0

我正在编写一个以通用事件格式 (CEF) 输出日志的程序,同时参考此文档,该文档分解了 CEF 的组成方式。但是,我对在这个特定部分中“版本”的含义感到困惑:

CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展

这是他们展示的例子:

9 月 19 日 08:26:10 主机 CEF:0|security|threatmanager|1.0|100|蠕虫成功停止|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

“Sep 19 08:26:10 host”是标题的一部分,而不是我感到困惑的东西。在上面的示例中,版本为 0。

该文档指出,“版本是一个整数并标识 CEF 格式的版本。事件消费者使用此信息来确定以下字段代表什么”。我将其解释为版本由事件消费者和生产者定义,并用作某种标识符。但是,我不确定这是否正确,即使正确,我也找不到具体的真实生活示例来说明它是如何使用的。这个示例日志和我在搜索示例时发现的所有 CEF 日志都使用零。

有谁知道我的解释是否正确和/或有使用它的真实例子?

4

1 回答 1

0

很长一段时间只有一个版本,但现在有一个1.0,主要用于表示该事件在普通地址字段中包含IPv6地址。

0.1 - 设备地址、源地址、目标地址和代理地址字段将始终为 IPv4 或将被省略。如果有任何 IPv6 地址,它们将位于设备自定义 IPv6 地址字段中。Bytes In 和 Bytes Out 字段被限制为整数的大小(最多 2^31-1)。

1.0 - 任何地址字段都可以是 IPv4 或 IPv6,并且 Bytes In 和 Bytes Out 字段可以是长值(最多 2^63-1)。

参考:SmartConnector_UserGuide.pdf - 日期:2018 年 4 月 16 日

在 CEF 事件中,版本不使用小数,所以它只是 CEF:0 和 CEF:1。

于 2018-05-02T20:46:21.560 回答