Comprendre les journaux d'accès sécurisés des appliances Web

Options de téléchargement

  • PDF     (574.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:29 avril 2026
ID du document:225832

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la structure du journal d'accès SWA (Secure Web Appliance).

Conditions préalables

Exigences

Cisco recommande de connaître les sujets suivants :

  • Accès à l'interface de ligne de commande (CLI) de SWA.
  • Accès administratif au SWA.
  • Compréhension de base du processus SWA.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Structure Accesslog

Dans cet article, la structure Accesslog est expliquée par cet exemple :

1726597763.348 68855 192.168.1.10 TCP_MISS/200 97645 TCP_CONNECT 10.37.145.84:443 "AMOJARRA\amirhossein@WCCPrealm" DIRECT/www.cisco.com - PASSTHRU_CUSTOMCAT_7-DP_site-IdP_Site-NONE-NONE-NONE-DefaultGroup-NONE <"C_Cisc",-,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"-",-,"-","-","-","-","-","-","-",11.35,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -

Image - Accesslog StructureImage - Structure du journal d'accès

note-icon

Remarque : La structure des journaux d'accès dépend de la version de SWA. Au début de chaque fichier Accesslog, une ligne indique sa structure et l'ordre du spécificateur de format.

Profilé

Exemple dans Accesslog

Spécificateur de format

Détails

Heure d'époque

1726597763.348 

%t

L'heure d'époque (souvent appelée heure Unix ou heure POSIX) est un système de suivi du temps qui compte le nombre total de secondes (ou millisecondes/microsecondes) écoulées depuis le 1er janvier 1970, à 00:00:00 UTC

Heure d'époque à laquelle la transaction a été terminée.

Vous pouvez convertir cette valeur par convertisseur de temps Epoch en ligne ou tout système d'exploitation Linux.

Temps Écoulé

68855 

%e

Durée en millisecondes de la demande avant qu'elle ne soit terminée/abandonnée et que la connexion ne soit fermée. 

Adresse IP source

192.168.1.10 

%a

 Adresse IP client/source.

Code résultat du mouvement

TCP_MANQUANT

%w

Le code de résultat de la transaction indique comment le SWA résout les requêtes du client. 

Voici la liste des codes de résultat de transaction :

TCP_HIT

L'objet demandé a été extrait du cache disque.

TCP_IMS_HIT

Le client a envoyé une requête IMS (If-Modified-Since) pour un objet et l'objet a été trouvé dans le cache. Le proxy répond par une réponse 304 (non modifiée), ou par une réponse 200 et l'objet demandé s'il a été modifié.

TCP_MEM_HIT

 L'objet demandé a été extrait du cache mémoire.

TCP_MANQUANT

 L'objet étant introuvable dans le cache, il a été extrait du serveur d'origine.

TCP_REFRESH_HIT

L'objet se trouvait dans le cache, mais avait expiré. Le serveur proxy a envoyé une requête IMS (If-Modified-Since) au serveur d'origine et le serveur a confirmé que l'objet n'a pas été modifié. Par conséquent, la solution matérielle-logicielle a récupéré l'objet sur le disque ou dans le cache mémoire.

TCP_CLIENT_REFRESH_MISS

Le client a envoyé une réponse « Ne pas chercher » à partir de la demande de cache en émettant le Pragma : no-cache header. En raison de cet en-tête du client, l'appliance a récupéré l'objet à partir du serveur d'origine.

TCP_REFUSÉ

 La demande du client a été refusée en raison de stratégies d'accès.

HTTPS TCP_REFUSÉ_SSL   

 "Accès refusé -NONE" Une erreur s'est produite dans la transaction. Par exemple, une défaillance DNS ou un dépassement du délai de la passerelle.

TCP_CLIENT_REFRESH_MISS_SSL

Échec d'actualisation HTTPS

HTTPS TCP_MISS_SSL     

L'objet était absent du cache

Code de réponse HTTP

/200

%h

Le code de réponse HTTP représente le code d'état renvoyé par le serveur Web en réponse à la requête HTTP du client. 

Voici la liste des codes de réponse HTTP les plus importants ( Pour plus d'informations, veuillez consulter la section Code de réponse HTTP dans cet article)

Code de statut Signification
000

000 est un code de réponse non standard, s'il y a eu une interruption de la communication pendant la phase TLS ou plus tard pendant le transfert de données.
2xx a réussi
200 OK
204 Aucun contenu
206 Contenu partiel (également appelé demande de plage)
Redirection 3xx 
301 Redirection permanente.
302 Redirection temporaire
304 Non modifié
307

Redirection temporaire pour authentification

(Généralement visible dans le déploiement transparent pendant que SWA authentifie l'utilisateur) 
Erreur client 4xx
400 Requête incorrecte
401 Authentification du serveur Web requise (généralement visible dans le déploiement transparent pendant que SWA authentifie l'utilisateur) 
403 Interdit
404 Non trouvé
407 Authentification par proxy explicite requise
Erreur de serveur 5xx
500 Erreur interne du serveur
502 Passerelle incorrecte
503 Service non disponible
504 Délai de passerelle

Taille totale transférée 

97645

%s

Nombre total d'octets transférés pour la demande.

Méthode HTTP 

TCP_CONNECT

%1r

Un procédé HTTP est un moyen normalisé permettant à un client de spécifier l'action souhaitée à effectuer sur une ressource par un serveur Web, telle que la récupération de données avec GET ou l'envoi de données avec POST.

GET

La méthode HTTP GET est utilisée pour demander des données à un serveur. Il est conçu uniquement pour récupérer des informations et ne doit pas inclure de corps de message. En termes simples, GET signifie téléchargement.

POST

La méthode HTTP POST est utilisée pour envoyer des données à un serveur, généralement inclus dans le corps de la requête. Il est généralement utilisé pour l'envoi de formulaires, le téléchargement de fichiers ou l'envoi de données qui modifient l'état du serveur.

CONNEXION

La méthode HTTP CONNECT est utilisée pour établir un tunnel via un serveur proxy, permettant au client de créer une connexion TCP directe au serveur de destination. Il est souvent utilisé pour le trafic HTTPS afin d'activer la communication chiffrée via le proxy.

Indique que le trafic a été reçu explicitement par le SWA, ce qui signifie que le client est configuré pour utiliser directement le proxy.

TCP_CONNECT

Indique que le trafic a été reçu de manière transparente par le WSA, par exemple via WCCP ou la redirection de couche 4. 

Destination 

10.37.145.84:443 

%2r

Cette section présente l'URL du serveur de destination et le numéro de port TCP.

Dans la redirection transparente, avant que le trafic ne soit décrypté, SWA affiche l'adresse IP de destination et le numéro de port.

Si l'URL commence par tunnel:// , cela signifie que SWA n'a pas encore déchiffré le trafic.

Si l'URL commence par https://, cela signifie que SWA déchiffre le trafic.

Nom d'utilisateur et domaine d'authentification 

"AMOJARRA\amirhossein@WCCPrealm"

%A

Identifiants utilisés pour cette connexion. 

Si la demande est authentifiée, SWA consigne le nom d'utilisateur et les domaines d'authentification comme suit :

<Nom de domaine> \ <Nom d'utilisateur> @ <Nom de domaine d'authentification>

Si la demande n'est pas encore authentifiée ou est exemptée de l'authentification, le trait d'union « - » apparaît dans le journal

Type d'accès

DIRECT/

%H

Code qui décrit le serveur contacté pour la récupération du contenu de la demande.

Les valeurs les plus courantes sont :

NONE

Le proxy Web avait le contenu, il n'a donc pas contacté d'autre serveur pour récupérer le contenu.

DIRECT

Le proxy Web est allé au serveur nommé dans la demande pour obtenir le contenu.

PARENT_PAR_DÉFAUT

Le proxy Web a accédé à son proxy parent principal ou à un serveur DLP externe pour obtenir le contenu.

Adresse du serveur

www.cisco.com

%d

Adresse IP de la source de données ou du serveur.

Type/sous-type de contenu MIME

%c

 MIME Indique la nature et le format d'un document, fichier ou assortiment d'octets. Les types MIME sont définis et normalisés dans la norme IETF RFC 6838

Deux types MIME principaux sont importants pour le rôle des types par défaut :

  • text/plain est la valeur par défaut des fichiers textuels. Un fichier texte doit être lisible par l'utilisateur et ne doit pas contenir de données binaires.
  • application/octet-stream est la valeur par défaut pour tous les autres cas. Un type de fichier inconnu doit utiliser ce type. Les navigateurs font particulièrement attention lors de la manipulation de ces fichiers, afin de protéger les utilisateurs contre les vulnérabilités logicielles et les comportements potentiellement dangereux.

Pour obtenir la liste complète des types MIME, visitez : Media Types (iana)

Étiquette de décision ACL

PASSTHRU_CUSTOMCAT_7-

%D

Une balise de décision de liste de contrôle d'accès est un champ d'une entrée du journal d'accès qui indique comment le proxy Web a géré la transaction. Il inclut des informations provenant des filtres de réputation de sites Web, des catégories d'URL et des moteurs d'analyse.

Remarque : la fin de la balise de décision de la liste de contrôle d'accès inclut un numéro généré dynamiquement que le proxy Web utilise en interne pour améliorer les performances. Vous pouvez ignorer ce nombre.

Voici une liste des balises de décision ACL les plus importantes. (Pour plus d'informations, consultez la section Étiquette de décision ACL de cet article)

Étiquette de décision ACL Description
AUTORISER_CATÉGORIE_PERSONNALISÉE Le proxy Web a autorisé la transaction en fonction des paramètres de filtrage de catégorie d'URL personnalisés pour le groupe de stratégie d'accès.
AUTORISER_WBRS Le proxy Web a autorisé la transaction en fonction des paramètres de filtre de réputation Web pour le groupe de stratégie d'accès.
VERDICT_FICHIER_AMP Valeur représentant un verdict du serveur de réputation AMP pour le fichier :
1 - Inconnu
2 - Nettoyer
3 - Malveillant
4 - Non analysable
ADMIN_BLOC Transaction bloquée en fonction de certains paramètres par défaut du groupe de stratégie d'accès.
BLOCK_ADMIN_CONNECT Transaction bloquée en fonction du port TCP de la destination, comme défini dans le paramètre HTTP CONNECT Ports pour le groupe de stratégie d'accès.
BLOCK_ADMIN_CUSTOM_USER_AGENT Transaction bloquée en fonction de l'agent utilisateur tel que défini dans le paramètre Bloquer les agents utilisateur personnalisés pour le groupe Stratégie d'accès.
TUNNELING_ADMIN_BLOC Le proxy Web a bloqué la transaction en fonction de la transmission tunnel du trafic non HTTP sur les ports HTTP pour le groupe de stratégie d'accès.
TYPE_FICHIER_ADMIN_BLOC Transaction bloquée en fonction du type de fichier défini dans le groupe Stratégie d'accès.
PROTOCOLE_ADMIN_BLOC Transaction bloquée en fonction du protocole défini dans le paramètre Protocoles de blocage pour le groupe Stratégie d'accès.
RESP_AMP_BLOC Le proxy Web a bloqué la réponse en fonction des paramètres de protection avancée contre les programmes malveillants pour le groupe Stratégie d'accès.
AVC_BLOC Transaction bloquée en fonction des paramètres d'application configurés pour le groupe de stratégie d'accès.
BLOCK_CONTENT_UNSAFE Transaction bloquée en fonction des paramètres d'évaluation du contenu du site pour le groupe Stratégie d'accès. La demande du client portait sur du contenu pour adultes et la stratégie est configurée pour bloquer le contenu pour adultes.
BLOC_PERSONNALISER Transaction bloquée en fonction des paramètres de filtrage de catégorie d'URL personnalisés pour le groupe de stratégie d'accès.
BLOC_ICAP Le proxy Web a bloqué la demande en fonction du verdict du système DLP externe tel que défini dans le groupe de stratégies DLP externe.
BLOC_WBRS Transaction bloquée en fonction des paramètres de filtre de réputation Web du groupe de stratégies d'accès.
BLOCK_WEBCAT Transaction bloquée en fonction des paramètres de filtrage de catégorie d'URL pour le groupe de stratégie d'accès.
BLOC_YTCAT Le proxy Web a bloqué la transaction en fonction des paramètres de filtrage de catégorie YouTube prédéfinis pour le groupe Stratégie d'accès.
ADMIN_DÉCHIFFREMENT Le proxy Web a décrypté la transaction en fonction de certains paramètres par défaut du groupe Stratégie de décryptage.
DECRYPT_EUN_CUSTOMCAT Le proxy Web a déchiffré la transaction en fonction des paramètres de filtrage de catégorie d'URL personnalisés pour le groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DECRYPT_EUN_WBRS Le proxy Web a déchiffré la transaction en fonction des paramètres de filtre de réputation Web du groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DECRYPT_EUN_WEBCAT Le proxy Web a déchiffré la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DÉCHIFFRER_CHAT_WEB Le proxy Web a déchiffré la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe de stratégie de déchiffrement.
DÉCHIFFRER_WBRS Le proxy Web a déchiffré la transaction en fonction des paramètres de filtre de réputation Web du groupe Stratégie de déchiffrement.
DROP_ADMIN Le proxy Web a abandonné la transaction en fonction de certains paramètres par défaut du groupe Stratégie de décodage.
DROP_WEBCAT Le proxy Web a abandonné la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe Stratégie de décodage.
DROP_WBRS Le proxy Web a abandonné la transaction en fonction des paramètres de filtre de réputation Web pour le groupe de stratégie de décodage.
ADMIN_PASSTHRU Le proxy Web a transmis la transaction en fonction de certains paramètres par défaut du groupe Stratégie de décodage.
PASSTHRU_WEBCAT Le proxy Web a transmis la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe Stratégie de décodage.
PASSTHRU_WBRS Le proxy Web a transmis la transaction en fonction des paramètres de filtre de réputation Web du groupe Stratégie de décodage.
OTHER (AUTRE) Le proxy Web n'a pas terminé la demande en raison d'une erreur, telle qu'un échec d'autorisation, une déconnexion du serveur ou un abandon du client.

Nom de stratégie

Site_DP-

S/O

En fonction du type de trafic, voici ce qui se passe :

  • Nom de la stratégie de déchiffrement : Si le trafic est HTTPS et n'est pas encore déchiffré
  • Nom de la stratégie d'accès : Si le trafic est HTTP ou est déchiffré. 

Politique d'identité

IdP_Site-

S/O

Affiche le nom du profil d'identification

Groupe de stratégies d'analyse des programmes malveillants sortants

NONE-

S/O

Nom du groupe Stratégie d'analyse des programmes malveillants sortants.

Tout espace dans le nom du groupe de stratégies est remplacé par un trait de soulignement ( _ )

groupe de stratégie de sécurité des données 

NONE-

S/O

Nom du groupe Stratégie de sécurité des données Cisco. Lorsque la transaction correspond à la stratégie globale de sécurité des données Cisco, cette valeur est DefaultGroup. Ce nom de groupe de stratégies apparaît uniquement lorsque les filtres de sécurité des données Cisco sont activés. « NONE » s'affiche lorsqu'aucune stratégie de sécurité des données n'a été appliquée.

Tout espace dans le nom du groupe de stratégies est remplacé par un trait de soulignement ( _ )

Groupe de stratégies DLP externe

NONE-

S/O

Lorsque la transaction correspond à la stratégie DLP externe globale, cette valeur est DefaultGroup. « NONE » s'affiche lorsqu'aucune stratégie DLP externe n'a été appliquée.

Tout espace dans le nom du groupe de stratégies est remplacé par un trait de soulignement ( _ ).

Routing Policy Group

GroupeParDéfaut-

S/O

Nom du groupe de stratégie de routage asProxyGroupName/ProxyServerName.

Lorsque la transaction correspond à la stratégie de routage globale, cette valeur est DefaultRouting. Lorsqu'aucun serveur proxy en amont n'est utilisé, cette valeur est DIRECT

Tout espace dans le nom du groupe de stratégies est remplacé par un trait de soulignement ( _ ).

Robinet Trafic Web

NONE 

S/O

Trafic Web Effleurez Nom de la stratégie.

Abréviation de catégorie URL

<"C_Cisco",

%XC

Catégorie d'URL à laquelle la demande correspond.

-

Filtrage des URL contourné  

nc

URL non classées   

se tromper

Filtrage des URL contourné  

lutin

Impossible    

IW_

Si le nom de la catégorie commence par IW_, cela signifie que la demande a atteint la catégorie d'URL prédéfinie Cisco 

C_

Si le nom de la catégorie commence par IC_, cela signifie que la demande a atteint la catégorie d'URL personnalisée    

Score de réputation Web

-,

%XW

Ce champ affiche le score de réputation Web (WBRS).

ns signifie que l'URL n'a pas de score.

Analyse Webroot 

-,"-",-,-,-,-

Ces 5 champs sont liés à l'analyse Webroot

Verdict Webroot, 

%Xv

Le verdict d'analyse des programmes malveillants que Webroot a transmis au moteur DVS. S'applique aux réponses détectées par Webroot uniquement.

Pour plus d'informations sur les verdicts, veuillez visiter Malware Scanning Verdict Values dans cet article.

Nom d'espion Webroot 

« %Xn »

Nom du logiciel espion associé à l'objet. S'applique aux réponses détectées par Webroot uniquement.

 Webroot TRR, 

%Xt

Valeur propre à Webroot associée à la valeur du rapport des risques liés aux menaces (TRR) qui détermine la probabilité d'existence d'un programme malveillant. S'applique aux réponses détectées par Webroot uniquement.

Webroot ThreatID, 

%Xs

Valeur utilisée par Webroot comme identificateur de menace. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique aux réponses détectées par Webroot uniquement.

Webroot TraceID,

%Xi

Valeur que Webroot utilise comme identificateur de trace. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique aux réponses détectées par Webroot uniquement.

Analyse McAfee

-,"-",-,-,-,"-",

Ces 6 champs sont liés à l'analyse McAfee.

Verdict McAfee, 

%Xd

Le verdict d'analyse des programmes malveillants que McAfee a transmis au moteur DVS. S'applique uniquement aux réponses détectées par McAfee.

Pour plus d'informations sur les verdicts, veuillez visiter Malware Scanning Verdict Values dans cet article.

Nom de fichier McAfee, 

« %Xe »

Nom du fichier analysé par McAfee. S'applique uniquement aux réponses détectées par McAfee.

Code d'erreur d'analyse McAfee, 

%Xf

Valeur utilisée par McAfee comme erreur d'analyse. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique uniquement aux réponses détectées par McAfee.

Type de détection McAfee, 

%Xg

Valeur utilisée par McAfee comme type de détection. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique uniquement aux réponses détectées par McAfee.

Type de virus McAfee,

%Xh

Valeur utilisée par McAfee comme type de virus. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique uniquement aux réponses détectées par McAfee.

Nom du virus McAfee,

« %Xj »

Nom du virus analysé par McAfee. S'applique uniquement aux réponses détectées par McAfee.

Analyse Sophos

-,-,"-","-",

Ces 4 champs sont liés à l'analyse Sophos

Verdict Sophos, 

%XY

Le verdict d'analyse des programmes malveillants Sophos a été transmis au moteur DVS. S'applique aux réponses détectées par Sophos uniquement.

Pour plus d'informations sur les verdicts, veuillez visiter Malware Scanning Verdict Values dans cet article.

Sophos Scan Return Code, 

%Xx

Valeur utilisée par Sophos comme code de retour d'analyse. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique aux réponses détectées par Sophos uniquement.

Emplacements des fichiers Sophos, 

« %Xy »

Nom du fichier dans lequel Sophos a trouvé le contenu répréhensible. S'applique aux réponses détectées par Sophos uniquement.

Nom de la menace Sophos, 

« %Xz »

Valeur utilisée par Sophos comme nom de menace. L'assistance clientèle Cisco peut utiliser cette valeur lors du dépannage d'un problème. S'applique aux réponses détectées par Sophos uniquement.

Verdict d'analyse de sécurité des données Cisco

-,

%Xl

Le verdict d'analyse de la sécurité des données Cisco est basé sur l'action de la colonne Contenu de la politique de sécurité des données Cisco.

Cette liste décrit les valeurs possibles pour ce champ :

0.Autoriser

1.Bloc

- (tiret).Aucune analyse n’a été lancée par les filtres de sécurité des données Cisco. Cette valeur apparaît lorsque les filtres de sécurité des données Cisco sont désactivés ou lorsque l'action de catégorie d'URL est définie sur Autoriser.

Verdict d'analyse DLP externe

-,

%Xp

Verdict d'analyse DLP externe basé sur le résultat donné dans la réponse ICAP.

Cette liste décrit les valeurs possibles pour ce champ :

0.Autoriser

1.Bloc

- (trait d'union).Aucune analyse n'a été lancée par le serveur DLP externe. Cette valeur apparaît lorsque l'analyse DLP externe est désactivée ou lorsque le contenu n'a pas été analysé en raison d'une catégorie d'URL d'exemption sur la page Stratégies DLP externes > Destinations.

Verdict de catégorie d'URL prédéfinie

"-",

%XQ

Verdict de catégorie d'URL prédéfini, abrégé, déterminé lors de l'analyse côté requête.

Ce champ contient un trait d'union ( - ) lorsque le filtrage d'URL est désactivé.

Si la demande atteint une catégorie d'URL personnalisée, vous pouvez toujours voir le nom de la catégorie d'URL prédéfinie dans votre Accesslog, mais la décision a été prise par la catégorie d'URL personnalisée.

Pour obtenir la liste des abréviations des catégories d'URL, consultez Description des catégories d'URL.

Verdict de catégorie URL

-,

%XA

Verdict de catégorie d'URL déterminé par le moteur d'analyse de contenu dynamique (DCA) lors de l'analyse côté réponse, abrégé.

S'applique uniquement au moteur de filtrage des URL de Cisco Web Usage Controls.

nc : Cette valeur apparaît dans le verdict d'analyse côté demande lorsque le moteur d'analyse dynamique du contenu est activé et qu'aucune catégorie d'URL n'est attribuée au moment de la demande, indiquant que l'URL n'est pas catégorisée pendant la phase de demande initiale avant que l'analyse côté réponse ne la catégorise

Verdict DVS entrant unifié

"-",

%XZ

Verdict d'analyse anti-programme malveillant côté réponse unifiée qui fournit la catégorie de programme malveillant indépendamment des moteurs d'analyse activés. S'applique aux transactions bloquées ou surveillées en raison de l'analyse des réponses du serveur.

Type de menace de filtre de réputation Web 

"-",

%Xk

Le nom de catégorie ou le type de menace est renvoyé par les filtres de réputation Web. Le nom de catégorie est renvoyé lorsque la réputation Web est élevée et le type de menace lorsque la réputation est faible.

En général, ce champ est renseigné pour les sites dont la réputation est inférieure ou égale à -4.

URL encapsulée Google Translate

"-",

%X#10#

URL encapsulée dans le moteur de traduction Google. S'il n'y a pas d'URL encapsulée, la valeur du champ est «-».

Contrôle des applications (AVC/ADC) 

"-","-","-",

Dans ces 3 champs, les statistiques de Visibilité et contrôle des applications (AVC) et de Découverte et contrôle des applications (ADC) sont consignées.

Nom de l'application AVC/ADC 

"%XO"

Nom de l'application tel qu'il est renvoyé par le moteur AVC ou ADC, le cas échéant. S'applique uniquement lorsque le moteur AVC ou ADC est activé.

Type d'application AVC/ADC 

« %Xu »

Type d'application renvoyé par le moteur AVC ou ADC, le cas échéant. S'applique uniquement lorsque le moteur AVC ou ADC est activé.

Comportement des applications AVC/ADC

« %Xb »

Comportement de l'application tel que renvoyé par le moteur AVC ou ADC, le cas échéant. S'applique uniquement lorsque le moteur AVC ou ADC est activé.

Il est "_" pour AVC et "Inconnu" pour ADC.

Verdict de navigation sécurisée

"-",

%XS

Cette valeur indique si la fonction de recherche sécurisée ou d'évaluation du contenu du site a été appliquée à la transaction.

ensorceler

La demande initiale du client était non sécurisée et la fonction de recherche sécurisée a été appliquée.

encart

La demande initiale du client était non sécurisée et la fonctionnalité d'évaluation du contenu du site a été appliquée.

désappuyer

La demande initiale du client a été envoyée à un moteur de recherche non pris en charge.

se tromper

La demande initiale du client n'était pas sécurisée, mais ni la fonction de recherche sécurisée ni la fonction d'évaluation du contenu du site n'ont pu être appliquées en raison d'une erreur.

-

Ni la fonction de recherche sécurisée ni la fonction de classification du contenu du site n'ont été appliquées à la demande du client car les fonctions ont été ignorées (par exemple, la transaction a été autorisée dans une catégorie d'URL personnalisée) ou la demande a été effectuée à partir d'une application non prise en charge.

Bande passante moyenne

11.35,

%XB

Bande passante moyenne consommée pour traiter la demande, en Ko/s.

Contrôle de bande passante limite 

0,

%XT

Valeur indiquant si la demande a été limitée en raison des paramètres de contrôle de la limite de bande passante.

«1» indique que la demande a été limitée.

«0» indique que la demande n'a pas été limitée.

Type d'utilisateur

-,

%l

Type d'utilisateur effectuant la demande, soit « [Local] », soit « [Distant] ».

S'applique uniquement lorsque la fonction AnyConnect Secure Mobility est activée.

Lorsqu'elle n'est pas activée, la valeur est un tiret (-)

Analyse des programmes malveillants sortants

"-","-",

Ces 2 champs s'appliquent aux transactions bloquées ou surveillées en raison de l'analyse des requêtes du client lorsqu'une stratégie d'analyse des programmes malveillants sortants s'applique.

Verdict DVS sortant unifié

« %X3 »

Verdict d'analyse anti-programme malveillant côté requête unifié, indépendamment des moteurs d'analyse activés. S'applique aux transactions bloquées ou surveillées en raison de l'analyse des demandes du client lorsqu'une stratégie d'analyse des programmes malveillants sortants s'applique.

Nom de la menace sortante

« %X4 »

Nom de menace attribué à la demande du client qui a été bloquée ou surveillée en raison d'une stratégie d'analyse de programme malveillant sortant applicable.

Ce nom de menace est indépendant des moteurs d'analyse anti-programme malveillant qui sont activés.

Protection avancée contre les malwares

-,"-",-,-,"-","-",

Ces 6 champs sont liés à Secure Endpoint (également appelé Advanced Malware Protection) :

Verdict de fichier

%X#1#

Verdict de l'analyse Secure Endpoint :

0: Fichier non malveillant

1: Le fichier n'a pas été analysé en raison de son type

2: Expiration de l'analyse du fichier

3: Erreur de numérisation

[4 à 15] (supérieur à 3) : Fichier malveillant

Nom de la menace

%X#2#

Nom de la menace, déterminé par l'analyse Secure Endpoint File ;

"-" indique aucune menace.

Score de réputation

%X#3#

Score de réputation de l'analyse Secure Endpoint. Ce score n'est utilisé que si le service de réputation de cloud n'est pas en mesure de déterminer un verdict clair pour le fichier.

Télécharger l'action pour analyse

%X#4#

Indicateur de la demande de téléchargement et d'analyse :

«0» indique que Secure Endpoint n'a pas demandé le téléchargement du fichier pour analyse.

«1» indique que Secure Endpoint a demandé le téléchargement du fichier pour analyse.

Nom de fichier

%X#5#

Nom du fichier en cours de téléchargement et d'analyse.

Fichier SHA

%X#6#

Identificateur SHA-256 pour ce fichier.

Analyse des archives

-,-,"-",

Ces 3 champs indiquent l'état de l'analyse du fichier d'archive :

Verdict d'analyse des archives

%X#8#

Verdict d'analyse des archives.

ARCHIVESCAN_ALLCLEAR

L'archive inspectée ne contient aucun type de fichier bloqué.

ARCHIVESCAN_BLOCKEDFILETYPE

L'archive inspectée contient un type de fichier bloqué. Le champ suivant de l'entrée de journal (Verdict Detail) fournit des détails, en particulier le type de fichier bloqué et le nom du fichier bloqué.

ARCHIVESCAN_NESTEDTOODEEP

L'archive est bloquée car elle contient plus d'archives « encapsulées » ou imbriquées que le maximum configuré. Le champ Verdict Detail contient « Unscanable Archive-Blocked ».

ARCHIVESCAN_UNKNOWNFMT

L'archive est bloquée car elle contient un type de fichier de format inconnu. Le détail du verdict est « Blocage des archives non analysables. »

ARCHIVESCAN_UNSCANABLE

L'archive est bloquée car elle contient un fichier qui ne peut pas être analysé. Le détail du verdict est «Non analysable Archive-Blocked».

ARCHIVESCAN_FILETOOBIG

L'archive est bloquée car sa taille est supérieure au maximum configuré. Le détail du verdict est «Non analysable Archive-Blocked».

Détail du verdict d'analyse des archives

%Xo

Détail du verdict d'analyse des archives. Si un fichier d'archive inspectable est bloqué (ARCHIVESCAN_BLOCKEDFILETYPE) en fonction de la stratégie d'accès : Objets personnalisés Paramètres de blocage, cette entrée Détails du verdict inclut le type de fichier bloqué et le nom du fichier bloqué.

«Unscanable Archive-Blocked» ou «-» pour indiquer que l'archive ne contient aucun type de fichier bloqué.

Verdict de fichier

%Xm

Verdict de fichier par Archive Scanner

Effleurez Web

-,

%XU

Comportement des effleurements Web.

Catégorie URL YouTube

->

%X#29#

Catégorie d'URL YouTube attribuée à la transaction, abrégée. Ce champ affiche « nc » lorsqu'aucune catégorie n'est attribuée.

Code de réponse HTTP

Voici la liste complète des codes de réponse HTTP

Code de statut Signification
 Informations 1xx
100 Continuer
101 Protocoles de commutation
102 Traitement
103 Indices préliminaires
2xx a réussi
200 OK
201 Créé
202 Accepté
203  Informations ne faisant pas autorité
204 Aucun contenu
205 Réinitialiser le contenu
206 Contenu partiel
207 Multi-état
208 Déjà signalé
226 IM utilisé
Redirection 3xx 
300 Choix multiples
301 Déplacé définitivement
302 Trouvé (Précédemment "Déplacé Temporairement")
303 Voir Autre
304 Non modifié
305 Utiliser le proxy
306 Proxy de commutateur
307

Redirection temporaire pour authentification

(Généralement visible dans le déploiement transparent pendant que SWA authentifie l'utilisateur) 
308 Redirection permanente
Erreur client 4xx
400 Requête incorrecte
401 Authentification du serveur Web requise (généralement visible dans le déploiement transparent pendant que SWA authentifie l'utilisateur) 
402 Paiement requis
403 Interdit
404 Non trouvé
405 Méthode non autorisée
406 Non acceptable
407 Authentification par proxy explicite requise
408 Délai de demande
409 Conflit
410 Disparu
411 Longueur requise
412 Échec de la précondition
413 Charge Utile Trop Importante
414 URI trop long
415 Type de support non pris en charge
416 Intervalle non satisfaisant
417 Echec de la prévision
418 Je suis une théière
421 Requête mal redirigée
422 Entité Imtraitable
423 Verrouillé
424 Dépendance défaillante
425 Trop Tôt
426 Mise à niveau requise
428 Précondition requise
429 Trop de demandes
431 Champs d'en-tête de demande trop volumineux
451 Non Disponible Pour Des Raisons Juridiques
Erreur de serveur 5xx
500 Erreur interne du serveur
501 Non implémenté
502 Passerelle incorrecte
503 Service non disponible
504 Délai de passerelle
505 Version HTTP non prise en charge
506 La variante négocie également
507 Stockage insuffisant
508 Boucle détectée
510 Non étendu
511 Authentification réseau requise

Étiquette de décision ACL

Voici la liste complète des balises de décision ACL :

Étiquette de décision ACL Description
PAGE_ERREUR_ADMIN_AUTORISATION Le proxy Web a autorisé la transaction à accéder à une page de notification et à tout logo utilisé sur cette page.
AUTORISER_CATÉGORIE_PERSONNALISÉE Le proxy Web a autorisé la transaction en fonction des paramètres de filtrage de catégorie d'URL personnalisés pour le groupe de stratégie d'accès.
RÉFÉRENTIEL_AUTORISÉ  Le proxy Web a autorisé la transaction sur la base d'une exemption de contenu intégré/référencé.
AUTORISER_WBRS Le proxy Web a autorisé la transaction en fonction des paramètres de filtre de réputation Web pour le groupe de stratégie d'accès.
VERDICT_FICHIER_AMP Valeur représentant un verdict du serveur de réputation AMP pour le fichier :
1 - Inconnu
2 - Nettoyer
3 - Malveillant
4 - Non analysable
ARCHIVESCAN_ALLCLEAR Verdict d'analyse des archives
ARCHIVESCAN_BLOCKEDFILETYPE ARCHIVESCAN_ALLCLEAR - L'archive inspectée ne contient aucun type de fichier bloqué.
ARCHIVESCAN_NESTEDTOODEEP ARCHIVESCAN_BLOCKEDFILETYPE - L'archive inspectée contient un type de fichier bloqué. Le champ suivant de l'entrée de journal (Verdict Detail) fournit des détails, en particulier le type de fichier bloqué et le nom du fichier bloqué.
ARCHIVESCAN_UNKNOWNFMT ARCHIVESCAN_NESTEDTOODEEP - L'archive est bloquée car elle contient plus d'archives « encapsulées » ou imbriquées que le maximum configuré. Le champ Verdict Detail contient « Unscanable Archive-Blocked ».
ARCHIVESCAN_UNSCANABLE ARCHIVESCAN_UNKNOWNFMT - L'archive est bloquée car elle contient un type de fichier de format inconnu. Le détail du verdict est « Non-Scannable Archive-Blocked ».
ARCHIVESCAN_FILETOOBIG ARCHIVESCAN_UNSCANABLE - L'archive est bloquée car elle contient un fichier qui ne peut pas être analysé. Le détail du verdict est « Non-Scannable Archive-Blocked ».
ARCHIVESCAN_FILETOOBIG - L'archive est bloquée car sa taille est supérieure au maximum configuré. Le détail du verdict est « Non-Scannable Archive-Blocked ».
Détail du verdict d'analyse des archives
Le champ et le champ Verdict de l'entrée de journal fournissent des informations supplémentaires sur le verdict, telles que le type de fichier bloqué et le nom du fichier bloqué, « Archive non analysable-bloquée » ou « - » pour indiquer que l'archive ne contient aucun type de fichier bloqué.
Par exemple, si un fichier d'archive inspectable est bloqué (ARCHIVESCAN_BLOCKEDFILETYPE) en fonction de la stratégie d'accès : Objets personnalisés Paramètres de blocage, l'entrée Détails du verdict inclut le type de fichier bloqué et le nom du fichier bloqué.
Reportez-vous à Politiques d'accès : Blocage d'objets et paramètres de contrôle d'archivage pour plus d'informations sur le contrôle d'archivage.
ADMIN_BLOC Transaction bloquée en fonction de certains paramètres par défaut du groupe de stratégie d'accès.
BLOCK_ADMIN_CONNECT Transaction bloquée en fonction du port TCP de la destination, comme défini dans le paramètre HTTP CONNECT Ports pour le groupe de stratégie d'accès.
BLOCK_ADMIN_CUSTOM_USER_AGENT Transaction bloquée en fonction de l'agent utilisateur tel que défini dans le paramètre Bloquer les agents utilisateur personnalisés pour le groupe Stratégie d'accès.
TUNNELING_ADMIN_BLOC Le proxy Web a bloqué la transaction en fonction de la transmission tunnel du trafic non HTTP sur les ports HTTP pour le groupe de stratégie d'accès.
BLOCK_ADMIN_HTTPS_NonLocalDestination Transaction bloquée ; Le client a tenté de contourner l'authentification en utilisant le port SSL comme proxy explicite. Pour éviter cela, si une connexion SSL est établie avec le WSA lui-même, seules les requêtes au nom d'hôte de redirection WSA réel sont autorisées.
ID_ADMIN_BLOC Transaction bloquée en fonction du type MIME du contenu du corps de la demande tel que défini dans le groupe Stratégie de sécurité des données.
TYPE_FICHIER_ADMIN_BLOC Transaction bloquée en fonction du type de fichier défini dans le groupe Stratégie d'accès.
PROTOCOLE_ADMIN_BLOC Transaction bloquée en fonction du protocole défini dans le paramètre Protocoles de blocage pour le groupe Stratégie d'accès.
TAILLE_ADMIN_BLOC Transaction bloquée en fonction de la taille de la réponse, telle que définie dans les paramètres Taille de l'objet pour le groupe Stratégie d'accès.
ID_TAILLE_ADMINISTRATEUR_BLOC Transaction bloquée en fonction de la taille du contenu du corps de la demande, comme défini dans le groupe Stratégie de sécurité des données.
RESP_AMP_BLOC Le proxy Web a bloqué la réponse en fonction des paramètres de protection avancée contre les programmes malveillants pour le groupe Stratégie d'accès.
REQUÊTE_AMW_BLOC Le proxy Web a bloqué la demande en fonction des paramètres de protection contre les programmes malveillants pour le groupe Stratégie d'analyse des programmes malveillants sortants. Le corps de la requête a produit un verdict positif de Malware.
RESP_AMW_BLOC Le proxy Web a bloqué la réponse en fonction des paramètres de protection contre les programmes malveillants du groupe Stratégie d'accès.
BLOCK_AMW_REQ_URL Le proxy Web suspecte que l'URL de la demande HTTP ne peut pas être sécurisée. Il a donc bloqué la transaction au moment de la demande en fonction des paramètres de protection contre les programmes malveillants pour le groupe Stratégie d'accès.
AVC_BLOC Transaction bloquée en fonction des paramètres d'application configurés pour le groupe de stratégie d'accès.
BLOCK_CONTENT_UNSAFE Transaction bloquée en fonction des paramètres d'évaluation du contenu du site pour le groupe Stratégie d'accès. La demande du client portait sur du contenu pour adultes et la stratégie est configurée pour bloquer le contenu pour adultes.
BLOCK_CONTINUE_CONTENT_UNSAFE La transaction a été bloquée et a affiché la page Avertir et continuer en fonction des paramètres de classification du contenu du site dans le groupe Stratégie d'accès. La demande du client portait sur du contenu pour adultes et la stratégie est configurée pour avertir les utilisateurs qui accèdent à du contenu pour adultes.
BLOCK_CONTINUE_CUSTOMCAT La transaction a bloqué et affiché la page Avertir et continuer en fonction d'une catégorie d'URL personnalisée dans le groupe de stratégies d'accès configuré sur Avertir.
BLOCK_CONTINUE_WEBCAT La transaction a été bloquée et a affiché la page Avertir et continuer en fonction d'une catégorie d'URL prédéfinie dans le groupe de stratégies d'accès configuré sur Avertir.
BLOC_PERSONNALISER Transaction bloquée en fonction des paramètres de filtrage de catégorie d'URL personnalisés pour le groupe de stratégie d'accès.
BLOC_ICAP Le proxy Web a bloqué la demande en fonction du verdict du système DLP externe tel que défini dans le groupe de stratégies DLP externe.
BLOCK_SEARCH_UNSAFE La requête du client inclut une requête de recherche non sécurisée et la stratégie d'accès est configurée pour appliquer des recherches sécurisées, de sorte que la requête du client d'origine a été bloquée.
AGENT_UTILISATEUR_SUSPECT_BLOC Transaction bloquée en fonction du paramètre Agent d'utilisateur suspect pour le groupe de stratégies d'accès.
BLOCK_UNSUPPORTED_SEARCH_APP Transaction bloquée en fonction des paramètres de recherche sécurisée du groupe de stratégie d'accès. La transaction concernait un moteur de recherche non pris en charge et la stratégie est configurée pour bloquer les moteurs de recherche non pris en charge.
BLOC_WBRS Transaction bloquée en fonction des paramètres de filtre de réputation Web du groupe de stratégies d'accès.
BLOCK_WBRS_IDS Le proxy Web a bloqué la demande de téléchargement en fonction des paramètres de filtre de réputation Web du groupe Stratégie de sécurité des données.
BLOCK_WEBCAT Transaction bloquée en fonction des paramètres de filtrage de catégorie d'URL pour le groupe de stratégie d'accès.
BLOCK_WEBCAT_IDS Le proxy Web a bloqué la demande de téléchargement en fonction des paramètres de filtrage de catégorie d'URL pour le groupe Stratégie de sécurité des données.
BLOC_YTCAT Le proxy Web a bloqué la transaction en fonction des paramètres de filtrage de catégorie YouTube prédéfinis pour le groupe Stratégie d'accès.
BLOCK_CONTINUE_YTCAT Le proxy Web a bloqué la transaction et affiché la page Avertir et continuer en fonction d'une catégorie YouTube prédéfinie dans le groupe Stratégie d'accès configuré sur Avertir.
ADMIN_DÉCHIFFREMENT Le proxy Web a décrypté la transaction en fonction de certains paramètres par défaut du groupe Stratégie de décryptage.
DECRYPT_ADMIN_EXPIRED_CERT Le proxy Web a déchiffré la transaction bien que le certificat du serveur ait expiré.
DECRYPT_EUN_ADMIN_DEFAULT_ACTION Le proxy Web a décrypté la transaction en fonction des paramètres par défaut en tant que connexion d'abandon pour le groupe de stratégies de décryptage lorsque l'EUN est activé.
DECRYPT_EUN_ADMIN_EXPIRED_CERT Le proxy Web a déchiffré la transaction lorsque les paramètres du proxy HTTPS abandonnent un certificat expiré avec l'activation de l'EUN.
DECRYPT_EUN_ADMIN_INVALID_LEAF_CERT Le proxy Web a déchiffré la transaction lorsque les paramètres du proxy HTTPS abandonnent un certificat leaf non valide avec l'activation de l'EUN.
DECRYPT_EUN_ADMIN_MISMATCHED_HOSTNAME Le proxy Web a décrypté la transaction lorsque les paramètres du proxy HTTPS supprimaient le nom d'hôte incompatible avec l'EUN activé.
DECRYPT_EUN_ADMIN_OCSP_OTHER_ERROR
 Le proxy Web a déchiffré la transaction lorsque les paramètres du proxy HTTPS abandonnent un OCSP avec d'autres erreurs avec l'activation de l'EUN.
DECRYPT_EUN_ADMIN_OCSP_REVOKED_CERT Le proxy Web a déchiffré la transaction lorsque les paramètres du proxy HTTPS abandonnent un certificat OCSP révoqué avec l'activation de l'EUN.
DECRYPT_EUN_ADMIN_UNRECOGNIZED_ROOT_CERT Le proxy Web a déchiffré la transaction lorsque les paramètres du proxy HTTPS abandonnent une autorité racine ou un certificat émetteur non reconnu avec l'activation de l'EUN.
DECRYPT_EUN_CUSTOMCAT Le proxy Web a déchiffré la transaction en fonction des paramètres de filtrage de catégorie d'URL personnalisés pour le groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DECRYPT_EUN_WBRS Le proxy Web a déchiffré la transaction en fonction des paramètres de filtre de réputation Web du groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DECRYPT_EUN_WBRS_NO_SCORE Le proxy Web a déchiffré la transaction en fonction des paramètres de filtre de réputation Web pour l'URL sans score dans le groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DECRYPT_EUN_WEBCAT Le proxy Web a déchiffré la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe de stratégies de déchiffrement. Si EUN est activé, le trafic est abandonné.
DÉCHIFFRER_CHAT_WEB Le proxy Web a déchiffré la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe de stratégie de déchiffrement.
DÉCHIFFRER_WBRS Le proxy Web a déchiffré la transaction en fonction des paramètres de filtre de réputation Web du groupe Stratégie de déchiffrement.
CAS_PAR_DÉFAUT Le proxy Web a autorisé le client à accéder au serveur car aucun des services AsyncOS, tels que la réputation Web ou l'analyse anti-programme malveillant, n'a effectué d'action sur la transaction.
DENY_ADMIN Le proxy Web a refusé la transaction. Cela se produit pour les demandes HTTPS lorsque l'authentification est requise et que le déchiffrement pour l'authentification est désactivé dans les paramètres de proxy HTTPS.
DROP_ADMIN Le proxy Web a abandonné la transaction en fonction de certains paramètres par défaut du groupe Stratégie de décodage.
CERT_EXPIRATION_ADMIN_DROP Le proxy Web a abandonné la transaction car le certificat du serveur a expiré.
DROP_WEBCAT Le proxy Web a abandonné la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe Stratégie de décodage.
DROP_WBRS Le proxy Web a abandonné la transaction en fonction des paramètres de filtre de réputation Web pour le groupe de stratégie de décodage.
CERTIFICAT_EXPIRATION_ADMINISTRATEUR_MONITEUR Le proxy Web a surveillé la réponse du serveur car le certificat du serveur a expiré.
MONITOR_AMP_RESP Le proxy Web a surveillé la réponse du serveur en fonction des paramètres Advanced Malware Protection pour le groupe Access Policy.
MONITOR_AMW_RESP Le proxy Web a surveillé la réponse du serveur en fonction des paramètres de protection contre les programmes malveillants pour le groupe de stratégies d'accès.
MONITOR_AMW_RESP_URL Le proxy Web suspecte que l'URL de la requête HTTP ne peut pas être sécurisée, mais il a surveillé la transaction en fonction des paramètres de protection contre les programmes malveillants pour le groupe Stratégie d'accès.
AVC_SURVEILLANCE Le proxy Web a surveillé la transaction en fonction des paramètres d'application du groupe de stratégie d'accès.
MONITOR_CONTINUE_CONTENT_UNSAFE À l'origine, le proxy Web a bloqué la transaction et affiché la page Avertir et continuer en fonction des paramètres de classification du contenu du site dans le groupe Stratégie d'accès. La demande du client portait sur du contenu pour adultes et la stratégie est configurée pour avertir les utilisateurs qui accèdent à du contenu pour adultes. L'utilisateur a accepté l'avertissement et a continué sur le site initialement demandé, et aucun autre moteur d'analyse n'a par la suite bloqué la demande.
MONITOR_CONTINUE_CUSTOMCAT À l'origine, le proxy Web bloquait la transaction et affichait la page Avertir et continuer en fonction d'une catégorie d'URL personnalisée dans le groupe Stratégie d'accès configurée sur Avertir. L'utilisateur a accepté l'avertissement et a continué sur le site initialement demandé, et aucun autre moteur d'analyse n'a par la suite bloqué la demande.
MONITOR_CONTINUE_WEBCAT  À l'origine, le proxy Web bloquait la transaction et affichait la page Avertir et continuer en fonction d'une catégorie d'URL prédéfinie dans le groupe Stratégie d'accès configuré sur Avertir. L'utilisateur a accepté l'avertissement et a continué sur le site initialement demandé, et aucun autre moteur d'analyse n'a par la suite bloqué la demande.
MONITOR_CONTINUE_YTCAT À l'origine, le proxy Web bloquait la transaction et affichait la page Avertir et continuer en fonction d'une catégorie YouTube prédéfinie dans le groupe Stratégie d'accès configuré sur Avertir. L'utilisateur a accepté l'avertissement et a continué sur le site initialement demandé, et aucun autre moteur d'analyse n'a par la suite bloqué la demande.
ID_MONITEUR Le proxy Web a analysé la demande de téléchargement à l'aide d'une stratégie de sécurité des données ou d'une stratégie DLP externe, mais n'a pas bloqué la demande. Il a évalué la demande par rapport aux stratégies d'accès.
AGENT_UTILISATEUR_SUSPECT_MONITOR  Le proxy Web a surveillé la transaction en fonction du paramètre Agent d'utilisateur suspect pour le groupe de stratégies d'accès.
MONITOR_WBRS  Le proxy Web a surveillé la transaction en fonction des paramètres de filtre de réputation Web pour le groupe de stratégies d'accès.
NO_AUTORISATION Le proxy Web n'a pas autorisé l'utilisateur à accéder à l'application, car l'utilisateur était déjà authentifié par rapport à un domaine d'authentification, mais pas par rapport à un domaine d'authentification configuré dans la stratégie d'authentification de l'application.
NO_MOT_DE_PASSE L'authentification de l'utilisateur a échoué.
ADMIN_PASSTHRU Le proxy Web a transmis la transaction en fonction de certains paramètres par défaut du groupe Stratégie de décodage.
PASSTHRU_ADMIN_EXPIRED_CERT Le proxy Web a transité par la transaction bien que le certificat du serveur ait expiré.
PASSTHRU_WEBCAT Le proxy Web a transmis la transaction en fonction des paramètres de filtrage de catégorie d'URL pour le groupe Stratégie de décodage.
PASSTHRU_WBRS Le proxy Web a transmis la transaction en fonction des paramètres de filtre de réputation Web du groupe Stratégie de décodage.
REDIRECT_CUSTOMCAT Le proxy Web a redirigé la transaction vers une autre URL en fonction d'une catégorie d'URL personnalisée dans le groupe de stratégies d'accès configuré sur « Rediriger ».
AUTH_SAAS Le proxy Web a autorisé l'utilisateur à accéder à l'application, car l'utilisateur a été authentifié de manière transparente par rapport au domaine d'authentification configuré dans la stratégie d'authentification de l'application.
OTHER (AUTRE) Le proxy Web n'a pas terminé la demande en raison d'une erreur, telle qu'un échec d'autorisation, une déconnexion du serveur ou un abandon du client.

Valeurs de verdict d'analyse de programme malveillant

Un verdict d'analyse de programme malveillant est une valeur attribuée à une requête d'URL ou à une réponse du serveur qui détermine la probabilité qu'il contienne un programme malveillant. Les moteurs d'analyse Webroot, McAfee et Sophos renvoient le verdict d'analyse des programmes malveillants au moteur DVS afin qu'il puisse déterminer s'il faut surveiller ou bloquer l'objet analysé. Chaque verdict d'analyse de programme malveillant correspond à une catégorie de programme malveillant répertoriée sur la page Access Policies > Reputation and Anti-Malware Settings lorsque vous modifiez les paramètres Anti-Malware pour une stratégie d'accès particulière.

Cette liste présente les différentes valeurs de verdict d'analyse des programmes malveillants et chaque catégorie de programme malveillant correspondante :

 

Valeur du verdict d'analyse des programmes malveillants

Catégorie de programme malveillant

-

Non défini

0

Inconnu

1

Non analysé

2

Timeout (Délai d’expiration)

3

Erreur

4

Inanalysable

10

Logiciel espion générique

12

Browser Helper, objet

13

Logiciel publicitaire

14

Moniteur système

18

Moniteur système commercial

19

Numéroteur

20

Pirate

21

URL d'hameçonnage

22

Trojan Downloader

23

Cheval de Troie

24

Phisher Troyen

25

Ver

26

Fichier chiffré

27

Virus

33

Autres programmes malveillants

34

PUA

35

Interrompu

36

Heuristique des attaques

37

Fichiers malveillants et à haut risque connus

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
29-Apr-2026
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Amirhossein Mojarrad
    Ingénieur-conseil technique

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits