启明星辰syslog信息详解

INFO_TYPE="STA_INFO" #(MAC)="48:5a:b6:45:dc:69" #(BRAND)="Hon Hai Precision Ind. Co.,Ltd." #(CAPTURE_TIME)=1436608388 #(TERMINAL_FIELD_STRENGTH)="-56" #(SSID_POSITION)="" #(ACCESS_AP_MAC)="80:f8:eb:ff:a1:c0" #(ACCESS_AP_CHANNEL)="1" #(ACCESS_AP_ENCRYPTION_TYPE)="99" #(PROBER_MAC)="80:f8:eb:0a:00:04"

INFO_TYPE：信息类型，STA_INFO为station信息。

MAC：station的mac地址

BRAND：设备厂商信息，根据mac地址获得

CAPTURE_TIME：数据获取时间，1970年以来的秒数

TERMINAL_FIELD_STRENGTH：信号强度

SSID_POSITION：ssid，如果没有连，或者为隐藏ssid，也可能没有

ACCESS_AP_MAC：接入ap的mac地址

ACCESS_AP_CHANNEL：处于的频道

ACCESS_AP_ENCRYPTION_TYPE:加密类型

PROBER_MAC:探针mac地址

STATION信息会再探针检测到staion报文时发送。

AP信息详解

INFO_TYPE="AP_INFO" #(AP_MAC)="80:f8:eb:ff:a1:70" #(AP_SSID)="g500" #(AP_CHANNEL)="11" #(ENCRYPT_ALGORITHM_TYPE)=03 #(CAPTURE_TIME)=1436608399

#(AP_FIELD_STRENGT)="-32" #(PROBER_MAC)="80:f8:eb:0a:00:04"

INFO_TYPE：信息类型，AP_INFO为ap信息。

AP_MAC：AP 的mac地址

AP_SSID：AP发射的ssid名称，如果ssid为隐藏的，此字段可能为空

AP_CHANNEL：AP所在的频道

ENCRYPT_ALGORITHM_TYPE：加密类型

CAPTURE_TIME：数据获取时间，1970年以来的秒数

AP_FIELD STRENGTH：信号强度

PROBER_MAC:探针mac地址

STATION信息会再探针检测到AP报文时发送。

INFO_TYPE="EVENT_INFO" {ID:0, attack:"无线审计-终端接入无线网络"attack_id:"84", risk:"信息", mac:"b8:ee:65:1a:4c:9e", bssid:"80:f8:eb:ff:a1:70", ssid:"g500", name:"", channel:"11",time:"2015-07-11 17:53:19.503"}

INFO_TYPE：信息类型，AP_INFO为ap信息。

ID:事件编号，到1200会重置

Attack:事件名称

Attack_id：事件编号

Risk：风险等级

Bssid：bssid

Ssid：网络的ssid名称

Channel：事件发生信道

Time：事件发生时间

当设备检测到无线事件时发送此信息。

事件定义

id:1 is_grap:1 grp_id:0 pri: name:全部

id:2 is_grap:1 grp_id:1 pri: name:无线安全策略类

id:3 is_grap:0 grp_id:2 pri:中name:无线安全策略-未设置加密方式

id:4 is_grap:0 grp_id:2 pri:中name:无线安全策略-加密方式为WEP

id:5 is_grap:0 grp_id:2 pri:低name:无线安全策略-发现开启了WPS功能的无线设备id:6 is_grap:0 grp_id:2 pri:高name:无线安全策略-AP开启WDS功能

id:7 is_grap:0 grp_id:2 pri:高name:无线安全策略-无线终端开启了WDS功能

id:8 is_grap:0 grp_id:2 pri:高name:无线安全策略-发现开启了AdHoc的无线设备

id:9 is_grap:0 grp_id:2 pri:高name:无线安全策略-无线网络中检测到AdHoc设备或通id:10 is_grap:0 grp_id:2 pri:高name:无线安全策略-发现流氓AP

id:11 is_grap:0 grp_id:2 pri:高name:无线安全策略-发现代理AP

id:12 is_grap:0 grp_id:2 pri:中name:无线安全策略-无线网络的PSPF功能未启用

id:13 is_grap:0 grp_id:2 pri:低name:无线安全策略-无线安全类型错误

id:14 is_grap:0 grp_id:2 pri:高name:无线安全策略-非法的信道

id:15 is_grap:0 grp_id:2 pri:高name:无线安全策略-非法的ESSID

id:16 is_grap:0 grp_id:2 pri:低name:无线安全策略-AP使用了广播的ESSID

id:17 is_grap:0 grp_id:2 pri:中name:无线安全策略-AP的ESSID为缺省值

id:18 is_grap:0 grp_id:2 pri:中name:无线安全策略-发现未授权终端

id:19 is_grap:0 grp_id:2 pri:高name:无线安全策略-授权终端关联未授权AP

id:20 is_grap:0 grp_id:2 pri:高name:无线安全策略-授权终端关联外部AP