本文档提供了云安全中心支持的14项日志的字段说明。
网络日志
DNS日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| additional | additional字段,竖线分隔 | - | - |
| additional_num | additional字段数量 | 0 | - |
| answer | DNS回答信息,竖线分隔 | abc.com A IN 52 1.2.3.4 | - |
| answer_num | DNS回答信息数量 | 1 | - |
| authority | authority字段 | a1.a2.com NS IN 17597 b1.b2.com | - |
| authority_num | authority字段数量 | 1 | - |
| client_subnet | 客户端子网 | 172.168.100.1 | - |
| dst_ip | 目标IP | 1.2.3.4 | - |
| dst_port | 目标端口 | 53 | - |
| in_out | 数据的传输方向,in代表流入,out代表流出 | out | - |
| qid | 查询ID | 12345 | - |
| qname | 查询域名 | abc.com | - |
| qtype | 查询类型 | A | - |
| query_datetime | 查询时间戳(毫秒) | 1537840756263 | - |
| rcode | 返回代码 | 0 | - |
| region | 来源区域ID | 1 | 1-北京,2-青岛,3-杭州,4-上海,5-深圳,6-其它 |
| response_datetime | 返回时间 | 2018-09-25 09:59:16 | - |
| src_ip | 源IP | 1.2.3.4 | - |
| src_port | 源端口 | 1234 | - |
本地DNS日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| answer_rda | DNS回答信息,竖线分隔 | abc.com | - |
| answer_ttl | DNS回答的时间周期,竖线分隔 | 100 | - |
| answer_type | DNS回答的类型,竖线分隔 | 1 | - |
| anwser_name | DNS回答的名称,竖线分隔 | abc.com | - |
| dest_ip | 目标IP | 1.2.3.4 | - |
| dest_port | 目标端口 | 53 | - |
| group_id | 分组ID | 3 | - |
| hostname | 主机名 | host.abc.com | - |
| id | 主机IP地址 | 1.2.3.4 | - |
| instance_id | 实例ID | 1.2.3.4 | - |
| internet_ip | 互联网IP | 1.2.3.4 | - |
| ip_ttl | IP的周期 | 64 | - |
| query_name | 查询域名 | abc.com | - |
| query_type | 查询类型 | A | - |
| src_ip | 源IP | 1.2.3.4 | - |
| src_port | 源端口 | 1234 | - |
| time | 查询时间戳(秒) | 1537840756 | - |
| time_usecond | 响应耗时(微秒) | 49069 | - |
| tunnel_id | 通道ID | 1234 | - |
网络会话日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| asset_type | 关联的资产类型 | ECS | 可能值有ECS/SLB/RDS等 |
| dst_ip | 目标IP | 1.2.3.4 | - |
| dst_port | 目标端口 | 53 | - |
| proto | 协议类型 | tcp | 可能值有tcp或udp等 |
| session_time | Session时间 | 2018-09-25 09:59:49 | - |
| src_ip | 源IP | 1.2.3.4 | - |
| src_port | 源端口 | 1234 | - |
Web日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| content_length | 内容长度 | 123 | - |
| dst_ip | 目标IP | 1.2.3.4 | - |
| dst_port | 目标端口 | 53 | - |
| host | 访问主机名 | host.abc.com | - |
| jump_location | 重定向地址 | 123 | - |
| method | HTTP访问 | GET | - |
| referer | 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接 | www.abc.com | - |
| request_datetime | 请求时间 | 2018-09-25 09:58:37 | - |
| ret_code | 返回状态值 | 200 | - |
| rqs_content_type | 请求内容类型 | text/plain;charset=utf-8 | - |
| rsp_content_type | 响应内容类型 | text/plain; charset=utf-8 | - |
| src_ip | 源IP | 1.2.3.4 | - |
| src_port | 源端口 | 1234 | - |
| uri | 请求URI | /report | - |
| user_agent | 向用户客户端发起的请求 | okhttp/3.2.0 | - |
| x_forward_for | 路由跳转信息 | 1.2.3.4 | - |
安全日志
漏洞日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| name | 漏洞名称 | oval:com.redhat.rhsa:def:20182390 | - |
| alias_name | 漏洞别名 | RHSA-2018:2390: kernel security and bug fix update | - |
| op | 操作信息 | new | 可能值有:new(新增)/verify(验证)/fix(修复) |
| status | 状态信息,参考后续列表 | 1 | - |
| tag | 漏洞标签:oval, system, cms等,主要区分EMG紧急漏洞 | oval | - |
| type | 漏洞类型:sys(windows漏洞)、cve(Linux漏洞)、cms(Web CMS漏洞)、EMG (紧急漏洞)等 | sys | - |
| uuid | 客户端号 | 1234-b7ca-4a0a-9267-123456 | - |
基线日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| level | 级别 | low | 可能值有low、mediam、high |
| op | 操作信息 | new | 可能值有new(新增)/verify(验证) |
| risk_name | 风险名称 | 密码策略合规检测 | - |
| status | 状态信息 | 1 | 详见后续基线type-sub-type列表 |
| sub_type_alias | 子类型别名(中文) | 系统账户安全 | - |
| sub_type_name | 子类型名称 | system_account_security | - |
| type_name | 类型名称 | account | - |
| type_alias | 类型别名(中文) | 1 | - |
| uuid | 客户端号 | 12345-b7ca-4a0a-9267-123456 | - |
基线type-sub-type列表
| type_name | sub_type_name |
|---|---|
| system | baseline |
| weak_password | postsql_weak_password |
| database | redis_check |
| account | system_account_security |
| account | system_account_security |
| weak_password | mysq_weak_password |
| weak_password | ftp_anonymous |
| weak_password | rdp_weak_password |
| system | group_policy |
| system | register |
| account | system_account_security |
| weak_password | sqlserver_weak_password |
| system | register |
| weak_password | ssh_weak_password |
| weak_password | ftp_weak_password |
| cis | centos7 |
| cis | tomcat7 |
| cis | memcached-check |
| cis | mongodb-check |
| cis | ubuntu14 |
| cis | win2008_r2 |
| system | file_integrity_mon |
| cis | linux-httpd-2.2-cis |
| cis | linux-docker-1.6-cis |
| cis | SUSE11 |
| cis | redhat6 |
| cis | bind9.9 |
| cis | centos6 |
| cis | debain8 |
| cis | redhat7 |
| cis | SUSE12 |
| cis | ubuntu16 |
安全日志状态码
| 状态值 | 描述 |
|---|---|
| 1 | 未修复 |
| 2 | 修复失败 |
| 3 | 回滚失败 |
| 4 | 修复中 |
| 5 | 回滚中 |
| 6 | 验证中 |
| 7 | 修复成功 |
| 8 | 修复成功待重启 |
| 9 | 回滚成功 |
| 10 | 忽略 |
| 11 | 回滚成功待重启 |
| 12 | 已不存在 |
| 20 | 已失效 |
安全告警日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| data_source | 数据源 | aegis_login_log | 参考后续安全告警data_source列表 |
| level | 告警级别 | 可能值有suspicious | 可能值有suspicious,serious,remind等 |
| name | 名称 | Suspicious Process-SSH-based Remote Execution of Non-interactive Commands | - |
| op | 操作信息 | new | 可能的值有new(新增)/dealing(处理) |
| status | 状态信息 | 1 | 参考前述status列表 |
| uuid | 客户端号 | 12345-b7ca-4a0a-9267-123456 | - |
安全告警data_source列表
| 值 | 描述 |
|---|---|
| aegis_suspicious_event | 主机异常 |
| aegis_suspicious_file_v2 | Webshell |
| aegis_login_log | 异常登录 |
| security_event | 安全中心异常事件 |
主机日志
进程启动日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端主机的IP地址 | 1.2.3.4 | - |
| cmdline | 用户启动完整命令行 | cmd.exe /C "netstat -ano“ | - |
| username | 用户名 | administrator | - |
| uid | 用户ID | 123 | - |
| pid | 进程ID | 7100 | - |
| filename | 进程文件名 | cmd.exe | - |
| filepath | 进程文件完整路径 | C:/Windows/SysWOW64/cmd.exe | - |
| groupname | 用户组 | group1 | - |
| ppid | 父进程ID | 2296 | - |
| pfilename | 父进程文件名 | client.exe | - |
| pfilepath | 父进程文件完整路径 | D:/client/client.exe | - |
进程快照日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端主机的IP地址 | 1.2.3.4 | - |
| cmdline | 用户启动完整命令行 | cmd.exe /C "netstat -ano" | - |
| pid | 进程ID | 7100 | - |
| name | 进程文件名 | cmd.exe | - |
| path | 进程文件完整路径 | C:/Windows/SysWOW64/cmd.exe | - |
| md5 | 进程文件名MD5 | d0424c22dfa03f6e4d5289f7f5934dd4 | 超过1MB的进程文件不进行计算 |
| pname | 父进程文件名 | client.exe | - |
| start_time | 进程启动时间 | 2018-01-18 20:00:12 | 内置字段 |
| user | 用户名 | administrator | - |
| uid | 用户ID | 123 | - |
登录日志
说明 1分钟内的重复登录会被合并为1条日志,字段
warn_count表示次数。
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端主机的IP地址 | 1.2.3.4 | - |
| warn_ip | 登录来源IP | 1.2.3.4 | - |
| warn_port | 登录端口 | 22 | - |
| warn_type | 登录类型 | SSHLOGIN | 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等 |
| warn_user | 登录用户名 | admin | - |
| warn_count | 登录次数 | 3 | 表示这次登录前1分钟内还发送了2次 |
暴力破解日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端机器IP | 1.2.3.4 | - |
| warn_ip | 登录来源IP | 1.2.3.4 | - |
| warn_port | 登录端口 | 22 | - |
| warn_type | 登录类型 | SSHLOGIN | 可能值有:SSHLOGIN(SSH登录)、RDPLOGIN(远程桌面登录)、IPCLOGIN等 |
| warn_user | 登录用户名 | admin | - |
| warn_count | 失败登录次数 | 3 | - |
主机网络连接日志
说明 主机上每隔10秒到1分钟会收集变化的网络连接,而一个网络连接的状态收集从建立到结束过程中的部分状态。
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端机器IP | 1.2.3.4 | - |
| src_ip | 源IP | 1.2.3.4 | - |
| src_port | 源端口 | 41897 | - |
| dst_ip | 目标IP | 1.2.3.4 | - |
| dst_port | 目标端口 | 22 | - |
| proc_name | 进程名 | java | - |
| proc_path | 进程路径 | /hsdata/jdk1.7.0_79/bin/java | - |
| proto | 协议 | tcp | 其他可能的协议有udp和raw(表示raw socket) |
| status | 连接状态 | 5 | 完整连接状态列表和描述,参考网络连接状态描述列表 |
网络连接状态描述列表
| 状态值 | 描述 |
|---|---|
| 1 | closed |
| 2 | listen |
| 3 | syn send |
| 4 | syn recv |
| 5 | establisted |
| 6 | close wait |
| 7 | closing |
| 8 | fin_wait1 |
| 9 | fin_wait2 |
| 10 | time_wait |
| 11 | delete_tcb |
端口监听快照
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端机器IP | 1.2.3.4 | - |
| proto | 协议 | tcp | 可能的协议有tcp、udp和raw(表示raw socket) |
| src_ip | 监听IP | 1.2.3.4 | - |
| src_port | 监听端口 | 41897 | - |
| pid | 进程ID | 7100 | - |
| proc_name | 进程名 | java | - |
账户快照
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| __time__ | 连接时间 | 2018-02-27 11:58:15 | - |
| __topic__ | 主题 | 固定为sas-vul-log | - |
| name | 漏洞名称 | oval:com.redhat.rhsa:def:20182390 | - |
| alias_name | 漏洞别名 | RHSA-2018:2390: kernel security and bug fix update | - |
| op | 操作信息:new(新增)/verify(验证)/fix(修复) | new | - |
| status | 状态信息,参考后续列表 | 1 | - |
| tag | 漏洞标签:oval、 system、cms等,主要区分EMG紧急漏洞。 | oval | - |
| type | 漏洞类型:sys(windows漏洞)、cve(Linux漏洞)、cms(Web CMS漏洞)、 EMG (紧急漏洞)等 | sys | - |
| uuid | 客户端号 | 1234-b7ca-4a0a-9267-123456 | - |
漏洞日志
| 字段名 | 名称 | 示例 | 备注 |
|---|---|---|---|
| uuid | 客户端号 | 5d83b26b-b7ca-4a0a-9267-123456 | - |
| ip | 客户端机器IP | 1.2.3.4 | - |
| proto | 协议 | tcp | 可能的协议有tcp、udp和raw(表示raw socket) |
| src_ip | 监听IP | 1.2.3.4 | - |
| src_port | 监听端口 | 41897 | - |
| pid | 进程ID | 7100 | - |
| proc_name | 进程名 | java | - |
在文档使用中是否遇到以下问题
更多建议
匿名提交