АТРИБУТ

ОПИСАНИЕ

AccName

Наименование почтового аккаунта

all_items_count_00(..23)

Количество элементов в определенный час с начала суточного деления (буфер обмена и кейлогер)

all_items_count_hours

Почасовой расклад количества элементов (буфер обмена и кейлогер)

all_msg_count_00(..23)

Количество сообщений в определенный час с начала суточного деления

all_msg_count_hours

Почасовой расклад количества сообщений

attr_ver

Номер версии набора атрибутов

bank

Совпадение по банку данных

Bcc

Скрытая копия (адресат)

begin_date

Дата начала суточного документа

begin_time

Время начала суточного документа

begin_unix_time

Дата-время начала суточного документа в unix-time формате

blocked

Передача была заблокирована

blocked_by_rules

Заблокировано правилом безопасности

call_duration

Длительность звонка

Cc

Копия (адресат)

cell_count

Количество ячеек MsExcel

cloud_name

Название облачного ресурса

company_name

Название компании

contacts

Контакты

corrupted

Документ поврежден

count

Количество элементов (буфер обмена и кейлоггер)

create_date

Дата создания письма

create_time

Время создания письма

create_tzd

Временная зона создания письма

created_user_sid

Идентификатор пользователя, создавшего файл (wsindexer)

day_of_week

Порядковый день недели

debug_info

Отладочная информация

decrypted

Данные передавались в шифрованном виде (SSL, S/MIME) (yes or no)

dev_class

Класс USB устройства

device_access

Доступ к устройству (1 или 0).

device_id

ID устройства

device_manufacturer

Производитель устройства

device_name

Название устройства

device_pathid

Идентификатор устройства в формате пути к экземпляру Диспетчера устройств

device_physical

Физический тип устройства (по какой шине подключается устройство к хосту)

device_product_id

Идентификатор продукта устройства

device_serialnumber

Серийный номер устройства

device_type

Тип устройства

device_vendor_id

ID производителя

devices_count

Количество устройств

doc_content_type

Тип содержимого документа (например, entire outgoing – цельный отправленный)

document_name

Название документа

domain_dns_name

DNS имя ПК

domain_name

Имя домена

domain_sid

SID домена

encrypted

Документ закодирован. Нельзя получить доступ к содержимому (архив с паролем, письмо по шифрованному каналу)

encryption

В переписке применяется ssl-шифрование

end_date

Дата окончания суточного документа

end_time

Время окончания суточного документа

end_unix_time

Дата-время окончания суточного документа в unix-time формате

ExchName

Наименование акаунта Exchange

filename

Предназначено для внутренних целей

files_count

Количество файлов в аудит-документе по файловой коллекции

files_count_hours

Количество файлов, фиксированное по часам

files_size

Размер файлов

first_active_unix_time

Дата-время первой активности в суточном документе в unix-time формате (десктоп-активность, браузер-активность, аудит устройств)

flags

Флаги документа

fname

Полное имя файла с указанием пути

forming_date

Дата формирования

From

Отправитель (адрес)

from_contains_external_emails

Отправитель содержит внешний адрес

from_contains_internal_emails

Отправитель содержит внутренний адрес

guess_ext

Детектированное расширение файла (чаще исходное расширение файла)

guid

Уникальный идентификатор обьекта

has_attach

Документ имеет вложение

has_password

Документ имеет пароль

has_started

Документ содержит события запуска (процесса, устройства)

has_stopped

Документ содержит событие остановки (процесса, устройства)

hash

Хеш файла (wsindexer)

hidden

Письмо содержит скрытое вложение (MAPI)

Host

Доменное имя в URL'е (HTTP протокол)

host_name

Имя хоста в браузер-активности

hour_activity

Почасовой расклад активности

idx

Индекс, которому принадлежит файл (wsindexer)

inclusion_count

Количество включений

intercept_date

Дата перехвата

intercept_time

Время перехвата

intercept_unix_time

Дата-время перехвата в unix-time формате

known_post_form

Распознана известная системе POST-форма (HTTP протокол)

last_active_unix_time

Дата-время последней активности в суточном документе в unix-time формате (десктоп-активность, браузер-активность, аудит устройств)

limit_reached

Достигнут предел по размеру данных

link_forum

Ссылка на веб-страницу форума и т.д.

link_guid

Идентификатор связанного документа

local_contacts

Контакты в локальной системе

local_display_name

Отображаемое имя пользователя в локальной системе

local_email

Почтовый адрес локального пользователя

local_ip

IP адрес ПК

local_ip0(..3)

IP адрес ПК (один октет)

local_ipv6

IPv6 адрес ПК

local_nickname

Ник локального пользователя

local_phone

Телефон локального пользователя

local_port

Локальный порт

local_url

Локальный URL

local_user

Имя локального пользователя

local_user_dn

Отображаемое имя локального пользователя

machine_dns_name

Доменное имя ПК

machine_domain_sid

Доменный SID ПК

machine_name

Имя ПК (чаще всего совпадает с machine_dns_name)

machine_sid

SID ПК

MailFrom

Отправитель

message_count

Количество сообщений

messenger_name

Название месенджера

messenger_type

Тип месенджера (чаще web или desktop)

MimeType

MIME-тип документа

minute_activity

Поминутный расклад активности

mismatch_ext

Расширение не соответствует формату файла

modify_date

Дата изменения

modify_time

Время изменения

only_header

Только заголовок (IMAP)

operationtype

Тип операции с файлом (чтение, запись, теневое копирование, аудит)

original_ext

Расширение файла при перехвате

original_name

Имя файла

original_size

Размер файла

overfilesize

Теневая копия файла превысила допустимый размер, заданный в настройках

overstoragesize

При создании теневой копии файла превышен допустимый размер хранилища копий

pages_count

Количество распечатанных страниц

pars_guid

Идентификатор парсера в веб-коммуникациях

Pass

Какой-то пароль (FTP, IMAP, POP3, SMTP)

post_form_name

Имя POST-формы (HTTP)

post_form_type

Тип POST-формы (обычно WebMail)

printer_name

Название принтера

process_company

Название вендора ПО из процесса

process_desc

Описание процесса

process_id

Идентификатор процесса

process_name

Название процесса

process_path

Полный путь файла процесса

product_name

Название продукта (для процессов)

Profile

Профайл mapi outlook

ProtocolName

Название протокола перехвата

RcptTo

Поле RcptTo в SMTP и HTTP (KerioConnectPost)

recipient_count

Количество получателей (для почтовых протоколов и переписок)

recognized_speech

Распознанное голосовое содержимое (yes or no)

recognized_stamps

Распознанная печать (yes or no)

recognized_stamps_info

Распознанная печать (координаты)

recognized_text

Распознанный текст (yes or no)

remote_contacts

Удаленные контакты

remote_display_name

Отображаемое имя удаленного пользователя

remote_email

Почтовый адрес удаленного пользователя

remote_ip

Удаленный IP (куда уходила информация)

remote_ip0(..3)

Удаленный IP (один октет)

remote_ipv6

Удаленный IPv6 (куда уходила информация)

remote_nickname

Ник удаленного пользователя

remote_phone

Телефон удаленного пользователя

remote_port

Удаленный порт

remote_url

Удаленный URL

remote_user

Удаленный пользователь

rule

Правило

screenshot_count

Количество скриншотов (за сутки)

screenshot_count_hours

Количество скриншотов (по часам)

search_query_count

Количество поисковых запросов

search_query_count_hours

Количество поисковых запросов (по часам)

sender_display_name

Отображаемое имя пользователя (отправитель)

sender_email

Идентификатор почтового ящика отправителя

sender_is_emty

Отправитель не указан

sender_nickname

Ник отправителя

sender_phone

Телефон отправителя

sender_url

URL отправителя

sender_user

Имя пользователя отправителя

sender_user_dn

UserDN отправителя

sent_msg_count_00(..23)

Количество отправленных сообщений (возможно для статистических документов)

sent_msg_count_hours

Количество отправленных сообщений (по часам)

Subject

Тема письма

subject_is_empty

Тема письма отсутствует

sum_activity

Суммарная активность в секундах

thumb_screenshot

Миниатюра скриншота (yes)

timestamp_update

Временная метка обновления документа (внутренний атрибут)

title

Заглавие окна процесса (буфер обмена и кейлоггер)

To

Получатель (адрес)

to_contains_external_emails

Получатель содержит внешние почтовые адреса (для почты, перехваченной с почтового сервера)

to_contains_internal_emails

Получатель содержит внутренние почтовые адреса (для почты, перехваченной с почтового сервера)

top_document

Документ верхнего уровня (yes or no)

truncated

Содержимое документа обрезано

type_msg

Тип сообщения в веб-коммуникациях и mapi (conv, comments, mail и mapioverhook)

tz_bias

Сдвиг часового пояса

URI

Унифицированный идентификатор ресурса

url_count

Количество URL

url_count_hours

Количество URL (по часам)

user_display_name

Отображаемое имя пользователя

user_hour_activity

Почасовая активность пользователя

user_hour_inactivity

Почасовая неактивность (простой) пользователя

user_minute_activity

Поминутная активность пользователя

user_minute_inactivity

Поминутная неактивность (простой) пользователя

user_name

Имя пользователя

user_sid

SID пользователя

user_sum_activity

Суммарная активность пользователя за сутки

user_sum_inactivity

Суммарное время простоя пользователя за сутки

web_space_name

Название web коммуникации (например, mail.ru)

web_space_type

Тип web коммуникации