˄˅

匯出為 JSON 格式的事件

JSON 是適用於資料交換的輕量型格式。此格式是以名稱/值對的集合和值順序清單為基礎而建立。

匯出的事件

本節針對所有匯出事件的屬性詳細說明其格式及意義。事件訊息為 JSON 物件格式，其中包含一些必要及選用的金鑰。每個匯出事件都包含下列金鑰：

event_type	字串		匯出事件的類型： •Threat_Event •FirewallAggregated_Event •HipsAggregated_Event •Audit_Event •FilteredWebsites_Event •EnterpriseInspectorAlert_Event •BlockedFiles_Event
ipv4	字串	選用	產生事件的電腦 IPv4 位址。
ipv6	字串	選用	產生事件的電腦 IPv6 位址。
source_uuid	字串		產生事件之電腦的 UUID。
occurred	字串		事件發生的 UTC 時間。格式為 %d-%b-%Y %H:%M:%S
severity	字串		事件的嚴重性。可能的值 (從最不嚴重到最嚴重) 為：資訊通知警告錯誤 CriticalFatal

下面列出的所有事件類型無論其嚴重性層級為何，均將報告到系統日誌伺服器。若要過濾傳送至系統日誌的事件防護記錄，請使用已定義的過濾器來建立防護記錄類別通知。

受管理端點產生的所有偵測事件都會轉送到系統日誌。偵測事件特定金鑰：

threat_type	字串	選用	偵測類型
threat_name	字串	選用	偵測名稱
threat_flags	字串	選用	偵測相關旗標
scanner_id	字串	選用	掃描器 ID
scan_id	字串	選用	掃描 ID
engine_version	字串	選用	掃描引擎的版本
object_type	字串	選用	此事件的相關物件類型
object_uri	字串	選用	物件 URI
action_taken	字串	選用	端點採取的動作
action_error	字串	選用	「動作」不成功時產生的錯誤訊息
threat_handled	bool	選用	表示是否已處理偵測
need_restart	bool	選用	是否需要重新啟動
username	字串	選用	與事件相關的使用者帳戶
processname	字串	選用	與事件相關的程序名稱
circumstances	字串	選用	事件發生原因的簡短說明
hash	字串	選用	(偵測) 資料流的 SHA1 雜湊。
firstseen	字串	選用	在該機器上第一次找到偵測的時間和日期。視防護記錄輸出格式 (firstseen 或 JSON) 而定，ESET PROTECT 會對 LEEF 屬性 (和任何其他日期時間屬性) 使用不同的日期時間格式: •JSON 格式:"%d-%b-%Y %H:%M:%S" •LEEF 格式:"%b %d %Y %H:%M:%S"

管理 ESET Management 代理程式會彙總 ESET 防火牆產生的事件防護記錄，以避免浪費 ESET Management 代理程式/ESET PROTECT 伺服器複製期間的頻寬。防火牆事件特定金鑰：

event	字串	選用	事件名稱
source_address	字串	選用	事件來源的位址
source_address_type	字串	選用	事件來源的位址類型
source_port	數字	選用	事件來源的連接埠
target_address	字串	選用	事件目的地的位址
target_address_type	字串	選用	事件目的地的位址類型
target_port	數字	選用	事件目的地的連接埠
protocol	字串	選用	通訊協定
account	字串	選用	與事件相關的使用者帳戶
process_name	字串	選用	與事件相關的程序名稱
rule_name	字串	選用	規則名稱
rule_id	字串	選用	規則 ID
inbound	bool	選用	連線是否為外來連線
threat_name	字串	選用	偵測名稱
aggregate_count	數字	選用	介於 ESET PROTECT 伺服器和管理 ESET Management 代理程式的兩個連續複製間，端點所產生的相同訊息數
action	字串	選用	已採取行動
handled	字串	選用	表示是否已處理偵測

來自主機入侵預防系統的事件過先依[嚴重性]進行過濾，然後再傳送為系統日誌訊息。只有 [嚴重性] 層級為錯誤、嚴重和重大的事件才會傳送至系統日誌。HIPS 特定屬性如下所示：

application	字串	選用	應用程式名稱
operation	字串	選用	作業
target	字串	選用	目標
action	字串	選用	已採取行動
action_taken	字串	選用	端點採取的動作
rule_name	字串	選用	規則名稱
rule_id	字串	選用	規則 ID
aggregate_count	數字	選用	介於 ESET PROTECT 伺服器和管理 ESET Management 代理程式的兩個連續複製間，端點所產生的相同訊息數
handled	字串	選用	表示是否已處理偵測

ESET PROTECT 會將伺服器的內部審查記錄檔訊息轉寄至 Syslog。特定屬性如下所示：

domain	字串	選用	審查記錄檔網域
action	字串	選用	採取處理方法
target	字串	選用	目標處理方法會運作於
detail	字串	選用	處理方法的詳細說明。
user	字串	選用	有關的安全性使用者
result	字串	選用	處理方法的結果

ESET PROTECT 將已過濾的網站 (Web 防護偵測) 轉寄至系統日誌。特定屬性如下所示：

ESET PROTECT 會將警示 ESET Enterprise Inspector 轉寄至系統日誌。特定屬性如下所示：

processname	字串	選用	造成此警示的程序名稱
username	字串	選用	程序擁有者
rulename	字串	選用	觸發此警示的規則名稱
count	數字	選用	自上次警示起產生的此類型警示數量
hash	字串	選用	警示的 SHA1 雜湊
eiconsolelink	字串	選用	在 ESET Enterprise Inspector 主控台中連結到警示
eialarmid	字串	選用	警示連結的 ID 子部分 (^http.*/alarm/([0-9]+)$ 中的 $1)
computer_severity_score	數字	選用	電腦嚴重性評分
severity_score	數字	選用	規則嚴重性評分

ESET PROTECT 將 ESET Enterprise Inspector 封鎖的檔案轉寄至系統日誌。特定屬性如下所示：

˄˅