本文档提供了云安全中心支持的14项日志的字段说明。
网络日志
DNS解析日志
字段名 | 说明 | 示例 |
---|---|---|
additional | additional字段,竖线分隔。 | 无 |
additional_num | additional字段数量。 | 0 |
answer | DNS回答信息,竖线分隔。 | abc.com A IN 52 1.2.3.4 |
answer_num | DNS回答信息数量。 | 1 |
authority | authority字段。 | a1.a2.com NS IN 17597 b1.b2.com |
authority_num | authority字段数量。 | 1 |
client_subnet | 客户端子网。 | 172.168.100.1 |
dst_ip | 目标IP。 | 1.2.3.4 |
dst_port | 目标端口。 | 53 |
in_out | 数据的传输方向,取值:
|
out |
qid | 查询ID。 | 12345 |
qname | 查询域名。 | abc.com |
qtype | 查询类型。 | A |
query_datetime | 查询时间戳(毫秒)。 | 1537840756263 |
rcode | 返回代码。 | 0 |
region | 来源区域ID。取值:
|
1 |
response_datetime | 返回时间。 | 2018-09-25 09:59:16 |
src_ip | 源IP地址。 | 1.2.3.4 |
src_port | 源端口。 | 22 |
本地DNS日志
字段名 | 说明 | 示例 |
---|---|---|
answer_rda | DNS回答信息,竖线分隔。 | abc.com |
answer_ttl | DNS回答的时间周期,竖线分隔。 | 100 |
answer_type | DNS回答的类型,竖线分隔。 | 1 |
anwser_name | DNS回答的名称,竖线分隔。 | abc.com |
dest_ip | 目标IP地址。 | 1.2.3.4 |
dest_port | 目标端口。 | 53 |
group_id | 分组ID。 | 3 |
hostname | 主机名。 | host.abc.com |
id | 查询的ID。 | 64588 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | 公网IP地址。 | 1.2.3.4 |
ip_ttl | IP的周期。 | 64 |
query_name | 查询的域名。 | abc.com |
query_type | 查询的类型。 | A |
src_ip | 源IP地址。 | 1.2.3.4 |
src_port | 源端口。 | 1234 |
time | 查询时间戳(秒)。 | 1537840756 |
time_usecond | 响应耗时(微秒)。 | 49069 |
tunnel_id | 通道ID。 | 514763 |
网络会话日志
字段名 | 说明 | 示例 |
---|---|---|
asset_type | 关联的资产类型。取值:
|
ECS |
dst_ip | 目标IP地址。 | 1.2.3.4 |
dst_port | 目标端口。 | 53 |
proto | 协议类型。可能取值:
|
tcp |
session_time | 会话开始时间。 | 2018-09-25 09:59:49 |
src_ip | 源IP地址。 | 1.2.3.4 |
src_port | 源端口。 | 54 |
Web访问日志
字段名 | 说明 | 示例 |
---|---|---|
content_length | 内容长度。 | 123 |
dst_ip | 目的IP地址。 | 1.2.3.4 |
dst_port | 目的端口。 | 54 |
host | 访问的主机。 | 47.XX.XX.158:8080 |
jump_location | 重定向地址。 | 123 |
method | HTTP请求方式。 | GET |
referer | 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。 | www.abc.com |
request_datetime | 请求时间。 | 2018-09-25 09:58:37 |
ret_code | 返回状态值。 | 200 |
rqs_content_type | 请求内容类型。 | text/plain;charset=utf-8 |
rsp_content_type | 响应内容类型。 | text/plain; charset=utf-8 |
src_ip | 源IP地址。 | 1.2.3.4 |
src_port | 源端口。 | 54 |
uri | 请求URI。 | /report |
user_agent | 向用户客户端发起的请求。 | okhttp/3.2.0 |
x_forward_for | 路由跳转信息。 | 1.2.3.4 |
安全日志
漏洞日志
字段名 | 说明 | 示例 |
---|---|---|
name | 漏洞名称。 | oval:com.redhat.rhsa:def:20182390 |
alias_name | 漏洞别名。 | RHSA-2018:2390: kernel security and bug fix update |
op | 操作信息。可能取值:
|
new |
status | 漏洞状态信息。 | 1 |
tag | 漏洞标签。取值:
|
oval |
type | 漏洞类型。取值:
|
sys |
uuid | 服务器UUID。 | 1234-b7ca-4a0a-9267-123456 |
基线日志
字段名 | 说明 | 示例 |
---|---|---|
level | 风险项级别。取值:
|
low |
op | 操作信息。取值:
|
new |
risk_name | 风险项名称。 | 密码策略合规检测 |
status | 状态信息。更多信息请参见安全日志状态码。 | 1 |
sub_type_alias | 子类型别名(中文)。 | 系统账户安全 |
sub_type_name | 子类型名称。 | system_account_security |
type_name | 检测类型名称。 | account |
type_alias | 类型别名(中文)。 | cis |
uuid | 检测出当前风险项的服务器UUID。 | 12345-b7ca-4a0a-9267-123456 |
基线type-sub-type列表
type_name | sub_type_name |
---|---|
system | baseline |
weak_password | postsql_weak_password |
database | redis_check |
account | system_account_security |
account | system_account_security |
weak_password | mysq_weak_password |
weak_password | ftp_anonymous |
weak_password | rdp_weak_password |
system | group_policy |
system | register |
account | system_account_security |
weak_password | sqlserver_weak_password |
system | register |
weak_password | ssh_weak_password |
weak_password | ftp_weak_password |
cis | centos7 |
cis | tomcat7 |
cis | memcached-check |
cis | mongodb-check |
cis | ubuntu14 |
cis | win2008_r2 |
system | file_integrity_mon |
cis | linux-httpd-2.2-cis |
cis | linux-docker-1.6-cis |
cis | SUSE11 |
cis | redhat6 |
cis | bind9.9 |
cis | centos6 |
cis | debain8 |
cis | redhat7 |
cis | SUSE12 |
cis | ubuntu16 |
安全日志状态码
状态值 | 描述 |
---|---|
1 | 未修复 |
2 | 修复失败 |
3 | 回滚失败 |
4 | 修复中 |
5 | 回滚中 |
6 | 验证中 |
7 | 修复成功 |
8 | 修复成功待重启 |
9 | 回滚成功 |
10 | 忽略 |
11 | 回滚成功待重启 |
12 | 已不存在 |
20 | 已失效 |
安全告警日志
字段名 | 说明 | 示例 |
---|---|---|
data_source | 数据源。更多信息请参见安全告警data_source列表。 | aegis_login_log |
level | 告警事件的危险等级。取值(以下等级排序按照严重等级递减):
|
suspicious |
name | 告警名称。 | Suspicious Process-SSH-based Remote Execution of Non-interactive Commands |
op | 操作信息。取值:
|
new |
status | 状态信息。更多信息请参见安全日志状态码。 | 1 |
uuid | 产生告警的服务器UUID。 | 12345-b7ca-4a0a-9267-123456 |
安全告警data_source列表
值 | 描述 |
---|---|
aegis_suspicious_event | 主机异常 |
aegis_suspicious_file_v2 | Webshell |
aegis_login_log | 异常登录 |
security_event | 安全中心异常事件 |
主机日志
进程启动日志
字段名 | 说明 | 示例 |
---|---|---|
uuid | 进程所在服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 客户端主机的IP地址。 | 1.2.3.4 |
cmdline | 进程启动的完整命令行。 | cmd.exe /C "netstat -ano“ |
username | 用户名。 | administrator |
uid | 用户ID。 | 123 |
pid | 进程ID。 | 7100 |
filename | 进程文件名。 | cmd.exe |
filepath | 进程文件完整路径。 | C:/Windows/SysWOW64/cmd.exe |
groupname | 用户组。 | group1 |
ppid | 父进程ID。 | 2296 |
pfilename | 父进程文件名。 | client.exe |
pfilepath | 父进程文件完整路径。 | D:/client/client.exe |
进程快照日志
字段名 | 说明 | 示例 |
---|---|---|
uuid | 进程所在服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 客户端主机的IP地址。 | 1.2.3.4 |
cmdline | 进程启动的完整命令行。 | cmd.exe /C "netstat -ano" |
pid | 进程ID。 | 7100 |
name | 进程文件名。 | cmd.exe |
path | 进程文件所在的完整路径。 | C:/Windows/SysWOW64/cmd.exe |
md5 | 进程文件名MD5。
说明 超过1 MB的进程文件不进行MD5计算。
|
d0424c22dfa03f6e4d5289f7f5934dd4 |
pname | 父进程文件名。 | client.exe |
start_time | 进程启动时间。内置字段。 | 2018-01-18 20:00:12 |
user | 用户名。 | administrator |
uid | 用户ID。 | 123 |
登录日志
说明 1分钟内的重复登录会被合并为1条日志,字段
warn_count
表示次数。
字段名 | 说明 | 示例 |
---|---|---|
uuid | 被登录的服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 客户端主机的IP地址。 | 1.2.3.4 |
warn_ip | 登录来源IP地址。 | 1.2.3.4 |
warn_port | 登录端口。 | 22 |
warn_type | 登录类型。取值:
|
SSHLOGIN |
warn_user | 登录用户名。 | admin |
warn_count | 登录次数。1分钟内重复登录会被合并为1条日志。例如warn_count 值为3表示这次登录前1分钟内还登录了2次。
|
3 |
暴力破解日志
字段名 | 说明 | 示例 |
---|---|---|
uuid | 被暴力破解的服务器UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 服务器IP地址。 | 1.2.3.4 |
warn_ip | 登录来源IP地址。 | 1.2.3.4 |
warn_port | 登录端口。 | 22 |
warn_type | 登录类型。取值:
|
SSHLOGIN |
warn_user | 登录用户名。 | admin |
warn_count | 失败登录次数。 | 3 |
网络连接日志
说明 服务器上每隔10秒到1分钟会收集变化的网络连接,而一个网络连接的状态收集从建立到结束过程中的部分状态。
字段名 | 说明 | 示例 |
---|---|---|
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 服务器IP地址。 | 1.2.3.4 |
src_ip | 源IP地址。 | 1.2.3.4 |
src_port | 源端口。 | 41897 |
dst_ip | 目标IP地址。 | 1.2.3.4 |
dst_port | 目标端口。 | 22 |
proc_name | 进程名。 | java |
proc_path | 进程路径。 | /hsdata/jdk1.7.0_79/bin/java |
proto | 协议。取值:
|
tcp |
status | 连接状态。更多信息请参见网络连接状态描述列表。 | 5 |
网络连接状态描述列表
状态值 | 描述 |
---|---|
1 | closed |
2 | listen |
3 | syn send |
4 | syn recv |
5 | establisted |
6 | close wait |
7 | closing |
8 | fin_wait1 |
9 | fin_wait2 |
10 | time_wait |
11 | delete_tcb |
端口监听快照
字段名 | 说明 | 示例 |
---|---|---|
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 服务器的IP地址。 | 1.2.3.4 |
proto | 通信使用的协议。取值:
|
tcp |
src_ip | 监听的IP地址。 | 1.2.3.4 |
src_port | 监听端口。 | 41897 |
pid | 进程ID。 | 7100 |
proc_name | 进程名。 | kubelet |
账号快照
说明 账号快照展示了在您资产中检测到的账号信息。
字段名 | 说明 | 示例 |
---|---|---|
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
ip | 服务器IP地址。 | 1.2.3.4 |
user | 用户名称。 | nscd |
perm | 是否拥有root权限。取值:
|
0 |
home_dir | home目录。 | /Users/abc |
groups | 用户所在的分组。不属于任何组时为N/A 。
|
["users", "root"] |
last_chg | 密码最后的修改日期。 | 2017-08-24 |
shell | Linux的Shell命令。 | /sbin/nologin |
domain | Windows域。不属于任何域为N/A 。
|
administrator |
tty | 登录的终端。不适用时为N/A 。
|
pts/3 |
warn_time | 密码到期提醒日期。永不提醒时为never 。
|
2017-08-24 |
account_expire | 账号过期日期。永不过期时为never 。
|
2017-08-24 |
passwd_expire | 密码过期日期。永不过期时为never 。
|
2017-08-24 |
login_ip | 最后一次登录的远程IP地址。不适用时为N/A 。
|
1.2.3.4 |
last_logon | 最后一次登录的日期和时间。不适用时为N/A 。
|
2017-08-21 09:21:21 |
status | 用户状态,取值:
|
0 |
在文档使用中是否遇到以下问题
更多建议
匿名提交