云安全中心日志服务默认开启安全日志、网络日志、主机日志三大类日志,全面实时防护您的资产。

云安全中心默认开启以下三大类日志:

  • 安全日志
    • 漏洞日志
    • 基线日志
    • 安全告警日志
  • 网络日志
    • DNS解析日志
    • 本地DNS日志
    • 网络会话日志
    • WEB访问日志
    说明 仅企业版用户支持查看网络日志,高级版用户不支持。高级版用户在云安全中心控制台日志分析页面仅能查看安全日志和主机日志。
  • 主机日志
    • 进程启动日志
    • 网络连接日志
    • 登录流水日志
    • 暴力破解日志
    • 进程快照
    • 账号快照
    • 端口快照

安全日志

安全日志参数说明见下表:

日志类型 主题(__topic__ 描述 采集周期
漏洞日志 sas-vul-log 漏洞相关的日志。 实时采集。
基线日志 sas-hc-log 基线风险相关的日志。 实时采集。
安全告警日志 sas-security-log 安全告警相关的日志。 实时采集。

网络日志

网络日志参数说明见下表:

日志类型 主题(__topic__ 描述 采集周期
DNS解析日志 sas-log-dns 外网DNS流量的相关日志。 延迟2小时采集。
本地DNS日志 local-dns 内网DNS流量相关的日志。 延迟1小时采集。
网络会话日志 sas-log-session 特定协议的网络日志。 延迟1小时采集。
WEB访问日志 sas-log-http 服务器与外网通信的HTTP流量日志。 延迟1小时采集。

主机日志

主机日志参数说明见下表:

日志类型 主题(__topic__ 描述 采集周期
进程启动日志 aegis-log-process 服务器上进程启动相关的日志。 实时采集,进程启动立刻上报。
网络连接日志 aegis-log-network 服务器连接的五元组相关的日志。
  • Windows系统:实时采集。
  • Linux系统:每隔10秒采集,增量上报。
登录流水日志 aegis-log-login SSH、RDP登录成功日志。 实时采集。
暴力破解日志 aegis-log-crack 登录失败相关的日志。 实时采集。
进程快照 aegis-snapshot-process 服务器上进程快照信息。 资产指纹自动收集功能开启后才有数据。每台服务器一天非固定时间收集一次。
账号快照 aegis-snapshot-host 服务器上账户快照信息。 资产指纹自动收集功能开启后才有数据。每台服务器一天非固定时间收集一次。
端口快照 aegis-snapshot-port 服务器上端口侦听快照信息。 资产指纹自动收集功能开启后才有数据。每台服务器一天非固定时间收集一次。