在通用事件格式 (CEF) 中,现场版本如何用于现实生活中的应用程序?
In Common Event Format (CEF) how is the field version used in a real life application?
我正在编写一个以通用事件格式 (CEF) 输出日志的程序,同时参考 this document,它分解了 CEF 的组成方式。但是,我对这个特定部分中 "Version" 的含义感到困惑:
CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
这是他们展示的例子:
9 月 19 日 08:26:10 主机 CEF:0|security|threatmanager|1.0|100|worm
成功停止|10|src=10.0.0.1 dst=2.1.2.2 spt=1232
"Sep 19 08:26:10 host" 是 header 的一部分,而不是我感到困惑的东西。在上面的例子中,版本是 0.
文档指出,"Version is an integer and identifies the version of the CEF format. Event consumers use this information to determine what the following fields represent"。我会将其解释为该版本由事件消费者和生产者定义,并用作某种标识符。但是,我不确定这是否正确,即使正确,我也找不到具体的现实生活示例来说明如何使用它。这个示例日志和我在搜索示例时发现的所有 CEF 日志都只使用零。
有谁知道我的解释是否正确and/or有实际使用它的例子吗?
很长一段时间只有一个版本,现在有了1.0,主要用于表示事件在正常地址字段中包含IPv6地址。
0.1 - The Device Address, Source Address, Destination Address, and Agent Address fields will always be
IPv4 or will be omitted. If there are any IPv6 addresses, they will be in Device Custom IPv6 Address
fields. Bytes In and Bytes Out fields are limited to the size of an integer (up to 2^31-1).
1.0 - Any of the address fields can be either IPv4 or IPv6 and the Bytes In and Bytes Out fields can be
long values (up to 2^63-1).
参考:SmartConnector_UserGuide.pdf - 日期:2018 年 4 月 16 日
在 CEF 事件中,版本不使用小数,所以它只是 CEF:0 和 CEF:1。
我正在编写一个以通用事件格式 (CEF) 输出日志的程序,同时参考 this document,它分解了 CEF 的组成方式。但是,我对这个特定部分中 "Version" 的含义感到困惑:
CEF:版本|设备供应商|设备产品|设备版本|签名 ID|名称|严重性|扩展
这是他们展示的例子:
9 月 19 日 08:26:10 主机 CEF:0|security|threatmanager|1.0|100|worm 成功停止|10|src=10.0.0.1 dst=2.1.2.2 spt=1232
"Sep 19 08:26:10 host" 是 header 的一部分,而不是我感到困惑的东西。在上面的例子中,版本是 0.
文档指出,"Version is an integer and identifies the version of the CEF format. Event consumers use this information to determine what the following fields represent"。我会将其解释为该版本由事件消费者和生产者定义,并用作某种标识符。但是,我不确定这是否正确,即使正确,我也找不到具体的现实生活示例来说明如何使用它。这个示例日志和我在搜索示例时发现的所有 CEF 日志都只使用零。
有谁知道我的解释是否正确and/or有实际使用它的例子吗?
很长一段时间只有一个版本,现在有了1.0,主要用于表示事件在正常地址字段中包含IPv6地址。
0.1 - The Device Address, Source Address, Destination Address, and Agent Address fields will always be IPv4 or will be omitted. If there are any IPv6 addresses, they will be in Device Custom IPv6 Address fields. Bytes In and Bytes Out fields are limited to the size of an integer (up to 2^31-1).
1.0 - Any of the address fields can be either IPv4 or IPv6 and the Bytes In and Bytes Out fields can be long values (up to 2^63-1).
参考:SmartConnector_UserGuide.pdf - 日期:2018 年 4 月 16 日
在 CEF 事件中,版本不使用小数,所以它只是 CEF:0 和 CEF:1。