ArcSight CommonEventFormat配置指南

"CEF_White_Paper_20100722.pdf 是一份关于Common Event Format（CEF）的规范文档，由ArcSight公司发布，日期为2010年7月22日，修订版本为16。CEF是日志分析和处理的标准，旨在促进不同安全设备之间的事件数据交换和集成。该文档详细介绍了CEF的配置指南，适用于日志管理和安全监控领域。" CEF（Common Event Format）是一种开放标准，由ArcSight公司创建，目的是标准化不同安全系统之间的事件报告，使得数据能够被统一收集、分析和存储。CEF支持各种安全设备，如防火墙、入侵检测系统、身份验证服务器等，将它们产生的事件信息转化为一种通用格式，便于跨平台的数据交换和分析。 在文档中，可能包含以下关键知识点： 1. **CEF结构**：CEF格式通常包括一个基本事件字段和多个扩展字段。基本事件字段包含事件的核心信息，如时间戳、事件类型、严重性等。扩展字段允许添加额外的自定义信息，以满足特定设备或场景的需求。 2. **Extension Dictionary**：这是CEF文档的一个重要部分，它定义了所有可能的扩展字段及其对应的含义。在2009年7月17日和2010年7月22日的修订中，对这个表格进行了修正，以确保准确性和完整性。 3. **数据转换与集成**：CEF使得不同供应商的安全产品可以相互理解，通过标准化接口实现日志数据的整合，从而提高安全运营的效率和准确性。 4. **知识产权声明**：文档开头提到了ArcSight的商标信息以及版权声明，强调了文档的机密性质，并提供了完整的版权、商标和致谢声明的链接。 5. **示例和用途**：尽管文档中的网络信息（如IP地址和主机名）仅用于示例，但这些例子可能展示了如何实际应用CEF来记录和解析事件，以及如何配置系统来支持CEF格式的日志。 6. **版本历史**：文档提供了修订历史，显示了文档的发展过程，例如2009年5月18日将CEF和扩展字典合并，以及后续的错误修正，这反映了CEF标准的持续改进和完善。 CEF对于网络安全专业人士来说是至关重要的工具，它简化了日志管理，提高了安全事件响应的速度和效果。理解并掌握CEF规范，有助于建立一个高效、全面的安全监控环境。