|
CEF 索引鍵
|
說明
|
值
|
|
標頭 (logVer)
|
CEF 格式版本
|
CEF:0
|
|
標頭 (vendor)
|
裝置供應商
|
Trend Micro
|
|
標頭 (pname)
|
裝置產品
|
Apex Central
|
|
標頭 (pver)
|
裝置版本
|
2019
|
|
標頭 (eventid)
|
裝置事件類別識別碼
|
|
|
標頭 (eventName)
|
事件名稱
|
Endpoint Application Control 違規資訊
|
|
標頭 (severity)
|
嚴重性
|
3
|
|
deviceExternalId
|
識別碼
|
範例:39
|
|
rt
|
事件觸發時間 (UTC)
|
範例:
2018 年 3 月 22 日 08:23:23 GMT+00:00 |
|
dvchost
|
電腦名稱
|
範例:localhost
|
|
shost
|
用戶端主機名稱
|
範例:shost1
|
|
cs1
|
產品伺服器特徵碼版本
|
範例:1297
|
|
suser
|
用戶端使用者名稱
|
範例:TREND\User
|
|
cs2
|
用戶端 IPv4 位址
|
範例:10.0.17.6
|
|
c6a3
|
用戶端 IPv6 位址
|
範例:fe80::38ca:cd15:443c:40bb%11
|
|
cn1
|
用戶端狀態
|
|
|
filehash
|
應用程式檔案 SHA-1 雜湊
|
範例:D6712CAE5EC821F910E14945153AE7871AA536CA
|
|
fname
|
應用程式檔案名稱
|
範例:notepad.exe
|
|
cs3
|
應用程式程序指令行
|
範例:notepad.exe
|
|
duser
|
使用者名稱
|
範例:Admin004
|
|
cs4
|
規則名稱
|
範例:SAMPLE RULE SET
|
|
cs5
|
策略名稱
|
範例:SAMPLE POLICY
|
|
act
|
策略處理行動
|
|
|
deviceFacility
|
產品名稱
|
範例:Trend Micro Endpoint Application Control
|
|
deviceNtDomain
|
Active Directory 網域
|
範例:APEXTMCM
|
|
dntdom
|
Apex One 網域階層
|
範例:OSCEDomain1
|
|
ApexCentralHost
|
Apex Central 主機名稱
|
範例:TW-CHRIS-W2019
|
|
devicePayloadId
|
唯一訊息 GUID
|
範例:1C00290C0360-9CDE11EB-D4B8-F51F-C697
|
|
TMCMdevicePlatform
|
端點作業系統
|
範例:Windows 7 6.1 (Build 7601) Service Pack 1
|
記錄檔範例:
CEF:0|Trend Micro|Apex Central|2019|EAC:1|Endpoint Applica tion Control Violation Information|3|deviceExternalId=39 rt= Jun 27 2012 03:14:03 GMT+00:00 cs1Label=Version cs1=1.299.00 suser=TMCM\\QA cs2Label=ApplicationControlEvent_ClientIPAdd ress_V4 cs2=0.0.0.0 cn1Label=Connection_Status cn1=0 fileHas h=c0869b72C5606D22D92A6AC986686BB87485A25b fname=P2P_TEST.ex e cs3Label=Command cs3=C:\\P2P_TEST.exe duser=QA cs4Label=Ru le cs4=Test cs5Label=Policy cs5=TestPolicy act=Blocked devic eFacility=Trend Micro Endpoint Application Control deviceNtD omain=APEXTMCM dntdom=OSCEDomain1 ApexCentralHost=TW-CHRIS- W2019 devicePayloadId=1C00290C0360-9CDE11EB-D4B8-F51F-C697 TMCMdevicePlatform=Windows 7 6.1 (Build 7601) Service Pack 1