Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 12204 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Syslog field layout help?

b1r2s
Hey all, I'm working on building a free app for Splunk utilizing syslog data from UTM.  I've got screen shots if anyone is interested.  I'd like to know if there is anyone that can confirm all of the fields, as I don't see that information documented anywhere.  Things like size (is that bytes?), perc, proto (shouldn't that be 0-7?), id, etc.  

Does a list exist anywhere?


This thread was automatically locked due to age.
  • 0
    Hi, are we talking about the firewall log?

    Barry
  • 0
    I'm looking at 'packetfilter.log' locally (no syslog)...

    date/time hostname ulogProcessID eventID? severity systemName subsystemName name(dropped/logged/...) action fwruleID INinterface OUTinterface srcMAC dstMAC srcIP dstIP protocol length tos prec ttl srcPort dstPort tcpFlags

    Protocol: UDP is 17; not sure why you're only expecting 0-6
    https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

    I'm not sure what IPv6 systems would show

    I believe length is in Bytes, for the individual packet.

    TOS = terms of service flags

    prec (not perc) - I don't know what this is.

    TTL = time to live


    The one I called fwRuleID is the only ID that matters.

    Barry
  • 0
    What Barry said is correct. Let me just add the missing stuff:

    eventID: unique ID for the type of log event. IDs from 2000 to 2021 are used for packetfilter related events.
    severity: always info in packetfilter.log
    systemName: always SecureNet in packetfilter.log
    subsystemName: always packetfilter in packetfilter.log
    fwruleID: number of packetfilter rule, which is either predefined (in the 60000 range) or the rule number used in WebAdmin
    prec: Precedence (bit 0-2 of TOS field in IPv4 header)

    You have to read from left to right: "srcmac" indicates start of layer 2 logging until "srcip" starts layer 3 fields and everything after "ttl" is layer 4. IPv6 looks similar to IPv4. The flag "hl" is IPv6 only and means "IPv6 Hoplimit". The length is in bytes including the header.

    Regards,
    Sebastian
  • 0 in reply to sebokopter
    Thanks for the replies.  This is helpful, the content in the logs is similar to the syslog (remote logging) content, just the syslog stream is near real time.  Thanks for the correction on the protocol.  

    SecureNet fields I'm looking for better definition on are:   Prec=, length=, mark=

    Is length the byte size?

    SecureWeb fields: fullreqtime, cattime, request, size (again, bites?), line

    Is there a list of ID correlations so I could translate numeric ID codes to text values?
  • 0
    b1r2s,

    Have you reviewed KB115634?

    The information is a bit old/incomplete as at least some fields, and log types, have been added.

    What do you have for the significance of each possible value of cached in the web proxy logs?
  • 0
    teched:  I do have that document open (found it after I started the thread) and it was useful in determining some of the fields. As for a human readable translation of the IDs, well, just that, a human readable version makes reporting nicer.

    Scott_Klassen, that link was definitely useful.

    here are a few screen shots of the dashboarding in Splunk





  • 0
    Very cool app.  I'd love to get a copy when you're done.
  • 0
    Thanks!  Im hoping to get it posted to their app portal.  I can demo it if you'd like, feel free to PM me and we can set something up.
  • 0 in reply to b1r2s
    Looks very good!

    Hope I can find it in Splunk apps soon.[;)]