IPアドレス	例: 10.204.214.188
upStreamSize	Web Security as a Serviceからサーバへのアップストリームペイロード (バイト)	例: 501
downStreamSize	サーバからWeb Security as a Serviceへのダウンストリームペイロード (バイト)	例: 220529
domainName	URLドメイン	例: clients4.google.com
scanType	検索の種類	0: 一致するルールがありません 1: クライアント証明書が必要です 2: 信頼されていないサーバ証明書 10: 承認済みURL/ブロックするURL 13: クライアントは許可されていません 14: 宛先ポートは許可されていません 15: プライベートアドレスへのアクセス 20: Webレピュテーションサービス 21: URLフィルタ 30: 実際のファイルタイプ 33: MIMEタイプ 34: ファイル拡張子名 40: 不正プログラム対策 41: 検索不能ファイル 45: 機械学習型検索 50: ボットネット対策 60: アプリケーション制御 70: 不審オブジェクト分析 (仮想アナライザ) 90: 不審オブジェクトフィルタリング (仮想アナライザ) 100: 情報漏えい対策 110: ランサムウェア
policyName	ポリシー名	例: 初期設定
profileName	プロファイル名	例: 初期設定
severity	WRSスコアしきい値	0: WRS無効 50: WRSセキュリティレベル=低 65: WRSセキュリティレベル=中 80: WRSセキュリティレベル=高
principalName	プリンシパル名	例: testuser@trendmicro.com.cn
cat	URLカテゴリ	例: 検索エンジン/ポータル
appName	アプリケーション名	例: Google
wrsScore	WRSスコア	例: 81
malwareType	不正プログラムの種類	1: ウイルス 2: スパイウェア 3: ジョーク 4: トロイの木馬 5: テストウイルス 6: パッカー 7: 一般 8: その他 9: ボットネット
malwareName	不正プログラム名	例: HEUR_OLEXP.B
fname	ファイル名	例: sample_nice_dda_heurb_1177077.ppt-1
filehash	SHA-1	例: 3f21be4521b5278fb14b8f47afcabe08a17dc504
act	処理	allow (許可) monitor (監視) block (ブロック) warn　(警告) override (オーバライド) analyze (分析)
httpTrans	HTTPトランザクション	JSON形式。例: {"http_req":{ "method":"GET","scheme":"http","path":"index.html","host":www.sina.com.cn,"headers":{"header_1":"value_1", ...}},"http_response":{"status_code":"200","headers":{...}}}
method	HTTP方式	例: GET、PUT、POST
version	HTTPバージョン	例: 1.1
path	HTTPリクエストパス	例: example.html
host	HTTPリクエストホスト	例: client2.example.com
status_code	HTTP応答のステータスコード	例: 200、404、503 注: –1の値は、リクエストがブロックされたか、予期しない状況が発生したことを示します。
scheme	HTTPまたはHTTPSプロトコル	例: HTTP、HTTPS
url	scheme、host、pathの組み合わせ	例: https://client2.example.com/example.html
<http-request-header-name>_q	HTTPリクエストのヘッダフィールド	例: User-Agent: Mozilla/5.0 注: 対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。 Web Security as a ServiceではCookieが未加工のログに記録されないため、`cookie`変数は常にnullになります。
<http-response-header-name>_s	HTTP応答のヘッダフィールド	例: Content-Length: 348 注: 対応するデータがWeb Security as a Serviceの未加工のログに記録されていない場合、CEFキーで設定された変数の値はnullになります。 Web Security as a ServiceではCookieが未加工のログに記録されないため、`set-cookie`変数は常にnullになります。

ログ出力の例1:

Oct 25 08:13:13 10.206.197.112 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|3.1.0.2485|100000|Access Log|1|
act=allow app=2 cat=Proxy cn1=0 cn1Label=malwareType cn2=0 cn2Label=scanType cs1=200 cs1Label=ResponseCode cs2=default 
cs2Label=policyName cs3= cs3=encoding cs4= cs4Label=URL Path cs5=https cs5Label=method desinationDnsDomain=login.live.com 
dhost=login.live.com dvchost=roaming user end=Oct 25 2019 08:04:47 +0000 fileHash= fname= in=291 out=122 proto=tcp RequestURL=https://login.live.com:443/ 
requestClientApplication=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 
requestMethod=https shost=10.206.197.110 src=10.206.197.110

ログ出力の例2:

Oct 25 08:18:15 10.206.197.112 CEF: 0|Trend Micro|Trend Micro Web Security as a Service|3.1.0.2485|100000|Access Log|1|
act=allow app=1 cat=Proxy cn1=0 cn1Label=malwareType cn2=0 cn2Label=scanType cs1=502 cs1Label=ResponseCode cs2=default 
cs2Label=policyName cs3=gzip, deflate cs3=encoding cs4=job/4v20-e2e-ops-an/ cs4Label=URL Path cs5=http cs5Label=method 
desinationDnsDomain=10.202.240.69 dhost=10.202.240.69 dvchost=roaming user end=Oct 25 2019 08:06:24 +0000 fileHash=8aaceef018f9e7cde0b381a9d1237b29e113c1c2 
fname= in=538 out=510 proto=tcp RequestURL=http://10.202.240.69:8080/job/4v20-e2e-ops-an/ 
requestClientApplication=Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36 
requestMethod=http shost=10.206.197.110 src=10.206.197.110