檢視次數:

CEF 索引鍵

說明

標頭 (logVer)

CEF 格式版本

CEF:0

標頭 (vendor)

裝置供應商

Trend Micro

標頭 (pname)

裝置產品

Apex Central

標頭 (pver)

裝置版本

2019

標頭 (eventid)

裝置事件類別識別碼

  • 0:允許

  • 1:封鎖

  • 2:鎖定

標頭 (eventName)

事件名稱

Endpoint Application Control 違規資訊

標頭 (severity)

嚴重性

3

deviceExternalId

識別碼

範例:39

rt

記錄檔產生時間 (UTC)

範例:2017 年 2 月 14 日 11:14:08 GMT+00:00

dvchost

電腦名稱

範例:localhost

shost

用戶端主機名稱

範例:shost1

cs1

產品伺服器特徵碼版本

範例:1297

suser

用戶端使用者名稱

範例:TREND\User

cs2

用戶端 IPv4 位址

範例:10.0.17.6

c6a3

用戶端 IPv6 位址

範例:fe80::38ca:cd15:443c:40bb%11

cn1

用戶端狀態

  • 1:正在重建資料庫

  • 2:線上

  • 3:離線

filehash

應用程式檔案 SHA-1 雜湊

範例:D6712CAE5EC821F910E14945153AE7871AA536CA

fname

應用程式檔案名稱

範例:notepad.exe

cs3

應用程式程序指令行

範例:notepad.exe

duser

使用者名稱

範例:Admin004

cs4

規則名稱

範例:SAMPLE RULE SET

cs5

策略名稱

範例:SAMPLE POLICY

act

策略處理行動

  • 0:已允許

  • 1:已封鎖

  • 2:報告為允許

  • 3:報告為封鎖

deviceFacility

產品名稱

範例:Trend Micro Endpoint Application Control

記錄檔範例:

CEF:0|Trend Micro|Apex Central|2019|EAC:1|Endpoint Applica
tion Control Violation Information|3|deviceExternalId=39 rt=
Jun 27 2012 03:14:03 GMT+00:00 cs1Label=Version cs1=1.299.00
 suser=TMCM\\QA cs2Label=ApplicationControlEvent_ClientIPAdd
ress_V4 cs2=0.0.0.0 cn1Label=Connection_Status cn1=0 fileHas
h=c0869b72C5606D22D92A6AC986686BB87485A25b fname=P2P_TEST.ex
e cs3Label=Command cs3=C:\\P2P_TEST.exe duser=QA cs4Label=Ru
le cs4=Test cs5Label=Policy cs5=TestPolicy act=Blocked devic
eFacility=Trend Micro Endpoint Application Control
上層主題: Syslog 內容對應 — CEF