导出为 CEF 格式的事件

要过滤发送到系统日志的事件日志，请使用定义的过滤器创建日志类别通知。

CEF 是一个基于文本的日志格式，由 ArcSight™ 开发。CEF 格式包括 CEF 标头和 CEF 扩展。扩展包含一个键值对列表。

CEF 标头

标题	示例	说明
Device Vendor	ESET
Device Product	ProtectCloud
Device Version	10.0.5.1	ESET PROTECT 版本
Device Event Class ID (Signature ID):	109	设备事件类别唯一标识符： •100-199 威胁事件 •200-299 防火墙事件 •300–399 HIPS 事件 •400–499 审核事件 •500–599 ESET Inspect 事件 •600-699 阻止的文件事件 •700-799 过滤的网站事件
Event Name	Detected port scanning attack	事件所发生情况的简要说明
Severity	5	严重性: •2 – 信息 •3 – 通知 •5 – 警告 •7 – 错误 •8 – 严重 •10 – 致命

扩展名	示例	说明
cat	ESET Threat Event	事件类别： •ESET Threat Event •ESET Firewall Event •ESET HIPS Event •ESET RA Audit Event •ESET Inspect Event •ESET Blocked File Event •ESET Filtered Website Event
dvc	10.0.12.59	生成事件的计算机 IPv4 地址。
c6a1	2001:0db8:85a3:0000:0000:8a2e:0370:7334	生成事件的计算机 IPv6 地址。
c6a1Label	Device IPv6 Address
dvchost	COMPUTER02	发生事件的计算机的主机名
deviceExternalId	39e0feee-45e2-476a-b17f-169b592c3645	生成事件的计算机 UUID。
rt	Jun 04 2017 14:10:0	事件发生的 UTC 时间。该格式为 %b %d %Y %H:%M:%S
ESETProtectDeviceGroupName	All/Lost & found	生成事件的计算机的静态组的完整路径。如果路径的长度超过 255 个字符，则 ESETProtectDeviceGroupName 仅会包含静态组名称。
ESETProtectDeviceOsName	Microsoft Windows 11 Pro	有关计算机操作系统的信息。
ESETProtectDeviceGroupDescription	Lost & found static group	静态组说明。

扩展名	示例	说明
cs1	W97M/Kojer.A	发现威胁名称
cs1Label	Threat Name
cs2	25898 (20220909)	检测引擎版本
cs2Label	Engine Version
cs3	Virus	检测类型
cs3Label	Threat Type
cs4	Real-time file system protection	扫描程序 ID
cs4Label	Scanner ID
cs5	virlog.dat	扫描 ID
cs5Label	Scan ID
cs6	Failed to remove file	“操作”失败时的错误消息
cs6Label	Action Error
cs7	Event occurred on a newly created file	造成该事件的简短说明
cs7Label	Circumstances
cs8	0000000000000000000000000000000000000000	（检测）数据流的 SHA1 哈希。
cs8Label	Hash
act	Cleaned by deleting file	端点执行的操作
filePath	file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC	对象 URI
fileType	File	与事件相关的对象类型
cn1	1	检测已处理 (1) 或未处理 (0)
cn1Label	Handled
cn2	0	重新启动需要 (1) 或不需要 (0)
cn2Label	Restart Needed
suser	172-MG\\Administrator	与事件关联的用户帐户的名称
sprod	C:\\7-Zip\\7z.exe	事件源进程的名称
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S

扩展名	示例	说明
msg	TCP Port Scanning attack	事件名称
src	127.0.0.1	事件源 IPv4 地址
c6a2	2001:0db8:85a3:0000:0000:8a2e:0370:7334	事件源 IPv6 地址
c6a2Label	Source IPv6 Address
spt	36324	事件来源端口
dst	127.0.0.2	事件目标 IPv4 地址
c6a3	2001:0db8:85a3:0000:0000:8a2e:0370:7335	事件目标 IPv6 地址
c6a3Label	Destination IPv6 Address
dpt	24	事件目标端口
proto	http	协议
act	Blocked	已采取操作
cn1	1	检测已处理 (1) 或未处理 (0)
cn1Label	Handled
suser	172-MG\\Administrator	与事件关联的用户帐户的名称
deviceProcessName	someApp.exe	与事件关联的进程的名称
deviceDirection	1	连接已入站 (0) 或已出站 (1)
cnt	3	端点在 ESET PROTECT 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量
cs1		规则 ID
cs1Label	Rule ID
cs2	custom_rule_12	规则名称
cs2Label	Rule Name
cs3	Win32/Botnet.generic	威胁名称
cs3Label	Threat Name

扩展名	示例	说明
cs1	Suspicious attempt to launch an application	规则 ID
cs1Label	Rule ID
cs2	custom_rule_12	规则名称
cs2Label	Rule Name
cs3	C:\\someapp.exe	应用程序名称
cs3Label	Application
cs4	Attempt to run a suspicious object	操作
cs4Label	Operation
cs5	C:\\somevirus.exe	目标
cs5Label	Target
act	Blocked	已采取操作
cs2	custom_rule_12	规则名称
cn1	1	检测已处理 (1) 或未处理 (0)
cn1Label	Handled
cnt	3	端点在 ESET PROTECT 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量

扩展名	示例	说明
act	Login attempt	正在发生的操作
suser	Administrator	涉及的安全用户
duser	Administrator	目标安全用户（例如，用于登录尝试）
msg	Authenticating native user 'Administrator'	操作的详细说明
cs1	Native user	审核日志域
cs1Label	Audit Domain
cs2	Success	操作结果
cs2Label	Result

扩展名	示例	说明
deviceProcessName	c:\\imagepath_bin.exe	导致此警报的进程的名称
suser	HP\\home	进程所有者
cs2	custom_rule_12	触发此警报的规则的名称
cs2Label	Rule Name
cs3	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	警报 SHA1 哈希
cs3Label	Hash
cs4	https://inspect.eset.com:443/console/alarm/126	指向 ESET Inspect Web 控制台中的警报的链接
cs4Label	EI Console Link
cs5	126	警报链接的 ID 子部分（^http.*/alarm/([0-9]+)$ 中的 $1）
cs5Label	EI Alarm ID
cn1	275	计算机严重级别评分
cn1Label	ComputerSeverityScore
cn2	60	规则严重级别评分
cn2Label	SeverityScore
cnt	3	自上次警报以来生成的类型相同的警报数量

扩展名	示例	说明
act	Execution blocked	已采取操作
cn1	1	检测已处理 (1) 或未处理 (0)
cn1Label	Handled
suser	HP\\home	与事件关联的用户帐户的名称
deviceProcessName	C:\\Windows\\explorer.exe	与事件关联的进程的名称
cs1	78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9	阻止的文件的 SHA1 哈希
cs1Label	Hash
filePath	C:\\totalcmd\\TOTALCMD.EXE	对象 URI
msg	ESET Inspect	阻止的文件说明
deviceCustomDate1	Jun 04 2019 14:10:00
deviceCustomDate1Label	FirstSeen	此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S
cs2	Blocked by Administrator	原因
cs2Label	Cause

˄˅