每个 syslog 日记音书齐包含由操作系统中的 Syslog 契约参数界说的以下字段:@91porn_soul
事件的日历和事件;发滋事件的主机称呼;诈骗要领的称呼(值永久是 KWTS)。关系流量惩作事件的 syslog 音书的字段,由诈骗要领选项界说,具有 <密钥>="<值>”面貌。要是密钥具有多个值,则这些值将用逗号分隔。冒号用作密钥之间的分隔符。
示例:
10月9日 10:13:06 localhost KWTS: type="Response": method="GET": action="Block": blocked_by_rule="protection_rules [Workspace1/-/Rule2]": processing_time="952": scan_result="Malware": workspace="Workspace1": http_user_name="example@test.local": http_user_agent="curl/7.29.0": http_user_ip="192.0.2.0": url="": kata-alert="NotDetected": "eicar.com", filesize="69", kata_upload="SkippedByAction", guid="", rules="access_rules [Workspace1/Group1/Rule1], protection_rules [Workspace1/-/Rule2]", av-status="Detected", threats="EICAR-Test-File/Block", ap-status="NotDetected", mlf-status="NotDetected", encrypted="NotDetected", macros="NotDetected", kata-alert="NotDetected"
下表中闪现了这些密钥偏激包含在音书中的值。
关系 syslog 音书中的流量惩作事件的信息
密钥
评释和可能的值
类型
HTTP 音书的类型。其值可能为肯求或反应。
纪律
HTTP 肯求纪律。
操作
对检测到的对象履行的操作。它不错接管以下值之一:
允许 – 允许。打扰 – 打扰。重定向 – 重定向。blocked_by_rule
导致 web 资源被打扰的流量惩处规章的称呼。
其将用以下面貌闪现:
关于旁路规章:"['<规章称呼>']"关于保护规章和走访规章:"[<职责区@91porn_soul称呼>/<规章组称呼>/<规章称呼>]"redirected_by_rule
导致用户重定向到指定 URL 的流量惩处规章的称呼。
其将用以下面貌闪现:
关于旁路规章:"['<规章称呼>']"关于走访规章:"[<职责区称呼>/<规章组称呼>/<规章称呼>]"processing_time
HTTP 音书惩处握续时间(毫秒)。
缱绻时间为从 HTTP 音书标头惩处入手到完成的扫描记载保存在诈骗要领事件日记和 Syslog 事件日记中为止。
scan_result
HTTP 音书扫描成果。
要是检测到多个威逼,系统将闪现优先级最高的威逼。
要是威逼已被取销或未被检测到,优先级最高的扫描成果将闪现在 (已取销, 未检测到, 未扫描) 中。
职责区
与流量惩作事件关系联的职责区称呼。要是莫得职责区,则闪现一个破折号。
http_user_name
运更正 HTTP 肯求的用户账户称呼。
http_user_agent
发起了 HTTP 肯求的客户端诈骗要领。
http_user_ip
从其发送 HTTP 肯求的缱绻机的 IP 地址。
url
用户肯求了的 web 资源的 URL。
kata-alert
从 URL 扫描成果以查验它们是否与 KATA 检测到的对象匹配。
不错使用以下值:
NotDetected – URL 已扫描,未检测到威逼。Detected – 检测到与 KATA 缓存中的对象匹配。联结对象 ID、匹配圭表和技能。举例,kata-alert="Detected/128563/Url/Sb"。NotScanned/AccessRuleSettings – 未履行扫描,因为保护规章未按照走访规章中界说的操作诈骗。NotScanned/BypassRuleSettings – 未履行扫描,因为文献是在基于旁路规章未经扫描的情况下跳过的。NotScanned/ProtectionRuleSettings – 未履行扫描,因为 跳过扫描 操作界说为保护规章中的 被 KATA 检测到的对象 对象。NotScanned/ApplicationSettings – 未履行扫描,因为收受 KATA 或 KATA 集成检测到的对象的形态是按照诈骗要领配置禁用的。ScanError/InternalError – 扫描以造作舍弃。关于多部分 MIME 类型对象,提供给整个构成部分的信息。关于每个构成部分,part 键值将和序号沿途使用,之后将传输该构成部分的整个属性(以下键值:filename、filesize、part_mimetype、kata_upload、guid、rules、av_status、ap_status、mlf-status、已加密、宏 和 kata-alert)。
举例,part1 "news.html", <构成部分 part 1 的属性>: part2 <构成部分 part 2 的属性>。
公车女人忘穿内裤流水在线观看filename
扫描对象的称呼。
要是 HTTP 音书不包含任何对象,则联结"nofile"。在此情况下,整个随后的字段和已扫描的 URL 关系。
filesize
扫描对象的大小。
要是 HTTP 音书不包含对象或诈骗规章不需要文献大小,将联结"NotApplicable"。
part_mimetype
多部分对象构成部分的 MIME 类型。使用 Content-Type 标头。
要是 HTTP 音书不包含对象或诈骗规章不需要 MIME 类型界说,将联结"NotApplicable"。
kata_upload
查验对象是否必须发送到 KATA 处事器的成果。
不错使用以下值:
NotApplicable – HTTP 音书不包含文献。Scheduled – 文献传输已野心。DisabledBySettings – 发送文献到 KATA 处事器 或 KATA 集成的形态在诈骗要领配置中已禁用。SkippedByAction – HTTP 音书被把柄旁路规章跳过,无需扫描,不祥对其诈骗 打扰 或 重定向 操作。RejectedByFilter – 文献未温顺发送到 KATA 处事器的条目。Failed/QueueOverflowed – 文献必须发送到 KATA 处事器,但由于队伍溢出,无法野心传输。Failed/InternalError – 文献必须发送到 KATA 处事器,但由于诈骗要领的里面造作,无法野心传输。guid
诈骗要领分拨给对象的 ID。
当查验对象是否必须被发送到 KATA 处事器时,惟有当分拨赐与下一个景象时才会传输 ID:
已野心。失败/队伍溢出。失败/里面造作。关于其它景象,系统将发送空缺值的“guid”字段。
rules
以下面貌的触发流量惩处规章的称呼:
"bypass_rule [<规章称呼>], access_rules [<职责区称呼>/<规章组称呼>/<规章称呼>], protection_rules [<职责区称呼>/<规章组称呼>/<规章称呼>]"。
要是规章未与职责区关联,则会闪现一个破折号,而不是职责区称呼。
要是规章不是一组规章的一部分,则会闪现一个破折号,而不是组称呼。
要是莫得诈骗流量惩处规章,将诈骗默许保护计策。将闪现"default_policy [Default Policy]"值。
av_status
由反病毒模块扫描 web 资源的成果。
不错使用以下值:
Detected – 在对象中找到的病毒或其他威逼。检测到的威逼的称呼和诈骗要领针对对象选择的操作用逗号分隔。举例,av-status="Detected", threats="EICAR-Test-File/Block"。ScanError/Timeout – 扫描以造作舍弃,因为跨越了最长的扫描握续时间。ScanError/InternalError – 扫描以里面造作舍弃。ScanError/BasesNotLoaded – 扫描以造作舍弃,因为未加载反病毒模块数据库。IncompleteScan/MaxNestingLevelReached – 未履行扫描,因为已扫描压缩文档的嵌套级别跨越了允许的最大嵌套级别。IncompleteScan/EncryptedArchive – 未履行扫描,因为对象已加密。Disinfected – 检测到了威逼,整个威逼被取销。NotDetected – 扫描对象时,未检测到任何威逼。NotScanned/AccessRuleSettings – 把柄走访规章中界说的操作,保护规章莫得被诈骗到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其诈骗了旁路规章。NotScanned/ProtectionRuleSettings – 对象未把柄保护规章中界说的操作进行扫描。NotScanned/ApplicationSettings – 对象未把柄界说的诈骗要领配置进行扫描。ap_status
反垂纶模块扫描 web 资源的成果。
不错使用以下值:
检测到(土产货数据库) – 合并依据诈骗要领的土产货数据库被识别为垂纶合并。检测到 (KSN) – 合并把柄 KSN 信誉查验被识别为垂纶合并。检测到(启发式) – 合并把柄启发式分析被识别为垂纶合并。ScanError/Timeout – 扫描以造作舍弃,因为跨越了最长的扫描握续时间。ScanError/InternalError – 扫描以里面造作舍弃。ScanError/BasesNotLoaded – 扫描以造作舍弃,因为未加载反垂纶模块数据库。NotDetected – 扫描对象时,未检测到任何威逼。NotScanned/AccessRuleSettings – 把柄走访规章中界说的操作,保护规章莫得被诈骗到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其诈骗了旁路规章。NotScanned/ProtectionRuleSettings – 对象未把柄保护规章中界说的操作进行扫描。NotScanned/ApplicationSettings – 对象未把柄界说的诈骗要领配置进行扫描。mlf-status
扫描合并查找坏心对象的成果。
不错使用以下值:
Detected (local bases) – 基于土产货反病毒数据库中的记载,此合并被视为坏心合并。Detected (KSN) – 把柄 KSN 信誉查验该合并被以为具有坏心。ScanError/Timeout – 扫描以造作舍弃,因为跨越了最长的扫描握续时间。ScanError/InternalError – 扫描以里面造作舍弃。ScanError/BasesNotLoaded – 扫描以造作舍弃,因为未加载反垂纶模块数据库。NotDetected – 合并已扫描,未检测到威逼。NotScanned/AccessRuleSettings – 把柄走访规章中界说的操作,保护规章莫得被诈骗到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其诈骗了旁路规章。NotScanned/ProtectionRuleSettings – 对象未把柄保护规章中界说的操作进行扫描。NotScanned/ApplicationSettings – 对象未把柄界说的诈骗要领配置进行扫描。encrypted
关系扫描对象的加密的信息。
不错使用以下值:
Detected – 检测到威逼。ScanError/Timeout – 扫描以造作舍弃,因为跨越了最长的扫描握续时间。ScanError/InternalError – 扫描以里面造作舍弃。ScanError/BasesNotLoaded – 扫描以造作舍弃,因为未加载反病毒模块数据库。NotDetected – 合并已扫描,未检测到威逼。NotScanned/ApplicationSettings – 对象未把柄界说的诈骗要领配置进行扫描。NotScanned/AccessRuleSettings – 把柄走访规章中界说的操作,保护规章莫得被诈骗到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其诈骗了旁路规章。NotScanned/ProtectionRuleSettings – 对象未把柄保护规章中界说的操作进行扫描。NotScanned/ApplicationSettings – 对象未把柄界说的诈骗要领配置进行扫描。macros
关系扫描对象中是否存在宏的信息。
不错使用以下值:
Detected – 检测到宏。ScanError/Timeout – 扫描以造作舍弃,因为跨越了最长的扫描握续时间。ScanError/InternalError – 扫描以里面造作舍弃。ScanError/BasesNotLoaded – 扫描以造作舍弃,因为未加载反病毒模块数据库。NotDetected – 对象已扫描,未检测到宏。NotScanned/AccessRuleSettings – 把柄走访规章中界说的操作,保护规章莫得被诈骗到对象。NotScanned/BypassRuleSettings –对象未扫描,因为对其诈骗了旁路规章。NotScanned/ProtectionRuleSettings – 对象未把柄保护规章中界说的操作进行扫描。NotScanned/ApplicationSettings – 对象未把柄界说的诈骗要领配置进行扫描。kata-alert
扫描包含在 HTTP 音书或构成部分(关于多部分对象)中的文献以查验它们是否与 KATA 检测到的对象匹配的成果。
不错使用以下值:
NotDetected – URL 已扫描,未检测到威逼。Detected – 检测到与 KATA 缓存中的对象匹配。联结对象 ID、匹配圭表和技能。举例,kata-alert="Detected/124567/Md5/Yara"。NotScanned/AccessRuleSettings – 未履行扫描,因为保护规章未按照走访规章中界说的操作诈骗。NotScanned/BypassRuleSettings – 未履行扫描,因为文献是在基于旁路规章未经扫描的情况下跳过的。NotScanned/ProtectionRuleSettings – 未履行扫描,因为 跳过扫描 操作界说为保护规章中的 被 KATA 检测到的对象 对象。NotScanned/ApplicationSettings – 未履行扫描,因为收受 KATA 或 KATA 集成检测到的对象的形态是按照诈骗要领配置禁用的。ScanError/InternalError – 扫描以造作舍弃。 页面尖端