Syslog

192.168.100.2	Dec 14 15:48:38		daemon	warning		timestamp:2022-12-14 10:48:34.808465+00:00,flow_id:1189034483406353,in_iface:seq:Leth1:3:m,sensor_name:suricata_debug,event_type:alert,src_ip:192.168.100.11,src_port:61790,src_country:,src_country_code:,src_session_uuid:7100d1c8-017f-4cbf-8b78-482839300211,src_user_id:2,src_user_name:a.istomina,dest_ip:192.168.100.2,dest_port:53,dest_country:,dest_country_code:,dest_session_uuid:,dest_user_id:-1,dest_user_name:,proto:UDP,alert.signature_id:1003892,alert.signature:Windows Telemetry,alert.category:Telemetry Windows,alert.severity:3,alert.gid:1,alert.action:blocked,http.hostname:,http.url:,http.http_user_agent:,flow.pkts_toserver:1,flow.pkts_toclient:0,flow.bytes_toserver:73,flow.bytes_toclient:0,flow.start:2022-12-14 10:48:34.808465+00:00,flow.end:2022-12-14 10:48:35.580143+00:00,flow.age:0,flow.state:,flow.reason:,flow.alerted:0,tcp.tcp_flags:,tcp.tcp_flags_ts:,tcp.tcp_flags_tc:,tcp.cwr:0,tcp.ecn:0,tcp.urg:0,tcp.ack:0,tcp.psh:0,tcp.rst:0,tcp.syn:0,tcp.fin:0,tcp.state:

где:

• 192.168.100.2 - ip-адрес NGFW VPP отправителя;

• Dec 14 15:48:38 - время получения события по Syslog;

• timestamp: 2022-12-14 10:48:34.808465+00:00 - время события в системе предотвращения вторжений, может не совпадать с временем получения события по Syslog;

• flow_id: 1189034483406353- внутренний идентификатор системы предотвращения вторжений flow(сессии);

• in_iface: seq:Leth1:3:m - содержит идентификатор входящего интерфейса;

• sensor_name: suricata_debug - имя экземпляра системы предотвращения вторжений;

• event_type: alert - тип события;

• src_ip: 192.168.100.11 - IP-адрес источника;

• src_port: 61790 - порт источника;

• src_country: - название местоположения источника;

• src_country_code: - ISO-код страны источника;

• src_session_uuid: 7100d1c8-017f-4cbf-8b78-482839300211 - внутренний идентификатор сессии Ideco NGFW источника;

• src_user_id: 2 - идентификатор пользователя источника;

• src_user_name: a.istomina- имя пользователя источника;

• dest_ip: 192.168.100.2 - IP-адрес назначения;

• dest_port: 53 - порт назначения;

• dest_country: - название местоположения назначения;

• dest_country_code: - ISO-код страны назначения;

• dest_session_uuid: - внутренний идентификатор сессии Ideco NGFW назначения;

• dest_user_id: -1 - идентификатор пользователя назначения;

• dest_user_name: - имя пользователя назначения;

• proto: UDP - протокол;

• alert.signature_id: 1003892 - ID правила системы предотвращения вторжений;

• alert.signature: Windows Telemetry - сообщение из сработавшего правила;

• alert.severity: 3 - уровень угрозы, может принимать значения 1, 2, 3 и 256, где 1 - самый высокий уровень угрозы;

Служебные поля результата анализа HTTP-трафика. Заполняются в случае, если в процессе анализа трафика был определен HTTP-протокол:

• http.hostname: - идентификатор хоста;

• http.url: - url на который велось обращение;

• http.http_user_agent: - информация, идентифицирующая HTTP-клиента.

Служебные поля flow(сессии):

• flow.pkts_toserver :1 - количество пакетов, переданное от клиента к серверу;

• flow.pkts_toclient: 0 - количество пакетов, переданное от сервера к клиенту;

• flow.bytes_toserver: 73 - количество байт, переданное от клиента к серверу;

• flow.bytes_toclient: 0 - количество байт, переданное от сервера к клиенту;

• flow.start: 2022-12-14 10:48:34.808465+00:00 - начало;

• flow.end: 2022-12-14 10:48:35.580143+00:00 - окончание;

• flow.age: 0 - возраст;

• flow.state: - текущее состояние;

• flow.reason: - запущена ли IPsec в режиме отладки;

• flow.alerted: 0 - сгенерировался ли поток alert;

• tcp.tcp_flags: - значение поля flags в заголовке TCP;

• tcp.cwr: 0;

• tcp.ecn: 0;

• tcp.urg: 0;

• tcp.ack: 0;

• tcp.psh: 0;

• tcp.rst: 0;

• tcp.syn: 0;

• tcp.fin: 0;