Protokollfelder

Tabelle 1. Admin
Name Typ Beschreibung
additional_information Zeichenfolge Zusätzliche Informationen zum Ereignis
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user Zeichenfolge Benutzername
Tabelle 2. Advanced Threat Protection
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP- und UDP-Verkehrs
endpoint_id Ganzzahl Endpoint-ID
event_id Ganzzahl Ereignis-ID
execution_path Zeichenfolge Pfad der ausführbaren Datei
host_login_user Zeichenfolge Protokollierter Benutzername auf dem Endpoint
host_process_user Zeichenfolge Laufender Prozess auf dem Endpoint.
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
protocol Ganzzahl Protokollnummer des Datenverkehrs
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP- und UDP-Verkehrs
app_risk Ganzzahl Risikostufe, die der Anwendung zugewiesen ist
status Zeichenfolge Gesamtzustand des Verkehrs
threat Zeichenfolge Erkannte Bedrohung
type Zeichenfolge Art des Ereignisses
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user Zeichenfolge Benutzername
url Zeichenfolge URL der besuchten Webseite
Tabelle 3. Anwendungsfilter
Name Typ Beschreibung
app_category Zeichenfolge Name der Kategorie, zu der die Anwendung gehört
app_name Zeichenfolge Anwendungsname
app_risk Ganzzahl Risikostufe, die der Anwendung zugewiesen ist
app_technology Zeichenfolge Technologie der Anwendung
appfilter_policy_id Ganzzahl ID der Anwendungsfilter-Richtlinie, die auf den Datenverkehr angewendet wird
appresolvedby Zeichenfolge Die Anwendung wird über die Signatur oder die synchronisierte Anwendung aufgelöst
bytes_received Ganzzahl Gesamtanzahl der empfangenen Bytes
bytes_sent Ganzzahl Gesamtanzahl der gesendeten Bytes
category Zeichenfolge Name der Kategorie, der die Webseite zugeordnet ist
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP- und UDP-Verkehrs
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
protocol Ganzzahl Protokollnummer des Datenverkehrs
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP- und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user_group Zeichenfolge Gruppe, zu welcher der Benutzer gehört
user Zeichenfolge Benutzername
Tabelle 4. Authentifizierung
Name Typ Beschreibung
additional_information Zeichenfolge Zusätzliche Informationen zum Ereignis
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
Tabelle 5. E-Mail
Name Typ Beschreibung
action Zeichenfolge Maßnahme, die für die Nachricht durchgeführt wird
bytes_received Ganzzahl Gesamtanzahl der empfangenen Bytes
bytes_sent Ganzzahl Gesamtanzahl der gesendeten Bytes
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP- und UDP-Verkehrs
email_size Ganzzahl E-Mail-Größe in Bytes
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
host Zeichenfolge Host, von dem der Datenverkehr stammt
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
policy_name Zeichenfolge Name der mit dem Ereignis verknüpften Richtlinie
protocol Ganzzahl Protokollnummer des Datenverkehrs
quarantine_reason Zeichenfolge Grund, warum der Eintrag als Spam/bösartig erkannt wurde
recipient Zeichenfolge Empfänger-E-Mail-Adresse
sender Zeichenfolge E-Mail-Adresse des Absenders
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP- und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
subject Zeichenfolge E-Mail-Betreff
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user Zeichenfolge Benutzername
Tabelle 6. Firewall
Name Typ Beschreibung
app_category Zeichenfolge Name der Kategorie, zu der die Anwendung gehört
app_name Zeichenfolge Anwendungsname
app_risk Ganzzahl Risikostufe, die der Anwendung zugewiesen ist
app_technology Zeichenfolge Technologie der Anwendung
appfilter_policy_id Ganzzahl ID der Anwendungsfilter-Richtlinie, die auf den Datenverkehr angewendet wird
appresolvedby Zeichenfolge Die Anwendung wird über die Signatur oder die synchronisierte Anwendung aufgelöst
bytes_received Ganzzahl Gesamtanzahl der empfangenen Bytes
bytes_sent Ganzzahl Gesamtanzahl der gesendeten Bytes
con_direction Zeichenfolge Paketrichtung
con_duration Zeichenfolge Lebensdauer des Datenverkehrs (Sekunden)
con_id Ganzzahl Eindeutige Kennung der Verbindung
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP- und UDP-Verkehrs
dst_trans_ip Zeichenfolge Übersetzte Ziel-IP-Adresse für ausgehenden Datenverkehr (nur im Routing-Modus anwendbar)
dst_trans_port Ganzzahl Übersetzter Zielport für ausgehenden Datenverkehr (nur im Routing-Modus anwendbar)
dst_zone Zeichenfolge Name der Zielzone
dst_zone_type Zeichenfolge Art der Zielzone
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
hb_status Zeichenfolge Heartbeat-Status
in_interface Zeichenfolge Schnittstelle für eingehenden Datenverkehr
ips_policy_id Ganzzahl ID der auf den Datenverkehr angewendeten IPS-Richtlinie
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
out_interface Zeichenfolge Schnittstelle für ausgehenden Datenverkehr
packets_received Ganzzahl Gesamtanzahl der empfangenen Pakete
packets_sent Ganzzahl Gesamtanzahl der gesendeten Pakete
policy_type Zeichenfolge Richtlinientyp, der auf den Datenverkehr angewendet wurde
protocol Ganzzahl Protokollnummer des Datenverkehrs
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
src_mac Ganzzahl Ursprüngliche Quell-MAC-Adresse des Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP- und UDP-Verkehrs
src_trans_ip Zeichenfolge Übersetzte Quell-IP-Adresse für ausgehenden Datenverkehr (nur im Routing-Modus anwendbar)
src_trans_port Ganzzahl Übersetzter Quellport für ausgehenden Datenverkehr
src_zone Zeichenfolge Name der Quellzone
src_zone_type Zeichenfolge Art der Quellzone
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user_group Zeichenfolge Gruppe, zu welcher der Benutzer gehört
user Zeichenfolge Benutzername
virt_con_id Ganzzahl Verbindungs-ID der Master-Verbindung
web_policy_id Zeichenfolge Internetrichtlinien-ID
Tabelle 7. IPS
Name Typ Beschreibung
category Zeichenfolge Kategorie der IPS-Signatur
classification Zeichenfolge Signaturklassifizierung
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
icmp_code Ganzzahl ICMP-Code des ICMP-Verkehrs
icmp_type Ganzzahl ICMP-Typ des ICMP-Verkehrs
ips_policy Ganzzahl Name der IPS-Richtlinie, die auf den Datenverkehr angewendet wird
ips_policy_id Ganzzahl ID der auf den Datenverkehr angewendeten IPS-Richtlinie
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Signaturnachricht
message_id Ganzzahl Nachrichten-ID
OS Zeichenfolge Betriebssystem zu dem der Verkehr gehört
protocol Ganzzahl Protokollnummer des Datenverkehrs
rule_priority Zeichenfolge Priorität der IPS-Richtlinie
sig_id Zeichenfolge Signatur-ID
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user Zeichenfolge Benutzername
victim Zeichenfolge Ziel des Verkehrs
Tabelle 8. Schadprogramme
Name Typ Beschreibung
bytes_sent Ganzzahl Gesamtanzahl der gesendeten Bytes
bytes_received Ganzzahl Gesamtanzahl der empfangenen Bytes
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
dst_country Ganzzahl Ländercode für Ziel-IP-Adressen
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP- und UDP-Verkehrs
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
policy_name Zeichenfolge Name der mit dem Ereignis verknüpften Richtlinie
protocol Ganzzahl Protokollnummer des Datenverkehrs
src_country Zeichenfolge Ländercode für Quell-IP-Adressen
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP- und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
status_code Ganzzahl Status-Code
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
url Zeichenfolge URL der besuchten Webseite
user Zeichenfolge Benutzername
user_agent Zeichenfolge Benutzer-Agent
virus Zeichenfolge Name des Schadprogramms, das von der Suchmaschine identifiziert wurde
web_policy_id Zeichenfolge Internetrichtlinien-ID
Tabelle 9. Sandstorm
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
domain Zeichenfolge Domäne, die mit dem Ereignis verbunden ist
file_name Zeichenfolge Dateiname, der mit dem Ereignis verbunden ist
file_size Ganzzahl Größe der Datei, die mit dem Ereignis verbunden ist
file_type Zeichenfolge Dateityp, der mit dem Ereignis verbunden ist
host Zeichenfolge Host, von dem der Datenverkehr stammt
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
reason Zeichenfolge Grund, warum der Eintrag als Spam/bösartig erkannt wurde
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
sha1sum Hexadezimal SHA1-Prüfsumme des Objekts, das analysiert wurde
subject Zeichenfolge Signaturnachricht
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
user Zeichenfolge Benutzername
Tabelle 10. Security Heartbeat
Name Typ Beschreibung
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
endpoint_id Ganzzahl Endpoint-ID
endpoint_ip Zeichenfolge Endpoint-IP
event_time Zeit Zeitpunkt des Ereignisses
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
name Zeichenfolge Name, der mit dem Ereignis verbunden ist
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
Tabelle 11. System
Name Typ Beschreibung
additional_information Zeichenfolge Zusätzliche Informationen zum Ereignis
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message Zeichenfolge Angezeigte Nachricht
message_id Ganzzahl Nachrichten-ID
oldversion Zeichenfolge Alte Version der Systemkomponente, die mit dem Ereignis verbunden ist
newversion Zeichenfolge Neue Version der Systemkomponente, die mit dem Ereignis verbunden ist
status Zeichenfolge Gesamtzustand des Verkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
Tabelle 12. Internetinhaltsrichtlinie
Name Typ Beschreibung
action Zeichenfolge Maßnahme, die für den Inhalt durchgeführt wurde, entsprechend der Internetrichtlinienregel
category Zeichenfolge Name der Kategorie, der die Webseite zugeordnet ist
content_filter_key Zeichenfolge Inhaltsfilterschlüssel
context_match Zeichenfolge Zeichenfolge (Kontext) der Datei, die die Worte betrifft, die im Inhaltsfilter definiert sind
context_prefix Zeichenfolge Zeichenfolge (Kontext) der Datei, die dem gefundenen Inhalt vorausgeht
context_suffix Zeichenfolge Zeichenfolge (Kontext) der Datei, die dem gefundenen Inhalt folgt
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
direction Zeichenfolge Richtung des Inhalts, der gescannt wurde.
file_name Zeichenfolge Der Name der Datei, die heruntergeladen oder hochgeladen wurde
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
site_category Zeichenfolge Webkategorie der Website, auf die zugegriffen wurde
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
transaction_id Zeichenfolge Übertragungs-ID des AV-Scans.
user Zeichenfolge Benutzername
website Zeichenfolge Aufgerufene Website
Tabelle 13. Webfilter
Name Typ Beschreibung
activity_name Zeichenfolge Internetrichtlinienaktivität, die eine Übereinstimmung ergeben und das Richtlinienergebnis hervorgerufen hat. (Wenn die Datenübertragung auf mehrere Aktivitäten zutrifft, wird nur die erste, die die Richtlinienentscheidung verursacht, aufgezeichnet.)
app_name Zeichenfolge Anwendungsname
bytes_received Ganzzahl Gesamtanzahl der empfangenen Bytes
bytes_sent Ganzzahl Gesamtanzahl der gesendeten Bytes
category Zeichenfolge Name der Kategorie, der die Webseite zugeordnet ist
category_type Zeichenfolge Typ der Kategorie, der die Webseite zugeordnet ist
con_duration Zeichenfolge Lebensdauer des Datenverkehrs (Sekunden)
con_id Ganzzahl Eindeutige Kennung der Verbindung
content_type Zeichenfolge Art der Inhalte
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
domain Zeichenfolge Domänenname des Absenders
download_file_name Zeichenfolge Dateiname des Downloads
download_file_type Zeichenfolge Dateityp des Downloads
dst_ip Zeichenfolge Ursprüngliche Ziel-IP-Adresse des Datenverkehrs
dst_port Ganzzahl Ursprünglicher Zielport des TCP- und UDP-Verkehrs
exception Zeichenfolge Liste der Prüfungen, die durch Web-Ausnahmen ausgeschlossen wurden.
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_subtype Zeichenfolge Subtyp des Ereignisses
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
override_token Zeichenfolge Umgehungs-Token
protocol Ganzzahl Protokollnummer des Datenverkehrs
reason Zeichenfolge Grund, warum der Eintrag als Spam/bösartig erkannt wurde
referer Zeichenfolge Referrer
response_code Ganzzahl Antwort-Code
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
src_port Ganzzahl Ursprünglicher Quellport des TCP- und UDP-Verkehrs
status Zeichenfolge Gesamtzustand des Verkehrs
status_code Ganzzahl Status-Code
transaction_id Zeichenfolge Übertragungs-ID des AV-Scans.
upload_file_name Zeichenfolge Dateiname des Uploads
upload_file_type Zeichenfolge Dateityp des Uploads
url Zeichenfolge URL der besuchten Webseite
user Zeichenfolge Benutzername
user_group Zeichenfolge Gruppe, zu welcher der Benutzer gehört
web_policy Zeichenfolge Name der mit dem Ereignis verbundenen Richtlinie
web_policy_id Zeichenfolge Internetrichtlinien-ID
Tabelle 14. Webserver Protection
Name Typ Beschreibung
bytes_received Ganzzahl Gesamtanzahl der empfangenen Bytes
bytes_sent Ganzzahl Gesamtanzahl der gesendeten Bytes
content_type Zeichenfolge Art der Inhalte
cookie Zeichenfolge Name des Cookies
date Datum Datum, wann das Ereignis auftrat (JJJJ-MM-TT)
extra Zeichenfolge Mehr Informationen zu Antivirus
fw_rule_id Ganzzahl Firewallregel-ID die auf den Datenverkehr angewendet wird
host Zeichenfolge Host, von dem der Datenverkehr stammt
log_component Zeichenfolge Komponente, die für die Protokollierung verantwortlich ist
log_type Zeichenfolge Art des Ereignisses
message_id Ganzzahl Nachrichten-ID
method Zeichenfolge Name der HTTP-Anfragemethode.
policy_name Zeichenfolge Name der mit dem Ereignis verknüpften Richtlinie
protocol Ganzzahl Protokollnummer des Datenverkehrs
query_string Zeichenfolge Suchanfrage
reason Zeichenfolge Grund, warum der Eintrag als Spam/bösartig erkannt wurde
referer Zeichenfolge Referrer
response_code Ganzzahl Antwort-Code
response_time Ganzzahl Zeit für die Verarbeitung der Anfrage
server Zeichenfolge Server-Name
src_ip Zeichenfolge Ursprüngliche Quell-IP-Adresse des Datenverkehrs
time Zeit Zeitpunkt des Ereignisses (SS:MM:SS)
url Zeichenfolge URL der besuchten Webseite
user Zeichenfolge Benutzername
user_agent Zeichenfolge Benutzer-Agent