Події, що експортуються у формат JSON
JSON – це полегшений формат для обміну даними. Його побудовано на наборі пар «назва-значення» й упорядкованому списку значень.
Експортовані події
Цей розділ містить інформацію про формат і значення атрибутів усіх експортованих подій. Повідомлення про подію створюється у формі об’єкта JSON з кількома обов’язковими й необов’язковими ключами. Кожна експортована подія міститиме такий ключ:
event_type |
рядок |
|
Тип експортованих подій: •Threat_Event (виявлені антивірусом об’єкти •FirewallAggregated_Event (об’єкти брандмауера •HipsAggregated_Event (об’єкти HIPS •FilteredWebsites_Event (відфільтровані веб-сайти: веб-захист •EnterpriseInspectorAlert_Event (сповіщення ESET Inspect |
|---|---|---|---|
ipv4 |
рядок |
необов’язкова |
IPv4-адреса комп’ютера, що створив подію. |
ipv6 |
рядок |
необов’язкова |
IPv6-адреса комп’ютера, що створив подію. |
hostname |
рядок |
|
Ідентифікатор Ім'я комп'ютера, що створив подію. |
source_uuid |
рядок |
|
Ідентифікатор UUID комп’ютера, що створив подію. |
occurred |
рядок |
|
Час події у форматі UTC. Формат: %d-%b-%Y %H:%M:%S |
severity |
рядок |
|
Рівень критичності події. Можливі значення (від найменш до найбільш критичної): «Інформація», «Попередження», «Застереження», «Помилка», «Критична помилка», «Невиправна помилка» |
group_name |
рядок |
|
Повний шлях до статичної групи комп’ютера, що створив подію. Якщо довжина шляху перевищуватиме 255 символів, group_name міститиме лише назву статичної групи. |
group_description |
рядок |
|
Опис статичної групи. |
os_name |
рядок |
|
Інформація про операційну систему комп’ютера. |
|
На сервер Syslog надсилаються події всіх указаних нижче типів зі всіма рівнями критичності. Щоб відфільтрувати журнали подій, надіслані в Syslog, створіть сповіщення про категорію журналу з визначеним фільтром. Повернуті значення залежать від продукту з безпеки ESET (і його версії), інстальованого на керованому комп’ютері. Тільки ESET PROTECT On-Prem повертає отримані дані. Тому ESET не може надати повний список усіх значень. Рекомендуємо стежити за мережею та фільтрувати журнали на основі отриманих значень. |
Налаштовувані ключі відповідно до event_type:
Threat_Event
Усі події виявлення об’єктів антивірусом 
, створені керованими кінцевими точками, пересилатимуться в системний журнал. Ключ події «Виявлений об’єкт»:
threat_type |
рядок |
необов’язкова |
Тип виявленого об’єкта |
|---|---|---|---|
threat_name |
рядок |
необов’язкова |
Назва виявленого об’єкта |
threat_flags |
рядок |
необов’язкова |
Прапорці, пов’язані з виявленим об’єктом |
scanner_id |
рядок |
необов’язкова |
Ідентифікатор сканера |
scan_id |
рядок |
необов’язкова |
Ідентифікатор сканування |
engine_version |
рядок |
необов’язкова |
Версія ядра сканування |
object_type |
рядок |
необов’язкова |
Тип об’єкта, пов’язаного з цією подією |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
action_taken |
рядок |
необов’язкова |
Дія, яку виконала робоча станція |
action_error |
рядок |
необов’язкова |
Повідомлення про помилку, якщо не вдалося виконати дію |
threat_handled |
логічне значення |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
need_restart |
логічне значення |
необов’язкова |
Указує, чи потрібно виконати перезавантаження |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
circumstances |
рядок |
необов’язкова |
Короткий опис причини події |
hash |
рядок |
необов’язкова |
Хеш SHA1 потоку даних (виявленого об’єкта). |
рядок |
необов’язкова |
Дата й час першого виявлення об’єкта на певному комп’ютері. ESET PROTECT On-Prem використовує різні формати дати-часу для атрибута firstseen (і будь-якого іншого атрибута дати-часу) залежно від формату виведення даних журналу (JSON або LEEF): •JSON формат: "%d-%b-%Y %H:%M:%S" •LEEF формат: "%b %d %Y %H:%M:%S" |
Зразок журналу JSON Threat_Event:
FirewallAggregated_Event
Щоб марно не навантажувати смугу пропускання (виявлені об’єкти брандмауера 
) під час реплікації агента ESET Management або сервера ESET Management, журнали подій, створені брандмауером ESET, збирає головний агент ESET PROTECT. Ключ події брандмауера:
event |
рядок |
необов’язкова |
Назва події |
|---|---|---|---|
source_address |
рядок |
необов’язкова |
Адреса джерела події |
source_address_type |
рядок |
необов’язкова |
Тип адреси джерела події |
source_port |
число |
необов’язкова |
Порт джерела події |
target_address |
рядок |
необов’язкова |
Адреса цілі події |
target_address_type |
рядок |
необов’язкова |
Тип адреси цілі події |
target_port |
число |
необов’язкова |
Порт цілі події |
protocol |
рядок |
необов’язкова |
Протокол |
account |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
process_name |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
rule_name |
рядок |
необов’язкова |
Ім’я правила |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
inbound |
логічне значення |
необов’язкова |
Указує, чи є підключення вхідним |
threat_name |
рядок |
необов’язкова |
Назва виявленого об’єкта |
aggregate_count |
число |
необов’язкова |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management |
action |
рядок |
необов’язкова |
Дію вжито |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу JSON FirewallAggregated_Event:
HIPSAggregated_Event
Події системи запобігання втручанню в хост (виявлені об’єкти HIPS 
) фільтруються за рівнем критичності до надсилання у вигляді повідомлень системного журналу. Атрибути системи запобігання вторгненням (HIPS):
application |
рядок |
необов’язкова |
Назва програми |
|---|---|---|---|
operation |
рядок |
необов’язкова |
Операція |
target |
рядок |
необов’язкова |
Об'єкт |
action |
рядок |
необов’язкова |
Дію вжито |
action_taken |
рядок |
необов’язкова |
Дія, яку виконала робоча станція |
rule_name |
рядок |
необов’язкова |
Ім’я правила |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
aggregate_count |
число |
необов’язкова |
Кількість однакових повідомлень, створених робочою станцією в проміжку між двома послідовними реплікаціями, виконаними між сервером ESET PROTECT і головним агентом ESET Management |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу JSON HipsAggregated_Event:
Audit_Event
ESET PROTECT On-Prem переспрямовує повідомлення журналу внутрішнього аудиту в системний журнал. Нижче наведено спеціальні атрибути.
domain |
рядок |
необов’язкова |
Домен журналу аудиту |
|---|---|---|---|
action |
рядок |
необов’язкова |
Виконувана дія |
target |
рядок |
необов’язкова |
Об’єкт цільової дії |
detail |
рядок |
необов’язкова |
Детальний опис дії |
user |
рядок |
необов’язкова |
Користувач системи безпеки |
result |
рядок |
необов’язкова |
Результат дії |
FilteredWebsites_Event
ESET PROTECT On-Prem перенаправляє відфільтровані веб-сайти (об’єкти, виявлені модулем 
веб-захисту) в Syslog. Нижче наведено спеціальні атрибути.
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
hash |
рядок |
необов’язкова |
Хеш SHA1 відфільтрованого об’єкта |
event |
рядок |
необов’язкова |
Тип події |
rule_id |
рядок |
необов’язкова |
Ідентифікатор правила |
action_taken |
рядок |
необов’язкова |
Дію вжито |
scanner_id |
рядок |
необов’язкова |
Ідентифікатор сканера |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
target_address |
рядок |
необов’язкова |
Адреса цілі події |
target_address_type |
рядок |
необов’язкова |
Тип адреси цілі події (25769803777 = IPv4; 25769803778 = IPv6) |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |
Зразок журналу JSON FilteredWebsites_Event:
EnterpriseInspectorAlert_Event
ESET PROTECT On-Prem перенаправляє оповіщення 
ESET Inspect у журнал Syslog. Нижче наведено спеціальні атрибути.
processname |
рядок |
необов’язкова |
Назва процесу, який спричинив оповіщення |
|---|---|---|---|
username |
рядок |
необов’язкова |
Власник процесу |
rulename |
рядок |
необов’язкова |
Назва правила, яке спричиняє це оповіщення |
count |
число |
необов’язкова |
Кількість попереджень такого типу, згенерованих із моменту останнього оповіщення |
hash |
рядок |
необов’язкова |
Хеш SHA1 оповіщення |
eiconsolelink |
рядок |
необов’язкова |
Посилання на оповіщення в консолі ESET Inspect On-Prem |
eialarmid |
рядок |
необов’язкова |
Ідентифікатор, указаний у посиланні оповіщення ($1 в ^http.*/alarm/([0-9]+)$) |
computer_severity_score |
число |
необов’язкова |
Оцінка рівня критичності для комп’ютера |
severity_score |
число |
необов’язкова |
Оцінка рівня критичності правила |
Зразок журналу JSON EnterpriseInspectorAlert_Event:
BlockedFiles_Event
ESET PROTECT On-Prem перенаправляє заблоковані файли ESET Inspect On-Prem
в Syslog. Нижче наведено спеціальні атрибути.
processname |
рядок |
необов’язкова |
Назва процесу, пов’язаного з подією |
username |
рядок |
необов’язкова |
Назва облікового запису користувача, пов’язаного з подією |
hash |
рядок |
необов’язкова |
ХешSHA1 заблокованого файлу |
object_uri |
рядок |
необов’язкова |
URI об’єкта |
action |
рядок |
необов’язкова |
Дію вжито |
firstseen |
рядок |
необов’язкова |
Дата й час першого виявлення об’єкта на певному комп’ютері (формат дати й часу). |
cause |
рядок |
необов’язкова |
|
description |
рядок |
необов’язкова |
Опис заблокованих файлів |
handled |
рядок |
необов’язкова |
Указує, чи оброблено виявлений об’єкт |