Mensaje de evento de ejemplo NSS de Zscaler

Utilice estos mensajes de eventos de ejemplo como una forma de verificar una integración correcta con JSA.

Nota:

Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o de avance de línea.

Ejemplo 1: En la tabla siguiente se proporciona un mensaje de suceso de ejemplo para las fuentes de registros de firewall cuando se utiliza el protocolo Syslog para Zscaler NSS DSM.

Tabla 1: Mensaje de ejemplo de Zscaler NSS Syslog para fuentes de registros de firewall compatibles con Zscaler NSS
Nombre del evento	Categoría de nivel bajo	Mensaje de registro de ejemplo
Soltar	Denegar firewall	Jun 02 16:34:55 zscaler-nss: LEEF:1.0\|Zscaler\|NSS-FW\| 5.5\|Drop\|usrName=GCL->SBL-1\trole=Default Department \trealm=GCL- >SBL-1\tsrc=10.11.12.13\tdst=10.66.69.21\tsrcPort=305 13\tdstPort=53\tdstPreNATPort=30512\tsrcPreNATPort=23 4\tdstPostNATPort=2345\tsrcPostNATPort=332\tsrcPreNAT =10.17.15.14\tdstPreNAT=10.66.69.111\tsrcPostNAT=10.6 6.54.105\tdstPostNAT=10.17.15.14\ttsip=10.66.54.105\t \ttsport=0\t\tttype=GRE\tcat=nss-fw\tdnat=No \tstateful=No\taggregate=No\tnwsvc=HTTP \tnwapp=adultadworld\tproto=TCP\tipcat=Miscellaneous or Unknown\tdestcountry=United States \tavgduration=115\trulelabel=Firewall_Adult \tdstBytes=898\tsrcBytes=14754\tduration=0\tdurationm s=115\tnumsessions=1

Tabla 1: Mensaje de ejemplo de Zscaler NSS Syslog para fuentes de registros de firewall compatibles con Zscaler NSS

Nombre del evento

Categoría de nivel bajo

Mensaje de registro de ejemplo

Soltar

Denegar firewall

Jun 02 16:34:55 zscaler-nss: LEEF:1.0|Zscaler|NSS-FW|
5.5|Drop|usrName=GCL->SBL-1\trole=Default Department
\trealm=GCL-
>SBL-1\tsrc=10.11.12.13\tdst=10.66.69.21\tsrcPort=305
13\tdstPort=53\tdstPreNATPort=30512\tsrcPreNATPort=23
4\tdstPostNATPort=2345\tsrcPostNATPort=332\tsrcPreNAT
=10.17.15.14\tdstPreNAT=10.66.69.111\tsrcPostNAT=10.6
6.54.105\tdstPostNAT=10.17.15.14\ttsip=10.66.54.105\t
\ttsport=0\t\tttype=GRE\tcat=nss-fw\tdnat=No
\tstateful=No\taggregate=No\tnwsvc=HTTP
\tnwapp=adultadworld\tproto=TCP\tipcat=Miscellaneous
or Unknown\tdestcountry=United States
\tavgduration=115\trulelabel=Firewall_Adult
\tdstBytes=898\tsrcBytes=14754\tduration=0\tdurationm
s=115\tnumsessions=1

En la tabla siguiente se proporciona un mensaje de suceso de ejemplo para las fuentes de registros web cuando se utiliza el protocolo Syslog para Zscaler NSS DSM.

Tabla 2: Mensaje de ejemplo de Zscaler NSS Syslog para fuentes de registros web compatibles con Zscaler NSS
Nombre del evento	Categoría de nivel bajo	Mensaje de registro de ejemplo
Bloquear	Infracción de la política de umbral de red	<13>Feb 21 06:56:02 zscalar.nss.test zscaler-nss: LEEF:1.0\|Zscaler\|NSS\|4.1\|IPS block outbound request: adware/spyware traffic\|cat=Blocked devTime=Feb 21 2019 06:56:02 GMT devTimeFormat=MMM dd yyyy HH:mm:ss z src=192.0.2.0 dst=192.0.2.11 srcPostNAT=192.0.2.14 realm=Location 1 usrName=User01 srcBytes=175 dstBytes=14798 role=Unauthenticated Transactions policy=IPS block outbound request: adware/spyware traffic url=qradar.example.test/? v=3.08&pcrc=123456789=CHECK recordid=6660343920943824897 bwthrottle=NO useragent=Unknown referer=None hostname=qradar.example.test appproto=HTTP urlcategory=Suspected Spyware or Adware urlsupercategory=Advanced Security urlclass=Advanced Security Risk appclass=General Browsing appname=generalbrowsing malwaretype=Clean Transaction malwareclass=Clean Transaction threatname=Win32.PUA.Jeefo riskscore=100 dlpdict=None dlpeng=None fileclass=None filetype=None reqmethod=POST respcode=40

Tabla 2: Mensaje de ejemplo de Zscaler NSS Syslog para fuentes de registros web compatibles con Zscaler NSS

Nombre del evento

Categoría de nivel bajo

Mensaje de registro de ejemplo

Bloquear

Infracción de la política de umbral de red

<13>Feb 21 06:56:02 zscalar.nss.test zscaler-nss:
LEEF:1.0|Zscaler|NSS|4.1|IPS block outbound request:
adware/spyware traffic|cat=Blocked devTime=Feb 21
2019 06:56:02 GMT devTimeFormat=MMM dd yyyy HH:mm:ss
z src=192.0.2.0 dst=192.0.2.11 srcPostNAT=192.0.2.14
realm=Location 1 usrName=User01 srcBytes=175
dstBytes=14798 role=Unauthenticated Transactions
policy=IPS block outbound request: adware/spyware
traffic url=qradar.example.test/?
v=3.08&pcrc=123456789=CHECK
recordid=6660343920943824897 bwthrottle=NO
useragent=Unknown referer=None
hostname=qradar.example.test appproto=HTTP
urlcategory=Suspected Spyware or Adware
urlsupercategory=Advanced Security urlclass=Advanced
Security Risk appclass=General Browsing
appname=generalbrowsing malwaretype=Clean
Transaction malwareclass=Clean Transaction
threatname=Win32.PUA.Jeefo riskscore=100
dlpdict=None dlpeng=None fileclass=None
filetype=None reqmethod=POST respcode=40