Deep Security 앱 제어
이벤트 ID 6,000,000 ~ 6,999,999 범위
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | 로그 수신 시각 |
| 문자열 | product | 제품 | 예: Deep Security Agent |
| 문자열 | ver | 버전 | 예: 50.0.3265 |
| 32비트 정수 | event_id | 이벤트ID | 예: 6002200 |
| 문자열 | event_name | 이벤트이름 | 예: AppControl blocked |
| 문자열 | severity | 심각도 | 0-10 범위. 예: 6 |
| 문자열 | tenant | 테넌트 | 예: 1234567890123 |
| 문자열 | hostname | 호스트명 | 앱 실행 차단이 발생한 호스트의 이름 |
| 문자열 | user | 계정 | 예: root, logpresso |
| 문자열 | action | 대응 | 예: blocked |
| 문자열 | reason | 사유 | 예: notWhitelisted |
| 문자열 | file_path | 파일경로 | 예: /path/to/test.jar |
| 64비트 정수 | file_size | 파일크기 | 실행 차단 파일의 크기 |
| MD5 | md5 | MD5 | 실행 차단 파일의 MD5 해시 |
| SHA1 | sha1 | SHA1 | 실행 차단 파일의 SHA-1 해시 |
| 문자열 | sha256 | SHA256 | 실행 차단 파일의 SHA-256 해시 |
| 문자열 | uid | 계정식별자 | 리눅스 UID 또는 윈도우 SID |
| 문자열 | tenant_id | 테넌트ID | 예: 12345 |
| 32비트 정수 | host_id | 호스트ID | 예: 1 |
| 문자열 | aggr_type | 집계유형 | |
| 32비트 정수 | event_count | 발생횟수 |
ID별 이벤트 유형
- 6,001,100 - Application Control - 탐지, 차단 목록에 존재함
- 6,001,200 - Application Control - 탐지, 허용 목록에 존재하지 않음
- 6,002,100 - Application Control - 차단, 차단 목록에 존재함
- 6,002,200 - Application Control – 차단, 허용 목록에 존재하지 않음
레퍼런스
- Deep Security Help Center - Syslog message formats - Application Control event format