又是一年护网季，现在甲方hw已经主流采用SIEM平台了，IPS、IDS、WAF、FW、EDR等安全数据经过安全态势感知这个二道贩子展现在蓝队面前，勉强能用，今天来说一下SIEM中常见的CEF格式，Common Event Format，公共事件格式，国外主流的ArcSight和Splunk日志导出采用的都是CEF格式，而IBM的QRadar使用的是LEEF。

ailx10

网络安全优秀回答者

网络安全硕士

去咨询

IBM QRadar：LEEFHP ArcSight：CEF[1]Splunk：CEF[2]

CEF格式说下：

CEF:Version|Device Vendor|Device Product|Device Version|deviceEventClassId|Name|Severity|ExtensionVersion：版本- 整数，用于标识 CEF 格式的版本Device Vendor：设备供应商-字符串，用于唯一标识发送设备的类型Device Product：设备产品-字符串Device Version：设备版本-字符串deviceEventClassId：每个事件类型的唯一标识符Name：名称-字符串，事件描述Severity：严重性- 整数，用于反映事件重要性（介于 0-10 之间，其中 10 表示最重要的事件）Extension：扩展- 键值对集合，其中键是预定义集的一部分

CEF格式举例如下：

CEF:0|h3c|fw|1000|10086|worm successfully|10|src=10.0.0.1 dst=2.1.2.2 spt=1232

前7个字段的含义解析如下：

Version：0Device Vendor：h3cDevice Product：fwDevice Version：1000deviceEventClassId：10086Name：worm successfullySeverity:10参考^CEF格式说明 https://docs.trellix.com/zh-CN/bundle/enterprise-security-manager-11.1.x-product-guide/page/GUID-984F5DA6-8D84-4549-855B-C77D53CF96B9.html^CEF格式说明 https://www.juniper.net/documentation/cn/zh/software/jatp/jatp-ceef-leef-syslog/topics/task/jatp-siem-syslog-leef-and-cef-logging.html