Datenfelder |
Typ |
Beschreibung |
time, date, timezone |
Zeichenfolge |
Lokale Systemzeit/-datum, als das Ereignis auftrat. |
log_type |
Zeichenfolge |
Protokolltyp.
log_type="Content Filtering"
|
log_subtype |
Zeichenfolge |
Maßnahme, die für die protokollierte HTTP/HTTPS-Datenübertragung durchgeführt wurde. |
user_name |
Zeichenfolge |
Endbenutzer, der mit dem Objekt in Verbindung steht, das gescannt wurde. |
user_gp |
Zeichenfolge |
Gruppe, welcher der Benutzer angehört. |
iap |
Ganzzahl |
Numerische ID der Webrichtlinie, die auf diese Datenübertragung angewendet wurde. |
src_ip, src_port |
Ganzzahl |
IP-Adresse und Port, zu denen die HTTP/HTTPS-Verbindung aufgebaut wurde. |
dst_ip, dst_port |
Ganzzahl |
IP-Adresse und Port, zu denen die HTTP/HTTPS-Verbindung aufgebaut wurde. |
protocol |
Zeichenfolge |
IP-Protokoll, das für die Verbindung verwendet wurde. |
category |
Zeichenfolge |
Kategorie der URL, die angefragt wurde. |
category_type |
Zeichenfolge |
Klassifizierung, die mit der Kategorie verbunden ist. |
url |
Ganzzahl |
Angefragte URL. |
Inhaltstyp |
Zeichenfolge |
MIME-Typ des heruntergeladenen Inhalts. |
override_token |
||
httpresponsecode |
Ganzzahl |
Numerischer HTTP-Antwort-Code. |
sent_bytes |
Ganzzahl |
Bytes, die von der Firewall upstream an den Webserver gesendet wurden. |
recv_bytes |
Ganzzahl |
Bytes vom Upstream-Webserver, die von der Firewall empfangen wurden. |
domain |
Zeichenfolge |
FQDN-Teil der URL, der den Hostnamen bzw. die Domäne der Website repräsentiert. |
Ausnahmen |
Zeichenfolge |
Liste der Prüfungen, die durch Web-Ausnahmen ausgeschlossen wurden.
av. Nicht auf Schadprogramme untersuchen.
https. HTTPS-Verkehr nicht entschlüsseln.
sandstorm. Heruntergeladene Inhalte nicht mit Sandstorm prüfen.
policy. Keine Richtlinienprüfungen anwenden (z.B. Nach Kategorie zulassen/warnen/blockieren, URL-Gruppe, dynamische Kategorie).
|
Aktivitätsname |
Zeichenfolge |
Name der Webrichtlinienaktivität, die zutraf und das Richtlinienergebnis verursacht hat. (Wenn die Datenübertragung auf mehrere Aktivitäten zutrifft, wird nur die erste, die die Richtlinienentscheidung verursacht, aufgezeichnet.) |
reason |
Zeichenfolge |
Für Datenübertragungen, die eine Sandstorm-Analyse erfordern, wird der Sandstorm-Status aufgezeichnet.
qualifiziert Die Datei wurde für die Sandstorm-Analyse als qualifiziert eingestuft, aber von der Analyse ausgeschlossen. Dies könnte der Fall sein, wenn Sandstorm in der Firewallregel, in einer Dateityp-Ausnahme oder in einer Web-Ausnahme deaktiviert war, oder weil Sandstorm nicht lizenziert ist.
not eligible. Die Datei wurde für die Sandstorm-Analyse als nicht qualifiziert eingestuft, weil es kein riskanter Typ ist oder ein Typ der nicht vom Sandstorm-Cloud-Dienst analysiert werden kann.
ausstehend. Das Objekt erforderte die Analyse in der Cloud; dem Endbenutzer war es nicht möglich, das Objekt sofort herunterzuladen.
zwischengespeichert sauber. Die Datei wurde kürzlich analysiert und ist als sauber bekannt.
cloud sauber. Das Objekt wurde nach der Analyse in der Cloud als sauber eingestuft.
Für alle Objekte, die zur Analyse in die Sandstorm-Cloud gesendet werden, gibt es zwei Einträge im Inhaltsfilter-Protokoll: einer mit reason="pending“, wenn die Datei initial vom Benutzer angefragt wird, und eine mit reason="cloud clean", wenn die Datei zum Herunterladen freigegeben ist. Wenn die Datei als bösartig eingestuft ist, wird dies im Antivirenprotokoll mit reason="cloud malicious" protokolliert.
|
log_id |
Ganzzahl |
Numerische ID, die die Art der Meldung angibt. |
fw_rule_id |
Ganzzahl |
ID der Firewallrichtlinienregel, die zu dieser Datenübertragung gehört. |
transaction_id |
Ganzzahl |
Zeigt die transaction_id des AV-Scans an. Diese wird nur angezeigt, wenn der Scan auf Schadprogramme/Inhalte für diese Datenübertragung ausgeführt wurde. |