我是SIEM系统的新手,目前陷入了一个我无法在网上找到答案的愚蠢问题,所以请帮帮忙。
所以我试图创建一个CEF类型的条目。根据标准,以下扩展是否可以接受? 我有这个 -
cs3Label=infoMap
cs3=[{key1,key2},{key3,key4}]
我担心的是
[{...,...} ,{...,...}]
允许使用提供的字符串扩展名吗?
答案 0 :(得分:0)
我将此用作CEF格式
CEF:0 | MuCompany | MyProduct | MyVersion | FileName% dname =%dst =%dpt =% prot =%src =%spt =%suser =%< = userName> xAuthenticatedUser =%requestMethod =%
%< >被实际数据取代。在CEF标题
之后,键/值对由=和每个集之间的空格分隔