CEF 通用事件格式

Common Event Format —— 一种标准化的日志格式,用键值对把日志拆成清晰字段。

解决什么问题

不同设备的原始日志格式五花八门,SIEM 要统一处理就得先”翻译”。CEF 提供一个通用模板,让各家设备说同一种话。

长什么样

CEF:0|Security|threatmanager|1.0|100|检测到入侵|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

前半段是固定头(厂商、产品、严重度),后半段 src=... dst=... 就是键值对,一看就知道源 IP、目的 IP、端口。

为什么对分析有用

字段化之后,SIEM 能直接按字段搜索、关联、告警——比在一团非结构化文本里 grep 高效得多。

相关格式

Syslog —— 更老更通用的日志传输标准
LEEF —— IBM QRadar 的格式
JSON —— 现代日志越来越爱用(天然是键值对结构)

CEF 是结构化日志的代表,structured logging 让日志分析从”读文本”变成”查数据库”。