Формат CEF описывается следующим набором обязательных полей:

• Version - версия формата CEF;
• Device Vendor, Device Product и Device Version - однозначная идентификация источника события;
• Signature ID - уникальный идентификатор типа события;
• Name - понятное описание события;
• Severity - важность события (от 0 до 10);
• Extension - набор пар «ключ - значение».

Формат регистрации события в Termidesk приведен в подразделе Форматы регистрируемых событий аудита и их примеры.

Для использования формата CEF нужно включить использование CEF в «Портале администратора» (см. подраздел Системные параметры аудита).

Для того чтобы события в формате CEF корректно сохранялись в локальный файл журнала, нужно:

• включить использование CEF в «Портале администратора» и сохранение событий в файл (см. подраздел Системные параметры аудита);
• отредактировать шаблон отправки сообщений в каталоге /etc/opt/termidesk-vdi/templates:
  • закомментировать:

if ($programname == "termidesk_audit") then { action(type="omfile" file="%{LOG_DIR}%/audit.log" FileCreateMode="%{LOG_PERM}%" fileOwner="%{LOG_OWNER}%" fileGroup="%{LOG_GROUP}%") stop }

• • раскомментировать:

if ($programname == "termidesk_audit") then { action(type="omfile" format="CEFFormatForAudit" file="%{LOG_DIR}%/audit.log" FileCreateMode="%{LOG_PERM}%" fileOwner="%{LOG_OWNER}%" fileGroup="%{LOG_GROUP}%") stop }

• выполнить:

sudo /opt/termidesk/sbin/termidesk-config update_logger_config

• включить использование CEF в «Портале администратора» (см. подраздел Системные параметры аудита).