导出为 JSON 格式的事件

JSON 是用于数据交换的轻量级格式。它构建于名称/值对集合和值排序列表之上。

导出的事件

此部分包含有关格式的详细信息和所有导出的事件的属性含义。事件消息使用带有某些必填和可选密钥的 JSON 对象格式。每个导出的事件都将包含以下密钥：

event_type	字符串		导出的事件类型： •Threat_Event（病毒防护检测） •FirewallAggregated_Event（防火墙检测） •HipsAggregated_Event（ HIPS 检测） •Audit_Event（审核日志） •FilteredWebsites_Event（过滤的网站 - Web 防护） •EnterpriseInspectorAlert_Event（ ESET Inspect 警报） •BlockedFiles_Event（阻止的文件）
ipv4	字符串	可选	生成事件的计算机 IPv4 地址。
ipv6	字符串	可选	生成事件的计算机 IPv6 地址。
group_name	字符串		生成事件的计算机的静态组。
source_uuid	字符串		生成事件的计算机 UUID。
occurred	字符串		事件发生的 UTC 时间。格式为 %d-%b-%Y %H:%M:%S
severity	字符串		事件的严重级别。可能的值（从最低严重级别到最高严重级别）是：信息通知警告错误关键致命

下面列出的所有事件类型以及所有严重级别都会报告给系统日志服务器。要过滤发送到系统日志的事件日志，请使用定义的过滤器创建日志类别通知。

报告的值取决于托管计算机上安装的 ESET 安全产品（及其版本），并且 ESET PROTECT 仅报告接收的数据。因此，ESET 无法提供所有值的详尽列表。我们建议查看您的网络并基于您收到的值过滤日志。

由托管端点生成的所有病毒防护检测事件都会转发给系统日志。检测事件特定密钥：

threat_type	字符串	可选	检测类型
threat_name	字符串	可选	检测名称
threat_flags	字符串	可选	与检测相关的标志
scanner_id	字符串	可选	扫描程序 ID
scan_id	字符串	可选	扫描 ID
engine_version	字符串	可选	扫描引擎版本
object_type	字符串	可选	与该事件相关的对象类型
object_uri	字符串	可选	对象 URI
action_taken	字符串	可选	由端点执行的操作
action_error	字符串	可选	“操作”失败时的错误消息
threat_handled	布尔值	可选	指出检测是否已处理
need_restart	布尔值	可选	是否需要重启
username	字符串	可选	与事件关联的用户帐户的名称
processname	字符串	可选	与事件关联的进程的名称
circumstances	字符串	可选	造成该事件的简短说明
hash	字符串	可选	（检测）数据流的 SHA1 哈希。
firstseen	字符串	可选	在该计算机上首次找到检测的时间和日期。ESET PROTECT 为firstseen 属性（及任何其他日期-时间属性）采用不同的日期-时间属性，具体取决于日志输出格式（JSON 或 LEEF）： •JSON 格式:"%d-%b-%Y %H:%M:%S" •LEEF 格式:"%b %d %Y %H:%M:%S"

由 ESET 防火墙（防火墙检测）生成的事件日志将通过管理 ESET Management 服务器代理进行汇总，以避免在 ESET Management 服务器代理/ESET PROTECT 服务器复制期间浪费带宽。防火墙事件特定密钥：

event	字符串	可选	事件名称
source_address	字符串	可选	事件来源地址
source_address_type	字符串	可选	事件来源地址类型
source_port	数字	可选	事件来源端口
target_address	字符串	可选	事件目标地址
target_address_type	字符串	可选	事件目标地址类型
target_port	数字	可选	事件目标端口
protocol	字符串	可选	协议
account	字符串	可选	与事件关联的用户帐户的名称
process_name	字符串	可选	与事件关联的进程的名称
rule_name	字符串	可选	规则名称
rule_id	字符串	可选	规则 ID
inbound	布尔值	可选	连接是否处于入站状态
threat_name	字符串	可选	检测名称
aggregate_count	数字	可选	ESET PROTECT 服务器和管理 ESET Management 服务器代理之间的两个连续副本之间的端点生成完全相同消息的数量
action	字符串	可选	已采取操作
handled	字符串	可选	指出检测是否已处理

基于主机的入侵预防系统（ HIPS 检测）中的事件会按严重级别进行过滤，之后会作为系统日志消息进行发送。HIPS 特定属性如下所述：

application	字符串	可选	应用程序名称
operation	字符串	可选	操作
target	字符串	可选	目标
action	字符串	可选	已采取操作
action_taken	字符串	可选	由端点执行的操作
rule_name	字符串	可选	规则名称
rule_id	字符串	可选	规则 ID
aggregate_count	数字	可选	ESET PROTECT 服务器和管理 ESET Management 服务器代理之间的两个连续副本之间的端点生成完全相同消息的数量
handled	字符串	可选	指出检测是否已处理

ESET PROTECT 会将内部审核日志消息转发给系统日志。特定属性如下所示：

domain	字符串	可选	审核日志域
action	字符串	可选	正在发生的操作
target	字符串	可选	目标操作正在执行于
detail	字符串	可选	操作的详细说明
user	字符串	可选	涉及的安全用户
result	字符串	可选	操作的结果

ESET PROTECT 将过滤的网站（Web 防护检测）转发到系统日志。特定属性如下所示：

ESET PROTECT 将 ESET Inspect 警报转发到系统日志。特定属性如下所示：

processname	字符串	可选	导致此警报的进程的名称
username	字符串	可选	进程所有者
rulename	字符串	可选	触发此警报的规则的名称
count	数字	可选	自上一次警报以来生成的此类型警报的数量
hash	字符串	可选	警报的 SHA1 哈希
eiconsolelink	字符串	可选	在 ESET Inspect 控制台中链接到警报
eialarmid	字符串	可选	警报链接的 ID 子部分（^http.*/alarm/([0-9]+)$ 中的 $1）
computer_severity_score	数字	可选	计算机严重级别评分
severity_score	数字	可选	规则严重级别评分

ESET PROTECT 将 ESET Inspect 阻止的文件转发到系统日志。特定属性如下所示：

hostname	字符串	可选	发生事件的计算机的主机名
processname	字符串	可选	与事件关联的进程的名称
username	字符串	可选	与事件关联的用户帐户的名称
hash	字符串	可选	阻止的文件的 SHA1 哈希
object_uri	字符串	可选	对象 URI
action	字符串	可选	已采取操作
firstseen	字符串	可选	在该计算机上首次发现检测的时间和日期（日期和时间格式）。
cause	字符串	可选
description	字符串	可选	阻止的文件的描述
handled	字符串	可选	指出检测是否已处理

˄˅