Log Event Extended Format
Log Event Extended Format (LEEF) — это открытый текстовый формат представления событий журналирования (логов), разработанный компанией IBM для унификации передачи данных о событиях безопасности между различными системами и устройствами. Формат основан на парах «ключ=значение» и предназначен для интеграции с системами управления информацией и событиями безопасности (SIEM), в частности с платформой IBM QRadar.
История и предпосылки создания
Формат LEEF был создан компанией IBM в середине 2000-х годов в рамках развития платформы QRadar (приобретена IBM в 2011 году). Основной целью разработки было преодоление проблемы несовместимости форматов журналов от разных производителей. До появления LEEF администраторы безопасности сталкивались с необходимостью написания индивидуальных парсеров для каждого источника логов — от межсетевых экранов и маршрутизаторов до серверов приложений и операционных систем.
LEEF стал одним из нескольких конкурирующих форматов, наряду с Common Event Format (CEF) от компании ArcSight (ныне подразделение Micro Focus) и Syslog в различных расширениях. IBM продвигала LEEF как стандарт для устройств и приложений, которые должны передавать события в QRadar, хотя формат может быть использован и с другими SIEM-системами при наличии соответствующей поддержки.
Структура формата
LEEF-сообщение представляет собой текстовую строку, состоящую из двух основных частей: заголовка и тела, разделённых символом табуляции (\t). Заголовок содержит метаданные о событии, а тело — переменный набор полей.
Заголовок
Заголовок LEEF имеет фиксированную структуру и включает следующие обязательные поля, разделённые символом вертикальной черты (|):
- LEEF:версия — указывает версию формата (например,
LEEF:1.0илиLEEF:2.0). - vendor — наименование производителя устройства или программного обеспечения, сгенерировавшего событие (например,
Microsoft,Cisco,Apache). - product — наименование продукта (например,
Windows,ASA,HTTP Server). - version — версия продукта.
- eventID — уникальный идентификатор события в системе-источнике.
- name — краткое описание события (например,
Login Failure,Firewall Deny). - severity — уровень критичности события, обычно целое число от 1 до 10, где 1 — наименьшая критичность, 10 — наибольшая.
Пример заголовка: LEEF:1.0|Microsoft|Windows|10.0.17763|4625|Logon Failure|5
Тело сообщения
Тело LEEF-сообщения следует после заголовка и отделяется от него символом табуляции. Тело состоит из пар «ключ=значение», разделённых символом табуляции. Ключи и значения могут содержать любые символы, но для предотвращения конфликтов с разделителями рекомендуется экранирование специальных символов (например, обратная косая черта перед табуляцией, знаком равенства или вертикальной чертой в значении).
Стандарт LEEF не определяет фиксированного набора ключей, однако IBM рекомендует использовать следующие общие поля:
src— IP-адрес источника.dst— IP-адрес назначения.srcPort— порт источника.dstPort— порт назначения.proto— протокол (например, TCP, UDP).user— имя пользователя.msg— текстовое описание события.devTime— время события в формате, отличном от времени получения лога.cat— категория события.
Полный пример LEEF-сообщения:
`` LEEF:1.0|Cisco|ASA|9.8|106023|Deny TCP|5 src=192.168.1.10 dst=10.0.0.1 srcPort=34567 dstPort=443 proto=tcp msg=Denied TCP access from 192.168.1.10 to 10.0.0.1:443 ``
Применение
Интеграция с SIEM-системами
Основное применение LEEF — передача событий от устройств и приложений в SIEM-системы, в первую очередь в IBM QRadar. Многие производители сетевого оборудования, систем защиты информации и серверного программного обеспечения включают в свои продукты поддержку отправки логов в формате LEEF. Это позволяет администраторам безопасности получать структурированные данные без необходимости настройки сложных парсеров.
Устройства и программное обеспечение
Формат LEEF поддерживается широким спектром продуктов, включая:
- Сетевые устройства: межсетевые экраны Cisco ASA, Check Point, Juniper SRX.
- Серверы приложений: веб-серверы Apache, IIS, серверы баз данных Oracle, Microsoft SQL Server.
- Системы защиты: антивирусы Symantec, McAfee, системы обнаружения вторжений Snort, Suricata.
- Операционные системы: Windows (через агент WinCollect), Linux (через syslog-ng или rsyslog с настройкой шаблонов).
Настройка отправки
Для отправки событий в формате LEEF устройство или приложение должно быть настроено на отправку данных по протоколу Syslog (UDP или TCP) на IP-адрес и порт SIEM-системы. В некоторых случаях требуется установка дополнительного агента, который преобразует собственные логи устройства в формат LEEF.
Сравнение с другими форматами
LEEF часто сравнивают с форматом Common Event Format (CEF) от компании ArcSight. Оба формата решают одну задачу — унификацию логов для SIEM, но имеют различия:
| Характеристика | LEEF | CEF | ||
|---|---|---|---|---|
| Разработчик | IBM | ArcSight (Micro Focus) | ||
| Разделитель заголовка | Вертикальная черта (` | `) | Вертикальная черта (` | `) |
| Разделитель тела | Табуляция (\t) | Знак равенства (=) с пробелами | ||
| Обязательные поля заголовка | 7 полей | 7 полей | ||
| Гибкость | Высокая (произвольные ключи) | Высокая (расширяемый словарь) | ||
| Основная SIEM | IBM QRadar | ArcSight ESM |
Оба формата являются открытыми и могут быть использованы в любой SIEM-системе, однако на практике поддержка LEEF чаще встречается в продуктах, ориентированных на интеграцию с QRadar, а CEF — с ArcSight.
Расширения и модификации
Со временем IBM выпустила несколько версий формата LEEF. Наиболее распространёнными являются версии 1.0 и 2.0. Версия 2.0 добавила поддержку дополнительных полей в заголовке, таких как timezone и language, а также уточнила правила экранирования символов. Кроме того, существуют неофициальные расширения формата, используемые отдельными производителями для передачи специфических данных (например, поля для геолокации, идентификаторов угроз или метаданных облачных сервисов).
Критика и ограничения
Несмотря на широкое распространение, формат LEEF имеет ряд недостатков:
- Отсутствие строгой схемы: из-за того, что набор ключей не регламентирован, разные производители могут использовать разные имена для одних и тех же данных (например,
src_ipвместоsrc), что затрудняет универсальную обработку. - Проблемы с экранированием: неправильное экранирование специальных символов (табуляции, вертикальной черты, знака равенства) в значениях полей может привести к некорректному парсингу сообщения.
- Зависимость от производителя: хотя формат открыт, его развитие и поддержка в значительной степени определяются IBM, что может создавать риски для пользователей других SIEM-систем.
- Ограниченная поддержка нелатинских символов: при использовании кодировок, отличных от UTF-8, возможны проблемы с отображением и обработкой данных.
Источники
- IBM QRadar: LEEF Format Specification (IBM Knowledge Center).
- IBM Security: Log Event Extended Format (LEEF) Overview.
- Документация по настройке Syslog и LEEF для Cisco ASA.
- Сравнение форматов CEF и LEEF в системах SIEM (Micro Focus Community).
- Практическое руководство по интеграции устройств с IBM QRadar (IBM Redbooks).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →