Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

LEEF 活动组件

日志事件扩展格式 (LEEF) 是 JSA 的自定义事件格式,其中包含 JSA 可读且易于处理的事件。LEEF 格式由 Syslog 标头、LEEF 标头和事件属性组成。

系统日志标题

syslog 报头包含提供事件的系统的时间戳和 IPv4 地址或主机名。系统日志标头是 LEEF 格式的可选组件。如果包括系统日志标头,则必须用空格将系统日志标头与 LEEF 标头分隔开。系统日志标头必须符合 RFC 3164 或 RFC 5424 中规定的格式。

RFC 3164 标头格式:

注意:

JSA 的优先级标记是可选的。

<优先标记><timestamp><IP 地址或主机名>

优先级标记(如果存在)必须为 1- 3 位,并且必须用尖括号括起来。例如 <13>。

RFC 3164 标头的示例:

  • <1月18日>11:07:53 192.168.1.1

  • 1 月 18 日 11:07:53 我的主机名

RFC 5424 标头格式:

注意:

需要优先级标记。

<优先标记>1<timestamp><IP 地址或主机名>

优先级标记必须为 1 - 3 位,并且必须括在尖括号内。例如,<13>。时间戳的格式必须为:yyy-MM-ddTHH:mm:ss。SSSZ。

注意:

  • “T” 必须是字面上的 T 字符。

  • “Z”可以是 Z 字面值,也可以是具有以下格式的时区值:-04:00

RFC 5424 标头的示例:

  • <13>1 2019-01-18T11:07:53.520Z 192.168.1.1

  • <133>1 2019-01-18T11:07:53.520+07:00 myhostname

LEEF 标题

LEEF 标头是 LEEF 事件的必填字段。LEEF 标头是一组以 (|) 分隔的管道值,用于标识您的软件或设备到 JSA

以下列表显示:

  • LEEF:Version|Vendor|Product|Version|EventID|

  • LEEF:1.0|Microsoft|MSExchange|2013 SP1|15345|

  • LEEF:2.0|Lancope|StealthWatch|6.5|41|^|

事件属性

事件属性标识设备或软件产生的事件的有效负载信息。每个事件属性都是一个键值对,带有用于分隔各个有效负载事件的选项卡。LEEF 格式包含许多预定义的事件属性, JSA 使用这些属性对事件进行分类和显示。

以下列表显示:

  • key=value<tab>key=value<tab>key=value<tab>key=value<tab>

  • src=192.0.2.0 dst=172.50.123.1 sev=5 cat=异常 srcPort=81 dstPort=21 usrName=joe.black

DelimiterCharacter使用 LEEF 2.0 标头中的指定属性的备用分隔符。您可以为该字符使用单个字符或十四角值。十六角值可以用前缀 0x 或 x 表示,后跟一系列 1-4 个字符 (0-9A-Fa-f)。

表 1:LEEF 2.0 的属性分隔符字符示例

分隔符

Caret (^)

LEEF:2.0|Vendor|Product|Version|EventID|^|

Caret(十四角值)

LEEF:2.0|Vendor|Product|Version|EventID|x5E|

垂直条断开 (¦)

LEEF:2.0|Vendor|Product|Version|EventID|xa6|

下表介绍了 LEEF 格式。

表 2:LEEF 格式说明

类型

进入

分隔符

描述

系统日志标题

IP 地址

空间

JSA 提供事件的软件或设备的 IP 地址或主机名。

JSA 使用系统日志标头中的 IP 地址将事件路由到事件管道中的正确日志源。请勿在 syslog 标头中使用 IPv6 地址。JSA 无法将系统日志标头中的 IPv6 地址路由到事件管道。此外,IPv6 地址可能无法在 JSA日志源标识符字段中正确显示。

JSA 无法理解 syslog 报头中的 IP 地址时,系统将默认使用数据包地址来正确路由事件。

LEEF 标题

LEEF:版本

LEEF 版本信息是一个整数值,用于标识用于事件的 LEEF 格式的主要版本和次要版本,例如

LEEF:1.0|Vendor|Product|Version|EventID|

LEEF 标题

供应商或制造商名称

Vendor 是一个文本字符串,用于标识以 LEEF 格式发送系统日志事件的设备的供应商或制造商,例如

LEEF:1.0|Microsoft|Product|Version|EventID|

当 LEEF 标头中指定时,“供应商和产品”字段必须包含唯一值。

LEEF 标题

产品名称

产品字段是一个文本字符串,用于标识将事件日志发送至 JSA 的产品,例如

LEEF:1.0|Microsoft|MSExchange|Version|EventID|

当 LEEF 标头中指定时,“供应商和产品”字段必须包含唯一值。

LEEF 标题

产品版本

版本是一个字符串,用于标识发送事件日志的软件或设备的版本,例如

LEEF:1.0|Microsoft|MSExchange|2013 SP1|EventID|

LEEF 标题

事件ID

事件 ID 是事件的唯一标识符。

EventID 的目的是为事件提供细粒度的唯一标识符,而无需检查有效负载信息。EventID 可以包含已识别的数字或文本说明,例如

  • LEEF:1.0|Microsoft|MSExchange|2013|7732|

  • LEEF:1.0|Microsoft|MSExchange|2013|Logon Failure|

注意:

跨支持多种语言的产品,事件 ID 的值必须是一致且静态的。如果您的产品支持多语种事件,则可以在 EventID 字段中使用数字值或文本值,但当设备或应用的语言发生变化时,不得转换值。EventID 字段不能超过 255 个字符。

LEEF 标题

分隔符字符

DelimiterCharacter使用 LEEF 2.0 标头中的指定属性的替代分隔符。您可以为该字符使用单个字符或十四角值。十六角值可以由前缀 0x 或 x 表示,后跟一系列 1-4 个字符 (0-9A-Fa-f)。

事件属性

预定义密钥条目

选项 卡

分隔符字符

事件属性是一组键值对,用于提供有关安全事件的详细信息。每个事件属性都必须用制表符或分隔符分隔,但属性顺序不会实施,例如

src=172.16.77.100

相关文档