ESET 온라인 도움말

검색 English
범주 선택
항목 선택

JSON 형식으로 내보낸 이벤트

JSON은 데이터 교환을 위한 경량 형식으로, 순서가 지정된 값 목록과 이름/값 쌍 모음을 바탕으로 작성됩니다.

내보낸 이벤트

이 섹션에는 내보낸 모든 이벤트 특성의 형식 및 의미에 대한 자세한 정보가 포함되어 있습니다. 이벤트 메시지는 몇 가지 필수 및 옵션 키를 사용한 JSON 개체 형식으로 되어 있습니다. 내보낸 각각의 이벤트에 다음 키가 포함됩니다.

event_type

string

 

다음과 같은 내보낸 이벤트 유형:

Threat_Event(icon_antivirus안티바이러스 탐지)

FirewallAggregated_Event(icon_firewall방화벽 탐지)

HipsAggregated_Event(icon_hipsHIPS 탐지)

Audit_Event(감사 로그)

FilteredWebsites_Event(필터링된 웹 사이트 - icon_web_protection 웹 보호)

EnterpriseInspectorAlert_Event(icon_ei_alert ESET Inspect 경고)

BlockedFiles_Event(icon_blocked차단된 파일)

ipv4

string

옵션

이벤트를 생성하는 컴퓨터의 IPv4 주소

ipv6

string

옵션

이벤트를 생성하는 컴퓨터의 IPv6 주소

hostname

string

 

이벤트를 생성하는 컴퓨터의 호스트 이름

source_uuid

string

 

이벤트를 생성하는 컴퓨터의 UUID

occurred

string

 

이벤트가 발생한 UTC 시간. 형식: %d-%b-%Y %H:%M:%S

severity

string

 

이벤트 심각도. 가능한 값(최소 심각도부터 최고 심각도까지): 정보, 알림, 경고, 오류, 위험, 심각.

group_name

string

 

이벤트를 생성하는 컴퓨터의 정적 그룹에 대한 전체 경로입니다. 경로가 255자보다 길면 group_name에는 정적 그룹 이름만 포함됩니다.

group_description

string

 

정적 그룹에 대한 설명입니다.

os_name

string

 

컴퓨터의 운영 체제에 대한 정보입니다.


note

모든 심각도 수준을 포함하여 아래에 나열된 모든 이벤트 유형이 Syslog 서버에 보고됩니다. Syslog로 전송된 이벤트 로그를 필터링하려면 필터가 정의된 로그 범주 알림을 생성합니다.

보고된 값은 관리되는 컴퓨터에 설치된 ESET 보안 제품(및 해당 버전)에 따라 다르며, ESET PROTECT On-Prem에서 수신된 데이터만 보고합니다. 따라서 ESET이 모든 값의 전체 목록을 제공할 수는 없습니다. 네트워크를 감시하고 수신한 값을 기준으로 로그를 필터링하는 것이 좋습니다.

event_type에 따른 사용자 지정 키

Threat_Event

관리되는 엔드포인트에 의해 생성된 모든 icon_antivirus안티바이러스 탐지 이벤트는 Syslog로 전달됩니다. 탐지 이벤트 관련 키:

threat_type

string

옵션

탐지 유형

threat_name

string

옵션

탐지 이름

threat_flags

string

옵션

탐지 관련 플래그

scanner_id

string

옵션

검사기 ID

scan_id

string

옵션

검사 ID

engine_version

string

옵션

검사 엔진 버전

object_type

string

옵션

이 이벤트와 관련된 개체의 유형

object_uri

string

옵션

오브젝트 URI

action_taken

string

옵션

끝점에서 수행된 동작

action_error

string

옵션

"동작"이 실패한 경우 오류 메시지

threat_handled

부울

옵션

탐지가 처리되었는지 여부를 나타냄

need_restart

부울

옵션

다시 시작해야 하는지 여부

username

string

옵션

이벤트와 연결된 사용자 계정의 이름

processname

string

옵션

이벤트와 연결된 프로세스의 이름

circumstances

string

옵션

이벤트 원인에 대한 간략한 설명

hash

string

옵션

(탐지) 데이터 스트림의 SHA1 해시입니다.

firstseen

string

옵션

해당 컴퓨터에서 탐지가 처음으로 발견된 날짜와 시간입니다. ESET PROTECT On-Prem에서는 로그 출력 형식(JSON 또는 LEEF)에 따라 firstseen 특성(및 기타 날짜-시간 특성)에 대해 다른 날짜-시간 형식을 사용합니다.

JSON 형식:"%d-%b-%Y %H:%M:%S"

LEEF 형식:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event JSON 로그 예제:

FirewallAggregated_Event

ESET 방화벽에서 생성된 이벤트 로그(icon_firewall Firewall 탐지)는 ESET Management Agent/ESET PROTECT 서버 복제 중에 대역폭을 낭비하지 않도록 관리 ESET Management Agent에 의해 집계됩니다. 방화벽 이벤트 관련 키는 다음과 같습니다.

event

string

옵션

이벤트 이름

source_address

string

옵션

이벤트 소스의 주소

source_address_type

string

옵션

이벤트 소스의 주소 유형

source_port

숫자

옵션

이벤트 소스의 포트

target_address

string

옵션

이벤트 대상의 주소

target_address_type

string

옵션

이벤트 대상의 주소 유형

target_port

숫자

옵션

이벤트 대상의 포트

protocol

string

옵션

프로토콜

account

string

옵션

이벤트와 연결된 사용자 계정의 이름

process_name

string

옵션

이벤트와 연결된 프로세스의 이름

rule_name

string

옵션

규칙 이름

rule_id

string

옵션

규칙 ID

inbound

부울

옵션

연결이 들어왔는지 여부

threat_name

string

옵션

탐지 이름

aggregate_count

숫자

옵션

ESET PROTECT 서버와 관리하는 ESET Management 에이전트 간의 두 개 연속 복제 사이에 있는 끝점에서 생성된 동일한 메시지 수

action

string

옵션

수행된 동작

handled

string

옵션

탐지가 처리되었는지 여부를 나타냄

arrow_down_business FirewallAggregated_Event JSON 로그 예제:

HIPSAggregated_Event

호스트 기반 침입 방지 시스템의 이벤트(icon_hips HIPS 탐지)는 Syslog 메시지로 보내지기 전에 심각도를 기준으로 필터링됩니다. HIPS 관련 특성은 다음과 같습니다.

application

string

옵션

응용 프로그램 이름

operation

string

옵션

작업

target

string

옵션

대상

action

string

옵션

수행된 동작

action_taken

string

옵션

끝점에서 수행된 동작

rule_name

string

옵션

규칙 이름

rule_id

string

옵션

규칙 ID

aggregate_count

숫자

옵션

ESET PROTECT 서버와 관리하는 ESET Management 에이전트 간의 두 개 연속 복제 사이에 있는 끝점에서 생성된 동일한 메시지 수

handled

string

옵션

탐지가 처리되었는지 여부를 나타냄

arrow_down_business HipsAggregated_Event JSON 로그 예제:

Audit_Event

ESET PROTECT On-Prem은(는) 내부 감사 로그 메시지를 Syslog에 전달합니다. 구체적인 특성은 다음과 같습니다.

domain

string

옵션

감사 로그 도메인

action

string

옵션

발생한 동작

target

string

옵션

작동 중인 대상 동작

detail

string

옵션

동작에 대한 자세한 설명

user

string

옵션

관련된 보안 사용자

result

string

옵션

동작의 결과

arrow_down_business Audit_Event 로그 예제:

FilteredWebsites_Event

ESET PROTECT On-Prem에서 Syslog로 필터링된 웹 사이트(icon_web_protectionWeb Protection 탐지)를 전달합니다. 구체적인 특성은 다음과 같습니다.

processname

string

옵션

이벤트와 연결된 프로세스의 이름

username

string

옵션

이벤트와 연결된 사용자 계정의 이름

hash

string

옵션

필터링된 개체의 SHA1 해시

event

string

옵션

이벤트 유형

rule_id

string

옵션

규칙 ID

action_taken

string

옵션

수행된 동작

scanner_id

string

옵션

검사기 ID

object_uri

string

옵션

오브젝트 URI

target_address

string

옵션

이벤트 대상의 주소

target_address_type

string

옵션

이벤트 대상의 주소 유형 (25769803777 = IPv4; 25769803778 = IPv6)

handled

string

옵션

탐지가 처리되었는지 여부를 나타냄

arrow_down_business FilteredWebsites_Event JSON 로그 예제:

EnterpriseInspectorAlert_Event

ESET PROTECT On-Prem에서 Syslog로 icon_ei_alertESET Inspect 경보를 전달합니다. 구체적인 특성은 다음과 같습니다.

processname

string

옵션

이 경보를 발생시키는 프로세스의 이름

username

string

옵션

프로세스 소유자

rulename

string

옵션

이 경보를 트리거하는 규칙의 이름

count

숫자

옵션

마지막 경보 이후에 생성된 이 유형의 경보 수

hash

string

옵션

경보의 SHA1 해시

eiconsolelink

string

옵션

ESET Inspect On-Prem 콘솔의 경보 링크

eialarmid

string

옵션

경보 링크의 ID 하위 부분(^http.*/alarm/([0-9]+)$의 $1)

computer_severity_score

숫자

옵션

컴퓨터 심각도 점수

severity_score

숫자

옵션

규칙 심각도 점수

arrow_down_business EnterpriseInspectorAlert_Event JSON 로그 예제:

BlockedFiles_Event

ESET PROTECT On-Prem에서 Syslog로 ESET Inspect On-Prem icon_blocked 차단된 파일을 전달합니다. 구체적인 특성은 다음과 같습니다.

processname

string

옵션

이벤트와 연결된 프로세스의 이름

username

string

옵션

이벤트와 연결된 사용자 계정의 이름

hash

string

옵션

차단된 파일의 SHA1 해시

object_uri

string

옵션

오브젝트 URI

action

string

옵션

수행된 동작

firstseen

string

옵션

해당 컴퓨터에서 처음으로 탐지가 발견된 시간과 날짜(날짜 및 시간 형식)

cause

string

옵션

 

description

string

옵션

차단된 파일에 대한 설명

handled

string

옵션

탐지가 처리되었는지 여부를 나타냄