你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

CEF 和 CommonSecurityLog 字段映射

下表将通用事件格式 (CEF) 字段名称映射到它们在 Microsoft Sentinel 的 CommonSecurityLog 中使用的名称，当您使用 Microsoft Sentinel 中的 CEF 数据源时可能会有所帮助。有关详细信息，请参阅使用 Azure Monitor 代理将 syslog 和 CEF 消息引入 Microsoft Sentinel。

A - C

CEF 键名称	CommonSecurityLog 字段名称	说明
act	DeviceAction	事件中提到的操作。
应用	ApplicationProtocol	应用程序中使用的协议，例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。
cat	DeviceEventCategory	表示由原始设备分配的类别。设备通常使用自己的分类架构对事件进行分类。例如：`/Monitor/Disk/Read`。
cnt	EventCount	与事件关联的计数，显示观察到同一事件的次数。

D

CEF 键名称	CommonSecurityLog 名称	说明
设备供应商	DeviceVendor	与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。
设备产品	DeviceProduct	与设备供应商和版本定义一起用于唯一标识发送方设备类型的字符串。
设备版本	DeviceVersion	与设备产品和供应商定义一起用于唯一标识发送方设备类型的字符串。
destinationDnsDomain	DestinationDnsDomain	完全限定的域名 (FQDN) 的 DNS 部分。
destinationServiceName	DestinationServiceName	事件所针对的服务。例如，`sshd`。
destinationTranslatedAddress	DestinationTranslatedAddress	标识 IP 网络中由事件引用的已转换目标，用作 IPv4 IP 地址。
destinationTranslatedPort	DestinationTranslatedPort	转换后的端口（例如防火墙）。有效端口号：`0` - `65535`
deviceDirection	CommunicationDirection	有关已观察到的通信所采用的方向的任何信息。有效值： - `0` = 入站 - `1` = 出站
deviceDnsDomain	DeviceDnsDomain	完全限定的域名 (FQDN) 的 DNS 域部分
DeviceEventClassID	DeviceEventClassID	充当每个事件类型的唯一标识符的字符串或整数。
deviceExternalId	deviceExternalId	一个用于唯一标识生成事件的设备的名称。
deviceFacility	DeviceFacility	生成事件的设施。
deviceInboundInterface	DeviceInboundInterface	数据包或数据进入设备时所用的接口。
deviceNtDomain	DeviceNtDomain	设备地址的 Windows 域
deviceOutboundInterface	DeviceOutboundInterface	数据包或数据离开设备时所用的接口。
devicePayloadId	DevicePayloadId	与事件关联的有效负载的唯一标识符。
deviceProcessName	ProcessName	与事件关联的进程名称。例如，在 UNIX 中，这是生成 syslog 条目的进程。
deviceTranslatedAddress	DeviceTranslatedAddress	标识事件在 IP 网络中引用的已转换设备地址。格式为 IPv4 地址。
dhost	DestinationHostName	事件在 IP 网络中引用的目标。格式应是与目标节点（如果节点可用）关联的 FQDN。例如，`host.domain.com` 或 `host`。
dmac	DestinationMacAddress	目标 MAC 地址 (FQDN)
dntdom	DestinationNTDomain	目标地址的 Windows 域名。
dpid	DestinationProcessId	与事件关联的目标进程的 ID。
dpriv	DestinationUserPrivileges	定义目标用户的特权。有效值：`Administrator`、`User`、`Guest`
dproc	DestinationProcessName	事件目标进程的名称，例如 `telnetd` 或 `sshd.`
dpt	DestinationPort	目标端口。有效值：`*0` - `65535`
dst	DestinationIP	事件在 IP 网络中引用的目标 IPv4 地址。
dtz	DeviceTimeZone	生成事件的设备的时区
duid	DestinationUserId	按 ID 标识目标用户。
duser	DestinationUserName	按名称标识目标用户。
dvc	DeviceAddress	生成事件的设备的 IPv4 地址。
dvchost	DeviceName	与设备节点（如果节点可用）关联的 FQDN。例如，`host.domain.com` 或 `host`。
dvcmac	DeviceMacAddress	生成事件的设备的 MAC 地址。
dvcpid	进程 ID	定义生成事件的设备上进程的 ID。

E - I

CEF 键名称	CommonSecurityLog 名称	说明
externalId	ExternalID	发起设备使用的 ID。通常，这些值具有一些递增值，其中每个递增值均与某个事件相关联。
fileCreateTime	FileCreateTime	文件的创建时间。
FileHash	FileHash	文件的哈希。
fileId	FileID	与文件关联的 ID，例如 inode。
fileModificationTime	FileModificationTime	文件的上次修改时间。
filePath	文件路径	文件的完整路径，包括文件名。例如 `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` 或 `/usr/bin/zip`。
filePermission	FilePermission	文件的权限。
fileType	FileType	文件类型，例如管道、套接字等。
fname	FileName	文件的名称，不包括路径。
fsize	FileSize	文件的大小。
主机	Computer	Syslog 中的主机
in	ReceivedBytes	入站传输的字节数。

M - P

CEF 键名称	CommonSecurityLog 名称	说明
msg	消息	一条消息，提供有关事件的更多详细信息。
名称	活动	一个字符串，表示用户可读且可理解的事件说明。
oldFileCreateTime	OldFileCreateTime	旧文件的创建时间。
oldFileHash	OldFileHash	旧文件的哈希。
oldFileId	OldFileId	与旧文件相关联的 ID，例如 inode。
oldFileModificationTime	OldFileModificationTime	旧文件的上次修改时间。
oldFileName	OldFileName	旧文件的名称。
oldFilePath	OldFilePath	旧文件的完整路径，包括文件名。例如，`C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` 或 `/usr/bin/zip`。
oldFilePermission	OldFilePermission	旧文件的权限。
oldFileSize	OldFileSize	旧文件的大小。
oldFileType	OldFileType	旧文件的文件类型，例如管道、套接字等。
out	SentBytes	出站传输的字节数。
outcome	EventOutcome	事件的结果，例如 `success` 或 `failure`。
proto	协议	用于标识所用第 4 层协议的传输协议。可能的值包括协议名称，例如 `TCP` 或 `UDP`。

R - T

CEF 键名称	CommonSecurityLog 名称	说明
reason	原因	生成审核事件的原因。例如，`badd password` 或 `unknown user`。这也可能是错误或返回代码。例如：`0x1234`。
请求	RequestURL	为 HTTP 请求访问的 URL，包括协议。例如： `http://www/secure.com`
requestClientApplication	RequestClientApplication	与请求关联的用户代理。
requestContext	RequestContext	描述从中发起请求的内容，例如 HTTP 引用网站。
requestCookies	RequestCookies	与请求关联的 Cookie。
requestMethod	RequestMethod	用于访问 URL 的方法。有效值包括 `POST`、`GET` 等方法。
rt	ReceiptTime	收到活动相关事件的时间。
严重性	LogSeverity	用于描述事件重要性的字符串或整数。有效的字符串值：`Unknown`、`Low`、`Medium`、`High`、`Very-High` 有效的整数值为： - `0`-`3` = 低 - `4`-`6` = 中 - `7`-`8` = 高 - `9`-`10` = 很高
shost	SourceHostName	标识事件在 IP 网络中引用的源。当节点可用时，格式应为与源节点关联的完全限定域名（FQDN）。例如，`host` 或 `host.domain.com`。
smac	SourceMacAddress	源 MAC 地址。
sntdom	SourceNTDomain	源地址的 Windows 域名。
sourceDnsDomain	SourceDnsDomain	完整 FQDN 的 DNS 域部分。
sourceServiceName	SourceServiceName	负责生成事件的服务。
sourceTranslatedAddress	SourceTranslatedAddress	标识事件在 IP 网络中引用的已转换源。
sourceTranslatedPort	SourceTranslatedPort	转换后的源端口（例如防火墙）。有效端口号为 `0` - `65535`。
spid	SourceProcessId	与事件关联的源进程的 ID。
spriv	SourceUserPrivileges	源用户的特权。有效值包括：`Administrator`、`User`、`Guest`
sproc	SourceProcessName	事件的源进程名称。
spt	SourcePort	源端口号。有效端口号为 `0` - `65535`。
src	SourceIP	事件在 IP 网络中引用的源，用作 IPv4 地址。
suid	SourceUserID	按 ID 标识源用户。
suser	SourceUserName	按名称标识源用户。
类型	EventType	事件类型。有效值包括： - `0`：基本事件 - `1`：聚合 - `2`：关联事件 - `3`：操作事件注意：对于基本事件，可以省略此事件。

自定义字段

下表映射了 CEF 密钥和 CommonSecurityLog 字段的名称，客户可以使用这些密钥和字段来获取不适用于任何内置字段的数据。

自定义 IPv6 地址字段

下表映射了可用于自定义数据的 IPv6 地址字段的 CEF 键和 CommonSecurityLog 名称。

CEF 键名称	CommonSecurityLog 名称
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

自定义数字字段

下表映射了可用于自定义数据的数字字段的 CEF 键和 CommonSecurityLog 名称。

CEF 键名称	CommonSecurityLog 名称
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

自定义字符串字段

下表映射了可用于自定义数据的字符串字段的 CEF 键和 CommonSecurityLog 名称。

CEF 键名称	CommonSecurityLog 名称
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

提示

¹ 建议谨慎使用 DeviceCustomString 字段，并且尽可能使用更具体的内置字段。

自定义时间戳字段

下表映射了可用于自定义数据的时间戳字段的 CEF 键和 CommonSecurityLog 名称。

CEF 键名称	CommonSecurityLog 名称
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

自定义整数值

下表映射了可用于自定义数据的整数字段的 CEF 键和 CommonSecurityLog 名称。

CEF 键名称	CommonSecurityLog 名称
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

扩充字段

Microsoft Sentinel 添加了以下 CommonSecurityLog 字段，以丰富接收自源设备的原始事件，并且不会在 CEF 键中使用映射：

威胁情报字段

CommonSecurityLog 字段名称	说明
IndicatorThreatType	MaliciousIP 威胁类型，视威胁情报源而定。
MaliciousIP	列出消息中与当前威胁情报源关联的所有 IP 地址。
MaliciousIPCountry	MaliciousIP 所在的国家/地区，视记录引入时的地理信息而定。
MaliciousIPLatitude	MaliciousIP 的所在纬度，视记录引入时的地理信息而定。
MaliciousIPLongitude	MaliciousIP 的所在经度，视记录引入时的地理信息而定。
ReportReferenceLink	威胁情报报告的链接。
ThreatConfidence	MaliciousIP 威胁的可信度，视威胁情报源而定。
ThreatDescription	MaliciousIP 威胁描述，视威胁情报源而定。
ThreatSeverity	MaliciousIP 威胁的严重性，视记录引入时的威胁情报源而定。

其他扩充字段

CommonSecurityLog 字段名称	说明
OriginalLogSeverity	始终为空，支持与 CiscoASA 集成。有关日志严重性值的详细信息，请参阅 LogSeverity 字段。
RemoteIP	远程 IP 地址。此值基于 CommunicationDirection 字段（如果可能）。
RemotePort	远程端口。此值基于 CommunicationDirection 字段（如果可能）。
SimplifiedDeviceAction	将 DeviceAction 值简化为一组静态值，同时在 DeviceAction 字段中保留原始值。例如：`Denied`>`Deny`。
SourceSystem	始终定义为 OpsManager。

反馈

此页面是否有帮助？

Last updated on 2024-08-12