estreamer-events
eStreamer 프로토콜을 통해 Firepower 이벤트를 실시간 조회합니다.
문법
estreamer-events [profile=PROFILE] window=WINDOW [bookmark=BOOKMARK] [raw=RAW]
옵션
- profile=PROFILE
- 선택 옵션. 접속 프로파일 식별자
- window=WINDOW
- 필수 옵션. 예: 10m (쿼리 실행 후 10분간 수신할 경우)
- bookmark=BOOKMARK
- 선택 옵션. yyyyMMddHHmmss 형식 날짜. 미지정 시 쿼리 실행 이후 발생하는 이벤트만 수신
- raw=RAW
- 선택 옵션. t 또는 f. t 지정 시 line 필드 출력
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| event_time | 날짜 | 이벤트 시각 | |
| risk | 문자열 | 위험도 | 예: LOW, MEDIUM, HIGH |
| session_id | 64비트 정수 | 세션 ID | |
| event_type | 문자열 | 이벤트 유형 | |
| src_ip | IP 주소 | 출발지 IP | |
| src_port | 32비트 정수 | 출발지 포트 | |
| dst_ip | IP 주소 | 목적지 IP | |
| dst_port | 32비트 정수 | 목적지 포트 | |
| protocol | 문자열 | 프로토콜 | 예: TCP, UDP |
| policy | 문자열 | 정책 | |
| action | 문자열 | 대응 | |
| raw_action | 문자열 | 대응 원본 | |
| app | 문자열 | 응용 | |
| client | 문자열 | 클라이언트 | |
| sent_bytes | 64비트 정수 | 송신 바이트 | |
| rcvd_bytes | 64비트 정수 | 수신 바이트 | |
| sent_pkts | 64비트 정수 | 송신 패킷 | |
| rcvd_pkts | 64비트 정수 | 수신 패킷 | |
| prefilter_policy | 문자열 | 프리필터 정책 | 예: Default Prefilter Policy |
| firewall_policy | 문자열 | 방화벽 정책 | |
| firewall_rule | 문자열 | 방화벽 규칙 | |
| nap_policy | 문자열 | NAP 정책 | 예: Balanced Security and Connectivity |
| dns_record_type | 문자열 | DNS 레코드 유형 | 예: a host address, text strings |
| dns_query | 문자열 | DNS 쿼리 | 예: 0.sourcefire.pool.ntp.org |
| dns_response_type | 문자열 | DNS 응답 유형 | |
| device_uuid | 문자열 | 장치 UUID | |
| src_iface | 문자열 | 인터페이스 | |
| first_packet_second | 64비트 정수 | 최초 패킷 초 | |
| instance_id | 64비트 정수 | 인스턴스ID | |
| client_app_detector | 문자열 | 클라이언트 앱 탐지기 | |
| end_time | 날짜 | 종료시각 | |
| duration | 64비트 정수 | 접속시간 | |
| dns_ttl | 64비트 정수 | DNS TTL | |
| webapp | 문자열 | 웹앱 | 예: Cisco |
| url | 문자열 | URL | 예: https://example.com |
| user_agent | 문자열 | 유저 에이전트 | |
| referenced_host | 문자열 | 참조 호스트 | |
| event_second | 64비트 정수 | 이벤트 초 | |
| file_direction | 문자열 | 파일 방향 | 예: Upload, Download |
| file_action | 문자열 | 파일 대응 | 예: Detect |
| file_type | 문자열 | 파일 유형 | 예: MSEXE |
| file_policy | 문자열 | 파일 정책 | 예: AMP-Policy |
| file_sandbox_status | 문자열 | 파일 샌드박스 상태 | |
| ac_rule_reason | 문자열 | 접근제어사유 | |
| file_count | 64비트 정수 | 파일건수 | |
| intrusion_count | 64비트 정수 | 침입건수 | |
| event_microsecond | 64비트 정수 | 이벤트 마이크로초 | |
| priority_id | 64비트 정수 | 중요도 ID | 예: 1: HIGH |
| generator_id | 64비트 정수 | 생성자 ID | |
| sid | 64비트 정수 | 패턴 ID | 예: 31976 |
| signature_rev | 64비트 정수 | 패턴 버전 | 예: 5 |
| impact | 64비트 정수 | 영향도 | |
| signature | 문자열 | 공격명 | |
| category | 문자열 | 분류 | |
| intrusion_policy | 문자열 | 침입 정책 | |
| inline_result | 문자열 | 인라인 결과 | |
| http_host | 문자열 | HTTP 호스트 | |
| http_uri | 문자열 | HTTP 경로 | 예: /inform |
| event_id | 64비트 정수 | 이벤트 ID | |
| packet_second | 64비트 정수 | 패킷 초 | |
| packet_microsecond | 64비트 정수 | 패킷 마이크로 초 | |
| packet_length | 64비트 정수 | 패킷 길이 | |
| packet_link_type_id | 64비트 정수 | 패킷 링크 타입 ID | |
| payload | 바이너리 | 페이로드 | |
| line | 문자열 | 이벤트 원본 |