...
Исходящее сообщение выглядит следующим образом:
CEF:0|NETAMS|WNAM|1.6|ENDPOINT_EVENT|...
Endpoint rejected|6|
...
app=EAP_PEAP cs1=EAP/AD сотрудники локальные cs3=cl9800-2
...
[WLAB] act=Rejected cs2=FNM Wi-Fi dst=10.241.200.6 cs5=WNAM-09 suser=cisco-wifi-phone2 src=10.241.200.
...
32 cs4=cl9800-2
...
:172.16.130.46 smac=94:83:C4:14:25:96 externalId=06C8F10A00001D774342764C message=OK;
...
94:
...
83:
...
C4:
...
14:
...
25:
...
96;EAP_PEAP;
Где поля имеют следующий значения:
...
| Тип события | Описание события |
|---|---|
| TACACS_EVENT | Событие подсистемы администрирования оборудования: аутентификация доступа, авторизация доступа, авторизация команды |
| AUDIT_EVENT | События подсистемы аудита: авторизация в административном веб-интерфейсе WNAM, изменение конфигурационных объектов |
| ADC_EVENT | Событие модуля взаимодействия со службой каталога: статус коннектора |
| ENDPOINT_EVENT | Событие подсистемы авторизации сетевого доступа: авторизация эндпоинта |
Следующее поле - название события, например "Событие эндпоинта"
Следующее поле - важность (severity)
В зависимости от типа события, далее идет список пар "ключ=значение", описывающих детали события, в соответствии с этой таблицей:
| Параметр | Описание |
|---|---|
| act | Результат авторизации эндпоинта, Authenticated или Rejected |
| app | Метод авторизации, например PAP или EAP_PEAP |
| smac | МАС адрес эндпоинта |
| suser | Identity эндпоинта |
| src | IP адрес эндпоинта |
| externalId | Идентификатор сессии аккаунтинга |
| cs1 | Имя профиля аутентификации |
| cs2 | Имя профиля авторизации |
| cs3 | Имя сервера доступа (NAS) |
| dst | IP адрес сервера доступа (NAS) |
| cs4 | Идентификатор сервера доступа (NAS) |
| cs5 | Название площадки |