Открыть сервис

Log Event Extended Format

Log Event Extended Format (LEEF) — это открытый текстовый формат представления событий журналирования (логов), разработанный компанией IBM для унификации передачи данных о событиях безопасности между различными системами и устройствами. Формат основан на парах «ключ=значение» и предназначен для интеграции с системами управления информацией и событиями безопасности (SIEM), в частности с платформой IBM QRadar.

История и предпосылки создания

Формат LEEF был создан компанией IBM в середине 2000-х годов в рамках развития платформы QRadar (приобретена IBM в 2011 году). Основной целью разработки было преодоление проблемы несовместимости форматов журналов от разных производителей. До появления LEEF администраторы безопасности сталкивались с необходимостью написания индивидуальных парсеров для каждого источника логов — от межсетевых экранов и маршрутизаторов до серверов приложений и операционных систем.

LEEF стал одним из нескольких конкурирующих форматов, наряду с Common Event Format (CEF) от компании ArcSight (ныне подразделение Micro Focus) и Syslog в различных расширениях. IBM продвигала LEEF как стандарт для устройств и приложений, которые должны передавать события в QRadar, хотя формат может быть использован и с другими SIEM-системами при наличии соответствующей поддержки.

Структура формата

LEEF-сообщение представляет собой текстовую строку, состоящую из двух основных частей: заголовка и тела, разделённых символом табуляции (\t). Заголовок содержит метаданные о событии, а тело — переменный набор полей.

Заголовок

Заголовок LEEF имеет фиксированную структуру и включает следующие обязательные поля, разделённые символом вертикальной черты (|):

  1. LEEF:версия — указывает версию формата (например, LEEF:1.0 или LEEF:2.0).
  2. vendor — наименование производителя устройства или программного обеспечения, сгенерировавшего событие (например, Microsoft, Cisco, Apache).
  3. product — наименование продукта (например, Windows, ASA, HTTP Server).
  4. version — версия продукта.
  5. eventIDуникальный идентификатор события в системе-источнике.
  6. name — краткое описание события (например, Login Failure, Firewall Deny).
  7. severity — уровень критичности события, обычно целое число от 1 до 10, где 1 — наименьшая критичность, 10 — наибольшая.

Пример заголовка: LEEF:1.0|Microsoft|Windows|10.0.17763|4625|Logon Failure|5

Тело сообщения

Тело LEEF-сообщения следует после заголовка и отделяется от него символом табуляции. Тело состоит из пар «ключ=значение», разделённых символом табуляции. Ключи и значения могут содержать любые символы, но для предотвращения конфликтов с разделителями рекомендуется экранирование специальных символов (например, обратная косая черта перед табуляцией, знаком равенства или вертикальной чертой в значении).

Стандарт LEEF не определяет фиксированного набора ключей, однако IBM рекомендует использовать следующие общие поля:

  • srcIP-адрес источника.
  • dst — IP-адрес назначения.
  • srcPort — порт источника.
  • dstPort — порт назначения.
  • proto — протокол (например, TCP, UDP).
  • user — имя пользователя.
  • msg — текстовое описание события.
  • devTime — время события в формате, отличном от времени получения лога.
  • cat — категория события.

Полный пример LEEF-сообщения:

`` LEEF:1.0|Cisco|ASA|9.8|106023|Deny TCP|5 src=192.168.1.10 dst=10.0.0.1 srcPort=34567 dstPort=443 proto=tcp msg=Denied TCP access from 192.168.1.10 to 10.0.0.1:443 ``

Применение

Интеграция с SIEM-системами

Основное применение LEEF — передача событий от устройств и приложений в SIEM-системы, в первую очередь в IBM QRadar. Многие производители сетевого оборудования, систем защиты информации и серверного программного обеспечения включают в свои продукты поддержку отправки логов в формате LEEF. Это позволяет администраторам безопасности получать структурированные данные без необходимости настройки сложных парсеров.

Устройства и программное обеспечение

Формат LEEF поддерживается широким спектром продуктов, включая:

  • Сетевые устройства: межсетевые экраны Cisco ASA, Check Point, Juniper SRX.
  • Серверы приложений: веб-серверы Apache, IIS, серверы баз данных Oracle, Microsoft SQL Server.
  • Системы защиты: антивирусы Symantec, McAfee, системы обнаружения вторжений Snort, Suricata.
  • Операционные системы: Windows (через агент WinCollect), Linux (через syslog-ng или rsyslog с настройкой шаблонов).

Настройка отправки

Для отправки событий в формате LEEF устройство или приложение должно быть настроено на отправку данных по протоколу Syslog (UDP или TCP) на IP-адрес и порт SIEM-системы. В некоторых случаях требуется установка дополнительного агента, который преобразует собственные логи устройства в формат LEEF.

Сравнение с другими форматами

LEEF часто сравнивают с форматом Common Event Format (CEF) от компании ArcSight. Оба формата решают одну задачу — унификацию логов для SIEM, но имеют различия:

ХарактеристикаLEEFCEF
РазработчикIBMArcSight (Micro Focus)
Разделитель заголовкаВертикальная черта (``)Вертикальная черта (``)
Разделитель телаТабуляция (\t)Знак равенства (=) с пробелами
Обязательные поля заголовка7 полей7 полей
ГибкостьВысокая (произвольные ключи)Высокая (расширяемый словарь)
Основная SIEMIBM QRadarArcSight ESM

Оба формата являются открытыми и могут быть использованы в любой SIEM-системе, однако на практике поддержка LEEF чаще встречается в продуктах, ориентированных на интеграцию с QRadar, а CEF — с ArcSight.

Расширения и модификации

Со временем IBM выпустила несколько версий формата LEEF. Наиболее распространёнными являются версии 1.0 и 2.0. Версия 2.0 добавила поддержку дополнительных полей в заголовке, таких как timezone и language, а также уточнила правила экранирования символов. Кроме того, существуют неофициальные расширения формата, используемые отдельными производителями для передачи специфических данных (например, поля для геолокации, идентификаторов угроз или метаданных облачных сервисов).

Критика и ограничения

Несмотря на широкое распространение, формат LEEF имеет ряд недостатков:

  • Отсутствие строгой схемы: из-за того, что набор ключей не регламентирован, разные производители могут использовать разные имена для одних и тех же данных (например, src_ip вместо src), что затрудняет универсальную обработку.
  • Проблемы с экранированием: неправильное экранирование специальных символов (табуляции, вертикальной черты, знака равенства) в значениях полей может привести к некорректному парсингу сообщения.
  • Зависимость от производителя: хотя формат открыт, его развитие и поддержка в значительной степени определяются IBM, что может создавать риски для пользователей других SIEM-систем.
  • Ограниченная поддержка нелатинских символов: при использовании кодировок, отличных от UTF-8, возможны проблемы с отображением и обработкой данных.

Источники

  1. IBM QRadar: LEEF Format Specification (IBM Knowledge Center).
  2. IBM Security: Log Event Extended Format (LEEF) Overview.
  3. Документация по настройке Syslog и LEEF для Cisco ASA.
  4. Сравнение форматов CEF и LEEF в системах SIEM (Micro Focus Community).
  5. Практическое руководство по интеграции устройств с IBM QRadar (IBM Redbooks).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →