Informazioni sui log degli accessi di Secure Web Appliance
Sommario
Introduzione
In questo documento viene descritta la struttura del log degli accessi di Secure Web Appliance (SWA).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Accesso all'interfaccia della riga di comando (CLI) dell'SWA.
- Accesso amministrativo all'SWA.
- Conoscenza di base del flusso di lavoro SWA.
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Struttura del log degli accessi
In questo articolo, la struttura del log degli accessi viene spiegata da questo esempio:
1726597763.348 68855 192.168.1.10 TCP_MISS/200 97645 TCP_CONNECT 10.37.145.84:443 "AMOJARRA\amirhossein@WCCPrealm" DIRECT/www.cisco.com - PASSTHRU_CUSTOMCAT_7-DP_site-IdP_Site-NONE-NONE-NONE-DefaultGroup-NONE <"C_Cisc",-,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"-",-,"-","-","-","-","-","-","-",11.35,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -
Immagine - Struttura del log degli accessi
Nota: La struttura dei log degli accessi dipende dalla versione di SWA. All'inizio di ogni file di AccessLog è presente una riga che ne mostra la struttura e l'ordine di specificazione del formato.
| Sezione |
Esempio da Accesslog |
Specifica formato |
Dettagli |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tempo di attesa |
1726597763.348 |
%t |
Il tempo Epoch (spesso chiamato tempo Unix o tempo POSIX) è un sistema per il tracciamento del tempo contando il numero totale di secondi (o millisecondi/microsecondi) trascorsi dal 1 gennaio 1970 alle 00:00:00 UTC Ora dell'epoca in cui la transazione è stata completata. È possibile convertire questo valore mediante un convertitore di tempo Epoch in linea o qualsiasi sistema operativo Linux. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tempo trascorso |
68855 |
%d |
Quantità di millisecondi impiegati prima del completamento o dell'interruzione della richiesta e della chiusura della connessione. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Source IP address |
192.168.1.10 |
%d |
Indirizzo IP client/origine. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Codice risultato transazione |
TCP_MISS |
%s |
Il codice risultato transazione indica come l'SWA risolve le richieste client. Di seguito è riportato l'elenco dei codici dei risultati della transazione:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Codice di risposta HTTP |
/200 |
%h |
Il codice di risposta HTTP rappresenta il codice di stato restituito dal server Web in risposta alla richiesta HTTP del client. Di seguito è riportato l'elenco del codice di risposta HTTP più importante. Per ulteriori informazioni, vedere la sezione Codice di risposta HTTP in questo articolo.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Dimensione totale trasferita |
97645 |
%s |
Totale byte trasferiti per la richiesta. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Metodo HTTP |
CONNESSIONE TCP |
%1r |
Un metodo HTTP è un metodo standardizzato che consente a un client di specificare l'azione che deve essere eseguita su una risorsa da un server Web, ad esempio il recupero dei dati con GET o l'invio dei dati con POST.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Destinazione |
10.37.145.84:443 |
%2r |
Questa sezione mostra l'URL del server di destinazione e il numero di porta TCP. Nel reindirizzamento trasparente, prima che il traffico venga decriptato, SWA mostra l'indirizzo IP di destinazione e il numero di porta. Se l'URL inizia con tunnel:// , il protocollo SWA non ha ancora decrittografato il traffico. Se l'URL inizia con https://, il protocollo SWA decrittografa il traffico. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nome utente e realm di autenticazione |
"AMOJARRA\amirhossein@WCCPrealm" |
%A |
Credenziali utilizzate per la connessione. Se la richiesta viene autenticata, SWA registra il nome utente e i realm di autenticazione come: <Nome dominio> \ <Nome utente> @ <Nome area autenticazione> Se la richiesta non è ancora autenticata o non è autenticata, nel registro viene visualizzato il trattino "-" |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo di accesso |
DIRECT/ |
%H |
Codice che descrive il server contattato per il recupero del contenuto della richiesta. I valori più comuni includono:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Indirizzo server |
%d |
Origine dati o indirizzo IP del server. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
tipo/sottotipo di contenuto MIME |
- |
%c |
MIME Indica la natura e il formato di un documento, file o assortimento di byte. I tipi MIME sono definiti e standardizzati in IETF RFC 6838 Due tipi MIME primari sono importanti per il ruolo dei tipi predefiniti:
Per ottenere un elenco completo del tipo MIME, visitare: Media Types (Lana) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tag di decisione ACL |
PASSTHRU_CUSTOMCAT_7- |
%D |
Un tag di decisione ACL è un campo in una voce del log degli accessi che indica il modo in cui il proxy Web ha gestito la transazione. Include informazioni provenienti dai filtri Web Reputation, dalle categorie URL e dai motori di scansione. Di seguito è riportato un elenco dei tag di decisione ACL più importanti. (Per ulteriori informazioni, consultare la sezione relativa ai tag di decisione negli ACL in questo articolo)
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nome criterio |
Sito_DP- |
N/D |
A seconda del tipo di traffico, viene visualizzato quanto segue:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Criteri di identità |
IdP_Site- |
N/D |
Mostra il nome del profilo di identificazione |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Gruppo di criteri di analisi malware in uscita |
NESSUNA- |
N/D |
Nome del gruppo di criteri di analisi malware in uscita. Qualsiasi spazio nel nome del gruppo di criteri viene sostituito da un carattere di sottolineatura ( _ ) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gruppo di criteri di sicurezza dati |
NESSUNA- |
N/D |
Nome del gruppo di criteri di sicurezza dei dati Cisco. Quando la transazione corrisponde ai criteri globali di sicurezza dei dati di Cisco, questo valore è DefaultGroup. Questo nome del gruppo di criteri viene visualizzato solo quando i filtri di sicurezza dei dati di Cisco sono abilitati. Quando non è stato applicato alcun criterio di sicurezza dei dati, viene visualizzato "NONE". Qualsiasi spazio nel nome del gruppo di criteri viene sostituito da un carattere di sottolineatura ( _ ) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gruppo di criteri di prevenzione della perdita dei dati esterno |
NESSUNA- |
N/D |
Quando la transazione corrisponde ai criteri di prevenzione della perdita dei dati esterni globali, questo valore è DefaultGroup. Se non sono stati applicati criteri di prevenzione della perdita dei dati esterni, viene visualizzato "NONE". Qualsiasi spazio nel nome del gruppo di criteri viene sostituito da un carattere di sottolineatura ( _ ). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Gruppo di criteri di routing |
GruppoPredefinito |
N/D |
Nome del gruppo di criteri di routing come NomeGruppoProxy/NomeServerProxy. Quando la transazione corrisponde ai criteri di routing globali, questo valore è DefaultRouting. Quando non viene utilizzato alcun server proxy upstream, questo valore è DIRECT Qualsiasi spazio nel nome del gruppo di criteri viene sostituito da un carattere di sottolineatura ( _ ). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Traffic Tap Web |
NESSUNA |
N/D |
Nome del criterio Traffic Tap sul Web. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Abbreviazione categoria URL |
<"C_Cisco", |
%XC |
Categoria URL corrispondente alla richiesta.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Punteggio reputazione Web |
-, |
%XW |
Questo campo mostra il punteggio Web Reputation (WBRS). ns indica che l'URL non ha un punteggio. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Analisi Webroot |
-,"-",-,-,- |
Questi 5 campi sono correlati alla scansione di Webroot
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Scansione McAfee |
-,"-",-,-,-"-", |
Questi 6 campi sono correlati alla scansione McAfee.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Scansione Sophos |
-,-,"-","-", |
Questi 4 campi sono correlati a scansione Sophos
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verdetto analisi sicurezza dati Cisco |
-, |
%Xl |
Il verdetto della scansione di Cisco Data Security è basato sull'azione nella colonna Contenuto della policy di sicurezza dei dati Cisco. In questo elenco vengono descritti i possibili valori per questo campo: 0.Consenti 1.Blocco - (trattino).Nessuna scansione avviata dai filtri di sicurezza dei dati Cisco. Questo valore viene visualizzato quando i filtri Cisco Data Security sono disabilitati o quando l'azione della categoria URL è impostata su Consenti. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verdetto scansione DLP esterna |
-, |
%Xp |
Il verdetto di scansione del DLP esterno si basa sul risultato fornito nella risposta ICAP. In questo elenco vengono descritti i possibili valori per questo campo: 0.Consenti 1.Blocco - (trattino).Nessuna scansione avviata dal server DLP esterno. Questo valore viene visualizzato quando l'analisi DLP esterna è disabilitata o quando il contenuto non è stato analizzato a causa di una categoria di URL esente nella pagina Criteri DLP esterni > Destinazioni. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verdetto categoria URL predefinito |
"-" |
%XQ |
Verdetto predefinito della categoria URL determinato durante l'analisi lato richiesta, abbreviato. In questo campo viene visualizzato un trattino ( - ) quando il filtro URL è disabilitato. Se la richiesta raggiunge una categoria URL personalizzata, è possibile visualizzare il nome della categoria URL predefinita nel log degli accessi, ma la decisione è stata presa dalla categoria URL personalizzata. Per un elenco delle abbreviazioni delle categorie URL, vedere Descrizioni delle categorie URL. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verdetto categoria URL |
-, |
%XA |
Verdetto della categoria URL determinato dal motore DCA (Dynamic Content Analysis) durante la scansione del lato risposta, abbreviato. Si applica solo al motore di filtro URL dei controlli per l'utilizzo del Web Cisco. nc: Questo valore viene visualizzato nel verdetto di scansione lato richiesta quando il motore di analisi del contenuto dinamico è abilitato e non è assegnata alcuna categoria URL al momento della richiesta, indicando che l'URL non è stato classificato durante la fase di richiesta iniziale prima che venga classificato dalla scansione lato risposta |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verdict Unified Inbound DVS |
"-" |
%XZ |
Verdetto di scansione antimalware lato risposta unificato che fornisce la categoria Malware indipendente dai motori di scansione abilitati. Si applica alle transazioni bloccate o monitorate a causa dell'analisi delle risposte del server. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo di minaccia filtro reputazione Web |
"-" |
%Xk |
Il nome della categoria o il tipo di minaccia viene restituito dai filtri Reputazione Web. Il nome della categoria viene restituito quando la reputazione Web è alta e il tipo di minaccia viene restituito quando la reputazione è bassa. In genere, questo campo viene compilato per i siti con reputazione -4 e inferiore. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Google Translate Encapsulated URL |
"-" |
%X#10# |
L'URL incapsulato nel motore di traduzione di Google. Se non è presente alcun URL incapsulato, il valore del campo è "-". |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Controllo applicazioni (AVC/ADC) |
"-","-","-", |
In questi tre campi vengono registrate le statistiche di Application Visibility and Control (AVC) e di Application Discovery and Control (ADC).
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verdetto sull'esplorazione sicura |
"-" |
%XS |
Questo valore indica se alla transazione è stata applicata la caratteristica di ricerca sicura o le classificazioni del contenuto del sito.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Larghezza di banda media |
11.35, |
%XB |
Larghezza di banda media utilizzata per soddisfare la richiesta, in Kb/sec. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Controllo Limite Larghezza Di Banda |
0, |
%XT |
Valore che indica se la richiesta è stata limitata a causa delle impostazioni di controllo del limite di larghezza di banda. "1" indica che la richiesta è stata limitata. "0" indica che la richiesta non è stata limitata. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo utente |
-, |
%l |
Tipo di utente che effettua la richiesta, "[Locale]" o "[Remoto]." Si applica solo quando AnyConnect Secure Mobility è abilitato. Se non è attivata, il valore è un trattino (-) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Scansione malware in uscita |
"-","-", |
Questi due campi si applicano alle transazioni bloccate o monitorate a causa dell'analisi delle richieste client quando viene applicato un criterio di analisi malware in uscita.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Protezione avanzata da malware |
-,"-",-,-,"-","-", |
Questi 6 campi sono correlati a Secure Endpoint (noto anche come Advanced Malware Protection):
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Scansione dell'archivio |
-,-,"-", |
Questi 3 campi indicano lo stato della scansione del file di archivio:
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tap Web |
-, |
%XU |
Comportamento Web Tap. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Categoria URL di YouTube |
-> |
%X#29# |
La categoria dell'URL di YouTube assegnata alla transazione, abbreviata. Questo campo visualizza "nc" quando non è assegnata alcuna categoria. |
Codice di risposta HTTP
Di seguito è riportato l'elenco completo dei codici di risposta HTTP
| Codice di stato | Significato |
| Informazioni 1xx | |
| 100 | Continua |
| 101 | Protocolli di switching |
| 102 | Elaborazione |
| 103 | Suggerimenti iniziali |
| 2xx completate | |
| 200 | OK |
| 201 | Creato |
| 202 | Accettato |
| 203 | Informazioni non autorevoli |
| 204 | Nessun contenuto |
| 205 | Reimposta contenuto |
| 206 | Contenuto parziale |
| 207 | Multi-Status |
| 208 | Già segnalato |
| 226 | Messaggistica istantanea utilizzata |
| Reindirizzamento 3xx | |
| 300 | Opzioni multiple |
| 301 | Spostato in modo permanente |
| 302 | Trovato (in precedenza "Spostato temporaneamente") |
| 303 | Vedere Altro |
| 304 | Non modificato |
| 305 | Usa proxy |
| 306 | Cambia proxy |
| 307 | Reindirizzamento temporaneo per autenticazione (di solito visibile nella distribuzione trasparente mentre SWA autentica l'utente) |
| 308 | Reindirizzamento permanente |
| Errore client 4xx | |
| 400 | Richiesta non valida |
| 401 | È richiesta l'autenticazione del server Web (generalmente visualizzata nella distribuzione trasparente mentre SWA autentica l'utente) |
| 402 | Pagamento necessario |
| 403 | Non consentito |
| 404 | Non trovato |
| 405 | Metodo non consentito |
| 406 | Non accettabile |
| 407 | Necessaria autenticazione proxy esplicita |
| 408 | Timeout richiesta |
| 409 | Conflitto |
| 410 | Non più |
| 411 | Lunghezza richiesta |
| 412 | Precondizione non riuscita |
| 413 | Payload troppo grande |
| 414 | URI troppo lungo |
| 415 | Tipo di supporto non supportato |
| 416 | Intervallo non soddisfatto |
| 417 | Previsione non riuscita |
| 418 | Io sono una teiera |
| 421 | Richiesta indirizzata in modo errato |
| 422 | Entità non elaborabile |
| 423 | Bloccato |
| 424 | Dipendenza non riuscita |
| 425 | Troppo presto |
| 426 | Aggiornamento necessario |
| 428 | Precondizione obbligatoria |
| 429 | Troppe richieste |
| 431 | Campi intestazione richiesta troppo grandi |
| 451 | Non disponibile per motivi legali |
| Errore server 5xx | |
| 500 | Errore interno del server |
| 501 | Non implementato |
| 502 | Gateway non valido |
| 503 | Servizio non disponibile |
| 504 | Timeout gateway |
| 505 | Versione HTTP non supportata |
| 506 | Negoziazione anche con Variant |
| 507 | Spazio di archiviazione insufficiente |
| 508 | Rilevato loop |
| 510 | Non esteso |
| 511 | Autenticazione di rete richiesta |
Tag di decisione ACL
Di seguito è riportato l'elenco completo dei tag di decisione degli ACL:
| Tag di decisione ACL | Descrizione |
| PAGINA_ERRORE_ALLOW_ADMIN | Il proxy Web ha consentito la transazione a una pagina di notifica e a qualsiasi logo utilizzato in tale pagina. |
| ALLOW_CUSTOMCAT | Il proxy Web ha consentito la transazione in base alle impostazioni di filtro delle categorie di URL personalizzate per il gruppo di criteri di accesso. |
| RIFERIMENTO_CONSENTI | Il proxy Web ha consentito la transazione in base a un'esenzione del contenuto incorporata/referenziata. |
| CONSENTI_WBRS | Il proxy Web ha consentito la transazione in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di accesso. |
| AMP_FILE_VERDICT | Valore che rappresenta un verdetto del server della reputazione AMP per il file: |
| 1 - Sconosciuto | |
| 2 - Pulito | |
| 3 - Dannoso | |
| 4 - Non scansionabile | |
| ARCHIVESCAN_ALLCLEAR | Verdetto scansione archivio |
| ARCHIVESCAN_BLOCKEDFILETYPE | ARCHIVESCAN_ALLCLEAR: nessun tipo di file bloccato nell'archivio ispezionato. |
| ARCHIVESCAN_NESTEDTOODEEP | ARCHIVESCAN_BLOCKEDFILETYPE: è presente un tipo di file bloccato nell'archivio ispezionato. Il campo successivo nella voce di registro (Dettaglio verdetto) fornisce i dettagli, in particolare il tipo di file bloccato e il nome del file bloccato. |
| ARCHIVESCAN_UNKNOWNFMT | ARCHIVESCAN_NESTEDTOODEEP - L'archivio è bloccato perché contiene un numero di archivi "incapsulati" o nidificati superiore al massimo configurato. Il campo Dettaglio verdetto contiene "Archiviazione non scansionabile bloccata". |
| ARCHIVESCAN_UNSCANABLE | ARCHIVESCAN_UNKNOWNFMT: l'archivio è bloccato perché contiene un tipo di file di formato sconosciuto. Il dettaglio del verdetto è "Archiviazione non scansionabile bloccata". |
| ARCHIVESCAN_FILETOOBIG | ARCHIVESCAN_UNSCANABLE - L'archivio è bloccato perché contiene un file che non può essere analizzato. Il dettaglio del verdetto è "Archiviazione non scansionabile bloccata". |
| ARCHIVESCAN_FILETOOBIG: l'archivio è bloccato perché le sue dimensioni superano il valore massimo configurato. Il dettaglio del verdetto è "Archiviazione non scansionabile bloccata". | |
| Dettaglio verdetto scansione archivio | |
| Il campo e il campo Verdict nella voce di registro forniscono ulteriori informazioni sul verdetto, ad esempio il tipo di file bloccato e il nome del file bloccato, "Non analizzabile archivio bloccato" o "-" per indicare che l'archivio non contiene alcun tipo di file bloccato. | |
| Ad esempio, se un file di archivio Inspectable è bloccato (ARCHIVESCAN_BLOCKEDFILETYPE) in base ai criteri di accesso: Impostazioni blocco oggetti personalizzati, la voce Dettaglio verdetto include il tipo di file bloccato e il nome del file bloccato. | |
| Per ulteriori informazioni, fare riferimento al documento Criteri di accesso: Blocco di oggetti e impostazioni di ispezione dell'archivio per ulteriori informazioni sull'ispezione dell'archivio. | |
| BLOCK_ADMIN | Transazione bloccata in base ad alcune impostazioni predefinite per il gruppo di criteri di accesso. |
| BLOCK_ADMIN_CONNECT | Transazione bloccata in base alla porta TCP della destinazione definita nell'impostazione Porte CONNECT HTTP per il gruppo di criteri di accesso. |
| BLOCK_ADMIN_CUSTOM_USER_AGENT | Transazione bloccata in base all'agente utente definito nell'impostazione Blocca agenti utente personalizzati per il gruppo di criteri di accesso. |
| BLOCK_ADMIN_TUNNELING | Il proxy Web ha bloccato la transazione in base al tunneling del traffico non HTTP sulle porte HTTP per il gruppo di criteri di accesso. |
| BLOCK_ADMIN_HTTPS_NonLocalDestination | Transazione bloccata; il client ha tentato di ignorare l'autenticazione utilizzando la porta SSL come proxy esplicito. Per evitare questo problema, se una connessione SSL è al WSA stesso, sono consentite solo le richieste al nome host di reindirizzamento WSA effettivo. |
| ID_AMMINISTRATORE_BLOCCO | Transazione bloccata in base al tipo MIME del contenuto del corpo della richiesta definito nel gruppo di criteri di sicurezza dei dati. |
| TIPO_FILE_AMMINISTRATORE_BLOCCO | Transazione bloccata in base al tipo di file definito nel gruppo di criteri di accesso. |
| PROTOCOLLO_AMMINISTRAZIONE_BLOCCO | Transazione bloccata in base al protocollo definito nell'impostazione Blocca protocolli per il gruppo di criteri di accesso. |
| DIM_AMMIN_BLOCCO | Transazione bloccata in base alle dimensioni della risposta definite nelle impostazioni Dimensioni oggetto per il gruppo di criteri di accesso. |
| BLOCK_ADMIN_SIZE_IDS | Transazione bloccata in base alle dimensioni del contenuto del corpo della richiesta definito nel gruppo di criteri di sicurezza dei dati. |
| BLOCK_AMP_RESP | Il proxy Web ha bloccato la risposta in base alle impostazioni di Protezione avanzata da malware per il gruppo di criteri di accesso. |
| BLOCK_AMW_REQ | Il proxy Web ha bloccato la richiesta in base alle impostazioni antimalware per il gruppo di criteri Analisi malware in uscita. Il corpo della richiesta ha prodotto un verdetto Malware positivo. |
| BLOCK_AMW_RESP | Il proxy Web ha bloccato la risposta in base alle impostazioni antimalware per il gruppo di criteri di accesso. |
| URL_BLOCK_AMW_REQ | Il proxy Web sospetta che l'URL nella richiesta HTTP non possa essere sicuro, quindi ha bloccato la transazione al momento della richiesta in base alle impostazioni antimalware per il gruppo di criteri di accesso. |
| BLOCCO_AVC | Transazione bloccata in base alle impostazioni dell'applicazione configurate per il gruppo di criteri di accesso. |
| BLOCK_CONTENT_UNSAFE | Transazione bloccata in base alle impostazioni delle classificazioni del contenuto del sito per il gruppo di criteri di accesso. La richiesta client era per contenuto per adulti e il criterio è configurato per bloccare il contenuto per adulti. |
| BLOCK_CONTINUE_CONTENT_UNSAFE | La transazione è stata bloccata e viene visualizzata la pagina Avvisa e continua in base alle impostazioni delle classificazioni del contenuto del sito nel gruppo di criteri di accesso. La richiesta client era per contenuti per adulti e il criterio è configurato per inviare un avviso agli utenti che accedono a contenuti per adulti. |
| BLOCK_CONTINUE_CUSTOMCAT | La transazione è stata bloccata e viene visualizzata la pagina Avvisa e continua in base a una categoria URL personalizzata nel gruppo di criteri di accesso configurato su "Avvisa". |
| BLOCK_CONTINUE_WEBCAT | La transazione è stata bloccata e viene visualizzata la pagina Avvisa e continua in base a una categoria URL predefinita nel gruppo di criteri di accesso configurato su "Avvisa". |
| BLOCK_CUSTOMCAT | Transazione bloccata in base alle impostazioni personalizzate del filtro delle categorie URL per il gruppo di criteri di accesso. |
| BLOCCO_ICAP | Il proxy Web ha bloccato la richiesta in base al verdetto del sistema di prevenzione della perdita dei dati esterno definito nel gruppo di criteri di prevenzione della perdita dei dati esterni. |
| BLOCK_SEARCH_UNSAFE | La richiesta client include una query di ricerca non sicura e i criteri di accesso sono configurati per applicare le ricerche sicure, pertanto la richiesta client originale è stata bloccata. |
| BLOCK_SUSPECT_USER_AGENT | Transazione bloccata in base all'impostazione dell'agente utente sospetto per il gruppo di criteri di accesso. |
| BLOCK_UNSUPPORTED_SEARCH_APP | Transazione bloccata in base alle impostazioni di ricerca sicura per il gruppo di criteri di accesso. La transazione è stata eseguita per un motore di ricerca non supportato e il criterio è configurato per bloccare i motori di ricerca non supportati. |
| BLOCK_WBRS | Transazione bloccata in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di accesso. |
| BLOCK_WBRS_IDS | Il proxy Web ha bloccato la richiesta di caricamento in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di sicurezza dati. |
| BLOCK_WEBCAT | Transazione bloccata in base alle impostazioni del filtro della categoria URL per il gruppo di criteri di accesso. |
| BLOCK_WEBCAT_IDS | Il proxy Web ha bloccato la richiesta di caricamento in base alle impostazioni del filtro della categoria URL per il gruppo di criteri di sicurezza dati. |
| TIPO_BLOCCO | Il proxy Web ha bloccato la transazione in base alle impostazioni predefinite del filtro di categoria YouTube per il gruppo di criteri di accesso. |
| BLOCK_CONTINUE_TYPE | Il proxy Web ha bloccato la transazione e ha visualizzato la pagina Avvisa e continua in base a una categoria predefinita di YouTube nel gruppo di criteri di accesso configurato su 'Avvisa'. |
| DECRYPT_ADMIN | Il proxy Web ha decrittografato la transazione in base ad alcune impostazioni predefinite per il gruppo di criteri di decrittografia. |
| DECRYPT_ADMIN_EXPIRED_CERT | Il proxy Web ha decrittografato la transazione anche se il certificato del server è scaduto. |
| DECRYPT_EUN_ADMIN_DEFAULT_ACTION | Il proxy Web ha decrittografato la transazione in base alle impostazioni predefinite come connessione di ricezione per il gruppo di criteri di decrittografia quando EUN è abilitato. |
| DECRYPT_EUN_ADMIN_EXPIRED_CERT | Il proxy Web ha decrittografato la transazione quando le impostazioni del proxy HTTPS rilasciano un certificato scaduto con EUN abilitato. |
| DECRYPT_EUN_ADMIN_INVALID_LEAF_CERT | Il proxy Web ha decrittografato la transazione quando le impostazioni del proxy HTTPS rilasciano un certificato foglia non valido con EUN abilitato. |
| DECRYPT_EUN_ADMIN_MISMATCHED_HOSTNAME | Il proxy Web ha decrittografato la transazione quando le impostazioni del proxy HTTPS eliminano il nome host non corrispondente con EUN abilitato. |
| DECRYPT_EUN_ADMIN_OCSP_OTHER_ERROR |
Il proxy Web ha decrittografato la transazione quando le impostazioni del proxy HTTPS rilasciano un OCSP con altri errori con EUN abilitato. |
| DECRYPT_EUN_ADMIN_OCSP_REVOKED_CERT | Il proxy Web ha decrittografato la transazione quando le impostazioni del proxy HTTPS rilasciano un certificato OCSP revocato con EUN abilitato. |
| DECRYPT_EUN_ADMIN_UNRECOGNITION_ROOT_CERT | Il proxy Web ha decrittografato la transazione quando le impostazioni del proxy HTTPS rilasciano un'autorità radice o un certificato di autorità emittente non riconosciuto con EUN abilitato. |
| DECRITTOGRAFARE | Il proxy Web ha decrittografato la transazione in base alle impostazioni di filtro delle categorie URL personalizzate per il gruppo di criteri di decrittografia. Se EUN è abilitato, il traffico viene interrotto. |
| DECRITTOGRAFIA_EUN_WBRS | Il proxy Web ha decrittografato la transazione in base alle impostazioni del filtro della reputazione Web per il gruppo di criteri di decrittografia. Se EUN è abilitato, il traffico viene interrotto. |
| DECRYPT_EUN_WBRS_NO_SCORE | Il proxy Web ha decrittografato la transazione in base alle impostazioni del filtro reputazione Web per l'URL senza punteggio nel gruppo di criteri di decrittografia. Se EUN è abilitato, il traffico viene interrotto. |
| DECRIPT_EUN_WEBCAT | Il proxy Web ha decrittografato la transazione in base alle impostazioni del filtro della categoria URL per il gruppo di criteri di decrittografia. Se EUN è abilitato, il traffico viene interrotto. |
| DECRITTOGRAFA_WEBCAT | Il proxy Web ha decrittografato la transazione in base alle impostazioni del filtro della categoria URL per il gruppo di criteri di decrittografia. |
| DECRITTOGRAFIA_WBRS | Il proxy Web ha decrittografato la transazione in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di decrittografia. |
| MAIUSCOLE_PREDEFINITE | Il proxy Web ha consentito al client di accedere al server perché nessuno dei servizi AsyncOS, ad esempio la reputazione Web o l'analisi antimalware, ha eseguito alcuna azione sulla transazione. |
| NEGA_AMMIN | Il proxy Web ha negato la transazione. Questo si verifica per le richieste HTTPS quando è necessaria l'autenticazione e Decrittografa per autenticazione è disabilitato nelle impostazioni proxy HTTPS. |
| DROP_ADMIN | Il proxy Web ha eliminato la transazione in base ad alcune impostazioni predefinite per il gruppo di criteri di decrittografia. |
| DROP_ADMIN_EXPIRED_CERT | Il proxy Web ha interrotto la transazione perché il certificato del server è scaduto. |
| DROP_WEBCAT | Il proxy Web ha eliminato la transazione in base alle impostazioni di filtro delle categorie URL per il gruppo di criteri di decrittografia. |
| DROP_WBRS | Il proxy Web ha eliminato la transazione in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di decrittografia. |
| MONITOR_ADMIN_EXPIRED_CERT | Il proxy Web ha monitorato la risposta del server perché il certificato del server è scaduto. |
| MONITOR_AMP_RESP | Il proxy Web ha monitorato la risposta del server in base alle impostazioni di Protezione avanzata da malware per il gruppo di criteri di accesso. |
| MONITOR_AMW_RESP | Il proxy Web ha monitorato la risposta del server in base alle impostazioni antimalware per il gruppo di criteri di accesso. |
| URL_MONITOR_AMW_RESP | Il proxy Web sospetta che l'URL nella richiesta HTTP non possa essere sicuro, ma ha monitorato la transazione in base alle impostazioni antimalware per il gruppo di criteri di accesso. |
| AVC_MONITOR | Il proxy Web ha monitorato la transazione in base alle impostazioni dell'applicazione per il gruppo di criteri di accesso. |
| MONITOR_CONTINUE_CONTENT_UNSAFE | In origine, il proxy Web ha bloccato la transazione e ha visualizzato la pagina Avvisa e continua in base alle impostazioni delle classificazioni del contenuto del sito nel gruppo Criteri di accesso. La richiesta client era per contenuti per adulti e il criterio è configurato per inviare un avviso agli utenti che accedono a contenuti per adulti. L'utente ha accettato l'avviso e ha proseguito con il sito richiesto in origine e nessun altro motore di scansione ha successivamente bloccato la richiesta. |
| MONITOR_CONTINUE_CUSTOMCAT | In origine, il proxy Web ha bloccato la transazione e ha visualizzato la pagina Avvisa e continua basata su una categoria URL personalizzata nel gruppo di criteri di accesso configurato su "Avvisa". L'utente ha accettato l'avviso e ha proseguito con il sito richiesto in origine e nessun altro motore di scansione ha successivamente bloccato la richiesta. |
| MONITOR_CONTINUE_WEBCAT | In origine, il proxy Web ha bloccato la transazione e ha visualizzato la pagina Avvisa e continua in base a una categoria URL predefinita nel gruppo di criteri di accesso configurato su "Avvisa". L'utente ha accettato l'avviso e ha proseguito con il sito richiesto in origine e nessun altro motore di scansione ha successivamente bloccato la richiesta. |
| MONITOR_CONTINUE_YTCAT | In origine, il proxy Web ha bloccato la transazione e ha visualizzato la pagina Avvisa e continua basata su una categoria predefinita di YouTube nel gruppo di criteri di accesso configurato su 'Avvisa'. L'utente ha accettato l'avviso e ha proseguito con il sito richiesto in origine e nessun altro motore di scansione ha successivamente bloccato la richiesta. |
| MONITOR_IDS | Il proxy Web ha analizzato la richiesta di caricamento utilizzando i criteri di sicurezza dei dati o i criteri di prevenzione della perdita dei dati esterni, ma non ha bloccato la richiesta. La richiesta è stata valutata in base ai criteri di accesso. |
| MONITOR_SUSPECT_USER_AGENT | Il proxy Web ha monitorato la transazione in base all'impostazione dell'agente utente sospetto per il gruppo di criteri di accesso. |
| MONITOR_WBRS | Il proxy Web ha monitorato la transazione in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di accesso. |
| NESSUNA_AUTORIZZAZIONE | Il proxy Web non ha consentito all'utente l'accesso all'applicazione perché l'utente è già stato autenticato in un realm di autenticazione, ma non in alcun realm di autenticazione configurato nei criteri di autenticazione dell'applicazione. |
| NESSUNA_PASSWORD | Autenticazione non riuscita. |
| PASSTHRU_ADMIN | Il proxy Web ha passato la transazione in base ad alcune impostazioni predefinite per il gruppo di criteri di decrittografia. |
| PASSTHRU_ADMIN_EXPIRED_CERT | Il proxy Web ha superato la transazione anche se il certificato del server è scaduto. |
| PASSTHRU_WEBCAT | Il proxy Web ha passato la transazione in base alle impostazioni di filtro delle categorie URL per il gruppo di criteri di decrittografia. |
| PASSTHRU_WBRS | Il proxy Web ha passato la transazione in base alle impostazioni del filtro Reputazione Web per il gruppo di criteri di decrittografia. |
| REINDIRIZZA_PERSONALIZZATO | Il proxy Web ha reindirizzato la transazione a un URL diverso in base a una categoria di URL personalizzata nel gruppo di criteri di accesso configurato per il reindirizzamento. |
| AUTENTICAZIONE_SAAS | Il proxy Web ha consentito all'utente di accedere all'applicazione perché l'utente è stato autenticato in modo trasparente nel realm di autenticazione configurato nei criteri di autenticazione dell'applicazione. |
| Other (Altro) | Il proxy Web non ha completato la richiesta a causa di un errore, ad esempio un errore di autorizzazione, la disconnessione del server o un'interruzione dal client. |
Valori verdetto di analisi malware
Un verdetto di analisi malware è un valore assegnato a una richiesta URL o a una risposta del server che determina la probabilità che contenga malware. I motori di scansione Webroot, McAfee e Sophos restituiscono il verdetto di scansione Malware al motore DVS in modo che il motore DVS possa determinare se monitorare o bloccare l'oggetto digitalizzato. Ogni verdetto di analisi malware corrisponde a una categoria Malware elencata nella pagina Criteri di accesso > Reputazione e impostazioni antimalware quando si modificano le impostazioni antimalware per un determinato criterio di accesso.
In questo elenco sono elencati i diversi valori di verdetto della scansione di malware e ciascuna categoria di malware corrispondente:
| Valore verdetto di analisi malware |
Categoria malware |
|---|---|
| - |
Non impostato |
| 0 |
Sconosciuto |
| 1 |
Non analizzato |
| 2 |
Timeout |
| 3 |
Errore |
| 4 |
Non scansionabile |
| 10 |
Spyware generico |
| 12 |
Oggetto helper del browser |
| 13 |
Adware |
| 14 |
Monitor di sistema |
| 18 |
Monitor di sistema commerciale |
| 19 |
Dialer |
| 20 |
Hijacker |
| 21 |
URL di phishing |
| 22 |
Trojan Downloader |
| 23 |
Cavallo di Troia |
| 24 |
Trojan Phisher |
| 25 |
Worm |
| 26 |
File crittografato |
| 27 |
Virus |
| 33 |
Altro malware |
| 34 |
PUA |
| 35 |
Interrotto |
| 36 |
Euristica epidemie |
| 37 |
File dannosi e ad alto rischio noti |
Informazioni correlate
- Guida per l'utente di AsyncOS 15.2 per Cisco Secure Web Appliance
- Garantire la corretta funzionalità del gruppo WSA HA virtuale in un ambiente VMware
- Configura parametro prestazioni nei log degli accessi
- Informazioni sul formato HTTPS Accesslog in Secure Web Appliance
- Accesso ai registri protetti di Web Appliance
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
29-Apr-2026
|
Versione iniziale |
Feedback