Формат CEF описывается следующим набором обязательных полей:

• Version - версия формата CEF;
• Device Vendor, Device Product и Device Version - однозначная идентификация источника события;
• Signature ID - уникальный идентификатор типа события;
• Name - понятное описание события;
• Severity - важность события (от 0 до 10);
• Extension - набор пар «ключ - значение».

Формат регистрации события приведен в подразделе Форматы регистрируемых событий аудита и их примеры.

Для использования формата CEF нужно включить использование CEF в «Агрегаторе администратора» (см. подраздел Системные настройки аудита).

Для того чтобы события в формате CEF корректно сохранялись в локальный файл журнала, нужно:

• включить сохранение событий в файл (см. подраздел Системные настройки аудита);
• отредактировать шаблон отправки сообщений в каталоге /etc/opt/termidesk-vdi/templates:
  • закомментировать:

template t_termidesk_audit { template("[$ISODATE] $MESSAGE\n"); };

• • раскомментировать:

template t_termidesk_audit { template("$MESSAGE\n"); };

• выполнить:

sudo /opt/termidesk/sbin/termidesk-config update_logger_config

• включить использование CEF в «Агрегаторе администратора» (см. подраздел Системные настройки аудита).