本文档提供了云安全中心支持的14项日志的字段说明。

网络日志

DNS日志

字段名 名称 示例 备注
additional additional字段,竖线分隔 - -
additional_num additional字段数量 0 -
answer DNS回答信息,竖线分隔 abc.com A IN 52 1.2.3.4 -
answer_num DNS回答信息数量 1 -
authority authority字段 a1.a2.com NS IN 17597 b1.b2.com -
authority_num authority字段数量 1 -
client_subnet 客户端子网 172.168.100.1 -
dst_ip 目标IP 1.2.3.4 -
dst_port 目标端口 53 -
in_out 数据的传输方向,in代表流入,out代表流出 out -
qid 查询ID 12345 -
qname 查询域名 abc.com -
qtype 查询类型 A -
query_datetime 查询时间戳(毫秒) 1537840756263 -
rcode 返回代码 0 -
region 来源区域ID 1 1-北京,2-青岛,3-杭州,4-上海,5-深圳,6-其它
response_datetime 返回时间 2018-09-25 09:59:16 -
src_ip 源IP 1.2.3.4 -
src_port 源端口 1234 -

本地DNS日志

字段名 名称 示例 备注
answer_rda DNS回答信息,竖线分隔 abc.com -
answer_ttl DNS回答的时间周期,竖线分隔 100 -
answer_type DNS回答的类型,竖线分隔 1 -
anwser_name DNS回答的名称,竖线分隔 abc.com -
dest_ip 目标IP 1.2.3.4 -
dest_port 目标端口 53 -
group_id 分组ID 3 -
hostname 主机名 host.abc.com -
id 主机IP地址 1.2.3.4 -
instance_id 实例ID 1.2.3.4 -
internet_ip 互联网IP 1.2.3.4 -
ip_ttl IP的周期 64 -
query_name 查询域名 abc.com -
query_type 查询类型 A -
src_ip 源IP 1.2.3.4 -
src_port 源端口 1234 -
time 查询时间戳(秒) 1537840756 -
time_usecond 响应耗时(微秒) 49069 -
tunnel_id 通道ID 1234 -

网络会话日志

字段名 名称 示例 备注
asset_type 关联的资产类型 ECS 可能值有ECS/SLB/RDS等
dst_ip 目标IP 1.2.3.4 -
dst_port 目标端口 53 -
proto 协议类型 tcp 可能值有tcp或udp等
session_time Session时间 2018-09-25 09:59:49 -
src_ip 源IP 1.2.3.4 -
src_port 源端口 1234 -

Web日志

字段名 名称 示例 备注
content_length 内容长度 123 -
dst_ip 目标IP 1.2.3.4 -
dst_port 目标端口 53 -
host 访问主机名 host.abc.com -
jump_location 重定向地址 123 -
method HTTP访问 GET -
referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接 www.abc.com -
request_datetime 请求时间 2018-09-25 09:58:37 -
ret_code 返回状态值 200 -
rqs_content_type 请求内容类型 text/plain;charset=utf-8 -
rsp_content_type 响应内容类型 text/plain; charset=utf-8 -
src_ip 源IP 1.2.3.4 -
src_port 源端口 1234 -
uri 请求URI /report -
user_agent 向用户客户端发起的请求 okhttp/3.2.0 -
x_forward_for 路由跳转信息 1.2.3.4 -

安全日志

漏洞日志

字段名 名称 示例 备注
name 漏洞名称 oval:com.redhat.rhsa:def:20182390 -
alias_name 漏洞别名 RHSA-2018:2390: kernel security and bug fix update -
op 操作信息 new 可能值有:new(新增)/verify(验证)/fix(修复)
status 状态信息,参考后续列表 1 -
tag 漏洞标签:oval, system, cms等,主要区分EMG紧急漏洞 oval -
type 漏洞类型:sys(windows漏洞)、cve(Linux漏洞)、cms(Web CMS漏洞)、EMG (紧急漏洞)等 sys -
uuid 客户端号 1234-b7ca-4a0a-9267-123456 -

基线日志

字段名 名称 示例 备注
level 级别 low 可能值有low、mediam、high
op 操作信息 new 可能值有new(新增)/verify(验证)
risk_name 风险名称 密码策略合规检测 -
status 状态信息 1 详见后续基线type-sub-type列表
sub_type_alias 子类型别名(中文) 系统账户安全 -
sub_type_name 子类型名称 system_account_security -
type_name 类型名称 account -
type_alias 类型别名(中文) 1 -
uuid 客户端号 12345-b7ca-4a0a-9267-123456 -

基线type-sub-type列表

type_name sub_type_name
system baseline
weak_password postsql_weak_password
database redis_check
account system_account_security
account system_account_security
weak_password mysq_weak_password
weak_password ftp_anonymous
weak_password rdp_weak_password
system group_policy
system register
account system_account_security
weak_password sqlserver_weak_password
system register
weak_password ssh_weak_password
weak_password ftp_weak_password
cis centos7
cis tomcat7
cis memcached-check
cis mongodb-check
cis ubuntu14
cis win2008_r2
system file_integrity_mon
cis linux-httpd-2.2-cis
cis linux-docker-1.6-cis
cis SUSE11
cis redhat6
cis bind9.9
cis centos6
cis debain8
cis redhat7
cis SUSE12
cis ubuntu16

安全日志状态码

状态值 描述
1 未修复
2 修复失败
3 回滚失败
4 修复中
5 回滚中
6 验证中
7 修复成功
8 修复成功待重启
9 回滚成功
10 忽略
11 回滚成功待重启
12 已不存在
20 已失效

安全告警日志

字段名 名称 示例 备注
data_source 数据源 aegis_login_log 参考后续安全告警data_source列表
level 告警级别 可能值有suspicious 可能值有suspicious,serious,remind等
name 名称 Suspicious Process-SSH-based Remote Execution of Non-interactive Commands -
op 操作信息 new 可能的值有new(新增)/dealing(处理)
status 状态信息 1 参考前述status列表
uuid 客户端号 12345-b7ca-4a0a-9267-123456 -

安全告警data_source列表

描述
aegis_suspicious_event 主机异常
aegis_suspicious_file_v2 Webshell
aegis_login_log 异常登录
security_event 安全中心异常事件

主机日志

进程启动日志

字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端主机的IP地址 1.2.3.4 -
cmdline 用户启动完整命令行 cmd.exe /C "netstat -ano“ -
username 用户名 administrator -
uid 用户ID 123 -
pid 进程ID 7100 -
filename 进程文件名 cmd.exe -
filepath 进程文件完整路径 C:/Windows/SysWOW64/cmd.exe -
groupname 用户组 group1 -
ppid 父进程ID 2296 -
pfilename 父进程文件名 client.exe -
pfilepath 父进程文件完整路径 D:/client/client.exe -

进程快照日志

字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端主机的IP地址 1.2.3.4 -
cmdline 用户启动完整命令行 cmd.exe /C "netstat -ano" -
pid 进程ID 7100 -
name 进程文件名 cmd.exe -
path 进程文件完整路径 C:/Windows/SysWOW64/cmd.exe -
md5 进程文件名MD5 d0424c22dfa03f6e4d5289f7f5934dd4 超过1MB的进程文件不进行计算
pname 父进程文件名 client.exe -
start_time 进程启动时间 2018-01-18 20:00:12 内置字段
user 用户名 administrator -
uid 用户ID 123 -

登录日志

说明 1分钟内的重复登录会被合并为1条日志,字段warn_count表示次数。
字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端主机的IP地址 1.2.3.4 -
warn_ip 登录来源IP 1.2.3.4 -
warn_port 登录端口 22 -
warn_type 登录类型 SSHLOGIN 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等
warn_user 登录用户名 admin -
warn_count 登录次数 3 表示这次登录前1分钟内还发送了2次

暴力破解日志

字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端机器IP 1.2.3.4 -
warn_ip 登录来源IP 1.2.3.4 -
warn_port 登录端口 22 -
warn_type 登录类型 SSHLOGIN 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等
warn_user 登录用户名 admin -
warn_count 失败登录次数 3 -

主机网络连接日志

说明 主机上每隔10秒到1分钟会收集变化的网络连接,而一个网络连接的状态收集从建立到结束过程中的部分状态。
字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端机器IP 1.2.3.4 -
src_ip 源IP 1.2.3.4 -
src_port 源端口 41897 -
dst_ip 目标IP 1.2.3.4 -
dst_port 目标端口 22 -
proc_name 进程名 java -
proc_path 进程路径 /hsdata/jdk1.7.0_79/bin/java -
proto 协议 tcp 其他可能的协议有udp和raw(表示raw socket)
status 连接状态 5 完整连接状态列表和描述,参考网络连接状态描述列表

网络连接状态描述列表

状态值 描述
1 closed
2 listen
3 syn send
4 syn recv
5 establisted
6 close wait
7 closing
8 fin_wait1
9 fin_wait2
10 time_wait
11 delete_tcb

端口监听快照

字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端机器IP 1.2.3.4 -
proto 协议 tcp 可能的协议有tcp、udp和raw(表示raw socket)
src_ip 监听IP 1.2.3.4 -
src_port 监听端口 41897 -
pid 进程ID 7100 -
proc_name 进程名 java -

账户快照

字段名 名称 示例 备注
__time__ 连接时间 2018-02-27 11:58:15 -
__topic__ 主题 固定为sas-vul-log -
name 漏洞名称 oval:com.redhat.rhsa:def:20182390 -
alias_name 漏洞别名 RHSA-2018:2390: kernel security and bug fix update -
op 操作信息:new(新增)/verify(验证)/fix(修复) new -
status 状态信息,参考后续列表 1 -
tag 漏洞标签:oval、 system、cms等,主要区分EMG紧急漏洞。 oval -
type 漏洞类型:sys(windows漏洞)、cve(Linux漏洞)、cms(Web CMS漏洞)、 EMG (紧急漏洞)等 sys -
uuid 客户端号 1234-b7ca-4a0a-9267-123456 -

漏洞日志

字段名 名称 示例 备注
uuid 客户端号 5d83b26b-b7ca-4a0a-9267-123456 -
ip 客户端机器IP 1.2.3.4 -
proto 协议 tcp 可能的协议有tcp、udp和raw(表示raw socket)
src_ip 监听IP 1.2.3.4 -
src_port 监听端口 41897 -
pid 进程ID 7100 -
proc_name 进程名 java -