Fortinet FortiGate 安全网关示例事件消息
使用此事件消息示例来验证是否与 JSA 成功集成。
Fortinet FortiGate 安全网关示例消息,当您使用 Syslog 或 Syslog 重定向协议时
由于存在格式问题,将消息格式粘贴到文本编辑器中,然后删除所有回车符或换行符。
示例 1:以下示例显示尝试使用影响 Microsoft Exchange 服务器的远程访问漏洞。远程攻击者通过发送包含特制 vCal 和 iCal 日历数据的会议请求的电子邮件来使用此漏洞。因此,攻击者或许能够控制易受攻击的系统。
<185>date=2011-05-09 time=14:31:07 devname=exampleDeviceName device_id=EXAMPLEDEVID2 log_id=0987654321 type=ips subtype=signature pri=alert severity=high carrier_ep="N/A" profilegroup="N/A" profiletype="N/A" profile="Example_Profile" src=10.10.10.10 dst=10.20.20.20 src_int=exampleVlan2 dst_int=exampleVlan1 policyid=4 identidx=0 serial=123456 status=detected proto=6 service=smtp vd="exampleDomain" count=1 src_port=50000 dst_port=8080 attack_id=11897 sensor=exampleSensor ref=url.example.test user="N/A" group=Example_Group incident_serialno=1234567890 msg="email: MS.Exchange.Mail.Calender.Buffer.Overflow"
| JSA 字段名称 |
突出显示的有效负载字段名称 |
|---|---|
| 事件 ID |
attack_id |
| 源 IP |
Src |
| 源端口 |
src_port |
| 目标 IP |
Dst |
| 目标端口 |
dst_port |
| 协议 |
原 |
| 政策 |
策略id |
| 设备时间 |
日期 + 时间 |
示例 2:以下示例显示路由信息已更改。
date=2020-09-17 time=01:36:20 logid="0100022921" type="event"subtype="system" level="critical" vd="root" eventtime=1600331781108372788 tz="-0700" logdesc="Routing information changed" name="Google_Ping" interface="TEST-INF1" status="down" msg="Static route on interface TEST-INF1 may be removed by health-check Google_Ping. Route: (10.10.10.27->10.10.8.8 ping-down)"
| JSA 字段名称 |
突出显示的有效负载字段名称 |
|---|---|
| 事件 ID |
logdesc + 级别 |
| 设备时间 |
日期 + 时间 |
示例 3:以下示例显示允许使用防火墙。
date=2020-09-10 time=05:01:35 logid="0000000013" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1599739296076496743 tz="-0700" srcip=192.168.14.111 srcport=54923 srcintf="internal" srcintfrole="lan" dstip=192.168.14.112 dstport=80 dstintf="wan1" dstintfrole="wan" srccountry="Reserved" dstcountry="Test Country" sessionid=53159 proto=6 action="close" policyid=1 policytype="policy" poluuid="a9b81e06- c6a0-51e8-e434-a05c75d5ad74" policyname="Internet_Access" service="HTTP" trandisp="snat" transip=172.16.72.26 transport=54923 appid=17735 app="Facebook_Apps" appcat="Social.Media" apprisk="medium" applist="default" duration=187 sentbyte=2333 rcvdbyte=2585 sentpkt=42 rcvdpkt=42 vwlid=6 vwlservice="Facebook-Instagram" vwlquality="Seq_num(1 wan1), alive, sla(0x1), cfg_order(0), cost(10), selected" utmaction="allow" countapp=1 sentdelta=1092 rcvddelta=780 utmref=65515-3302
| JSA 字段名称 |
突出显示的有效负载字段名称 |
|---|---|
| 事件 ID |
UTMaction |
| 源 IP |
srcip |
| 源端口 |
srcport |
| 目标 IP |
dstip |
| 目标端口 |
dstport |
| 预 NAT 源 IP |
srcip |
| 预 NAT 源端口 |
srcport |
| 后 NAT 源 IP |
转发 |
| 后 NAT 源端口 |
运输 |
| 协议 |
原 |
| 政策 |
策略id |
| 持续时间秒 |
时间 |
| 设备时间 |
日期 + 时间 |