Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 12544 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Syslog field layout help?

b1r2s
Hey all, I'm working on building a free app for Splunk utilizing syslog data from UTM.  I've got screen shots if anyone is interested.  I'd like to know if there is anyone that can confirm all of the fields, as I don't see that information documented anywhere.  Things like size (is that bytes?), perc, proto (shouldn't that be 0-7?), id, etc.  

Does a list exist anywhere?


This thread was automatically locked due to age.
Parents
  • 0
    What Barry said is correct. Let me just add the missing stuff:

    eventID: unique ID for the type of log event. IDs from 2000 to 2021 are used for packetfilter related events.
    severity: always info in packetfilter.log
    systemName: always SecureNet in packetfilter.log
    subsystemName: always packetfilter in packetfilter.log
    fwruleID: number of packetfilter rule, which is either predefined (in the 60000 range) or the rule number used in WebAdmin
    prec: Precedence (bit 0-2 of TOS field in IPv4 header)

    You have to read from left to right: "srcmac" indicates start of layer 2 logging until "srcip" starts layer 3 fields and everything after "ttl" is layer 4. IPv6 looks similar to IPv4. The flag "hl" is IPv6 only and means "IPv6 Hoplimit". The length is in bytes including the header.

    Regards,
    Sebastian
  • 0 in reply to sebokopter
    Thanks for the replies.  This is helpful, the content in the logs is similar to the syslog (remote logging) content, just the syslog stream is near real time.  Thanks for the correction on the protocol.  

    SecureNet fields I'm looking for better definition on are:   Prec=, length=, mark=

    Is length the byte size?

    SecureWeb fields: fullreqtime, cattime, request, size (again, bites?), line

    Is there a list of ID correlations so I could translate numeric ID codes to text values?
Reply
  • 0 in reply to sebokopter
    Thanks for the replies.  This is helpful, the content in the logs is similar to the syslog (remote logging) content, just the syslog stream is near real time.  Thanks for the correction on the protocol.  

    SecureNet fields I'm looking for better definition on are:   Prec=, length=, mark=

    Is length the byte size?

    SecureWeb fields: fullreqtime, cattime, request, size (again, bites?), line

    Is there a list of ID correlations so I could translate numeric ID codes to text values?
Children
No Data
Unfiltered HTML