Firepower eStreamer 集成指南 版本 6.3

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (2) (Record Type (2))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

数据包秒 (Packet Second)

数据包微秒 (Packet Microsecond)

链路类型 (Link Type)

数据包长度 (Packet Length)

数据包数据... (Packet Data...)

设备 ID
(Device ID)

uint32

设备标识号。您可以通过请求版本 3 或版本 4 元数据获取与它们关联的设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID
(Event ID)

uint32

事件标识号。

事件秒 (Event Second)

uint32

事件出现的秒数（从 1970/01/01 起）。

数据包秒 (Packet Second)

uint32

捕获数据包的秒数（从 1970/01/01 起）。

数据包微秒 (Packet Microsecond)

uint32

捕获数据包的微秒（一秒的百万分之一）增量。

链路类型
(Link Type)

uint32

链路层类型。目前，此值始终为 1 （代表以太网层）。

数据包长度 (Packet Length)

uint32

数据包数据中包含的字节数。

数据包数据 (Packet Data)

变量

实际捕获的数据包数据（报头和负载）。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (4)（Record Type (4))

记录长度 (Record Length)

优先级 ID (Priority ID)

名称长度 (Name Length)

优先级名称... (Priority Name...)

优先级 ID (Priority ID)

uint32

表示优先级标识号。

名称长度 (Name Length)

uint16

优先级名称中包含的字节数。

优先级名称 (Priority Name)

变量

与优先级 ID 对应的优先级名称
（1 - 高，2 - 中等，3 - 低）。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (400) (Record Type (400))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

块类型 (60) (Block Type (60))

块长度 (Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

事件微秒 (Event Microsecond)

规则 ID（签名 ID）(Rule ID (Signature ID))

生成器 ID (Generator ID)

规则修订 (Rule Revision)

分类 ID (Classification ID)

优先级 ID (Priority ID)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address) (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

源端口或 ICMP 类型 (Source Port or ICMP Type)

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

IP 协议 ID
(IP Protocol ID)

影响标志
(Impact Flags)

影响 (Impact)

已阻止 (Blocked)

MPLS 标签 (MPLS Label)

VLAN ID

Pad

策略 UUID (Policy UUID)

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

策略 UUID (Policy UUID)（续）

用户 ID (User ID)

Web 应用 ID (Web Application ID)

客户端应用 ID (Client Application ID)

应用协议 ID (Application Protocol ID)

访问控制规则 ID (Access Control Rule ID)

访问控制策略 UUID (Access Control Policy UUID)

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

访问控制策略 UUID (Access Control Policy UUID)（续）

接口入口 UUID (Interface Ingress UUID)

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口入口 UUID (Interface Ingress UUID)（续）

接口出口 UUID (Interface Egress UUID)

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

接口出口 UUID (Interface Egress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区入口 UUID (Security Zone Ingress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

安全区出口 UUID (Security Zone Egress UUID)（续）

连接时间戳 (Connection Timestamp)

连接实例 ID (Connection Instance ID)

连接计数器 (Connection Counter)

源国家/地区 (Source Country)

目标国家/地区 (Destination Country)

IOC 编号 (IOC Number)

安全情景 (Security Context)

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

安全情景 (Security Context)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 证书指纹 (SSL Certificate Fingerprint)（续）

SSL 实际操作 (SSL Actual Action)

SSL 流状态 (SSL Flow Status)

网络分析策略 UUID (Network Analysis Policy UUID)

网络分析策略 UUID (Network Analysis Policy UUID)（续）

网络分析策略 UUID (Network Analysis Policy UUID)（续）

网络分析策略 UUID (Network Analysis Policy UUID)（续）

网络分析策略 UUID (Network Analysis Policy UUID)（续）

HTTP 响应 (HTTP Response)

HTTP 响应 (HTTP Response)（续）

块类型
(Block Type)

unint32

启动入侵事件数据块。值始终为 60。

块长度
(Block Length)

unint32

入侵事件数据块中的字节总数，包括入侵事件块类型和长度字段的八个字节，加上随后的数据的字节数。

设备 ID
(Device ID)

unit32

包含检测受管设备的标识号。您可以通过请求版本 3 或 4 元数据获取受管设备名称。有关详细信息，请参阅受管设备记录元数据。

事件 ID (Event ID)

uint32

事件标识号。

事件秒 (Event Second)

uint32

事件检测的 UNIX 时间戳（自 1970/01/01 起经过的秒数）

事件微秒 (Event Microsecond)

uint32

事件检测的时间戳微秒（一秒的百万分之一）增量。

规则 ID（签名 ID）(Rule ID (Signature ID))

uint32

与事件对应的规则标识号。

生成器 ID (Generator ID)

uint32

生成事件的 Firepower 系统预处理器的标识号。

规则修订 (Rule Revision)

uint32

规则版本号。

分类 ID (Classification ID)

uint32

事件分类消息的标识号。

优先级 ID (Priority ID)

uint32

与事件相关的优先级的标识号。

源 IP 地址 (Source IP Address)

uint8[16]

事件中使用的源 IPv4 或 IPv6 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

事件中使用的目标 IPv4 或 IPv6 地址。

源端口或 ICMP 类型 (Source Port or ICMP Type)

uint16

如果事件协议类型是 TCP 或 UDP，则为源端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 类型。

目标端口或 ICMP 代码 (Destination Port or ICMP Code)

uint16

如果事件协议类型是 TCP 或 UDP，则为目标端口号，或者如果事件是由 ICMP 流量引起的，则为 ICMP 代码。

IP 协议 ID
(IP Protocol ID)

uint8

IANA 指定的协议号。例如：

• 0 - IP
• 1 - ICMP
• 6 - TCP
• 17 - UDP

影响标志
(Impact Flags)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。
  （仅限版本 5.0+）

以下影响级别值映射到管理中心上的特定优先级中。 X 表示值可以为 0 或 1：

• 灰色（0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX （仅限版本 5.0+）
• 橙色（2，可能易受攻击）： 00X0011X
• 黄色（3，当前不易受攻击）： 00X0001X
• 蓝色（4，未知目标）： 00X00001

影响 (Impact)

uint8

事件的影响标志值。其值如下：

• 1 - 红色（易受攻击）
• 2 - 橙色（可能易受攻击）
• 3 - 黄色（目前不易受攻击）
• 4 - 蓝色（未知目标）
• 5 - 灰色（未知影响）

已阻止 (Blocked)

uint8

表示事件是否已被阻止的值。

• 0 - 未被阻止
• 1 - 已阻止
• 2 - 将被阻止（但配置不允许）

MPLS 标签 (MPLS Label)

uint32

MPLS 标签。

VLAN ID

uint16

表示数据包起源的 VLAN 的 ID。

Pad

uint16

已保留供将来使用。

策略 UUID
(Policy UUID)

uint8[16]

充当入侵策略的唯一标识符的策略 ID 号码。

用户 ID (User ID)

uint32

用户的内部标识号（如适用）。

Web 应用 ID (Web Application ID)

uint32

Web 应用（如适用）的内部标别号。

客户端应用 ID (Client Application ID)

uint32

客户端应用（如适用）的内部标别号。

应用协议 ID (Application Protocol ID)

uint32

应用协议的内部标识号（如适用）。

访问控制规则 ID (Access Control Rule ID)

uint32

充当访问控制规则的唯一标识符的规则 ID 号码。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当访问控制策略的唯一标识符的策略 ID 号码。

接口入口 UUID (Interface Ingress UUID)

uint8[16]

充当入口接口的唯一标识符的接口 ID 号码。

接口出口 UUID (Interface Egress UUID)

uint8[16]

充当出口接口的唯一标识符的接口 ID 号码。

安全区入口 UUID (Security Zone Ingress UUID)

uint8[16]

充当入口安全区的唯一标识符的区域 ID 号码。

安全区出口 UUID (Security Zone Egress UUID)

uint8[16]

充当出口安全区的唯一标识符的区域 ID 号码。

连接时间戳 (Connection Timestamp)

uint32

与入侵事件关联的连接事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

连接实例 ID (Connection Instance ID)

uint16

生成连接事件的受管设备上 Snort 实例的数字 ID。

连接计数器 (Connection Counter)

uint16

用于区别同一秒发生的连接事件的值。

源国家/地区 (Source Country)

uint16

源主机的国家/地区代码。

目标国家/地区 (Destination Country)

uint 16

目标主机的国家/地区代码。

IOC 编号 (IOC Number)

uint16

与此事件相关的威胁的 ID 号码。

安全情景 (Security Context)

uint8[16]

流量通过的安全情景（虚拟防火墙）的 ID 号码。请注意，系统仅对多情景模式下的 ASA FirePOWER 设备填充此字段。

SSL 证书指纹 (SSL Certificate Fingerprint)

uint8[20]

SSL 服务器证书的 SHA1 散列。

SSL 实际操作 (SSL Actual Action)

uint16

根据 SSL 规则对连接执行的操作。由于规则中指定的操作可能无法执行，此操作可能与预期操作不同。可能的值包括：

• 0 -‘未知’
• 1 -‘请勿解密’
• 2 -‘阻止’
• 3 -‘阻止并重置’
• 4 -‘解密（已知密钥）’
• 5 -‘解密（更换秘钥）’
• 6 -‘解密（放弃）’

SSL 流状态
(SSL Flow Status)

uint16

SSL 流量的状态。这些值说明所执行的操作或所显示的错误消息背后的原因。可能的值包括：

• 0 -‘未知’
• 1 -‘不匹配’
• 2 -‘成功’
• 3 -‘非缓存会话’
• 4 -‘未知密码套件’
• 5 -‘不受支持的密码套件’
• 6 -‘不受支持的 SSL 版本’
• 7 -‘使用的 SSL 压缩’
• 8 -‘在被动模式中无法解密的会话’
• 9 -‘握手错误’
• 10 -‘解密错误’
• 11 -‘待处理服务器名称分类查找’
• 12 -‘待处理通用名称分类查找’
• 13 -‘内部错误’
• 14 -‘网络参数不可用’
• 15 -‘服务器证书处理无效’
• 16 -‘服务器证书指纹不可用’
• 17 -‘无法缓存持有者 DN’
• 18 -‘无法缓存颁发者 DN’
• 19 -‘未知 SSL 版本’
• 20 -‘外部证书列表不可用’
• 21 -‘外部证书指纹不可用’
• 22 -‘内部证书列表无效’
• 23 -‘内部证书列表不可用’
• 24 -‘内部证书不可用’
• 25 -‘内部证书指纹不可用’
• 26 -‘服务器证书验证不可用’
• 27 -‘服务器证书验证失败’
• 28 -‘操作无效’

网络分析策略 UUID (Network Analysis Policy UUID)

uint8[16]

创建入侵事件的网络分析策略的 UUID。

HTTP 响应 (HTTP Response)

uint32

HTTP 请求的响应代码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (9) (Record Type (9))

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

入侵影响警报块类型 (153)（Intrusion Impact Alert Block Type (153))

入侵影响警报块长度 (Intrusion Impact Alert Block Length)

事件 ID (Event ID)

设备 ID (Device ID)

事件秒 (Event Second)

影响 (Impact)

源 IP 地址 (Source IP Address)

源 IP 地址 (Source IP Address) (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

源 IP 地址 (Source IP Address)（续）

目标 IP 地址 (Destination IP Address)

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

目标 IP 地址 (Destination IP Address)（续）

影响
说明

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

说明...(Description...)

入侵影响警报块类型 (Intrusion Impact Alert Block Type)

uint32

表示后面是入侵影响警报数据块。此字段的值始终为 153 。
请参阅入侵事件和元数据记录类型。

入侵影响警报块长度 (Intrusion Impact Alert Block Length)

uint32

表示入侵影响警报数据块的长度，包括后面的所有数据以及入侵影响警报块类型和长度的 8 个字节。

事件 ID (Event ID)

uint32

表示事件标识号。

设备 ID
(Device ID)

uint32

表示受管设备标识号。

事件秒
(Event Second)

uint32

表示检测到事件的秒数（从 1970/01/01 起）。

影响 (Impact)

bits[8]

事件的影响标志值。低阶八位表示影响级别。值包括：

• 0x01 （位 0）- 源或目标主机位于系统监控的网络中。
• 0x02 （位 1）- 源或目标主机存在于网络映射中。
• 0x04 （位 2）- 源或目标主机在事件中的端口上运行服务器（如果为 TCP 或 UDP）或使 用IP协议。
• 0x08 （位 3）- 有漏洞映射到事件中的源或目标主机的操作系统。
• 0x10 （位 4）- 有漏洞映射到事件中检测到的服务器。
• 0x20 （位 5）- 事件导致受管设备丢弃会话（仅当设备在内联、交换或路由式部署中运行时才使用）。对应于 Firepower 系统 Web 界面中的受阻状态。
• 0x40 （位 6）- 生成了此事件的规则包含将影响标志设置为红色的规则元数据。源或目标主机可能受到病毒、特洛伊木马或其他恶意软件片段的危害。
• 0x80 （位 7）- 有漏洞映射到事件中检测到的客户端。
  （仅限版本 5.0+）

以下影响级别值映射到管理中心上的特定优先级中。 X 表示值可以为 0 或 1：

• 灰色（0，未知）： 00X00000
• 红色（1，易受攻击）： XXXX1XXX、XXX1XXXX、X1XXXXXX、1XXXXXXX （仅限版本 5.0+）
• 橙色（2，可能易受攻击）： 00X0011X
• 黄色（3，当前不易受攻击）： 00X0001X
• 蓝色（4，未知目标）： 00X00001

源 IP 地址 (Source IP Address)

uint8[16]

与影响事件相关的主机的 IP 地址。可能包含 IPv4 地址或 IPv6 地址。有关详细信息，请参阅IP 地址。

目标 IP 地址 (Destination IP Address)

uint8[16]

与影响事件相关的目标 IP 地址的 IP 地址（如适用）。可能包含 IPv4 地址或 IPv6 地址。有关详细信息，请参阅IP 地址。如果无目标 IP 地址，则此值为 0 。

字符串块类型 (String Block Type)

uint32

启动包含影响名称的字符串数据块。此值始终设置为 0 。有关字符串块的详细信息，请参阅字符串数据块。

字符串块长度 (String Block Length)

uint32

事件说明字符串块中的字节数。这包括字符串块类型的四个字节，字符串块长度的四个字节以及说明中的字节数。

说明 (Description)

字符串

影响事件的说明。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (62) (Record Type (62))

记录长度 (Record Length)

用户 ID (User ID)

名称长度 (Name Length)

名称...(Name...)

用户 ID (User ID)

uint32

用户 ID 号码。 此字段是此记录的唯一密钥。

名称长度
(Name Length)

uint32

用户名称中包含的字节数。

名称 (Name)

字符串

用户的名称。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (66) (Record Type (66))

记录长度 (Record Length)

签名

密钥

生成器 ID (Generator ID)

规则 ID (Rule ID)

修订号 (Revision Number)

呈现的签名 ID (Rendered Signature ID)

消息长度 (Message Length)

规则 UUID (Rule UUID)

规则

UUID

规则 UUID (Rule UUID)（续）

规则 UUID (Rule UUID)（续）

规则 UUID (Rule UUID)（续）

规则 UUID (Rule UUID)（续）

规则修订 UUID (Rule Revision UUID)

规则修订

UUID

规则修订 UUID (Rule Revision UUID)（续）

规则修订 UUID (Rule Revision UUID)（续）

规则修订 UUID (Rule Revision UUID)（续）

规则修订 UUID (Rule Revision UUID)（续）

消息... (Message...)

生成器 ID
(Generator ID)

uint32

生成器标识号。

规则 ID (Rule ID)

uint32

本地计算机的规则标别号。

规则修订
(Rule Revision)

uint32

规则修订号。目前，所有规则消息的此值均设置为 0 。

呈现的签名 ID (Rendered Signature ID)

uint32

Firepower 系统界面呈现的规则标识号。

消息长度 (Message Length)

uint16

规则文本中包含的字节数。

UUID

uint8[16]

充当规则的唯一标识符的规则 ID 号码。

修订 UUID (Revision UUID)

uint8[16]

充当修订的唯一标识符的规则修订 ID 号码。

消息 (Message)

变量

触发事件的规则消息。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (67) (Record Type (67))

记录长度 (Record Length)

分类 ID (Classification ID)

名称长度 (Name Length)

名称... (Name...)

名称 (Name)（续）...

说明长度 (Description Length)

说明... (Description...)

说明 (Description)（续）...

分类 UUID (Classification UUID)

分类 UUID (Classification UUID)

分类 UUID (Classification UUID)（续）

分类 UUID (Classification UUID)（续）

分类 UUID (Classification UUID)（续）

分类

修订 UUID (Classification Revision UUID)

分类修订 UUID (Classification Revision UUID)

分类修订 UUID (Classification Revision UUID)（续）

分类修订 UUID (Classification Revision UUID)（续）

分类修订 UUID (Classification Revision UUID)（续）

分类 ID (Classification ID)

uint32

分类 ID 号码。

名称长度
(Name Length)

uint16

名称中包含的字节数。

名称 (Name)

字符串

分类名称。

说明长度 (Description Length)

uint16

说明中包含的字节数。

说明 (Description)

字符串

分类说明。

UUID

uint8[16]

充当分类的唯一标识符的分类 ID 号码。

修订 UUID (Classification Revision UUID)

uint8[16]

充当分类修订的唯一标识符的分类修订 ID 号码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (69) (Record Type (69))

记录长度 (Record Length)

关联策略 ID (Correlation Policy ID)

名称长度 (Name Length)

名称... (Name...)

说明长度 (Description Length)

说明... (Description...)

关联策略 ID (Correlation Policy ID)

关联策略 UUID (Correlation Policy UUID)

关联策略 UUID (Correlation Policy UUID)（续）

关联策略 UUID (Correlation Policy UUID)（续）

关联策略 UUID (Correlation Policy UUID)（续）

关联策略

修订 UUID (Correlation Policy Revision UUID)

关联策略修订 UUID (Correlation Policy Revision UUID)

关联策略修订 UUID (Correlation Policy Revision UUID)（续）

关联策略修订 UUID (Correlation Policy Revision UUID)（续）

关联策略修订 UUID (Correlation Policy Revision UUID)（续）

关联策略 ID (Correlation Policy ID)

uint32

关联策略 ID 号码。 此字段是此记录的唯一密钥。

名称长度(Name Length)

uint16

关联策略名称中包含的字节数。

名称 (Name)

字符串

触发事件的关联策略的名称。

说明长度
(Description Length)

uint16

关联策略说明中包含的字节数。

说明 (Description)

字符串

触发事件的关联策略的说明。

UUID

uint8[16]

充当关联策略的唯一标识符的关联策略 ID 号码。

修订 UUID
(Revision UUID)

uint8[16]

充当关联策略的唯一标识符的关联策略修订 ID 号码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (70) (Record Type (70))

记录长度 (Record Length)

关联规则 ID (Correlation Rule ID)

名称长度 (Name Length)

名称... (Name...)

名称... (Name...)

说明长度 (Description Length)

说明... (Description...)

事件类型长度 (Event Type Length)

事件类型... (Event Type...)

事件类型... (Event Type...)

关联规则 UUID (Correlation Rule UUID)

关联规则 ID (Correlation Rule ID)

关联规则 UUID (Correlation Rule UUID)（续）

关联规则 UUID (Correlation Rule UUID)（续）

关联规则 UUID (Correlation Rule UUID)（续）

关联规则 UUID (Correlation Rule UUID)（续）

关联修订 UUID (Correlation Revision UUID)

关联规则

修订 UUID (Correlation Rule Revision UUID)

关联规则修订 UUID (Correlation Rule Revision UUID)（续）

关联规则修订 UUID (Correlation Rule Revision UUID)（续）

关联规则修订 UUID (Correlation Rule Revision UUID)（续）

关联规则修订 UUID (Correlation Rule Revision UUID)（续）。

允许列表规则 UUID (Allow List Rule UUID)

允许列表
规则

UUID

允许列表规则 UUID (Allow List Rule UUID)（续）

允许列表规则 UUID (Allow List Rule UUID)（续）

允许列表规则 UUID (Allow List Rule UUID)（续）

允许列表规则 UUID (Allow List Rule UUID)（续）

关联规则 ID (Correlation Rule ID)

uint32

关联规则 ID 号码。 此字段是此记录的唯一密钥。

名称长度
(Name Length)

uint16

关联规则名称中包含的字节数。

名称 (Name)

字符串

触发事件的关联规则的名称。

说明长度 (Description Length)

uint16

关联规则说明中包含的字节数。

说明 (Description)

字符串

触发事件的关联规则的说明。

事件类型长度 (Event Type Length)

uint16

事件类型说明中包含的字节数。

事件类型

字符串

触发关联规则的事件的说明。

UUID

uint8[16]

充当关联规则的唯一标识符的关联规则 ID 号码。

修订 UUID (Correlation Rule UUID)

uint8[16]

充当关联规则修订的唯一标识符的关联规则修订 ID 号码。

允许列表规则 UUID (Allow List Rule UUID)

uint8[16]

充当作为允许列表违规结果发送的事件的唯一标识符的关联 ID 号码。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (110)（Record Type (110))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

事件额外数据数据块类型 (4) (Event Extra Data Data Block Type (4))

事件额外数据数据块长度 (Event Extra Data Data Block Length)

设备 ID (Device ID)

事件 ID (Event ID)

事件秒 (Event Second)

类型 (Type)

BLOB 块类型 (1) (BLOB Block Type (1))

BLOB 长度 (BLOB Length)

事件额外数据 (Event Extra Data)

事件额外数据数据块类型 (Event Extra Data Data Block Type)

uint32

启动事件额外数据数据块。值始终为 4 。块类型为系列 2 数据块；有关详细信息，请参阅了解系列 2 数据块。

事件额外数据数据块长度 (Event Extra Data Data Block Length)

uint32

数据块的长度。包括数据字节数加上两个数据块报头字段中的 8 个字节。

设备 ID (Device ID)

uint32

受管设备标识号。

事件 ID (Event ID)

uint32

事件标识号。

事件秒 (Event Second)

uint32

事件的 UNIX 时间戳（自 1970/01/01 起经过的秒数）。

类型 (Type)

uint32

额外数据类型的标识符；例如：

• 2 - XFF 客户端 (IPv6)
• 9 - HTTP URI

BLOB 块类型 (BLOB Block Type)

uint32

启动包含额外数据的 BLOB 数据块。值始终为 1 。块类型为系列 2 数据块。

长度 (Length)

uint32

BLOB 数据块中的字节总数。

额外数据 (Extra Data)

变量

额外数据的内容。数据类型在“类型”(Type) 字段中
指示。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (111) (Record Type (111))

记录长度 (Record Length)

eStreamer 服务器时间戳 (eStreamer Server Timestamp)
（在事件中，只有当位 23 已设置时）

留作未来使用 (Reserved for Future Use)（在事件中，只有当位 23 已设置时）

事件额外数据元数据数据块类型 (5) (Event Extra Data Metadata Data Block Type (5))

数据块长度 (Data Block Length)

类型 (Type)

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

名称... (Name...)

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

编码 (Encoding)

事件额外数据元数据数据块类型 (Event Extra Data Metadata Data Block Type)

uint32

启动事件额外数据元数据数据块。值始终为 5 。块类型为系列 2 数据块。

事件额外数据元数据数据块长度 (Event Extra Data Metadata Data Block Length)

uint32

数据块的长度。包括数据字节数加上两个数据块报头字段中的 8 个字节。

类型 (Type)

uint32

额外数据的类型。与关联事件额外数据记录中的类型字段匹配。 此字段是此记录的唯一密钥。

字符串块类型
(String Block Type)

uint32

启动客户端应用版本的字符串数据块。值始终为 0 。块类型为系列 2 数据块。

字符串块长度
(String Block Length)

uint32

客户端应用版本字符串数据块中的字节数，包括字符串块类型和长度字段的八个字节，加上版本字符串中的字节数。

名称 (Name)

字符串

事件额外数据类型的名称，例如 XFF 客户端 (IPv6) 和 HTTP URI。

字符串块类型 (String Block Type)

uint32

启动客户端应用 URL 的字符串数据块。值始终为 0 。块类型为系列 2 数据块。

字符串块长度 (String Block Length)

uint32

客户端应用 URL 字符串数据块中的字节数，包括字符串块类型和长度字段的八个字节，加上 URL 字符串中的字节数。

编码 (Encoding)

字符串

用于事件额外数据的编码，如 IPv4、IPv6 或字符串。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (115) (Record Type (115))

记录长度 (Record Length)

安全区名称数据块 (14) (Security Zone Name Data Block (14))

安全区名称数据块长度 (Security Zone Name Data Block Length)

安全区 UUID (Security Zone UUID)

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

安全区名称... (Security Zone Name...)

安全区名称数据块类型 (Security Zone Name Data Block Type)

uint32

启动安全区名称数据块。值始终为 14 。块类型为系列 2 数据块。

安全区名称数据块长度 (Security Zone Name Data Block Length)

uint32

数据块的长度。包括数据字节数加上两个数据块报头字段中的 8 个字节。

安全区 UUID (Security Zone UUID)

uint8[16]

与连接事件相关的安全区的唯一标识符。 此字段是此记录的唯一密钥。

字符串块类型 (String Block Type)

uint32

启动包含安全区名称的字符串数据块。值始终为 0 。

字符串块长度 (String Block Length)

uint32

安全区名称字符串数据块中的字节数，包括块类型和报头字段的八个字节，加上名称中的字节数。

安全区名称 (Security Zone Name)

字符串

安全区名称。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (116) (Record Type (116))

记录长度 (Record Length)

接口名称数据块 (14) (Interface Name Data Block (14))

接口名称数据块长度 (Interface Name Data Block Length)

接口 UUID (Interface UUID)

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

接口名称... (Interface Name...)

接口名称数据块类型 (Interface Name Data Block Type)

uint32

启动接口名称数据块。值始终为 14 。块类型为系列 2 数据块。

接口名称数据块长度 (Interface Name Data Block Length)

uint32

数据块的长度。包括数据字节数加上两个数据块报头字段中的 8 个字节。

接口 UUID (Interface UUID)

uint8[16]

充当与连接事件关联的接口的唯一标识符的接口 ID 号码。 此字段是此记录的唯一密钥。

字符串块类型 (String Block Type)

uint32

启动包含接口名字的字符串数据块。值始终为 0 。

字符串块长度 (String Block Length)

uint32

接口名称字符串数据块中的字节数，包括块类型和报头字段的八个字节，加上接口名称中的字节数。

接口名称
(Interface Name)

字符串

接口名称。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (117) (Record Type (117))

记录长度 (Record Length)

访问控制策略名称数据块 (14) (Access Control Policy Name Data Block (14))

访问控制策略名称数据块长度 (Access Control Policy Name Data Block Length)

访问控制策略 UUID (Access Control Policy UUID)

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

访问控制策略名称... (Access Control Policy Name...)

访问控制策略名称数据块类型 (Access Control Policy Name Data Block Type)

uint32

启动访问控制策略名称数据块。值始终为 14 。块类型为系列 2 数据块。

访问控制策略名称数据块长度 (Access Control Policy Name Data Block Length)

uint32

数据块的长度。包括数据字节数加上两个数据块报头字段中的 8 个字节。

访问控制策略 UUID (Access Control Policy UUID)

uint8[16]

充当与入侵事件或连接事件关联的访问控制策略的唯一标识符的 ID 号码。此字段是此记录的唯一密钥。

字符串块类型
(String Block Type)

uint32

启动包含访问控制策略的名称的字符串数据块。值始终为 0 。

字符串块长度
(String Block Length)

uint32

访问控制策略名称字符串数据块中的字节数，包括块类型和报头字段的八个字节，加上访问控制策略名称中的字节数。

访问控制策略名称 (Access Control Policy Name)

字符串

访问控制策略名称。

报头版本 (1) (Header Version (1))

消息类型 (4) (Message Type (4))

消息长度 (Message Length)

Netmap ID

记录类型 (119) (Record Type (119))

记录长度 (Record Length)

访问控制规则 ID 数据块 (15) (Access Control Rule ID Data Block (15))

访问控制规则 ID 数据块长度 (Access Control Rule ID Data Block Length)

AC 规则

UUID

访问规则策略 UUID (Access Rule Policy UUID)

访问控制规则 UUID (Access Control Rule UUID)（续）

访问控制规则 UUID (Access Control Rule UUID)（续）

访问控制规则 UUID (Access Control Rule UUID)（续）

访问控制规则 ID (Access Control Rule ID)

字符串块类型 (0) (String Block Type (0))

字符串块长度 (String Block Length)

访问控制规则名称... (Access Control Rule Name...)

访问控制规则 ID 数据块类型 (Access Control Rule ID Data Block Type)

uint32

启动访问控制规则 ID 数据块。值始终为 15 。块类型为系列 2 数据块。

访问控制规则 ID 数据块长度 (Access Control Rule ID Data Block Length)

uint32

数据块的长度。包括数据字节数加上两个数据块报头字段中的 8 个字节。

访问控制规则 UUID (Access Control Rule UUID)

uint8[16]

访问控制规则的 UUID。此字段与访问控制规则 ID 一起是此记录的唯一密钥。

访问控制规则 ID (Access Control Rule ID)

uint32

充当与连接事件相关的访问控制策略中的规则的内部标识符。 此字段与访问控制规则 UUID 一起是此记录的唯一密钥。

字符串块类型 (String Block Type)

uint32

启动包含访问控制规则的名称的字符串数据块。值始终为 0 。

字符串块长度 (String Block Length)

uint32

字符串数据块中的字节数，包括块类型和报头字段的八个字节，加上规则名称中的字节数。

访问控制规则名称 (Access Control Rule Name)

字符串

访问控制规则名称。