%:<A
|
AclTime
|
Pour imprimer le temps total nécessaire à la transaction de liste de contrôle d’accès.
|
%{
|
x-id-shared
|
Pour imprimer l’état du partage d’ID avec Cisco Umbrella.
Si l’ID est partagé pour une transaction, la valeur correspondante du formateur est « ID_SHARED », sinon « - » est affiché
dans le journal des accès.
|
%[
|
x-spoofed-ip
|
Adresse IP source utilisée pour l’usurpation d’adresses IP par le proxy.
|
%)
|
x-proxy-instance-id
|
ID d’instance du proxy si le mode haute performance est activé, sinon un tiret est consigné.
|
%(
|
cs-domain-map
|
Nom de domaine résolu à l’aide de la carte de domaine.
|
%X#11#
|
ext_auth_sgt
|
Paramètre de champ personnalisé pour les étiquettes Groupe sécurisé utilisées dans les intégrations ISE.
|
%$
|
informations de déchiffrement
|
Informations de chiffrement des deux étapes de la transaction. (Client-proxy cipher info##proxy-server cipher info). Les informations
dans la séquence ci-dessous - <ciphername>, <protocol version>, Kx=<key exchange>, Au=<authentication>, Enc=<symmetric encryption
method>, Mac=<message authentication code>
|
%:<1
|
x-p2s-first-byte-time
|
Le temps entre le moment où le proxy Web commence à se connecter au serveur et le moment où il est en mesure d’écrire pour
la première fois sur le serveur. Si le proxy Web doit se connecter à plusieurs serveurs pour terminer la transaction, il fait
la somme de ces temps.
|
%:<a
|
x-p2p-auth-wait-time
|
Temps d’attente pour recevoir la réponse du processus d’authentification du proxy Web, après l’envoi de la demande par le
proxy Web.
|
%:<b
|
x-p2s-body-time
|
Temps d’attente pour écrire le corps de la demande sur le serveur après l’en-tête.
|
%:<d
|
x-p2p-dns-wait-time
|
Temps nécessaire au proxy Web pour envoyer la demande DNS au processus DNS du proxy Web.
|
%:<h
|
x-p2s-header-time
|
Temps d’attente pour écrire l’en-tête de demande au serveur après le premier octet
|
%:<r
|
x-p2p-reputation- wait-time
|
Temps d’attente pour recevoir la réponse des filtres de réputation Web, après l’envoi de la demande par le proxy Web.
|
%:<s
|
x-p2p-asw-req- wait-time
|
Temps d’attente pour recevoir le verdict du processus de protection contre les logiciels espions du proxy Web, après l’envoi
de la demande par le proxy.
|
%:>1
|
x-s2p-first-byte-time
|
Temps d’attente du premier octet de réponse du serveur
|
%:>a
|
x-p2p-auth-svc-time
|
Temps d’attente pour recevoir la réponse du processus d’authentification du proxy Web, y compris le temps nécessaire au proxy
Web pour envoyer la demande.
|
%:>b
|
x-s2p-body-time
|
Temps d’attente du corps de la réponse complet après la réception de l’en-tête
|
%:>c
|
x-p2p-fetch-time
|
Temps requis par le proxy Web pour lire une réponse à partir du cache du disque.
|
%:>d
|
x-p2p-dns-svc-time
|
Temps que le processus DNS du proxy Web met à renvoyer un résultat DNS au proxy Web.
|
%:>h
|
x-s2p-header-time
|
Temps d’attente de l’en-tête du serveur après le premier octet de réponse
|
%:>g
|
|
Informations sur la latence d’établissement de la liaison du serveur SSL
|
%o
|
-
|
Quota de temps consommé.
|
% O
|
-
|
Quota de volume consommé.
|
%X#41#
|
x-bw-info
|
Niveau de contrôle de quota de bande passante appliqué, numéro de canal de bande passante mappé sur une requête, limite de
quota de bande passante configurée et profil de quota de bande passante utilisé (level-pipe_no-quota_limit-quota_profile).
|
%:>r
|
x-p2p-reputation-svc- time
|
Le temps d’attente pour recevoir le verdict des filtres de réputation Web, y compris le temps nécessaire au proxy Web pour
envoyer la demande.
|
%:>s
|
x-p2p-asw-req-svc- time
|
Temps d’attente pour recevoir le verdict du processus de protection contre les logiciels espions du proxy Web, y compris
le temps nécessaire au proxy Web pour envoyer la demande.
|
%:1<
|
x-c2p-first-byte-time
|
Temps d’attente du premier octet de demande de la nouvelle connexion client
|
%:1>
|
x-p2c-first-byte-time
|
Temps d’attente pour le premier octet écrit sur le client.
|
%:A<
|
x-p2p-avc-svc-time
|
Temps d’attente pour recevoir la réponse du processus l’AVC, y compris le temps nécessaire au proxy Web pour envoyer la demande.
|
%:A>
|
x-p2p-avc-wait-time
|
Temps d’attente pour recevoir la réponse du processus AVC, après l’envoi de la demande par le proxy Web.
|
%:b<
|
x-c2p-body-time
|
Temps d’attente pour le corps complet du client.
|
%:b>
|
x-p2c-body-time
|
Temps d’attente pour le corps complet du document écrit au client
|
%:C<
|
x-p2p-dca-resp- svc-time
|
Temps d’attente pour recevoir le verdict du moteur d’analyse de contenu dynamique, y compris le temps nécessaire au proxy
Web pour envoyer la demande.
|
%:C>
|
x-p2p-dca-resp- wait-time
|
Temps d’attente pour recevoir la réponse du moteur d’analyse de contenu dynamique, après l’envoi de la demande par le proxy
Web.
|
%:h<
|
x-c2p-header-time
|
Temps d’attente pour l’en-tête client complet après le premier octet
|
%:h>
|
x-p2c-header-time
|
Temps d’attente pour l’en-tête complet écrit sur le client
|
%:m<
|
x-p2p-mcafee-resp- svc-time
|
Temps d’attente pour recevoir le verdict du moteur d’analyse McAfee, y compris le temps nécessaire au proxy Web pour envoyer
la demande.
|
%:m>
|
x-p2p-mcafee-resp- wait-time
|
Temps d’attente pour recevoir la réponse du moteur d’analyse McAfee, après l’envoi de la demande par le proxy Web.
|
%:p<
|
x-p2p-sophos-resp- svc-time
|
Temps d’attente avant de recevoir le verdict du moteur d’analyse Sophos, notamment le temps nécessaire au proxy Web pour
envoyer la demande.
|
%:p>
|
x-p2p-sophos-resp- wait-time
|
Temps d’attente pour recevoir la réponse du moteur d’analyse Sophos, après l’envoi de la demande par le proxy Web
|
%:w<
|
x-p2p-webroot-resp -svc-time
|
Temps d’attente pour recevoir le verdict du moteur d’analyse depuis Webroot, y compris le temps nécessaire au proxy Web pour
envoyer la demande.
|
%:w>
|
x-p2p-webroot-resp-wait- time
|
Temps d’attente pour recevoir la réponse du moteur d’analyse Webroot, après l’envoi de la demande par le proxy Web.
|
%?BLOCK_SUSPECT_ USER_AGENT, MONITOR_SUSPECT_ USER_AGENT?% < User-Agent:%!%-%
|
x-suspect-user-agent
|
Agent utilisateur suspect, le cas échéant. Si le proxy Web détermine que l’agent utilisateur est suspect, il le consignera
dans ce champ. Sinon, il consigne un trait d’union. Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%<Referer:
|
cs(Referer)
|
Référent
|
%>Server:
|
sc(Server)
|
En-tête du serveur dans la réponse.
|
%a
|
c-ip
|
Adresse IP du client.
|
%A
|
cs-username
|
Nom d’utilisateur authentifié. Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%b
|
sc-body-size
|
Octets envoyés au client par le proxy Web pour le corps du message.
|
%B
|
octets
|
Total des octets utilisés (taille de la requête + taille de la réponse, soit %q + %s).
|
%c
|
cs-mime-type
|
Type de corps de réponse MIME. Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%C
|
cs(Cookie)
|
En-tête de témoin. Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%d
|
s-hostname
|
Adresse IP de la source de données ou du serveur.
|
%]
|
Header_profile
|
Nom du profil de réécriture de l’en-tête HTTP.
|
%D
|
x-acltag
|
Balise de décision ACL.
|
%e
|
x-elapsed-time
|
Temps écoulé en millisecondes.
Pour le trafic TCP, il s’agit du temps écoulé entre l’ouverture et la fermeture de la connexion HTTP.
Pour le trafic UDP, il s’agit du temps écoulé entre l’envoi du premier datagramme et le moment où le dernier datagramme peut
être accepté. Une valeur de temps écoulé élevée pour le trafic UDP peut indiquer qu’une valeur de délai d’expiration élevée
et une association UDP de longue durée ont permis d’accepter des datagrammes plus longtemps que nécessaire.
|
%E
|
x-error-code
|
Numéro de code d’erreur qui peut aider l’assistance client à résoudre la raison de l’échec d’une transaction.(
|
%f
|
cs(X-Forwarded-For)
|
En-tête X-Forwarded-For.
|
%F
|
c-port
|
Port source du client
|
%g
|
cs-auth-group
|
Noms de groupes autorisés. Ce champ est écrit entre guillemets dans les journaux d’accès.
Ce champ est utilisé pour résoudre les problèmes de politique ou d’authentification afin de déterminer si un utilisateur
correspond au bon groupe ou à la bonne politique.
|
%G
|
|
Horodatage lisible par l’homme.
|
%h
|
sc-http-status
|
Code de réponse HTTP.
|
%H
|
s-hierarchy
|
Récupération de la hiérarchie.
|
%i
|
x-icap-server
|
Adresse IP du dernier serveur ICAP contacté lors du traitement de la demande.
|
%I
|
x-transaction-id
|
ID de transaction.
|
%j
|
DCF
|
Ne pas mettre en cache le code de réponse; indicateurs DCF.
Descriptions des codes de réponse :
|
%k
|
s-ip
|
Adresse IP de la source de données (adresse IP du serveur)
Cette valeur est utilisée pour déterminer un demandeur lorsque l’adresse IP est signalée par un périphérique de détection
d’intrusion sur votre réseau. Vous permet de localiser un client qui a visité une adresse IP qui a été ainsi marquée.
|
%l
|
user-type
|
Type d’utilisateur, local ou distant.
|
%L
|
x-local_time
|
Demandez l’heure locale dans un format lisible par l’homme : JJ/MMM/AAAA : hh:mm:ss +nnnn. Ce champ est écrit entre guillemets
dans les journaux d’accès.
L’activation de ce champ vous permet de corréler les journaux aux problèmes sans avoir à calculer l’heure locale à partir
de l’heure ancienne pour chaque entrée de journal.
|
%m
|
cs-auth-mechanism
|
Utilisé pour résoudre les problèmes d’authentification.
Mécanisme d’authentification utilisé pour la transaction Les valeurs possibles sont les suivantes :
-
BASIC. Le nom d’utilisateur a été authentifié à l’aide du schéma d’authentification de base.
-
NTLMSSP. Le nom d’utilisateur a été authentifié à l’aide du schéma d’authentification NTLMSSP.
-
NEGOTIATE. Le nom d’utilisateur a été authentifié à l’aide du schéma d’authentification Kerberos.
-
SSO_TUI. Le nom d’utilisateur a été obtenu en faisant correspondre l’adresse IP du client à un nom d’utilisateur authentifié à l’aide
d’une identification d’utilisateur transparente.
-
SSO_ISE. L’utilisateur a été authentifié par un serveur ISE. (Le journal indique GUEST (INVITÉ) s’il est choisi comme mécanisme de
secours pour l’authentification ISE.)
-
SSO_ASA. L’utilisateur est un utilisateur distant et le nom d’utilisateur a été obtenu auprès d’un Cisco ASA à l’aide de Secure Mobility.
-
FORM_AUTH. L’utilisateur saisit les justificatifs d’authentification dans un formulaire dans le navigateur Web lorsqu’il accède à une
application.
-
GUEST. L’utilisateur a échoué à l’authentification et a obtenu l’accès en tant qu’invité.
|
%M
|
CMF
|
Indicateurs d’échec du cache : indicateurs CMF.
|
%N
|
s-computerName
|
Nom du serveur ou nom de l’hôte de destination. Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%p
|
s-port
|
Numéro du port de destination.
|
%P
|
cs-version
|
Protocole.
|
%q
|
cs-bytes
|
Taille de la demande (en-têtes + corps)
|
%r
|
x-req-first-line
|
Première ligne de la demande : méthode de demande, URI.
|
%s
|
sc-bytes
|
Taille de la réponse (en-tête + corps)
|
%t
|
Horodatage
|
Horodatage sous UNIX.
Remarque : si vous souhaitez utiliser un analyseur de journaux tiers pour lire et analyser les journaux d’accès W3C, vous devrez peut-être
inclure le champ « timestamp ». La plupart des analyseurs de journaux ne comprennent l’heure que dans le format fourni par
ce champ.
|
%u
|
cs(User-Agent)
|
Agent utilisateur. Ce champ est écrit entre guillemets dans les journaux d’accès.
Ce champ permet de déterminer si une application échoue à l’authentification et/ou nécessite des autorisations d’accès différentes.
|
%U
|
cs-uri
|
URI de la demande.
|
%v
|
date
|
Date au format AAAA-MM-JJ.
|
%V
|
de temps
|
Heure au format HH:MM:SS.
|
%w
|
sc-result-code
|
Code de résultat. Par exemple : TCP_MISS, TCP_HIT.
|
%W
|
sc-result-code-denial
|
Code de résultat refusé.
|
%x
|
x-latency
|
Latence.
|
%X0
|
x-resp-dvs-scanverdict
|
Verdict unifié de l’analyse de protection contre les programmes malveillants côté réponse qui fournit le numéro de catégorie de programmes malveillants, quel que soit le moteur d’analyse activé. S’applique aux transactions bloquées ou surveillées en raison de l’analyse de
la réponse du serveur.
Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%X1
|
x-resp-dvs-threat-name
|
Verdict unifié de l’analyse de protection contre les programmes malveillants côté réponse qui fournit le nom du programme malveillant, quel que soit le moteur d’analyse activé. S’applique aux transactions bloquées ou surveillées en raison de l’analyse de
la réponse du serveur.
Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%X2
|
x-req-dvs-scanverdict
|
Verdict de l’analyse DVS côté demande
|
%X3
|
x-req-dvs-verdictname
|
Nom du verdict DVS côté demande
|
%X4
|
x-req-dvs-threat-name
|
Nom de la menace DVS côté demande
|
%X6
|
x-as-malware-threat-name
|
Indique si l’analyse adaptative a bloqué la transaction sans faire appel au moteur d’analyse de protection contre les programmes
malveillants. Les valeurs possibles sont les suivantes :
Cette variable est incluse dans les informations sur le verdict de l’analyse (entre les crochets à la fin de chaque entrée
du journal des accès).
|
%XA
|
x-webcat-resp-code- abbr
|
Verdict de catégorie d’URL déterminé lors de l’analyse côté réponse, en abrégé. S’applique uniquement au moteur de filtrage
d’URL Cisco Web Usage Controls.
|
%Xb
|
x-avc-behavior
|
Comportement de l’application Web identifié par le moteur AVC.
|
%XB
|
x-avg-bw
|
Bande passante moyenne de l’utilisateur si les limites de bande passante sont définies par le moteur AVC.
|
%XC
|
x-webcat-code-abbr
|
Abréviation de catégorie d’URL de la catégorie d’URL personnalisée attribuée à la transaction.
|
%Xd
|
x-mcafee-scanverdict
|
Identifiant spécifique à McAfee : (verdict d’analyse)
|
%Xe
|
x-mcafee-filename
|
Identifiant spécifique à McAfee : (Nom du fichier produisant le verdict) ce champ est écrit avec des guillemets dans les
journaux d’accès.
|
%Xf
|
x-mcafee-av-scanerror
|
Identifiant propre à McAfee : (erreur d’analyse).
|
%XF
|
x-webcat-code-full
|
Nom complet de la catégorie d’URL attribuée à la transaction. Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%Xg
|
x-mcafee-av-detecttype
|
Identifiant spécifique à McAfee : (type de détection).
|
%XG
|
x-avc-reqhead-scanverdict
|
Verdict de l’en-tête de la demande AVC
|
%Xh
|
x-mcafee-av-virustype
|
Identifiant spécifique à McAfee : (type de virus)
|
%XH
|
x-avc-reqbody- scanverdict
|
Verdict du corps de la demande AVC.
|
%Xi
|
x-webroot-trace-id
|
Identifiant d’analyse spécifique à Webroot : (ID Trace)
|
%Xj
|
x-mcafee-virus-name
|
Identifiant spécifique à McAfee : (nom du virus) Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%Xk
|
x-wbrs-threat-type
|
Type de menace pour la réputation Web.
|
%XK
|
x-wbrs-threat-reason
|
Motif de la menace pour la réputation Web.
|
%Xl
|
x-ids-verdict
|
Verdict d’analyse de la politique de sécurité des données de Cisco. Si ce champ est inclus, il affichera le verdict IDS,
ou « 0 » si l’IDS était actif mais le document analysé à jour, ou « - » si aucune politique IDS n’était active pour la demande.
|
%XL
|
x-webcat-resp-code- full
|
Verdict de catégorie d’URL déterminé lors de l’analyse côté réponse, nom complet. S’applique uniquement au moteur de filtrage
d’URL Cisco Web Usage Controls.
|
%XM
|
x-avc-resphead- scanverdict
|
Verdict de l’en-tête de réponse AVC
|
%Xn
|
x-webroot-threat-name
|
Identifiant spécifique à Webroot : (Nom de la menace) Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%XN
|
x-avc-reqbody-scanverdict
|
Verdict du corps de la réponse AVC.
|
%XO
|
x-avc-app
|
Application Web identifiée par le moteur AVC.
|
%Xp
|
x-icap-verdict
|
Verdict de l’analyse du serveur DLP externe
|
%XP
|
x-acl-added-headers
|
En-tête non reconnu. Utilisez ce champ pour consigner des en-têtes supplémentaires dans les demandes des clients.
Cela prend en charge le dépannage de systèmes spécialisés qui ajoutent des en-têtes aux demandes des clients pour les authentifier
et les rediriger, par exemple YouTube for Schools.
|
%XQ
|
x-webcat-req-code- abbr
|
Verdict de catégorie d’URL prédéfinie déterminé lors de l’analyse côté demande, en abrégé.
|
%Xr
|
x-result-code
|
Informations sur le verdict de l’analyse.
|
%XR
|
x-webcat-req-code-full
|
Verdict de catégorie d’URL déterminé lors de l’analyse côté demande, nom complet.
|
%Xs
|
x-webroot-spyid
|
Identifiant spécifique à Webroot : (ID espion).
|
%XS
|
x-request-rewrite
|
Verdict de l’analyse pour une navigation sécurisée
Indique si la recherche sécurisée ou la fonction d’évaluation du contenu du site a été appliquée à la transaction.
|
%Xt
|
x-webroot-trr
|
Identifiant propre à Webroot : [Rapport menaces/risques (TRR)].
|
%XT
|
x-bw-throttled
|
Indicateur qui indique si des limites de bande passante ont été appliquées à la transaction.
|
%Xu
|
x-avc-type
|
Type d’application Web identifié par le moteur AVC.
|
%Xv
|
x-webroot-scanverdict
|
Verdict de l’analyse des programmes malveillants depuis Webroot.
|
%XV
|
x-request-source-ip
|
L’adresse IP en aval lorsque la case « Enable Identification of Client IP Addresses using X-Forwarded-For » (Activer l’identification
des adresses IP clientes à l’aide de X-Forwarded-For) est cochée pour les paramètres du proxy Web.
|
%XW
|
x-wbrs-score
|
Score WBRS décodé <-10.0-10.0>.
|
%Xx
|
x-sophos-scanerror
|
Identifiant spécifique à Sophos : (code de retour de l’analyse).
|
%Xy
|
x-sophos-file-name
|
Nom du fichier dans lequel Sophos a trouvé le contenu répréhensible. S’applique uniquement aux réponses détectées par Sophos.
|
%XY
|
x-sophos-scanverdict
|
Identifiant spécifique à Sophos : (verdict de l’analyse).
|
%Xz
|
x-sophos-virus-name
|
Identifiant spécifique à Sophos : (nom de la menace).
|
%XZ
|
x-resp-dvs-verdictname
|
Verdict unifié de l’analyse de protection contre les programmes malveillants côté réponse qui fournit la catégorie de programmes malveillants indépendamment des moteurs d’analyse activés. S’applique aux transactions bloquées ou surveillées en raison de l’analyse
de la réponse du serveur.
Ce champ est écrit entre guillemets dans les journaux d’accès.
|
%X#1#
|
x-amp-verdict
|
Verdict de l’analyse des fichiers Cisco Secure Endpoint :
-
0 : Le fichier n’est pas malveillant.
-
1 : Le fichier n’a pas été analysé en raison de son type de fichier.
-
2 : L’analyse des fichiers a expiré.
-
3 : Erreur de l’analyse.
-
Supérieur à 3 : Le fichier est malveillant.
|
%X#2#
|
x-amp-malware-name
|
Nom de la menace, comme déterminé par l’analyse des fichiers Cisco Secure Endpoint. « - » indique l’absence de menace.
|
%X#3#
|
x-amp-score
|
Score de réputation résultant de l’analyse des fichiers Cisco Secure Endpoint.
Ce score est utilisé uniquement si le service de réputation en nuage n’est pas en mesure de déterminer un verdict clair pour
le fichier.
Pour en savoir plus, consultez les informations sur le score de menace et le seuil de réputation dans Filtrage de réputation de fichiers et analyse de fichiers
|
%X#4#
|
x-amp-upload
|
Indicateur de chargement et de demande d’analyse :
« 0 » indique que Cisco Secure Endpoint n’a pas demandé le chargement du fichier pour analyse.
« 1 » indique que Cisco Secure Endpoint a demandé le chargement du fichier pour analyse.
|
%X#5#
|
x-amp-filename
|
Nom du fichier en cours de téléchargement et d’analyse.
|
%X#6#
|
x-amp-sha
|
Identifiant SHA-256 de ce fichier.
|
%y
|
cs-method
|
Méthode.
|
%Y
|
cs-url
|
URL complète.
|
%:e<
|
x-p2p-amp-svc-time
|
Temps d’attente pour recevoir le verdict du moteur d’analyse Cisco Secure Endpoint , y compris le temps nécessaire au proxy Web pour envoyer la demande.
|
%:e>
|
x-p2p-amp-wait-time
|
Temps d’attente pour recevoir la réponse du moteur d’analyse Cisco Secure Endpoint , après l’envoi de la demande par le proxy Web.
|
S. O.
|
x-hierarchy-origin
|
Code qui décrit le serveur contacté pour récupérer le contenu de la demande (par exemple, DIRECT/www.exemple.com).
|
S. O.
|
x-resultcode-httpstatus
|
Code de résultat et le code de réponse HTTP, séparés par une barre oblique (/).
|
S. O.
|
x-archivescan-verdict
|
Affiche le verdict de l’inspection des archives.
|
S. O.
|
x-archivescan-verdict- reason
|
Détails du fichier bloqué par l’analyse des archives
|
%XU
|
S. O.
|
Pour utilisation future.
|