...
Исходящее сообщение выглядит следующим образом:
CEF:0|NETAMS|WNAM|1.6|ENDPOINT_EVENT|
...
Endpoint rejected|6|
...
app=EAP_PEAP cs1=EAP/AD сотрудники локальные cs3=cl9800-2
...
[WLAB] act=Rejected cs2=FNM Wi-Fi dst=10.241.200.6 cs5=WNAM-09 suser=cisco-wifi-phone2 src=10.241.200.
...
32 cs4=cl9800-2
...
:172.16.130.46 smac=94:83:C4:14:25:96 externalId=06C8F10A00001D774342764C message=OK;
...
94:
...
83:
...
C4:
...
14:
...
25:
...
96;EAP_PEAP;
Где поля имеют следующий значения:
...
Тип события | Описание события |
---|---|
TACACS_EVENT | Событие подсистемы администрирования оборудования: аутентификация доступа, авторизация доступа, авторизация команды |
AUDIT_EVENT | События подсистемы аудита: авторизация в административном веб-интерфейсе WNAM, изменение конфигурационных объектов |
ADC_EVENT | Событие модуля взаимодействия со службой каталога: статус коннектора |
ENDPOINT_EVENT | Событие подсистемы авторизации сетевого доступа: авторизация эндпоинта |
Следующее поле - название события, например "Событие эндпоинта"
Следующее поле - важность (severity)
В зависимости от типа события, далее идет список пар "ключ=значение", описывающих детали события, в соответствии с этой таблицей:
Параметр | Описание |
---|---|
act | Результат авторизации эндпоинта, Authenticated или Rejected |
app | Метод авторизации, например PAP или EAP_PEAP |
smac | МАС адрес эндпоинта |
suser | Identity эндпоинта |
src | IP адрес эндпоинта |
externalId | Идентификатор сессии аккаунтинга |
cs1 | Имя профиля аутентификации |
cs2 | Имя профиля авторизации |
cs3 | Имя сервера доступа (NAS) |
dst | IP адрес сервера доступа (NAS) |
cs4 | Идентификатор сервера доступа (NAS) |
cs5 | Название площадки |