Compreender os registros de acesso do dispositivo da Web seguro
Contents
Introdução
Este documento descreve a estrutura do Access Log do Secure Web Appliance (SWA).
Pré-requisitos
Requisitos
A Cisco recomenda o conhecimento destes tópicos:
- Acesso à interface de linha de comando (CLI) do SWA.
- Acesso administrativo ao SWA.
- Entendimento básico do fluxo de trabalho do SWA.
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Estrutura do log de acesso
Neste artigo, a estrutura do Accesslog é explicada por este exemplo:
1726597763.348 68855 192.168.1.10 TCP_MISS/200 97645 TCP_CONNECT 10.37.145.84:443 "AMOJARRA\amirhossein@WCCPrealm" DIRECT/www.cisco.com - PASSTHRU_CUSTOMCAT_7-DP_site-IdP_Site-NONE-NONE-NONE-DefaultGroup-NONE <"C_Cisc",-,-,"-",-,-,-,-,"-",-,-,-,"-",-,-,"-","-",-,-,"-",-,"-","-","-","-","-","-","-",11.35,0,-,"-","-",-,"-",-,-,"-","-",-,-,"-",-,-> - -
Imagem - Estrutura do registro de acessos
Note: A estrutura dos logs de acesso depende da versão do SWA. No início de cada arquivo Accesslog, há uma linha que mostra sua estrutura e a ordem do Especificador de Formato.
| Seção |
Exemplo do registro de acessos |
Especificador de Formato |
Detalhes |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tempo de época |
1726597763.348 |
% t |
O tempo de época (geralmente chamado de tempo Unix ou tempo POSIX) é um sistema para rastrear o tempo, contando o número total de segundos (ou milissegundos/microssegundos) decorridos desde 1º de janeiro de 1970, às 00:00:00 UTC O tempo de Época em que a transação foi concluída. Você pode converter este valor por conversor de tempo Epoch on-line ou qualquer sistema operacional linux. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tempo decorrido |
68855 |
% e |
A quantidade de milissegundos que a solicitação levou antes de ser concluída/anulada e a conexão ser fechada. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Endereço IP origem |
192.168.1.10 |
% a |
Endereço IP do cliente/origem. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Código do Resultado da Transação |
TCP_MISS |
% w |
O Código de resultado da transação indica como o SWA resolve as solicitações do cliente. Aqui está a lista dos Códigos de Resultado da Transação:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Código de Resposta HTTP |
/200 |
% h |
O Código de Resposta HTTP representa o código de status retornado pelo servidor Web em resposta à solicitação HTTP do cliente. Aqui está a lista dos códigos de resposta HTTP mais importantes, ( Para obter mais informações visite a seção Código de resposta HTTP neste artigo)
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tamanho Total Transferido |
97645 |
%s |
Total de bytes transferidos para a solicitação. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Método de HTTP |
TCP_CONNECT |
% 1r |
Um método HTTP é uma forma padronizada de um cliente especificar a ação desejada a ser executada em um recurso por um servidor Web, como recuperar dados com GET ou enviar dados com POST.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Destino |
10.37.145.84:443 |
% 2r |
Esta seção mostra o URL do servidor de destino e o número da porta TCP. No redirecionamento transparente, antes que o tráfego seja descriptografado, o SWA mostra o endereço IP destino e o número da porta. Se a URL começar com tunnel:// , significa que o SWA ainda não descriptografou o tráfego. Se o URL começar com https:// significa que o SWA descriptografa o tráfego. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nome de usuário e território de autenticação |
"AMOJARRA\amirhossein@WCCPrealm" |
%A |
Credenciais usadas para esta conexão. Se a solicitação for autenticada, o SWA registrará o nome de usuário e os territórios de autenticação como: <Nome do domínio> \ <Nome do usuário> @ <Nome do território de autenticação> Se a solicitação ainda não tiver sido autenticada ou estiver isenta de autenticação, você verá no registro o hífen "-" |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo de acesso |
DIRECT/ |
% H |
Código que descreve qual servidor foi contatado para a recuperação do conteúdo da solicitação. Os valores mais comuns incluem:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Endereço do servidor |
%d |
Endereço IP da fonte de dados ou do servidor. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo/subtipo de conteúdo MIME |
- |
% c |
MIME Indica a natureza e o formato de um documento, arquivo ou sortimento de bytes. Os tipos MIME são definidos e padronizados no IETF RFC 6838 Dois tipos MIME principais são importantes para a função de tipos padrão:
Para obter uma lista completa de tipos MIME, visite: Tipos de mídia (iana) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Marca de decisão da ACL |
PASSTHRU_CUSTOMCAT_7- |
%D |
Uma marca de decisão da ACL é um campo em uma entrada de log de acesso que indica como o Web Proxy tratou a transação. Ele inclui informações dos filtros do Web Reputation, categorias de URL e dos mecanismos de varredura. Esta é uma lista das Marcas de decisão da ACL mais importantes. (Para obter mais informações, visite a seção Marca de decisão da ACL neste artigo)
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nome da política |
DP_site- |
N/A |
Depende do tipo de tráfego, isso mostra o:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Política de identidade |
IdP_Site- |
N/A |
Mostra o nome do perfil de identificação |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Grupo de Políticas de Verificação de Malware de Saída |
NENHUM- |
N/A |
Nome do grupo de Política de Verificação de Malware de Saída. Qualquer espaço no nome do grupo de políticas é substituído por um sublinhado ( _ ) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Grupo de Políticas de Segurança de Dados |
NENHUM- |
N/A |
Nome do grupo de Política de Segurança de Dados da Cisco. Quando a transação corresponde à Política de Segurança de Dados global da Cisco, esse valor é DefaultGroup. Esse nome de grupo de política aparece somente quando os Filtros de Segurança de Dados da Cisco estão ativados. "NONE" aparece quando nenhuma Política de segurança de dados foi aplicada. Qualquer espaço no nome do grupo de políticas é substituído por um sublinhado ( _ ) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Grupo de Política DLP Externo |
NENHUM- |
N/A |
Quando a transação corresponde à Política DLP Externa global, esse valor é DefaultGroup. "NONE" aparece quando nenhuma Política DLP Externa foi aplicada. Qualquer espaço no nome do grupo de políticas é substituído por um sublinhado ( _ ). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Grupo de Política de Roteamento |
GrupoPadrão- |
N/A |
Nome do grupo de Política de Roteamento asProxyGroupName/ProxyServerName. Quando a transação corresponde à Política de Roteamento global, esse valor é DefaultRouting. Quando nenhum servidor proxy upstream é usado, esse valor é DIRECT Qualquer espaço no nome do grupo de políticas é substituído por um sublinhado ( _ ). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Toque no tráfego da Web |
NENHUM |
N/A |
Nome da Política de Toque de Tráfego da Web. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Abreviação da categoria de URL |
<"C_Cisco", |
%XC |
Categoria de URL que corresponde à solicitação.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Pontuação do Web Reputation |
-, |
% XW |
Esse campo mostra a pontuação do Web Reputation (WBRS). ns significa que o URL não tem pontuação. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Varredura do Webroot |
-,"-",-,-,-, |
Esses 5 campos estão relacionados à varredura do Webroot
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Varredura McAfee |
-,"-",-,-,-,"-", |
Esses 6 campos estão relacionados à varredura da McAfee.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verificação Sophos |
-,-,"-","-", |
Esses 4 campos estão relacionados à verificação Sophos
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Veredito da verificação de segurança de dados da Cisco |
-, |
% Xl |
O veredito de verificação do Cisco Data Security com base na ação na coluna Conteúdo da Política de segurança de dados da Cisco. Esta lista descreve os valores possíveis para este campo: 0.Permitir 1.Bloquear - (hífen).Nenhuma verificação foi iniciada pelos Filtros de Segurança de Dados da Cisco. Esse valor aparece quando os Filtros de segurança de dados da Cisco estão desabilitados ou quando a ação de categoria de URL está definida como Permitir. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Veredito de verificação de DLP externo |
-, |
% Xp |
O veredito de verificação de DLP Externo com base no resultado fornecido na resposta de ICAP. Esta lista descreve os valores possíveis para este campo: 0.Permitir 1.Bloquear - (hífen).Nenhuma verificação foi iniciada pelo servidor DLP externo. Esse valor aparece quando a verificação de DLP externo está desabilitada ou quando o conteúdo não foi verificado devido a uma categoria de URL isenta na página Políticas de DLP externo > Destinos. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Veredito de categoria de URL predefinido |
"-", |
%XQ |
O veredito predefinido da categoria de URL determinado durante a verificação do lado da solicitação, abreviado. Esse campo lista um hífen ( - ) quando a filtragem de URL está desativada. Se a solicitação atingir uma Categoria de URL personalizada, você ainda poderá ver o nome da categoria de URL predefinida no seu Log de acesso, mas a decisão foi tomada pela categoria de URL personalizada. Para obter uma lista de abreviações de categorias de URL, consulteDescrições de categorias de URL. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Veredito de categoria de URL |
-, |
%XA |
O veredito da categoria de URL determinado pelo mecanismo DCA (Dynamic Content Analysis, análise de conteúdo dinâmico) durante a verificação do lado da resposta, abreviado. Aplica-se somente ao mecanismo de filtragem de URL dos controles de uso da Web da Cisco. nc: Esse valor aparece no veredito de verificação do lado da solicitação quando o mecanismo de análise de conteúdo dinâmico está habilitado e nenhuma categoria de URL é atribuída no momento da solicitação, indicando que a URL é descategorizada durante a fase de solicitação inicial antes que a verificação do lado da resposta a categorize |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Veredito de Unified Inbound DVS |
"-", |
%XZ |
Veredito de verificação antimalware do lado da resposta unificada que fornece a categoria de malware independente de quais mecanismos de verificação estão habilitados. Aplica-se a transações bloqueadas ou monitoradas devido à verificação de resposta do servidor. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo de Ameaça do Filtro do Web Reputation |
"-", |
% Xk |
O Nome da categoria ou o Tipo de ameaça é retornado pelos filtros do Web Reputation. O nome da categoria é retornado quando a reputação da Web é alta e o tipo de ameaça é retornado quando a reputação é baixa. Normalmente, esse campo é preenchido para sites com reputação de -4 e abaixo. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
URL encapsulada do Google Translate |
"-", |
%X#10# |
O URL que é encapsulado dentro do mecanismo de tradução do Google. Se não houver um URL encapsulado, o valor do campo será "-". |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Controle de aplicativos (AVC/ADC) |
"-","-","-", |
Nesses três campos, são registradas as estatísticas de Application Visibility and Control (AVC) e Application Discovery and Control (ADC).
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Veredito de Navegação Segura |
"-", |
%XS |
Esse valor indica se o recurso de pesquisa segura ou de classificações de conteúdo de site foi aplicado à transação.
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Largura de Banda Média |
11.35, |
%XB |
A largura de banda média consumida servindo a solicitação, em Kb/s. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Controle de limite de largura de banda |
0, |
% XT |
Um valor que indica se a solicitação foi limitada devido às configurações de controle de limite de largura de banda. "1" indica que a solicitação foi limitada. "0" indica que a solicitação não foi limitada. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Tipo de usuário |
-, |
% l |
O tipo de usuário que faz a solicitação, "[Local]" ou "[Remoto]." Aplica-se somente quando o AnyConnect Secure Mobility está habilitado. Quando não está habilitado, o valor é um hífen (-) |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Varredura de malware de saída |
"-","-", |
Esses 2 campos se aplicam a transações bloqueadas ou monitoradas devido à verificação de solicitação do cliente quando uma política de verificação de malware de saída se aplica.
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Proteção avançada contra malware |
-,"-",-,-,"-","-", |
Esses 6 campos estão relacionados ao Secure Endpoint (também conhecido como Proteção avançada contra malware):
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Varredura de arquivos |
-,-,"-", |
Estes 3 campos indicam o status da varredura do arquivo morto:
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Toque na Web |
-, |
%XU |
Comportamento de Toque na Web. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Categoria de URL do YouTube |
-> |
%X#29# |
A categoria de URL do YouTube atribuída à transação, abreviada. Este campo mostra "nc" quando nenhuma categoria é atribuída. |
Código de Resposta HTTP
Esta é a lista completa de Códigos de Resposta HTTP
| Código de status | Significado |
| Informações 1xx | |
| 100 | Continuar |
| 101 | Protocolos de comutação |
| 102 | Processamento |
| 103 | Dicas iniciais |
| 2xx Bem-sucedido | |
| 200 | OK |
| 201 | Criado |
| 202 | Aceito |
| 203 | Informações Não Autoritativas |
| 204 | Sem conteúdo |
| 205 | Redefinir conteúdo |
| 206 | Conteúdo parcial |
| 207 | Status múltiplo |
| 208 | Já Relatado |
| 226 | Mensagem Instantânea Usada |
| Redirecionamento 3xx | |
| 300 | Várias opções |
| 301 | Movido Permanentemente |
| 302 | Encontrado (Anteriormente "Movido Temporariamente") |
| 303 | Consulte Outro |
| 304 | Não Modificado |
| 305 | Usar proxy |
| 306 | Proxy do Switch |
| 307 | Redirecionamento Temporário para Autenticação (Geralmente visto na implantação transparente enquanto o SWA está autenticando o usuário) |
| 308 | Redirecionamento permanente |
| Erro do cliente 4xx | |
| 400 | Solicitação Incorreta |
| 401 | Autenticação do servidor Web necessária (normalmente vista na implantação transparente enquanto o SWA está autenticando o usuário) |
| 402 | Pagamento necessário |
| 403 | Proibido |
| 404 | Not found |
| 405 | Método Não Permitido |
| 406 | Não aceitável |
| 407 | Autenticação de Proxy Explícita Necessária |
| 408 | Tempo Limite da Solicitação |
| 409 | Conflito |
| 410 | Sumiu |
| 411 | Comprimento necessário |
| 412 | Falha na pré-condição |
| 413 | Carga Muito Grande |
| 414 | URI muito longo |
| 415 | Tipo de mídia sem suporte |
| 416 | Intervalo não satisfatório |
| 417 | Falha na expectativa |
| 418 | Eu sou um bule |
| 421 | Solicitação mal direcionada |
| 422 | Entidade Não Processável |
| 423 | Bloqueado |
| 424 | Dependência com Falha |
| 425 | Muito cedo |
| 426 | Atualização Necessária |
| 428 | Pré-condição Necessária |
| 429 | Muitas Solicitações |
| 431 | Campos do Cabeçalho da Solicitação Muito Grandes |
| 451 | Indisponível Por Motivos Legais |
| Erro de servidor 5xx | |
| 500 | Erro interno do servidor |
| 501 | Não implementado |
| 502 | Gateway incorreto |
| 503 | Serviço indisponível |
| 504 | Tempo limite do gateway |
| 505 | Versão HTTP Não Suportada |
| 506 | A Variante Também Negocia |
| 507 | Armazenamento Insuficiente |
| 508 | Loop detectado |
| 510 | Não Estendido |
| 511 | Autenticação de Rede Necessária |
Marca de decisão da ACL
Esta é a lista completa das marcas de decisão da ACL:
| Marca de decisão da ACL | Descrição |
| ALLOW_ADMIN_ERROR_PAGE | O Web Proxy permitiu a transação para uma página de notificação e para qualquer logotipo usado nessa página. |
| ALLOW_CUSTOMCAT | O Web Proxy permitiu a transação com base em configurações personalizadas de filtragem de categoria de URL para o grupo de Diretiva de Acesso. |
| ALLOW_REFERER | O Web Proxy permitiu a transação com base em uma isenção de conteúdo inserido/referenciado. |
| ALLOW_WBRS | O Web Proxy permitiu a transação com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Acesso. |
| AMP_FILE_VERDICT | Valor que representa um veredito do servidor de reputação da AMP para o arquivo: |
| 1 - Desconhecido | |
| 2 - Limpar | |
| 3 - Mal-intencionado | |
| 4 - Não verificável | |
| ARCHIVESCAN_ALLCLEAR | Veredito de verificação de arquivo morto |
| ARCHIVESCAN_BLOCKEDFILETYPE | ARCHIVESCAN_ALLCLEAR - Não há tipos de arquivos bloqueados no arquivo inspecionado. |
| ARCHIVESCAN_NESTEDTOODEEP | ARCHIVESCAN_BLOCKEDFILETYPE - Há um tipo de arquivo bloqueado no arquivo inspecionado. O próximo campo na entrada do log (Detalhe do veredito) fornece detalhes, especificamente o tipo de arquivo bloqueado e o nome do arquivo bloqueado. |
| ARCHIVESCAN_UNKNOWNFMT | ARCHIVESCAN_NESTEDTOODEEP - O arquivo está bloqueado porque contém mais arquivos "encapsulados" ou aninhados do que o máximo configurado. O campo Detalhes do veredito contém "Arquivo não verificável bloqueado". |
| ARCHIVESCAN_UNSCANABLE | ARCHIVESCAN_UNKNOWNFMT - O arquivo morto está bloqueado porque contém um tipo de arquivo de formato desconhecido. Os detalhes do veredito são "Arquivo não digitalizável bloqueado". |
| ARCHIVESCAN_FILETOOBIG | ARCHIVESCAN_UNSCANABLE - O arquivo morto está bloqueado porque contém um arquivo que não pode ser examinado. Os detalhes do veredito são "Arquivo não digitalizável bloqueado". |
| ARCHIVESCAN_FILETOOBIG - O arquivo está bloqueado porque o tamanho do arquivo é maior que o máximo configurado. Os detalhes do veredito são "Arquivo não digitalizável bloqueado". | |
| Detalhe do veredito da varredura de arquivo morto | |
| O campo e o campo Veredito na entrada do log fornecem informações adicionais sobre o Veredito, como o tipo de arquivo bloqueado e o nome do arquivo bloqueado, "Não-digitalizável - Arquivo bloqueado" ou "-" para indicar que o arquivo não contém nenhum tipo de arquivo bloqueado. | |
| Por exemplo, se um arquivo de Arquivo Inspecionável for bloqueado (ARCHIVESCAN_BLOCKEDFILETYPE) com base na Política de Acesso: Configurações de bloqueio de objetos personalizados, a entrada Detalhes do veredito inclui o tipo de arquivo bloqueado e o nome do arquivo bloqueado. | |
| Consulte Políticas de Acesso: Bloqueando Objetos e Definições de Inspeção de Arquivo para obter mais informações sobre a Inspeção de Arquivo. | |
| BLOCK_ADMIN | Transação bloqueada com base em algumas configurações padrão do grupo de Diretiva de Acesso. |
| BLOCK_ADMIN_CONNECT | Transação bloqueada com base na porta TCP de destino, conforme definido na configuração HTTP CONNECT Ports para o grupo Access Policy. |
| BLOCK_ADMIN_CUSTOM_USER_AGENT | Transação bloqueada com base no agente de usuário definido na configuração Bloquear agentes de usuário personalizados para o grupo de política de acesso. |
| BLOCK_ADMIN_TUNNELING | O Web Proxy bloqueou a transação com base no túnel do tráfego não HTTP nas portas HTTP do Grupo de Políticas de Acesso. |
| BLOCK_ADMIN_HTTPS_NonLocalDestination | Operação bloqueada; o cliente tentou ignorar a autenticação usando a porta SSL como um proxy explícito. Para evitar isso, se uma conexão SSL for estabelecida com o próprio WSA, somente as solicitações para o nome de host de redirecionamento WSA real serão permitidas. |
| BLOCK_ADMIN_IDS | Transação bloqueada com base no tipo MIME do conteúdo do corpo da solicitação, conforme definido no grupo de Política de Segurança de Dados. |
| BLOCK_ADMIN_FILE_TYPE | Transação bloqueada com base no tipo de arquivo conforme definido no grupo Política de acesso. |
| BLOCK_ADMIN_PROTOCOL | Transação bloqueada com base no protocolo conforme definido na configuração Bloquear protocolos do grupo de política de acesso. |
| BLOCK_ADMIN_SIZE | Transação bloqueada com base no tamanho da resposta, conforme definido nas configurações de Tamanho do Objeto para o grupo de Diretiva de Acesso. |
| BLOCK_ADMIN_SIZE_IDS | Transação bloqueada com base no tamanho do conteúdo do corpo da solicitação, conforme definido no grupo de Política de Segurança de Dados. |
| BLOCK_AMP_RESP | O Web Proxy bloqueou a resposta com base nas configurações de Proteção avançada contra malware para o grupo de Política de acesso. |
| BLOCK_AMW_REQ | O Web Proxy bloqueou a solicitação com base nas configurações do Anti-Malware para o grupo de Política de verificação de malware de saída. O corpo da solicitação produziu um veredito de Malware positivo. |
| BLOCK_AMW_RESP | O Web Proxy bloqueou a resposta com base nas configurações de antimalware do grupo de política de acesso. |
| BLOCK_AMW_REQ_URL | O Web Proxy suspeita que a URL na solicitação HTTP não pode ser segura, portanto, ele bloqueou a transação no momento da solicitação com base nas configurações Anti-Malware do grupo de Política de Acesso. |
| BLOCK_AVC | Transação bloqueada com base nas configurações de Aplicativo definidas para o grupo de Política de Acesso. |
| BLOCK_CONTENT_UNSAFE | Transação bloqueada com base nas configurações de classificação de conteúdo do site para o grupo de Política de Acesso. A solicitação do cliente era para conteúdo adulto e a política está configurada para bloquear esse tipo de conteúdo. |
| BLOCK_CONTINUE_CONTENT_UNSAFE | A transação foi bloqueada e exibiu a página Avisar e continuar com base nas configurações de classificação de conteúdo do site no grupo Política de acesso. A solicitação do cliente era para conteúdo para adultos e a política está configurada para fornecer um aviso aos usuários que acessam conteúdo para adultos. |
| BLOCK_CONTINUE_CUSTOMCAT | A transação foi bloqueada e exibiu a página Avisar e continuar com base em uma categoria de URL personalizada no grupo de política de acesso configurado para "Avisar". |
| BLOCK_CONTINUE_WEBCAT | A transação bloqueou e exibiu a página Avisar e continuar com base em uma categoria de URL predefinida no grupo de política de acesso configurado para "Avisar". |
| BLOCK_CUSTOMCAT | Transação bloqueada com base em configurações personalizadas de filtragem de categoria de URL para o grupo de Diretiva de Acesso. |
| BLOCK_ICAP | O Web Proxy bloqueou a solicitação com base no veredito do sistema DLP externo, conforme definido no grupo de Política DLP Externo. |
| BLOCK_SEARCH_UNSAFE | A solicitação do cliente incluiu uma consulta de pesquisa não segura e a Política de Acesso está configurada para impor pesquisas seguras, portanto, a solicitação original do cliente foi bloqueada. |
| BLOCK_SUSPECT_USER_AGENT | Transação bloqueada com base na configuração Agente de Usuário Suspeito para o grupo de Política de Acesso. |
| BLOCK_UNSUPPORTED_SEARCH_APP | Transação bloqueada com base nas configurações de pesquisa segura do grupo de Política de Acesso. A transação era para um mecanismo de pesquisa sem suporte, e a política está configurada para bloquear mecanismos de pesquisa sem suporte. |
| BLOCK_WBRS | Transação bloqueada com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Acesso. |
| BLOCK_WBRS_IDS | O Web Proxy bloqueou a solicitação de carregamento com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Segurança de Dados. |
| BLOCK_WEBCAT | Transação bloqueada com base nas configurações de filtragem de categoria de URL para o grupo de Diretiva de Acesso. |
| BLOCK_WEBCAT_IDS | O Web Proxy bloqueou a solicitação de carregamento com base nas configurações de filtragem de categoria de URL para o grupo de Diretiva de Segurança de Dados. |
| BLOCK_YTCAT | O Web Proxy bloqueou a transação com base nas configurações de filtragem de categoria predefinidas do YouTube para o grupo de Diretiva de Acesso. |
| BLOCK_CONTINUE_YTCAT | O Web Proxy bloqueou a transação e exibiu a página Avisar e continuar com base em uma categoria predefinida do YouTube no grupo de Política de acesso configurado para 'Avisar'. |
| DECRYPT_ADMIN | O Web Proxy descriptografou a transação com base em algumas configurações padrão do grupo de Diretiva de Descriptografia. |
| DECRYPT_ADMIN_EXPIRED_CERT | O Web Proxy descriptografou a transação, embora o certificado do servidor tenha expirado. |
| DECRYPT_EUN_ADMIN_DEFAULT_ACTION | O Web Proxy descriptografou a transação com base nas configurações padrão como conexão de remoção para o grupo de políticas de descriptografia quando EUN está habilitado. |
| DECRYPT_EUN_ADMIN_EXPIRED_CERT | O Web Proxy descriptografou a transação quando as configurações de proxy HTTPS descartam um certificado expirado com EUN habilitado. |
| DECRYPT_EUN_ADMIN_INVALID_LEAF_CERT | O Web Proxy descriptografou a transação quando as configurações de proxy HTTPS descartam um certificado folha inválido com EUN habilitado. |
| DECRYPT_EUN_ADMIN_MISMATCHED_HOSTNAME | O Web Proxy descriptografou a transação quando as configurações de proxy HTTPS descartam o nome de host incompatível com EUN habilitado. |
| DECRYPT_EUN_ADMIN_OCSP_OTHER_ERROR |
O Web Proxy descriptografou a transação quando as configurações de proxy HTTPS descartam um OCSP com outros erros com EUN habilitado. |
| DECRYPT_EUN_ADMIN_OCSP_REVOKED_CERT | O Web Proxy descriptografou a transação quando as configurações de proxy HTTPS descartam um certificado revogado OCSP com EUN habilitado. |
| DECRYPT_EUN_ADMIN_UNRECOGNIZED_ROOT_CERT | O Web Proxy descriptografou a transação quando as configurações de proxy HTTPS removem uma autoridade raiz não reconhecida ou um certificado do emissor com EUN habilitado. |
| DECRYPT_EUN_CUSTOMCAT | O Web Proxy descriptografou a transação com base nas configurações personalizadas de filtragem de categoria de URL para o grupo de políticas de descriptografia. Se EUN estiver habilitado, o tráfego será descartado. |
| DECRYPT_EUN_WBRS | O Web Proxy descriptografou a transação com base nas configurações do filtro de reputação da Web para o grupo de políticas de descriptografia. Se EUN estiver habilitado, o tráfego será descartado. |
| DECRYPT_EUN_WBRS_NO_SCORE | O Web Proxy descriptografou a transação com base nas configurações do filtro de reputação da Web para URL sem pontuação no grupo de políticas de descriptografia. Se EUN estiver habilitado, o tráfego será descartado. |
| DECRYPT_EUN_WEBCAT | O Web Proxy descriptografou a transação com base nas configurações de filtragem de categoria de URL para o grupo de políticas de descriptografia. Se EUN estiver habilitado, o tráfego será descartado. |
| DESCRIPTOGRAFAR_WEBCAT | O Web Proxy descriptografou a transação com base nas configurações de filtragem de categoria de URL para o grupo de Diretiva de Descriptografia. |
| DESCRIPTOGRAFAR_WBRS | O Web Proxy descriptografou a transação com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Descriptografia. |
| DEFAULT_CASE | O Web Proxy permitiu que o cliente acessasse o servidor porque nenhum dos serviços AsyncOS, como Web Reputation ou verificação Anti-Malware, executou qualquer ação na transação. |
| DENY_ADMIN | O Web Proxy negou a transação. Isso ocorre para solicitações HTTPS quando a autenticação é necessária e Decrypt for Authentication está desabilitado nas configurações de proxy HTTPS. |
| DROP_ADMIN | O Web Proxy descartou a transação com base em algumas configurações padrão do grupo de Diretiva de Descriptografia. |
| DROP_ADMIN_EXPIRED_CERT | O Web Proxy descartou a transação porque o certificado do servidor expirou. |
| DROP_WEBCAT | O Web Proxy descartou a transação com base nas configurações de filtragem de categoria de URL para o grupo de Diretiva de Descriptografia. |
| DROP_WBRS | O Web Proxy descartou a transação com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Descriptografia. |
| MONITOR_ADMIN_EXPIRED_CERT | O Web Proxy monitorou a resposta do servidor porque o certificado do servidor expirou. |
| MONITOR_AMP_RESP | O Web Proxy monitorou a resposta do servidor com base nas configurações de Proteção avançada contra malware para o grupo de Política de acesso. |
| MONITOR_AMW_RESP | O Web Proxy monitorou a resposta do servidor com base nas configurações antimalware do grupo de política de acesso. |
| MONITOR_AMW_RESP_URL | O Web Proxy suspeita que a URL na solicitação HTTP não pode ser segura, mas monitorou a transação com base nas configurações Anti-Malware do grupo de Política de Acesso. |
| MONITOR_AVC | O Web Proxy monitorou a transação com base nas configurações do Aplicativo para o grupo de Diretiva de Acesso. |
| MONITOR_CONTINUE_CONTENT_UNSAFE | Originalmente, o Web Proxy bloqueou a transação e exibiu a página Avisar e continuar com base nas configurações de classificação de conteúdo do site no grupo Política de acesso. A solicitação do cliente era para conteúdo para adultos e a política está configurada para fornecer um aviso aos usuários que acessam conteúdo para adultos. O usuário aceitou o aviso e continuou até o site originalmente solicitado, e nenhum outro mecanismo de varredura bloqueou subsequentemente a solicitação. |
| MONITOR_CONTINUE_CUSTOMCAT | Originalmente, o Web Proxy bloqueou a transação e exibiu a página Avisar e continuar com base em uma categoria de URL personalizada no grupo de política de acesso configurado para "Avisar". O usuário aceitou o aviso e continuou até o site originalmente solicitado, e nenhum outro mecanismo de varredura bloqueou subsequentemente a solicitação. |
| MONITOR_CONTINUE_WEBCAT | Originalmente, o Web Proxy bloqueou a transação e exibiu a página Avisar e continuar com base em uma categoria de URL predefinida no grupo de política de acesso configurado para "Avisar". O usuário aceitou o aviso e continuou até o site originalmente solicitado, e nenhum outro mecanismo de varredura bloqueou subsequentemente a solicitação. |
| MONITOR_CONTINUE_YTCAT | Originalmente, o Web Proxy bloqueou a transação e exibiu a página Avisar e continuar com base em uma categoria predefinida do YouTube no grupo de Política de acesso configurado para 'Avisar'. O usuário aceitou o aviso e continuou até o site originalmente solicitado, e nenhum outro mecanismo de varredura bloqueou subsequentemente a solicitação. |
| MONITOR_IDS | O Web Proxy verificou a solicitação de carregamento usando uma Política de Segurança de Dados ou uma Política de DLP Externo, mas não bloqueou a solicitação. Ele avaliou a solicitação em relação às Políticas de acesso. |
| MONITOR_SUSPECT_USER_AGENT | O Web Proxy monitorou a transação com base na configuração do Agente de Usuário Suspeito para o grupo de Política de Acesso. |
| MONITOR_WBRS | O Web Proxy monitorou a transação com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Acesso. |
| NO_AUTHORIZATION | O Web Proxy não permitiu que o usuário acessasse o aplicativo porque o usuário já estava autenticado em um território de autenticação, mas não em nenhum território de autenticação configurado na Política de Autenticação de Aplicativo. |
| NO_PASSWORD | Falha na autenticação do usuário. |
| PASSTHRU_ADMIN | O Web Proxy passou pela transação com base em algumas configurações padrão do grupo de Diretiva de Descriptografia. |
| PASSTHRU_ADMIN_EXPIRED_CERT | O Web Proxy passou pela transação, embora o certificado do servidor tenha expirado. |
| PASSTHRU_WEBCAT | O Web Proxy passou pela transação com base nas configurações de filtragem de categoria de URL para o grupo de Política de Descriptografia. |
| PASSTHRU_WBRS | O Web Proxy passou pela transação com base nas configurações do filtro do Web Reputation para o grupo de Diretiva de Descriptografia. |
| REDIRECT_CUSTOMCAT | O Web Proxy redirecionou a transação para uma URL diferente com base em uma categoria de URL personalizada no grupo de Política de Acesso configurado para "Redirecionar". |
| SAAS_AUTH | O Web Proxy permitiu que o usuário acessasse o aplicativo porque o usuário foi autenticado de forma transparente no território de autenticação configurado na Política de Autenticação de Aplicativo. |
| OUTROS | O Web Proxy não concluiu a solicitação devido a um erro, como uma falha de autorização, uma desconexão do servidor ou uma anulação do cliente. |
Valores do veredito da verificação de malware
Um veredito de verificação de malware é um valor atribuído a uma solicitação de URL ou resposta do servidor que determina a probabilidade de que ele contenha malware. Os mecanismos de varredura Webroot, McAfee e Sophos retornam o veredito de varredura de malware ao mecanismo DVS para que o mecanismo DVS possa determinar se o objeto examinado deve ser monitorado ou bloqueado. Cada veredito de verificação de malware corresponde a uma categoria de malware listada na página Políticas de acesso > Reputação e Configurações antimalware quando você edita as configurações de antimalware de uma Política de acesso específica.
Esta lista apresenta os diferentes valores de veredito de verificação de malware e cada categoria de malware correspondente:
| Valor do veredito da verificação de malware |
Categoria de malware |
|---|---|
| - |
não definido |
| 0 |
Desconhecido |
| 1 |
Não verificado |
| 2 |
Timeout |
| 3 |
Erro |
| 4 |
Não verificável |
| 10 |
Spyware genérico |
| 12 |
Objeto Auxiliar de Navegador |
| 13 |
Adware |
| 14 |
Monitor do sistema |
| 18 |
Monitor de sistema comercial |
| 19 |
Discador |
| 20 |
Sequestrador |
| 21 |
URL de phishing |
| 22 |
Trojan Downloader |
| 23 |
Cavalo de Troia |
| 24 |
Phisher de Cavalo de Troia |
| 25 |
Worm |
| 26 |
Arquivo criptografado |
| 27 |
Vírus |
| 33 |
Outro malware |
| 34 |
PUA |
| 35 |
Anulado |
| 36 |
Heurística de Epidemia |
| 37 |
Arquivos mal-intencionados conhecidos e de alto risco |
Informações Relacionadas
- Manual do usuário do AsyncOS 15.2 para Cisco Secure Web Appliance
- Garanta a funcionalidade adequada do grupo HA do Virtual WSA em um ambiente VMware
- Configurar Parâmetro de Desempenho em Logs de Acesso
- Entender o formato do registro de acesso HTTPS no Secure Web Appliance
- Acessar logs do dispositivo da Web seguro
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
29-Apr-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)