ESET 联机帮助

搜索 简体字
选择主题

导出为 CEF 格式的事件

要过滤发送到系统日志的事件日志,请使用定义的过滤器创建日志类别通知

CEF 是一个基于文本的日志格式,由 ArcSight™ 开发。CEF 格式包括 CEF 标头和 CEF 扩展。扩展包含一个键值对列表。

CEF 标头

标题

示例

说明

Device Vendor

ESET

 

Device Product

ProtectCloud

 

Device Version

10.0.5.1

ESET PROTECT 版本

Device Event Class ID (Signature ID):

109

设备事件类别唯一标识符:

100-199 威胁事件

200-299 防火墙事件

300–399 HIPS 事件

400–499 审核事件

500–599 ESET Inspect 事件

600-699 阻止的文件事件

700-799 过滤的网站事件

Event Name

Detected port scanning attack

事件所发生情况的简要说明

Severity

5

严重性:

2 – 信息

3 – 通知

5 – 警告

7 – 错误

8 – 严重

10 – 致命

所有类别通用的 CEF 扩展

扩展名

示例

说明

cat

ESET Threat Event

事件类别:

ESET Threat Event

ESET Firewall Event

ESET HIPS Event

ESET RA Audit Event

ESET Inspect Event

ESET Blocked File Event

ESET Filtered Website Event

dvc

10.0.12.59

生成事件的计算机 IPv4 地址。

c6a1

2001:0db8:85a3:0000:0000:8a2e:0370:7334

生成事件的计算机 IPv6 地址。

c6a1Label

Device IPv6 Address

 

dvchost

COMPUTER02

发生事件的计算机的主机名

deviceExternalId

39e0feee-45e2-476a-b17f-169b592c3645

生成事件的计算机 UUID。

rt

Jun 04 2017 14:10:0

事件发生的 UTC 时间。该格式为 %b %d %Y %H:%M:%S

ESETProtectDeviceGroupName

All/Lost & found

生成事件的计算机的静态组的完整路径。如果路径的长度超过 255 个字符,则 ESETProtectDeviceGroupName 仅会包含静态组名称。

ESETProtectDeviceOsName

Microsoft Windows 11 Pro

有关计算机操作系统的信息。

ESETProtectDeviceGroupDescription

Lost & found static group

静态组说明。

CEF 扩展(按事件类别)

威胁事件

扩展名

示例

说明

cs1

W97M/Kojer.A

发现威胁名称

cs1Label

Threat Name

 

cs2

25898 (20220909)

检测引擎版本

cs2Label

Engine Version

 

cs3

Virus

检测类型

cs3Label

Threat Type

 

cs4

Real-time

file system protection

扫描程序 ID

cs4Label

Scanner ID

 

cs5

virlog.dat

扫描 ID

cs5Label

Scan ID

 

cs6

Failed to remove file

“操作”失败时的错误消息

cs6Label

Action Error

 

cs7

Event occurred on a newly created file

造成该事件的简短说明

cs7Label

Circumstances

 

cs8

0000000000000000000000000000000000000000

(检测)数据流的 SHA1 哈希。

cs8Label

Hash

 

act

Cleaned by deleting file

端点执行的操作

filePath

file:///C:/Users/Administrator/Downloads/doc/000001_5dc5c46b.DOC

对象 URI

fileType

File

与事件相关的对象类型

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

 

cn2

0

重新启动需要 (1) 或不需要 (0)

cn2Label

Restart Needed

 

suser

172-MG\\Administrator

与事件关联的用户帐户的名称

sprod

C:\\7-Zip\\7z.exe

事件源进程的名称

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S

arrow_down_business 威胁事件 CEF 日志示例:

防火墙事件

扩展名

示例

说明

msg

TCP Port Scanning attack

事件名称

src

127.0.0.1

事件源 IPv4 地址

c6a2

2001:0db8:85a3:0000:0000:8a2e:0370:7334

事件源 IPv6 地址

c6a2Label

Source IPv6 Address

 

spt

36324

事件来源端口

dst

127.0.0.2

事件目标 IPv4 地址

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

事件目标 IPv6 地址

c6a3Label

Destination IPv6 Address

 

dpt

24

事件目标端口

proto

http

协议

act

Blocked

已采取操作

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

 

suser

172-MG\\Administrator

与事件关联的用户帐户的名称

deviceProcessName

someApp.exe

与事件关联的进程的名称

deviceDirection

1

连接已入站 (0) 或已出站 (1)

cnt

3

端点在 ESET PROTECT 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量

cs1

 

规则 ID

cs1Label

Rule ID

 

cs2

custom_rule_12

规则名称

cs2Label

Rule Name

 

cs3

Win32/Botnet.generic

威胁名称

cs3Label

Threat Name

 

arrow_down_business 防火墙事件 CEF 日志示例:

HIPS 事件

扩展名

示例

说明

cs1

Suspicious attempt to launch an application

规则 ID

cs1Label

Rule ID

 

cs2

custom_rule_12

规则名称

cs2Label

Rule Name

 

cs3

C:\\someapp.exe

应用程序名称

cs3Label

Application

 

cs4

Attempt to run a suspicious object

操作

cs4Label

Operation

 

cs5

C:\\somevirus.exe

目标

cs5Label

Target

 

act

Blocked

已采取操作

cs2

custom_rule_12

规则名称

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

 

cnt

3

端点在 ESET PROTECT 和 ESET Management 服务器代理之间的两次连续复制之间生成的同一消息的数量

arrow_down_business HIPS 事件 CEF 日志示例:

审核事件

扩展名

示例

说明

act

Login attempt

正在发生的操作

suser

Administrator

涉及的安全用户

duser

Administrator

目标安全用户(例如,用于登录尝试)

msg

Authenticating native user 'Administrator'

操作的详细说明

cs1

Native user

审核日志域

cs1Label

Audit Domain

 

cs2

Success

操作结果

cs2Label

Result

 

arrow_down_business 审核事件 CEF 日志示例:

ESET Inspect 事件

扩展名

示例

说明

deviceProcessName

c:\\imagepath_bin.exe

导致此警报的进程的名称

suser

HP\\home

进程所有者

cs2

custom_rule_12

触发此警报的规则的名称

cs2Label

Rule Name

 

cs3

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

警报 SHA1 哈希

cs3Label

Hash

 

cs4

https://inspect.eset.com:443/console/alarm/126

指向 ESET Inspect Web 控制台中的警报的链接

cs4Label

EI Console Link

 

cs5

126

警报链接的 ID 子部分(^http.*/alarm/([0-9]+)$ 中的 $1)

cs5Label

EI Alarm ID

 

cn1

275

计算机严重级别评分

cn1Label

ComputerSeverityScore

 

cn2

60

规则严重级别评分

cn2Label

SeverityScore

 

cnt

3

自上次警报以来生成的类型相同的警报数量

arrow_down_business ESET Inspect 事件 CEF 日志示例:

阻止的文件事件

扩展名

示例

说明

act

Execution blocked

已采取操作

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

 

suser

HP\\home

与事件关联的用户帐户的名称

deviceProcessName

C:\\Windows\\explorer.exe

与事件关联的进程的名称

cs1

78C136C80FF3F46C2C98F5C6B3B5BB581F8903A9

阻止的文件的 SHA1 哈希

cs1Label

Hash

 

filePath

C:\\totalcmd\\TOTALCMD.EXE

对象 URI

msg

ESET Inspect

阻止的文件说明

deviceCustomDate1

Jun 04 2019 14:10:00

 

deviceCustomDate1Label

FirstSeen

此计算机上首次发现检测的时间和日期。该格式为 %b %d %Y %H:%M:%S

cs2

Blocked by Administrator

原因

cs2Label

Cause

 

arrow_down_business 阻止的文件事件 CEF 日志示例:

过滤的网站事件

扩展名

示例

说明

msg

An attempt to connect to URL

事件类型

act

Blocked

已采取操作

cn1

1

检测已处理 (1) 或未处理 (0)

cn1Label

Handled

 

suser

Peter

与事件关联的用户帐户的名称

deviceProcessName

Firefox

与事件关联的进程的名称

cs1

Blocked by PUA blacklist

规则 ID

cs1Label

Rule ID

 

requestUrl

https://kenmmal.com/

被阻止请求的 URL

dst

172.17.9.224

事件目标 IPv4 地址

c6a3

2001:0db8:85a3:0000:0000:8a2e:0370:7335

事件目标 IPv6 地址

c6a3Label

Destination IPv6 Address

 

cs2

HTTP filter

扫描程序 ID

cs2Label

Scanner ID

 

cs3

8EECCDD290BE2E99183290FDBE4172EBE3DC7EC5

过滤的对象的 SHA1 哈希

cs3Label

Hash

 

arrow_down_business 过滤的网站事件 CEF 日志示例: