Event Log Message Descriptions M580 CPUs (firmware V4.0 and later), BMECRA31310, and BMENOR2200H (firmware V3.01 and later)
This topic presents event log message descriptions for:
-
M580 CPUs with firmware version 4.0 and later (abbreviated “CPU” in column Devices), and
-
BMECRA31310 adapters (abbreviated “CRA” in column Devices)
-
BMENOR2200H RTU modules with firmware version 3.01 and later (abbreviated “eNOR” in column Devices)
Event Log Message Descriptions M580 CPUs (firmware V4.0 and later), BMECRA31310, and BMENOR2200H (firmware V3.01 and later)
| Event Title | Event Description | Event additional Description | Severity | PROCID | MSGID | STRUCTURED-DATA | MSG | Devices |
|---|---|---|---|---|---|---|---|---|
|
Successful connection |
All successful connection from a user (human or a component) to a component whether through an encrypted protocol or through an unencrypted protocol if allowed by the customer security policy |
Successful login (Web Server via HTTPS) |
6 |
« HTTPS » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Logon » |
CPU, eNOR |
|
Successful login (Firmware upgrade via HTTPS) |
6 |
« HTTPS » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Logon » |
CPU CRA, eNOR |
||
|
Successful login (OPC-UA) |
6 |
« OPC-UA » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket connection » |
CPU |
||
|
Successful login (Unity Application password via Modbus-Umas)Mode standard only |
6 |
« MODBUS-UMAS » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Logon » |
CPU |
||
|
Successful Modbus TCP connection (no user) |
6 |
« MODBUS » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket connection » |
CPU CRA, eNOR |
||
|
Successful HTTP/DPWS connection |
6 |
« HTTP » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket connection » |
CPU |
||
|
Successful EIP Explicit TCP connection (no user) |
6 |
« EIP » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket connection » |
CPU CRA |
||
|
Successful DNP3 connection (no user) |
6 |
« DNP3 » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username] » |
« Socket connection » |
eNOR |
||
|
Successful IEC 60870 connection (no user) |
6 |
« IEC60870 » |
« CONNECTION_SUCCESS » |
« [meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username] » |
« Socket connection » |
eNOR |
||
|
Connection Problem |
All unsuccesful connections from a user (human or a component) to a component whether through an encrypted protocol or through an unencrypted protocol if allowed by the customer security policy |
Login problem (Unity Application password via Modbus-Umas) |
5 |
« MODBUS-UMAS » |
« CONNECTION_FAILURE » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Invalid password » |
CPU |
|
Modbus TCP connection problem (no user) |
5 |
« MODBUS » |
« CONNECTION_FAILURE » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Max connections reached » « Filtered data flow » |
CPU CRA, eNOR |
||
|
EIP Explicit TCP connection problem (no user) |
5 |
« EIP » |
« CONNECTION_FAILURE » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Max connections reached » « Filtered data flow » |
CPU CRA |
||
|
DNP3 connection problem (no user) |
5 |
« DNP3 » |
« CONNECTION_FAILURE » |
« [meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username] » |
« Max connections reached » |
eNOR |
||
|
IEC60870 connection problem (no user) |
5 |
« IEC60870 » |
« CONNECTION_FAILURE » |
« [meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username] » |
« Max connections reached » |
eNOR |
||
|
Human user account locking due to too many problems during the authentication attempts |
The security policy may request to block a human user account after a configurable number of attempts. This event informs administrator about potential attack & that the human user account must be unlocked. |
Login problem (Web Server via HTTPS). Human user account locking due to too many problems during the authentication attempts |
1 |
« HTTPS » |
« CONNECTION_FAILURE_AND_BLOCK » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Invalid certificate » « Invalid password » |
CPU, eNOR |
|
Login problem (firmware upgrade via HTTPS). Human user account locking due to too many unsuccessful authentication attempts |
1 |
« HTTPS » |
« CONNECTION_FAILURE_AND_BLOCK » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Invalid certificate » « Invalid password » |
CPU CRA, eNOR |
||
|
Login problem (OPC-UA). Human user account locking due to too many problems during the authentication attempts |
1 |
« OPC-UA » |
« CONNECTION_FAILURE_AND_BLOCK » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Invalid certificate » » Invalid password » |
— |
||
|
Denied login (account is blocked) |
A human user tries to connect on an account already blocked. |
Login problem (Web Server via HTTPS). Denied login (account is blocked) |
1 |
« HTTPS » |
« CONNECTION_FAILURE_ON_BLOCKED » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« » |
CPU, eNOR |
|
Login problem (firmware upgrade via HTTPS). Denied login (account is blocked) |
1 |
« HTTPS » |
« CONNECTION_FAILURE_ON_BLOCKED » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« » |
CPU CRA |
||
|
Login problem (OPC-UA). Denied login (account is blocked) |
1 |
« OPC-UA » |
« CONNECTION_FAILURE_ON_BLOCKED » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« » |
— |
||
|
Disconnection |
A human or a component disconnect manually of after a timeout due to inactivity. |
HTTPS disconnection (Web Server) |
6 |
« HTTPS » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Manual logout » |
CPU, eNOR |
|
HTTPS disconnection (Firmware Upgrade) |
6 |
« HTTPS » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Manual logout » |
CPU CRA, eNOR |
||
|
OPC-UA disconnection |
6 |
« OPC-UA » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket disconnection » |
CPU |
||
|
Modbus disconnection |
6 |
« MODBUS » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket disconnection » |
CPU CRA |
||
|
EIP Explicit disconnection |
6 |
« EIP » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket disconnection » |
CPU CRA |
||
|
HTTP disconnection (DPWS) |
6 |
« HTTP » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Socket disconnection » |
CPU |
||
|
HTTPS Disconnection triggered by a timeout |
6 |
« HTTPS » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Timeout logout » |
CPU CRA, eNOR |
||
|
OPC-UA Disconnection triggered by a timeout |
6 |
« OPC-UA » |
« DISCONNECTION » |
« [meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username] » |
« Timeout logout » |
— |
||
|
DNP3 disconnection |
6 |
« DNP3 » |
« DISCONNECTION » |
« [meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username] » |
« Socket disconnection » |
eNOR |
||
|
IEC 60870 disconnection |
6 |
« IEC60870 » |
« DISCONNECTION » |
« [meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username] » |
« Socket disconnection » |
eNOR |
||
|
Major parameter change at Run Time |
Major Parameters run time change that can cause significant impact on the system |
PLC application parameters change: cycle time |
6 |
« Configuration » |
« PARAMETER_SET » |
« [meta sequenceId=num] [config@3833 object= »PLC application » value=value] » |
« Scan time » |
CPU |
|
Backup operation |
Backup of part or total of component |
Download of Application from the PLC |
6 |
« Backup » |
« BACKUP » |
« [meta sequenceId=num] [backup@3833 object= »PLC application »] » |
« » |
CPU |
|
Export of Cybersecurity Configuration from BME NUA or BME NOR web pages |
6 |
« Backup » |
« BACKUP » |
« [meta sequenceId=num] [backup@3833 object= »Cybersecurity configuration »] » |
« » |
eNOR |
||
|
Restore operation |
Restore of part or total of component |
Upload of a configuration inside a Module |
6 |
« Configuration » |
« CONFIGURATION_CHANGE » |
« [meta sequenceId=num] [config@3833 object= »Module » |
« » |
CRA |
|
Upload of PLC Application/Configuration inside the PLC |
6 |
« Configuration » |
« CONFIGURATION_CHANGE » |
« [meta sequenceId=num] [config@3833 object=Object Object = « PLC application » or « PLC configuration » |
« » |
CPU |
||
|
Restore of PLC Application inside the PLC |
6 |
« Backup » |
« RESTORE » |
« [meta sequenceId=num] [backup@3833 object= »PLC application »] » |
« » |
CPU |
||
|
Import of Cybersecurity Configuration from BME NUA or BME NOR web pages |
6 |
« Backup » |
« RESTORE » |
« [meta sequenceId=num] [backup@3833 object= »Cybersecurity configuration »] » |
« » |
eNOR |
||
|
Firmware update |
A new firmware has been successfully verified and installed. |
Upload of a new firmware in the device PLC, Copro, Web pages |
6 |
« Configuration » |
« FIRMWARE_UPDATE » |
« [meta sequenceId=num] [config@3833 object=Object value=version] »Object = « Firmware », « Safety copro », « Web pages » |
« » |
CPU CRA, eNOR |
|
Invalid firmware update |
A new firmware was not installed due to an error. |
A new firmware was not installed because of an incompatible version or invalid signature |
1 |
« Configuration » |
« FIRMWARE_INVALID » |
« [meta sequenceId=num] [config@3833 object=Object value=version] »Object = « Firmware », « Safety copro », « Web pages » |
« Incompatible version » « Invalid signature » |
CPU CRA, eNOR |
|
Modification of the time of the device |
A human user request to change time and date. |
— |
5 |
« Configuration » |
« TIME_CHANGE » |
« [meta sequenceId=num] [config@3833 object=« Time » value=datetime] » |
« » |
CPU |
|
Time signal out of tolerance |
The component shall validate time synchronization messages received through time synchronization channels and alarm if the time synchronization message is not within the tolerances of the component internal/local clock (time in the past, far away, …) |
— |
1 |
« Configuration » |
« TIME_UNEXPECTED » |
« [meta sequenceId=num] [config@3833 object= »Time » value=datetime] » |
« Time signal out of tolerance » |
— |
|
Hardware change |
Change detected in network topology |
network physical port change: port link up/down |
6 |
« System » |
« HARDWARE_CHANGE » |
[system@3833 object=Object ]Object = « eth » followed by decimal number |
« Port link up » « Port link down » |
CPU CRA |
|
Any topology change detected from RSTP / HSR / PRP |
6 |
« System » |
« HARDWARE_CHANGE » |
[system@3833 object=Object ]Object = « eth » followed by decimal number |
Port enable Port disable Port learning Port forward Port blocking |
CPU CRA |
||
|
Change detected in Hardware |
M580 SD card insertion/extraction |
6 |
« System » |
« HARDWARE_CHANGE » |
[system@3833 object= »SDCard » ] |
« Insertion » « Extraction » |
CPU |
|
|
Operating mode change |
Program Operating Mode change (Run, Stop, Init, halt)Mode Maintenance / SafeRun / Stop SAFE Task |
— |
5 |
« System » |
« OPERATING_MODE_CHANGE » |
[system@3833 object=Object ]Object = « PLC » or « PLC safe task » or « Module » |
« Init » « Run » « Stop » « Halt » « Maintenance mode » « Safe mode » « Hsby primary » « Hsby secondary » « Hsby wait » « Master » « Non master » |
CPU CRA |
|
Invalid configuration(Outside Cybersecurity) |
A new (not cybersecurity) configuration was not installed due to an error. |
Data integrity error (PLC Application, …) |
1 |
« Configuration » |
« CONFIGURATION_INVALID » |
« [meta sequenceId=num] [config@3833 object=Object value=version] »Object= »PLC application » or « Module configuration » |
« Invalid format » « Incompatible version » |
— |
|
Reboot |
Hardware reset or automatic reset after firmware upload |
— |
1 |
« System » |
« REBOOT » |
— |
« Firmware update » « Reset button » |
CPU CRA CRA does not implement Reboot event after Reset button. |
|
Product certificate (and/or keys) modification |
Certificate Management:SL1Product Self-Signed certificate creation |
— |
6 |
« Credential » |
« CERTIFICATE_CHANGE » |
« [meta sequenceId=num] [cred@3833 name=CommonName] » |
« Certificate creation » |
CPU CRA |
NOTE: In addition to the structure described above, each message will also contain the following two fields and values:
-
Facility = 10
-
HOSTNAME = Fully Qualified Domain Name (FQDN) or local IP address
-
APPNAME = Commercial reference name, for example, BMEP584040