一些检查点模块
检查点
用于解析检查点 syslog 的模块。
-
checkpoint.confidence_level -
由 ThreatCloud 确定的置信度级别。
类型: 整数
-
checkpoint.calc_desc -
日志描述。
类型: 关键字
-
checkpoint.dst_country -
目标国家。
类型: 关键字
-
checkpoint.dst_user_name -
目标 IP 上的连接用户名。
类型: 关键字
-
checkpoint.email_id -
smtp 连接中的电子邮件编号。
类型: 关键字
-
checkpoint.email_subject -
原始电子邮件主题。
类型: 关键字
-
checkpoint.email_session_id -
连接 uuid。
类型: 关键字
-
checkpoint.event_count -
与日志关联的事件数。
类型: 长整型
-
checkpoint.sys_message -
系统消息
类型: 关键字
-
checkpoint.logid -
系统消息
类型: 关键字
-
checkpoint.failure_impact -
更新服务失败的影响。
类型: 关键字
-
checkpoint.id -
覆盖应用程序 ID。
类型: 整数
-
checkpoint.identity_src -
身份验证身份信息的来源。
类型: 关键字
-
checkpoint.information -
特定刀片的策略安装状态。
类型: 关键字
-
checkpoint.layer_name -
层名称。
类型: 关键字
-
checkpoint.layer_uuid -
层 UUID。
类型: 关键字
-
checkpoint.log_id -
日志的唯一标识。
类型: 整数
-
checkpoint.malware_family -
关于保护的附加信息。
类型: 关键字
-
checkpoint.origin_sic_name -
机器 SIC。
类型: 关键字
-
checkpoint.policy_mgmt -
管理此安全网关的管理服务器的名称。
类型: 关键字
-
checkpoint.policy_name -
此安全网关获取的最后一个策略的名称。
类型: 关键字
-
checkpoint.protection_id -
保护恶意软件 ID。
类型: 关键字
-
checkpoint.protection_name -
攻击的特定签名名称。
类型: 关键字
-
checkpoint.protection_type -
用于检测攻击的保护类型。
类型: 关键字
-
checkpoint.protocol -
在连接上检测到的协议。
类型: 关键字
-
checkpoint.proxy_src_ip -
发件人源 IP(即使使用代理)。
类型: ip
-
checkpoint.rule -
匹配的规则编号。
类型: 整数
-
checkpoint.rule_action -
访问策略中匹配规则的操作。
类型: 关键字
-
checkpoint.scan_direction -
扫描方向。
类型: 关键字
-
checkpoint.session_id -
日志 uuid。
类型: 关键字
-
checkpoint.source_os -
生成攻击的操作系统。
类型: 关键字
-
checkpoint.src_country -
国家名称,源自连接源 IP 地址。
类型: 关键字
-
checkpoint.src_user_name -
连接到源 IP 的用户名
类型: 关键字
-
checkpoint.ticket_id -
每个文件的唯一 ID。
类型: 关键字
-
checkpoint.tls_server_host_name -
URLF 用于分类的加密 TLS 连接中的 SNI/CN。
类型: 关键字
-
checkpoint.verdict -
TE 引擎判决 可能的值: 恶意/良性/错误。
类型: 关键字
-
checkpoint.user -
源用户名。
类型: 关键字
-
checkpoint.vendor_list -
提供恶意 URL 判决的供应商名称。
类型: 关键字
-
checkpoint.web_server_type -
在 HTTP 响应中检测到的 Web 服务器。
类型: 关键字
-
checkpoint.client_name -
检测到事件的客户端应用程序或软件刀片。
类型: 关键字
-
checkpoint.client_version -
安装在计算机上的 SandBlast Agent 客户端的构建版本。
类型: 关键字
-
checkpoint.extension_version -
SandBlast Agent 浏览器扩展的构建版本。
类型: 关键字
-
checkpoint.host_time -
终端计算机上的本地时间。
类型: 关键字
-
checkpoint.installed_products -
已安装的终端软件刀片列表。
类型: 关键字
-
checkpoint.cc -
电子邮件的抄送地址。
类型: 关键字
-
checkpoint.parent_process_username -
触发攻击的进程的父进程的所有者用户名。
类型: 关键字
-
checkpoint.process_username -
触发攻击的进程的所有者用户名。
类型: 关键字
-
checkpoint.audit_status -
审计状态。可以是成功或失败。
类型: 关键字
-
checkpoint.objecttable -
受影响对象的表。
类型: 关键字
-
checkpoint.objecttype -
受影响对象的类型。
类型: 关键字
-
checkpoint.operation_number -
操作编号。
类型: 关键字
-
checkpoint.email_recipients_num -
邮件发送到的收件人数量。
类型: 整数
-
checkpoint.suppressed_logs -
在相同源、目标和端口上聚合五分钟的连接。
类型: 整数
-
checkpoint.blade_name -
刀片名称。
类型: 关键字
-
checkpoint.status -
正常/警告/错误。
类型: 关键字
-
checkpoint.short_desc -
执行的进程的简短描述。
类型: 关键字
-
checkpoint.long_desc -
有关进程的更多信息(通常在失败时描述错误原因)。
类型: 关键字
-
checkpoint.scan_hosts_hour -
过去一小时内的唯一主机数。
类型: 整数
-
checkpoint.scan_hosts_day -
过去一天内的唯一主机数。
类型: 整数
-
checkpoint.scan_hosts_week -
过去一周内的唯一主机数。
类型: 整数
-
checkpoint.unique_detected_hour -
过去一小时内针对特定主机的检测到的病毒。
类型: 整数
-
checkpoint.unique_detected_day -
过去一天内针对特定主机的检测到的病毒。
类型: 整数
-
checkpoint.unique_detected_week -
过去一周内针对特定主机的检测到的病毒。
类型: 整数
-
checkpoint.scan_mail -
由“AB 恶意活动”引擎扫描的电子邮件数量。
类型: 整数
-
checkpoint.additional_ip -
DNS 主机名。
类型: 关键字
-
checkpoint.description -
安全网关如何强制连接的附加说明。
类型: 关键字
-
checkpoint.email_spam_category -
电子邮件类别。可能的值: 垃圾邮件/非垃圾邮件/网络钓鱼。
类型: 关键字
-
checkpoint.email_control_analysis -
来自垃圾邮件供应商引擎的消息分类。
类型: 关键字
-
checkpoint.scan_results -
“感染”/失败描述。
类型: 关键字
-
checkpoint.original_queue_id -
原始 postfix 电子邮件队列 ID。
类型: 关键字
-
checkpoint.risk -
我们从引擎获得的风险级别。
类型: 关键字
-
checkpoint.roles -
身份的角色。
类型: 关键字
-
checkpoint.observable_name -
IOC 可观察签名名称。
类型: 关键字
-
checkpoint.observable_id -
IOC 可观察签名 ID。
类型: 关键字
-
checkpoint.observable_comment -
IOC 可观察签名描述。
类型: 关键字
-
checkpoint.indicator_name -
IOC 指标名称。
类型: 关键字
-
checkpoint.indicator_description -
IOC 指标描述。
类型: 关键字
-
checkpoint.indicator_reference -
IOC 指标引用。
类型: 关键字
-
checkpoint.indicator_uuid -
IOC 指标 uuid。
类型: 关键字
-
checkpoint.app_desc -
应用程序描述。
类型: 关键字
-
checkpoint.app_id -
应用程序 ID。
类型: 整数
-
checkpoint.app_sig_id -
IOC 指标描述。
类型: 关键字
-
checkpoint.certificate_resource -
HTTPS 资源 可能的值: SNI 或域名 (DN)。
类型: 关键字
-
checkpoint.certificate_validation -
准确的错误,描述了在“HTTPS 分类网站”功能下 HTTPS 证书失败。
类型: 关键字
-
checkpoint.browse_time -
应用程序会话浏览时间。
类型: 关键字
-
checkpoint.limit_requested -
指示是否为会话请求了数据限制。
类型: 整数
-
checkpoint.limit_applied -
指示会话是否实际上被日期限制了。
类型: 整数
-
checkpoint.dropped_total -
丢弃的数据包数量(包括入站和出站)。
类型: 整数
-
checkpoint.client_type_os -
在 HTTP 请求中检测到的客户端操作系统。
类型: 关键字
-
checkpoint.name -
应用程序名称。
类型: 关键字
-
checkpoint.properties -
应用程序类别。
类型: 关键字
-
checkpoint.sig_id -
应用程序的签名 ID,它被检测到的方式。
类型: 关键字
-
checkpoint.desc -
覆盖应用程序描述。
类型: 关键字
-
checkpoint.referrer_self_uid -
当前日志的 UUID。
类型: 关键字
-
checkpoint.referrer_parent_uid -
引用应用程序的日志 UUID。
类型: 关键字
-
checkpoint.needs_browse_time -
连接所需的浏览时间。
类型: 整数
-
checkpoint.cluster_info -
集群信息。可能的选择: 故障转移原因/集群状态更改/CP 集群或第三方。
类型: 关键字
-
checkpoint.sync -
同步状态和原因(稳定、有风险)。
类型: 关键字
-
checkpoint.file_direction -
文件方向。可能的选择: 上传/下载。
类型: 关键字
-
checkpoint.invalid_file_size -
如果此字段设置为 0,则 file_size 字段才有效。
类型: 整数
-
checkpoint.top_archive_file_name -
如果是归档文件: 发送/接收的文件。
类型: 关键字
-
checkpoint.data_type_name -
规则库中匹配的数据类型。
类型: 关键字
-
checkpoint.specific_data_type_name -
复合/组场景,匹配的数据类型。
类型: 关键字
-
checkpoint.word_list -
数据类型匹配的单词。
类型: 关键字
-
checkpoint.info -
特殊日志消息。
类型: 关键字
-
checkpoint.outgoing_url -
与此日志相关的 URL(对于 HTTP)。
类型: 关键字
-
checkpoint.dlp_rule_name -
匹配的规则名称。
类型: 关键字
-
checkpoint.dlp_recipients -
邮件收件人。
类型: 关键字
-
checkpoint.dlp_subject -
邮件主题。
类型: 关键字
-
checkpoint.dlp_word_list -
数据类型匹配的短语。
类型: 关键字
-
checkpoint.dlp_template_score -
模板数据类型匹配分数。
类型: 关键字
-
checkpoint.message_size -
邮件/帖子大小。
类型: 整数
-
checkpoint.dlp_incident_uid -
匹配规则的唯一 ID。
类型: 关键字
-
checkpoint.dlp_related_incident_uid -
与之相关的其他 ID。
类型: 关键字
-
checkpoint.dlp_data_type_name -
匹配的数据类型。
类型: 关键字
-
checkpoint.dlp_data_type_uid -
匹配的数据类型的唯一 ID。
类型: 关键字
-
checkpoint.dlp_violation_description -
规则库中描述的违规描述。
类型: 关键字
-
checkpoint.dlp_relevant_data_types -
如果是复合/组: 匹配的内部数据类型。
类型: 关键字
-
checkpoint.dlp_action_reason -
选择的动作原因。
类型: 关键字
-
checkpoint.dlp_categories -
数据类型类别。
类型: 关键字
-
checkpoint.dlp_transint -
HTTP/SMTP/FTP。
类型: 关键字
-
checkpoint.duplicate -
当邮件被拆分并且安全网关两次看到它时,日志标记为重复。
类型: 关键字
-
checkpoint.incident_extension -
匹配的数据类型。
类型: 关键字
-
checkpoint.matched_file -
匹配的数据类型的唯一 ID。
类型: 关键字
-
checkpoint.matched_file_text_segments -
指纹: 此流量匹配的文本片段数。
类型: 整数
-
checkpoint.matched_file_percentage -
指纹: 流量的匹配百分比。
类型: 整数
-
checkpoint.dlp_additional_action -
水印/无。
类型: 关键字
-
checkpoint.dlp_watermark_profile -
应用的水印。
类型: 关键字
-
checkpoint.dlp_repository_id -
扫描存储库的 ID。
类型: 关键字
-
checkpoint.dlp_repository_root_path -
存储库路径。
类型: 关键字
-
checkpoint.scan_id -
扫描的顺序号。
类型: 关键字
-
checkpoint.special_properties -
如果此字段设置为 *1*,则日志将不会显示(用于监控扫描进度)。
类型: 整数
-
checkpoint.dlp_repository_total_size -
存储库大小。
类型: 整数
-
checkpoint.dlp_repository_files_number -
存储库中的文件数量。
类型: 整数
-
checkpoint.dlp_repository_scanned_files_number -
存储库中已扫描的文件数量。
类型: 整数
-
checkpoint.duration -
扫描持续时间。
类型: 关键字
-
checkpoint.dlp_fingerprint_long_status -
扫描状态 - 长格式。
类型: 关键字
-
checkpoint.dlp_fingerprint_short_status -
扫描状态 - 短格式。
类型: 关键字
-
checkpoint.dlp_repository_directories_number -
存储库中的目录数量。
类型: 整数
-
checkpoint.dlp_repository_unreachable_directories_number -
安全网关无法读取的目录数量。
类型: 整数
-
checkpoint.dlp_fingerprint_files_number -
存储库中已成功扫描的文件数量。
类型: 整数
-
checkpoint.dlp_repository_skipped_files_number -
由于配置而跳过的文件数量。
类型: 整数
-
checkpoint.dlp_repository_scanned_directories_number -
已扫描的目录数量。
类型: 整数
-
checkpoint.number_of_errors -
由于错误而未扫描的文件数量。
类型: 整数
-
checkpoint.next_scheduled_scan_date -
根据时间对象安排的下次扫描时间。
类型: 关键字
-
checkpoint.dlp_repository_scanned_total_size -
扫描的大小。
类型: 整数
-
checkpoint.dlp_repository_reached_directories_number -
存储库中已扫描的目录数量。
类型: 整数
-
checkpoint.dlp_repository_not_scanned_directories_percentage -
安全网关无法读取的目录百分比。
类型: 整数
-
checkpoint.speed -
当前扫描速度。
类型: 整数
-
checkpoint.dlp_repository_scan_progress -
扫描百分比。
类型: 整数
-
checkpoint.sub_policy_name -
层名称。
类型: 关键字
-
checkpoint.sub_policy_uid -
层 uid。
类型: 关键字
-
checkpoint.fw_message -
用于各种防火墙错误。
类型: 关键字
-
checkpoint.message -
ISP 链路已失效。
类型: 关键字
-
checkpoint.isp_link -
ISP 链路的名称。
类型: 关键字
-
checkpoint.fw_subproduct -
可以是 vpn/非 vpn。
类型: 关键字
-
checkpoint.sctp_error -
错误信息,导致 sctp 在 out_of_state 上失败的原因。
类型: 关键字
-
checkpoint.chunk_type -
sctp 流的块。
类型: 关键字
-
checkpoint.sctp_association_state -
您尝试更新到的错误状态。
类型: 关键字
-
checkpoint.tcp_packet_out_of_state -
状态违规。
类型: 关键字
-
checkpoint.tcp_flags -
TCP 数据包标志 (SYN, ACK 等)。
类型: 关键字
-
checkpoint.connectivity_level -
有线模式下新连接的日志。
类型: 关键字
-
checkpoint.ip_option -
被丢弃的 IP 选项。
类型: 整数
-
checkpoint.tcp_state -
日志重新启动 tcp 状态更改。
类型: 关键字
-
checkpoint.expire_time -
连接关闭时间。
类型: 关键字
-
checkpoint.icmp_type -
如果连接是 ICMP,则类型信息将添加到日志中。
类型: 整数
-
checkpoint.icmp_code -
如果连接是 ICMP,则代码信息将添加到日志中。
类型: 整数
-
checkpoint.rpc_prog -
新 RPC 状态的日志 - prog 值。
类型: 整数
-
checkpoint.dce-rpc_interface_uuid -
新的 RPC 状态日志 - UUID 值
类型: 关键字
-
checkpoint.elapsed -
从开始时间起经过的时间。
类型: 关键字
-
checkpoint.icmp -
客户端接收到的数据包数量。
类型: 关键字
-
checkpoint.capture_uuid -
为捕获生成的 UUID。在启用日志记录时捕获时使用。
类型: 关键字
-
checkpoint.diameter_app_ID -
直径应用程序的 ID。
类型: 整数
-
checkpoint.diameter_cmd_code -
直径不允许的应用程序命令 ID。
类型: 整数
-
checkpoint.diameter_msg_type -
直径消息类型。
类型: 关键字
-
checkpoint.cp_message -
用于记录一般消息。
类型: 整数
-
checkpoint.log_delay -
删除模板之前剩余的时间。
类型: 整数
-
checkpoint.attack_status -
如果端点计算机上发生恶意事件,则为攻击状态。
类型: 关键字
-
checkpoint.impacted_files -
如果端点计算机上发生感染,则为恶意软件影响的文件列表。
类型: 关键字
-
checkpoint.remediated_files -
如果发生感染并成功清理了该感染,则为计算机上已修复文件的列表。
类型: 关键字
-
checkpoint.triggered_by -
触发软件刀片执行保护的机制名称。
类型: 关键字
-
checkpoint.https_inspection_rule_id -
匹配规则的 ID。
类型: 关键字
-
checkpoint.https_inspection_rule_name -
匹配规则的名称。
类型: 关键字
-
checkpoint.app_properties -
找到的所有类别的列表。
类型: 关键字
-
checkpoint.https_validation -
描述 HTTPS 检查失败的精确错误。
类型: 关键字
-
checkpoint.https_inspection_action -
HTTPS 检查操作(检查/绕过/错误)。
类型: 关键字
-
checkpoint.icap_service_id -
服务 ID,可以与多个服务器一起使用,被视为服务。
类型: 整数
-
checkpoint.icap_server_name -
服务器名称。
类型: 关键字
-
checkpoint.internal_error -
内部错误,用于故障排除
类型: 关键字
-
checkpoint.icap_more_info -
判决的自由文本。
类型: 整数
-
checkpoint.reply_status -
ICAP 回复状态代码,例如 200 或 204。
类型: 整数
-
checkpoint.icap_server_service -
服务名称,如 ICAP URI 中给出
类型: 关键字
-
checkpoint.mirror_and_decrypt_type -
关于解密和转发的信息。可能的值:仅镜像、解密和镜像、部分镜像(HTTPS 检查绕过)。
类型: 关键字
-
checkpoint.interface_name -
为镜像和解密指定的接口。
类型: 关键字
-
checkpoint.session_uid -
HTTP 会话 ID。
类型: 关键字
-
checkpoint.broker_publisher -
共享会话信息的代理发布者的 IP 地址。
类型: ip
-
checkpoint.src_user_dn -
连接到源 IP 的用户识别名称。
类型: 关键字
-
checkpoint.proxy_user_name -
连接到代理 IP 的用户名。
类型: 关键字
-
checkpoint.proxy_machine_name -
连接到代理 IP 的机器名称。
类型: 整数
-
checkpoint.proxy_user_dn -
连接到代理 IP 的用户识别名称。
类型: 关键字
-
checkpoint.query -
DNS 查询。
类型: 关键字
-
checkpoint.dns_query -
DNS 查询。
类型: 关键字
-
checkpoint.inspection_item -
刀片元素执行检查。
类型: 关键字
-
checkpoint.performance_impact -
保护性能影响。
类型: 整数
-
checkpoint.inspection_category -
检查类别:协议异常、签名等。
类型: 关键字
-
checkpoint.inspection_profile -
激活的保护所属的配置文件。
类型: 关键字
-
checkpoint.summary -
不符合 DNS 流量下降或检测的摘要消息。
类型: 关键字
-
checkpoint.question_rdata -
问题记录域列表。
类型: 关键字
-
checkpoint.answer_rdata -
对所查询域的答案资源记录列表。
类型: 关键字
-
checkpoint.authority_rdata -
权威服务器列表。
类型: 关键字
-
checkpoint.additional_rdata -
其他资源记录列表。
类型: 关键字
-
checkpoint.files_names -
FTP 请求的文件列表。
类型: 关键字
-
checkpoint.ftp_user -
FTP 用户名。
类型: 关键字
-
checkpoint.mime_from -
发件人的地址。
类型: 关键字
-
checkpoint.mime_to -
收件人地址列表。
类型: 关键字
-
checkpoint.bcc -
密件抄送地址列表。
类型: 关键字
-
checkpoint.content_type -
邮件内容类型。可能的值:application/msword、text/html、image/gif 等。
类型: 关键字
-
checkpoint.user_agent -
标识请求软件用户代理的字符串。
类型: 关键字
-
checkpoint.referrer -
引用者 HTTP 请求标头,以前网页地址。
类型: 关键字
-
checkpoint.http_location -
响应标头,指示将页面重定向到的 URL。
类型: 关键字
-
checkpoint.content_disposition -
指示预期如何显示浏览器中的内容内联。
类型: 关键字
-
checkpoint.via -
Via 标头由代理添加,用于跟踪目的,以避免在循环中发送请求。
类型: 关键字
-
checkpoint.http_server -
服务器 HTTP 标头值,包含有关处理请求的源服务器使用的软件的信息。
类型: 关键字
-
checkpoint.content_length -
指示 HTTP 标头实体主体的尺寸。
类型: 关键字
-
checkpoint.authorization -
授权 HTTP 标头值。
类型: 关键字
-
checkpoint.http_host -
发送 HTTP 请求的服务器的域名。
类型: 关键字
-
checkpoint.inspection_settings_log -
指示日志是由检查设置发布的。
类型: 关键字
-
checkpoint.cvpn_resource -
移动访问应用程序。
类型: 关键字
-
checkpoint.cvpn_category -
移动访问应用程序类型。
类型: 关键字
-
checkpoint.url -
翻译后的 URL。
类型: 关键字
-
checkpoint.reject_id -
与移动访问错误页面中显示的拒绝 ID 相对应的拒绝 ID。
类型: 关键字
-
checkpoint.fs-proto -
移动访问文件共享应用程序中使用的文件共享协议。
类型: 关键字
-
checkpoint.app_package -
受保护的移动设备上应用程序的唯一标识符。
类型: 关键字
-
checkpoint.appi_name -
在受保护的移动设备上下载的应用程序的名称。
类型: 关键字
-
checkpoint.app_repackaged -
指示原始应用程序是否由官方开发人员以外的人员重新打包。
类型: 关键字
-
checkpoint.app_sid_id -
移动应用程序的唯一 SHA 标识符。
类型: 关键字
-
checkpoint.app_version -
在受保护的移动设备上下载的应用程序的版本。
类型: 关键字
-
checkpoint.developer_certificate_name -
用于签署移动应用程序的开发人员证书的名称。
类型: 关键字
-
checkpoint.email_control -
引擎名称。
类型: 关键字
-
checkpoint.email_message_id -
电子邮件会话 ID(邮件的唯一 ID)。
类型: 关键字
-
checkpoint.email_queue_id -
Postfix 电子邮件队列 ID。
类型: 关键字
-
checkpoint.email_queue_name -
Postfix 电子邮件队列名称。
类型: 关键字
-
checkpoint.file_name -
恶意文件名称。
类型: 关键字
-
checkpoint.failure_reason -
MTA 故障描述。
类型: 关键字
-
checkpoint.email_headers -
包含所有电子邮件标头的字符串。
类型: 关键字
-
checkpoint.arrival_time -
电子邮件到达时间戳。
类型: 关键字
-
checkpoint.email_status -
描述电子邮件的状态。可能的选择:已交付、已延迟、已跳过、已退回、已保留、新建、已开始扫描、已结束扫描
类型: 关键字
-
checkpoint.status_update -
上次更新日志的时间。
类型: 关键字
-
checkpoint.delivery_time -
电子邮件交付时间戳(MTA 完成处理电子邮件)。
类型: 关键字
-
checkpoint.links_num -
邮件中的链接数量。
类型: 整数
-
checkpoint.attachments_num -
邮件中的附件数量。
类型: 整数
-
checkpoint.email_content -
邮件内容。可能的选择:附件/链接和附件/链接/纯文本。
类型: 关键字
-
checkpoint.allocated_ports -
分配的端口数量。
类型: 整数
-
checkpoint.capacity -
端口的容量。
类型: 整数
-
checkpoint.ports_usage -
已分配端口的百分比。
类型: 整数
-
checkpoint.nat_exhausted_pool -
用尽池的 4 元组。
类型: 关键字
-
checkpoint.nat_rulenum -
NAT 规则库首次匹配规则。
类型: 整数
-
checkpoint.nat_addtnl_rulenum -
当匹配两个自动规则时,将显示第二个规则匹配,否则该字段将为 0。
类型: 整数
-
checkpoint.message_info -
用于信息消息,例如:NAT 连接已结束。
类型: 关键字
-
checkpoint.nat46 -
NAT 46 状态,在大多数情况下为“已启用”。
类型: 关键字
-
checkpoint.end_time -
TCP 连接结束时间。
类型: 关键字
-
checkpoint.tcp_end_reason -
TCP 连接关闭的原因。
类型: 关键字
-
checkpoint.cgnet -
描述特定用户的 NAT 分配。
类型: 关键字
-
checkpoint.subscriber -
CGNAT 之前的源 IP。
类型: ip
-
checkpoint.hide_ip -
CGNAT 后将使用的源 IP。
类型: ip
-
checkpoint.int_start -
将用于 NAT 的用户开始 int。
类型: 整数
-
checkpoint.int_end -
将用于 NAT 的用户结束 int。
类型: 整数
-
checkpoint.packet_amount -
丢弃的数据包数量。
类型: 整数
-
checkpoint.monitor_reason -
监控数据包的汇总日志。
类型: 关键字
-
checkpoint.drops_amount -
丢弃的多播数据包数量。
类型: 整数
-
checkpoint.securexl_message -
SecureXL 消息的两种选项:1. 日志系统负载过重后丢失的记账记录。2. 关于数据包丢弃的 FW 日志消息。
类型: 关键字
-
checkpoint.conns_amount -
汇总日志信息的连接数量。
类型: 整数
-
checkpoint.scope -
与攻击相关的 IP。
类型: 关键字
-
checkpoint.analyzed_on -
Check Point ThreatCloud / 模拟器名称。
类型: 关键字
-
checkpoint.detected_on -
模拟文件所在的系统和应用程序版本。
类型: 关键字
-
checkpoint.dropped_file_name -
从原始文件中删除的名称列表。
类型: 关键字
-
checkpoint.dropped_file_type -
从原始文件中删除的文件类型列表。
类型: 关键字
-
checkpoint.dropped_file_hash -
从原始文件中删除的文件哈希列表。
类型: 关键字
-
checkpoint.dropped_file_verdict -
从原始文件中删除的文件判决列表。
类型: 关键字
-
checkpoint.emulated_on -
模拟文件所在的图像。
类型: 关键字
-
checkpoint.extracted_file_type -
存档中提取的文件类型。
类型: 关键字
-
checkpoint.extracted_file_names -
存档中提取的文件名称。
类型: 关键字
-
checkpoint.extracted_file_hash -
存档中提取文件时的存档哈希。
类型: 关键字
-
checkpoint.extracted_file_verdict -
存档中提取文件的判决。
类型: 关键字
-
checkpoint.extracted_file_uid -
存档中提取文件的 UID。
类型: 关键字
-
checkpoint.mitre_initial_access -
攻击者正在试图侵入您的网络。
类型: 关键字
-
checkpoint.mitre_execution -
攻击者正在试图运行恶意代码。
类型: 关键字
-
checkpoint.mitre_persistence -
攻击者正在试图维持他的立足点。
类型: 关键字
-
checkpoint.mitre_privilege_escalation -
攻击者正在试图获得更高级别的权限。
类型: 关键字
-
checkpoint.mitre_defense_evasion -
攻击者正在试图避免被检测到。
类型: 关键字
-
checkpoint.mitre_credential_access -
攻击者正在试图窃取帐户名和密码。
类型: 关键字
-
checkpoint.mitre_discovery -
攻击者正在试图公开有关您的环境的信息。
类型: 关键字
-
checkpoint.mitre_lateral_movement -
攻击者正在试图探索您的环境。
类型: 关键字
-
checkpoint.mitre_collection -
攻击者正在试图收集与实现其目标相关的感兴趣数据。
类型: 关键字
-
checkpoint.mitre_command_and_control -
攻击者正在试图与受损系统通信以控制它们。
类型: 关键字
-
checkpoint.mitre_exfiltration -
攻击者正在试图窃取数据。
类型: 关键字
-
checkpoint.mitre_impact -
攻击者正在试图操纵、中断或破坏您的系统和数据。
类型: 关键字
-
checkpoint.parent_file_hash -
存档中提取文件时的存档哈希。
类型: 关键字
-
checkpoint.parent_file_name -
存档中提取文件时的存档名称。
类型: 关键字
-
checkpoint.parent_file_uid -
存档中提取文件时的存档 UID。
类型: 关键字
-
checkpoint.similiar_iocs -
与发现的恶意文件相关的其他类似 IoC。
类型: 关键字
-
checkpoint.similar_hashes -
发现的与恶意文件相似的哈希。
类型: 关键字
-
checkpoint.similar_strings -
发现的与恶意文件相似的字符串。
类型: 关键字
-
checkpoint.similar_communication -
发现的与恶意文件相似的网络操作。
类型: 关键字
-
checkpoint.te_verdict_determined_by -
模拟器确定文件判决。
类型: 关键字
-
checkpoint.packet_capture_unique_id -
数据包捕获文件的标识符。
类型: 关键字
-
checkpoint.total_attachments -
电子邮件中的附件数量。
类型: 整数
-
checkpoint.additional_info -
管理员发送的原始文件/邮件的 ID。
类型: 关键字
-
checkpoint.content_risk -
文件风险。
类型: 整数
-
checkpoint.operation -
威胁提取执行的操作。
类型: 关键字
-
checkpoint.scrubbed_content -
发现的活动内容。
类型: 关键字
-
checkpoint.scrub_time -
提取过程持续时间。
类型: 关键字
-
checkpoint.scrub_download_time -
从资源下载文件的时间。
类型: 关键字
-
checkpoint.scrub_total_time -
威胁提取的总文件处理时间。
类型: 关键字
-
checkpoint.scrub_activity -
提取的结果
类型: 关键字
-
checkpoint.watermark -
报告是否将水印添加到已清理的文件中。
类型: 关键字
-
checkpoint.snid -
Check Point 会话 ID。
类型: 关键字
-
checkpoint.source_object -
源列上匹配的对象名称。
类型: 关键字
-
checkpoint.destination_object -
目标列上匹配的对象名称。
类型: 关键字
-
checkpoint.drop_reason -
丢弃原因描述。
类型: 关键字
-
checkpoint.hit -
规则上的命中次数。
类型: 整数
-
checkpoint.rulebase_id -
层号。
类型: 整数
-
checkpoint.first_hit_time -
当前时间段内的首次命中时间。
类型: 整数
-
checkpoint.last_hit_time -
当前时间段内的最后一次命中时间。
类型: 整数
-
checkpoint.rematch_info -
在策略安装期间无法匹配旧连接时发送的信息。
类型: 关键字
-
checkpoint.last_rematch_time -
连接重新匹配时间。
类型: 关键字
-
checkpoint.action_reason -
连接断开原因。
类型: 整数
-
checkpoint.action_reason_msg -
连接断开原因消息。
类型: 关键字
-
checkpoint.c_bytes -
布尔值,指示是否使用从客户端发送的字节。
类型: 整数
-
checkpoint.context_num -
特定连接日志的序列号。
类型: 整数
-
checkpoint.match_id -
规则的私钥
类型: 整数
-
checkpoint.alert -
匹配规则的警报级别(用于连接日志)。
类型: 关键字
-
checkpoint.parent_rule -
父规则编号,如果是内联层。
类型: 整数
-
checkpoint.match_fk -
规则编号。
类型: 整数
-
checkpoint.dropped_outgoing -
使用 UP-limit 功能时丢弃的传出字节数。
类型: 整数
-
checkpoint.dropped_incoming -
使用 UP-limit 功能时丢弃的传入字节数。
类型: 整数
-
checkpoint.media_type -
使用的媒体(音频、视频等)。
类型: 关键字
-
checkpoint.sip_reason -
解释为什么*source_ip* 不允许重定向(切换)。
类型: 关键字
-
checkpoint.voip_method -
注册请求。
类型: 关键字
-
checkpoint.registered_ip-phones -
已注册的 IP 电话。
类型: 关键字
-
checkpoint.voip_reg_user_type -
已注册的 IP 电话类型。
类型: 关键字
-
checkpoint.voip_call_id -
呼叫 ID。
类型: 关键字
-
checkpoint.voip_reg_int -
注册端口。
类型: 整数
-
checkpoint.voip_reg_ipp -
注册 IP 协议。
类型: 整数
-
checkpoint.voip_reg_period -
注册周期。
类型: 整数
-
checkpoint.voip_log_type -
VoIP 日志类型。可能的值:拒绝、呼叫、注册。
类型: 关键字
-
checkpoint.src_phone_number -
源 IP 电话。
类型: 关键字
-
checkpoint.voip_from_user_type -
源 IP 电话类型。
类型: 关键字
-
checkpoint.dst_phone_number -
目标 IP 电话。
类型: 关键字
-
checkpoint.voip_to_user_type -
目标 IP 电话类型。
类型: 关键字
-
checkpoint.voip_call_dir -
呼叫方向:入/出。
类型: 关键字
-
checkpoint.voip_call_state -
呼叫状态。可能的值:入/出。
类型: 关键字
-
checkpoint.voip_call_term_time -
呼叫终止时间戳。
类型: 关键字
-
checkpoint.voip_duration -
呼叫时长(秒)。
类型: 关键字
-
checkpoint.voip_media_port -
媒体 int。
类型: 关键字
-
checkpoint.voip_media_ipp -
媒体 IP 协议。
类型: 关键字
-
checkpoint.voip_est_codec -
估计的编解码器。
类型: 关键字
-
checkpoint.voip_exp -
过期。
类型: 整数
-
checkpoint.voip_attach_sz -
附件大小。
类型: 整数
-
checkpoint.voip_attach_action_info -
附件操作信息。
类型: 关键字
-
checkpoint.voip_media_codec -
估计的编解码器。
类型: 关键字
-
checkpoint.voip_reject_reason -
拒绝原因。
类型: 关键字
-
checkpoint.voip_reason_info -
信息。
类型: 关键字
-
checkpoint.voip_config -
配置。
类型: 关键字
-
checkpoint.voip_reg_server -
注册服务器 IP 地址。
类型: ip
-
checkpoint.scv_user -
在 SCV 上丢弃其数据包的用户名。
类型: 关键字
-
checkpoint.scv_message_info -
丢弃原因。
类型: 关键字
-
checkpoint.ppp -
身份验证状态。
类型: 关键字
-
checkpoint.scheme -
描述用于日志的方案。
类型: 关键字
-
checkpoint.auth_method -
使用的密码身份验证协议(PAP 或 EAP)。
类型: 关键字
-
checkpoint.auth_status -
事件的身份验证状态。
类型: 关键字
-
checkpoint.machine -
触发日志并日志引用到的 L2TP 机器。
类型: 关键字
-
checkpoint.vpn_feature_name -
L2TP/IKE/链接选择。
类型: 关键字
-
checkpoint.reject_category -
身份验证失败原因。
类型: 关键字
-
checkpoint.peer_ip_probing_status_update -
IP 地址响应状态。
类型: 关键字
-
checkpoint.peer_ip -
客户端连接到的 IP 地址。
类型: 关键字
-
checkpoint.peer_gateway -
对等安全网关的主 IP。
类型: ip
-
checkpoint.link_probing_status_update -
IP 地址响应状态。
类型: 关键字
-
checkpoint.source_interface -
源接口的外部接口名称,如果未找到则为 Null。
类型: 关键字
-
checkpoint.next_hop_ip -
下一跳 IP 地址。
类型: 关键字
-
checkpoint.srckeyid -
发起方 Spi ID。
类型: 关键字
-
checkpoint.dstkeyid -
响应方 Spi ID。
类型: 关键字
-
checkpoint.encryption_failure -
指示加密失败原因的消息。
类型: 关键字
-
checkpoint.ike_ids -
所有 QM ID。
类型: 关键字
-
checkpoint.community -
IPSec 密钥的社区名称和 IKEv 的使用。
类型: 关键字
-
checkpoint.ike -
IKEMode(PHASE1、PHASE2 等)。
类型: 关键字
-
checkpoint.cookieI -
发起方 cookie。
类型: 关键字
-
checkpoint.cookieR -
响应方 cookie。
类型: 关键字
-
checkpoint.msgid -
消息 ID。
类型: 关键字
-
checkpoint.methods -
IPSEc 方法。
类型: 关键字
-
checkpoint.connection_uid -
IP 和用户名的 md5 计算作为 UID。
类型: 关键字
-
checkpoint.site_name -
站点名称。
类型: 关键字
-
checkpoint.esod_rule_name -
未知规则名称。
类型: 关键字
-
checkpoint.esod_rule_action -
未知规则操作。
类型: 关键字
-
checkpoint.esod_rule_type -
未知规则类型。
类型: 关键字
-
checkpoint.esod_noncompliance_reason -
不符合原因。
类型: 关键字
-
checkpoint.esod_associated_policies -
关联策略。
类型: 关键字
-
checkpoint.spyware_name -
间谍软件名称。
类型: 关键字
-
checkpoint.spyware_type -
间谍软件类型。
类型: 关键字
-
checkpoint.anti_virus_type -
防病毒类型。
类型: 关键字
-
checkpoint.end_user_firewall_type -
最终用户防火墙类型。
类型: 关键字
-
checkpoint.esod_scan_status -
扫描失败。
类型: 关键字
-
checkpoint.esod_access_status -
访问被拒绝。
类型: 关键字
-
checkpoint.client_type -
端点连接。
类型: 关键字
-
checkpoint.precise_error -
HTTP 解析器错误。
类型: 关键字
-
checkpoint.method -
HTTP 方法。
类型: 关键字
-
checkpoint.trusted_domain -
在网络钓鱼事件中,攻击者冒充的域名。
类型: 关键字
-
checkpoint.comment -
类型: 关键字
-
checkpoint.conn_direction -
连接方向
类型: 关键字
-
checkpoint.db_ver -
数据库版本
类型: 关键字
-
checkpoint.update_status -
数据库更新状态
类型: 关键字