ESETオンラインヘルプ

カテゴリを選択
トピックを選択

JSON形式にエクスポートされたイベント

JSONはデータ交換用の軽量形式です。名前/値のペアのコレクションと値の順序付けされたリストで作成されます。

エクスポートされたイベント

このセクションでは、すべてのエクスポートされたイベントの属性の形式と意味について説明します。イベントメッセージはJSONオブジェクトの形式で、必須キーと任意のキーがあります。各エクスポートされたイベントには次のキーがあります。

event_type

string

 

エクスポートされたイベントのタイプ:

Threat_Event ( icon_antivirusウイルス対策検出)

FirewallAggregated_Event (icon_firewallファイアウォール検出)

HipsAggregated_Event (icon_hipsHIPS検出)

Audit_Event ( 監査ログ)

FilteredWebsites_Event (フィルタリングされたWebサイト—icon_web_protectionWeb保護)

EnterpriseInspectorAlert_Event (icon_ei_alert ESET Inspectアラート)

BlockedFiles_Event (icon_blockedブロックされたファイル)

ipv4

string

任意

イベントを生成するコンピューターのIPv4アドレス。

ipv6

string

任意

イベントを生成するコンピューターのIPv6アドレス。

hostname

string

 

イベントを生成するコンピューターのホスト名。

source_uuid

string

 

イベントを生成するコンピューターのUUID。

occurred

string

 

イベントの発生時刻(UTC)。形式は%d-%b-%Y %H:%M:%Sです。

severity

string

 

イベントの重大度。値(重要度の低い順):情報通知警告エラー重大致命的

group_name

string

 

イベントを生成するコンピューターの静的グループへの完全パス。パスが255文字を超える場合は、group_nameには静的グループ名だけが含されます。

group_description

string

 

静的グループの説明。

os_name

string

 

コンピューターのオペレーティングシステムに関する情報。


note

次の一覧のすべての重要度レベルのすべてのイベントタイプがSyslogサーバーに報告されます。 Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。

報告された値は、管理されたコンピューターにインストールされたESETセキュリティ製品(とそのバージョン)によって異なり、ESET PROTECT On-Premは受信したデータのみを報告します。このため、ESETは、すべての値の網羅的なリストを提供できません。ネットワークを監視し、受信した値に基づいてログをフィルタリングすることをお勧めします。

event_typeに基づくカスタムキー:

Threat_Event

管理されたエンドポイントによって生成されたすべてのicon_antivirusウイルス対策検出イベントがSyslogに転送されます。検出イベント固有のキー:

threat_type

string

任意

検出のタイプ

threat_name

string

任意

検出名

threat_flags

string

任意

検出関連フラグ

scanner_id

string

任意

スキャナーID

scan_id

string

任意

検査ID

engine_version

string

任意

検査エンジンのバージョン

object_type

string

任意

このイベントに関連するオブジェクトのタイプ

object_uri

string

任意

オブジェクトURI

action_taken

string

任意

エンドポイントによって実行されたアクション

action_error

string

任意

アクションが失敗した場合のエラーメッセージ

threat_handled

bool

任意

検出が処理されたかどうかを示します

need_restart

bool

任意

再起動が必要かどうか

username

string

任意

イベントに関連付けられたユーザーアカウントの名前

processname

string

任意

イベントに関連付けられたプロセスの名前

circumstances

string

任意

イベントの原因の簡単な説明

hash

string

任意

(検出)データストリームのSHA1ハッシュ。

firstseen

string

任意

そのコンピューターで初めて検出された日時。ESET PROTECT On-Premは、ログ出力形式(firstseenまたはJSON)に応じて、LEEF属性のさまざまな日時形式を使用します。

JSON 形式: "%d-%b-%Y %H:%M:%S"

LEEF 形式: "%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event JSONログの例:

FirewallAggregated_Event

ESET Firewall (icon_firewallファイアウォール検出)によって生成されたイベントログは、管理しているESET Managementエージェントによって集約され、ESET Managementエージェント/ESET PROTECTサーバーレプリケーション中に帯域幅を浪費することがなくなります。ファイアウォールイベント固有のキー:

event

string

任意

イベント名

source_address

string

任意

イベントソースのアドレス

source_address_type

string

任意

イベントソースのアドレスのタイプ

source_port

number

任意

イベントソースのポート

target_address

string

任意

イベント宛先のアドレス

target_address_type

string

任意

イベント宛先のアドレスのタイプ

target_port

number

任意

イベント宛先のポート

protocol

string

任意

プロトコル

account

string

任意

イベントに関連付けられたユーザーアカウントの名前

process_name

string

任意

イベントに関連付けられたプロセスの名前

rule_name

string

任意

ルール名

rule_id

string

任意

ルールID

inbound

bool

任意

接続が受信かどうか

threat_name

string

任意

検出名

aggregate_count

number

任意

ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成されたまったく同じメッセージの数

action

string

任意

実行されたアクション

handled

string

任意

検出が処理されたかどうかを示します

arrow_down_business FirewallAggregated_Event JSONログの例:

HIPSAggregated_Event

HIPS (icon_hipsHIPS検出)のイベントは、Syslogメッセージとして送信される前に、重要度でフィルタリングされます。HIPS固有の属性は次のとおりです。

application

string

任意

アプリケーション名

operation

string

任意

処理

target

string

任意

対象

action

string

任意

実行されたアクション

action_taken

string

任意

エンドポイントによって実行されたアクション

rule_name

string

任意

ルール名

rule_id

string

任意

ルールID

aggregate_count

number

任意

ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成されたまったく同じメッセージの数

handled

string

任意

検出が処理されたかどうかを示します

arrow_down_business HipsAggregated_Event JSONログの例:

Audit_Event

ESET PROTECT On-Premは内部監査ログメッセージをSyslogに転送します。固有の属性は次のとおりです。

domain

string

任意

監査ログドメイン

action

string

任意

実行中のアクション

target

string

任意

ターゲットアクションが動作しています

detail

string

任意

アクションの詳細説明

user

string

任意

関係するセキュリティユーザー

result

string

任意

アクションの結果

arrow_down_business Audit_Eventログの例:

FilteredWebsites_Event

ESET PROTECT On-PremはフィルタリングされたWebサイト(icon_web_protectionWeb 保護検出)をSyslogに転送します。固有の属性は次のとおりです。

processname

string

任意

イベントに関連付けられたプロセスの名前

username

string

任意

イベントに関連付けられたユーザーアカウントの名前

hash

string

任意

フィルタリングされたオブジェクトのSHA1ハッシュ

event

string

任意

イベントタイプ

rule_id

string

任意

ルールID

action_taken

string

任意

実行されたアクション

scanner_id

string

任意

スキャナーID

object_uri

string

任意

オブジェクトURI

target_address

string

任意

イベント宛先のアドレス

target_address_type

string

任意

イベント宛先のアドレスのタイプ(25769803777 = IPv4; 25769803778 = IPv6)

handled

string

任意

検出が処理されたかどうかを示します

arrow_down_business FilteredWebsites_Event JSONログの例:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Premはicon_ei_alertESET InspectアラートをSyslogに転送します。固有の属性は次のとおりです。

processname

string

任意

このアラームを発生させるプロセスの名前

username

string

任意

プロセスの所有者

rulename

string

任意

このアラームをトリガーするルールの名前

count

number

任意

前回のアラーム以降に生成されたこのタイプのアラート数

hash

string

任意

アラームのSHA1ハッシュ

eiconsolelink

string

任意

ESET Inspect On-Premコンソールのアラームへのリンク

eialarmid

string

任意

アラームリンクのID部分(^http.*/alarm/([0-9]+)$の$1)

computer_severity_score

number

任意

コンピューター重要度スコア

severity_score

number

任意

ルール重要度スコア

arrow_down_business EnterpriseInspectorAlert_Event JSONログの例:

BlockedFiles_Event

ESET PROTECT On-PremはESET Inspect On-Prem icon_blocked ブロックされたファイルをSyslogに転送します。固有の属性は次のとおりです。

processname

string

任意

イベントに関連付けられたプロセスの名前

username

string

任意

イベントに関連付けられたユーザーアカウントの名前

hash

string

任意

ブロックされたファイルのSHA1ハッシュ

object_uri

string

任意

オブジェクトURI

action

string

任意

実行されたアクション

firstseen

string

任意

そのコンピューターで初めて検出が特定された日時(日時形式)。

cause

string

任意

 

description

string

任意

ブロックされたファイルの説明

handled

string

任意

検出が処理されたかどうかを示します