JSON形式にエクスポートされたイベント

JSONはデータ交換用の軽量形式です。名前/値のペアのコレクションと値の順序付けされたリストで作成されます。

エクスポートされたイベント

このセクションでは、すべてのエクスポートされたイベントの属性の形式と意味について説明します。イベントメッセージはJSONオブジェクトの形式で、必須キーと任意のキーがあります。各エクスポートされたイベントには次のキーがあります。

event_type	string		エクスポートされたイベントのタイプ: •Threat_Event ( ウイルス対策検出) •FirewallAggregated_Event (ファイアウォール検出) •HipsAggregated_Event (HIPS検出) •Audit_Event ( 監査ログ) •FilteredWebsites_Event (フィルタリングされたWebサイト—Web保護) •EnterpriseInspectorAlert_Event ( ESET Inspectアラート) •BlockedFiles_Event (ブロックされたファイル)
ipv4	string	任意	イベントを生成するコンピューターのIPv4アドレス。
ipv6	string	任意	イベントを生成するコンピューターのIPv6アドレス。
hostname	string		イベントを生成するコンピューターのホスト名。
source_uuid	string		イベントを生成するコンピューターのUUID。
occurred	string		イベントの発生時刻(UTC)。形式は%d-%b-%Y %H:%M:%Sです。
severity	string		イベントの重大度。値(重要度の低い順):情報、通知、警告、エラー、重大、致命的。
group_name	string		イベントを生成するコンピューターの静的グループへの完全パス。パスが255文字を超える場合は、group_nameには静的グループ名だけが含されます。
group_description	string		静的グループの説明。
os_name	string		コンピューターのオペレーティングシステムに関する情報。

次の一覧のすべての重要度レベルのすべてのイベントタイプがSyslogサーバーに報告されます。 Syslogに送信されたイベントログをフィルタリングするには、定義されたフィルターでログカテゴリ通知を作成します。

報告された値は、管理されたコンピューターにインストールされたESETセキュリティ製品(とそのバージョン)によって異なり、ESET PROTECTは受信したデータのみを報告します。このため、ESETは、すべての値の網羅的なリストを提供できません。ネットワークを監視し、受信した値に基づいてログをフィルタリングすることをお勧めします。

event_typeに基づくカスタムキー:

Threat_Event

管理されたエンドポイントによって生成されたすべてのウイルス対策検出イベントがSyslogに転送されます。検出イベント固有のキー:

threat_type	string	任意	検出のタイプ
threat_name	string	任意	検出名
threat_flags	string	任意	検出関連フラグ
scanner_id	string	任意	スキャナーID
scan_id	string	任意	検査ID
engine_version	string	任意	検査エンジンのバージョン
object_type	string	任意	このイベントに関連するオブジェクトのタイプ
object_uri	string	任意	オブジェクトURI
action_taken	string	任意	エンドポイントによって実行されたアクション
action_error	string	任意	アクションが失敗した場合のエラーメッセージ
threat_handled	bool	任意	検出が処理されたかどうかを示します
need_restart	bool	任意	再起動が必要かどうか
username	string	任意	イベントに関連付けられたユーザーアカウントの名前
processname	string	任意	イベントに関連付けられたプロセスの名前
circumstances	string	任意	イベントの原因の簡単な説明
hash	string	任意	(検出)データストリームのSHA1ハッシュ。
firstseen	string	任意	そのコンピューターで初めて検出された日時。ESET PROTECTは、ログ出力形式(firstseenまたはJSON)に応じて、LEEF属性のさまざまな日時形式を使用します。 •JSON 形式: "%d-%b-%Y %H:%M:%S" •LEEF 形式: "%b %d %Y %H:%M:%S"
detection_uuid	string	任意	検出の一意の識別子は、ESET CONNECT APIで検出の詳細を照会するために使用できます

Threat_Event JSONログの例:

FirewallAggregated_Event

ESET Firewall (ファイアウォール検出)によって生成されたイベントログは、管理しているESET Managementエージェントによって集約され、ESET Managementエージェント/ESET PROTECTサーバーレプリケーション中に帯域幅を浪費することがなくなります。ファイアウォールイベント固有のキー:

event	string	任意	イベント名
source_address	string	任意	イベントソースのアドレス
source_address_type	string	任意	イベントソースのアドレスのタイプ
source_port	number	任意	イベントソースのポート
target_address	string	任意	イベント宛先のアドレス
target_address_type	string	任意	イベント宛先のアドレスのタイプ
target_port	number	任意	イベント宛先のポート
protocol	string	任意	プロトコル
account	string	任意	イベントに関連付けられたユーザーアカウントの名前
process_name	string	任意	イベントに関連付けられたプロセスの名前
rule_name	string	任意	ルール名
rule_id	string	任意	ルールID
inbound	bool	任意	接続が受信かどうか
threat_name	string	任意	検出名
aggregate_count	number	任意	ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成されたまったく同じメッセージの数
action	string	任意	実行されたアクション
handled	string	任意	検出が処理されたかどうかを示します
detection_uuid	string	任意	検出の一意の識別子は、ESET CONNECT APIで検出の詳細を照会するために使用できます

FirewallAggregated_Event JSONログの例:

HIPSAggregated_Event

HIPS (HIPS検出)のイベントは、Syslogメッセージとして送信される前に、重要度でフィルタリングされます。HIPS固有の属性は次のとおりです。

application	string	任意	アプリケーション名
operation	string	任意	処理
target	string	任意	対象
action	string	任意	実行されたアクション
action_taken	string	任意	エンドポイントによって実行されたアクション
rule_name	string	任意	ルール名
rule_id	string	任意	ルールID
aggregate_count	number	任意	ESET PROTECTサーバーと管理するESET Managementエージェント間で、2つの連続するレプリケーションの間に、エンドポイントによって生成されたまったく同じメッセージの数
handled	string	任意	検出が処理されたかどうかを示します
detection_uuid	string	任意	検出の一意の識別子は、ESET CONNECT APIで検出の詳細を照会するために使用できます

HipsAggregated_Event JSONログの例:

Audit_Event

ESET PROTECTは内部監査ログメッセージをSyslogに転送します。固有の属性は次のとおりです。

domain	string	任意	監査ログドメイン
action	string	任意	実行中のアクション
target	string	任意	ターゲットアクションが動作しています
detail	string	任意	アクションの詳細説明
user	string	任意	関係するセキュリティユーザー
result	string	任意	アクションの結果

Audit_Eventログの例:

FilteredWebsites_Event

ESET PROTECTはフィルタリングされたWebサイト(Web 保護検出)をSyslogに転送します。固有の属性は次のとおりです。

processname	string	任意	イベントに関連付けられたプロセスの名前
username	string	任意	イベントに関連付けられたユーザーアカウントの名前
hash	string	任意	フィルタリングされたオブジェクトのSHA1ハッシュ
event	string	任意	イベントタイプ
rule_id	string	任意	ルールID
action_taken	string	任意	実行されたアクション
scanner_id	string	任意	スキャナーID
object_uri	string	任意	オブジェクトURI
target_address	string	任意	イベント宛先のアドレス
target_address_type	string	任意	イベント宛先のアドレスのタイプ(25769803777 = IPv4; 25769803778 = IPv6)
handled	string	任意	検出が処理されたかどうかを示します
detection_uuid	string	任意	検出の一意の識別子は、ESET CONNECT APIで検出の詳細を照会するために使用できます

FilteredWebsites_Event JSONログの例:

EnterpriseInspectorAlert_Event

ESET PROTECTはESET InspectアラートをSyslogに転送します。固有の属性は次のとおりです。

processname	string	任意	このアラームを発生させるプロセスの名前
username	string	任意	プロセスの所有者
rulename	string	任意	このアラームをトリガーするルールの名前
count	number	任意	前回のアラーム以降に生成されたこのタイプのアラート数
hash	string	任意	アラームのSHA1ハッシュ
eiconsolelink	string	任意	ESET Inspectコンソールのアラームへのリンク
eialarmid	string	任意	アラームリンクのID部分(^http.*/alarm/([0-9]+)$の$1)
computer_severity_score	number	任意	コンピューター重要度スコア
severity_score	number	任意	ルール重要度スコア
detection_uuid	string	任意	検出の一意の識別子は、ESET CONNECT APIで検出の詳細を照会するために使用できます
trigger_event	string	任意	検出をトリガーしたイベントの説明
command_line	string	任意	検出をトリガーしたプロセスのコマンドライン

EnterpriseInspectorAlert_Event JSONログの例:

BlockedFiles_Event

ESET PROTECTはESET Inspect ブロックされたファイルをSyslogに転送します。固有の属性は次のとおりです。

processname	string	任意	イベントに関連付けられたプロセスの名前
username	string	任意	イベントに関連付けられたユーザーアカウントの名前
hash	string	任意	ブロックされたファイルのSHA1ハッシュ
object_uri	string	任意	オブジェクトURI
action	string	任意	実行されたアクション
firstseen	string	任意	そのコンピューターで初めて検出が特定された日時(日時形式)。
cause	string	任意
description	string	任意	ブロックされたファイルの説明
handled	string	任意	検出が処理されたかどうかを示します
detection_uuid	string	任意	検出の一意の識別子は、ESET CONNECT APIで検出の詳細を照会するために使用できます

˄˅