本文档提供了云安全中心支持的14项日志的字段说明。
网络日志
DNS解析日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| additional | additional字段,竖线分隔。 | 无 |
| additional_num | additional字段数量。 | 0 |
| answer | DNS回答信息,竖线分隔。 | abc.com A IN 52 1.2.3.4 |
| answer_num | DNS回答信息数量。 | 1 |
| authority | authority字段。 | a1.a2.com NS IN 17597 b1.b2.com |
| authority_num | authority字段数量。 | 1 |
| client_subnet | 客户端子网。 | 172.168.100.1 |
| dst_ip | 目标IP。 | 1.2.3.4 |
| dst_port | 目标端口。 | 53 |
| in_out | 数据的传输方向,取值:
|
out |
| qid | 查询ID。 | 12345 |
| qname | 查询域名。 | abc.com |
| qtype | 查询类型。 | A |
| query_datetime | 查询时间戳(毫秒)。 | 1537840756263 |
| rcode | 返回代码。 | 0 |
| region | 来源区域ID。取值:
|
1 |
| response_datetime | 返回时间。 | 2018-09-25 09:59:16 |
| src_ip | 源IP地址。 | 1.2.3.4 |
| src_port | 源端口。 | 22 |
本地DNS日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| answer_rda | DNS回答信息,竖线分隔。 | abc.com |
| answer_ttl | DNS回答的时间周期,竖线分隔。 | 100 |
| answer_type | DNS回答的类型,竖线分隔。 | 1 |
| anwser_name | DNS回答的名称,竖线分隔。 | abc.com |
| dest_ip | 目标IP地址。 | 1.2.3.4 |
| dest_port | 目标端口。 | 53 |
| group_id | 分组ID。 | 3 |
| hostname | 主机名。 | host.abc.com |
| id | 查询的ID。 | 64588 |
| instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
| internet_ip | 公网IP地址。 | 1.2.3.4 |
| ip_ttl | IP的周期。 | 64 |
| query_name | 查询的域名。 | abc.com |
| query_type | 查询的类型。 | A |
| src_ip | 源IP地址。 | 1.2.3.4 |
| src_port | 源端口。 | 1234 |
| time | 查询时间戳(秒)。 | 1537840756 |
| time_usecond | 响应耗时(微秒)。 | 49069 |
| tunnel_id | 通道ID。 | 514763 |
网络会话日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| asset_type | 关联的资产类型。取值:
|
ECS |
| dst_ip | 目标IP地址。 | 1.2.3.4 |
| dst_port | 目标端口。 | 53 |
| proto | 协议类型。可能取值:
|
tcp |
| session_time | 会话开始时间。 | 2018-09-25 09:59:49 |
| src_ip | 源IP地址。 | 1.2.3.4 |
| src_port | 源端口。 | 54 |
Web访问日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| content_length | 内容长度。 | 123 |
| dst_ip | 目的IP地址。 | 1.2.3.4 |
| dst_port | 目的端口。 | 54 |
| host | 访问的主机。 | 47.XX.XX.158:8080 |
| jump_location | 重定向地址。 | 123 |
| method | HTTP请求方式。 | GET |
| referer | 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。 | www.abc.com |
| request_datetime | 请求时间。 | 2018-09-25 09:58:37 |
| ret_code | 返回状态值。 | 200 |
| rqs_content_type | 请求内容类型。 | text/plain;charset=utf-8 |
| rsp_content_type | 响应内容类型。 | text/plain; charset=utf-8 |
| src_ip | 源IP地址。 | 1.2.3.4 |
| src_port | 源端口。 | 54 |
| uri | 请求URI。 | /report |
| user_agent | 向用户客户端发起的请求。 | okhttp/3.2.0 |
| x_forward_for | 路由跳转信息。 | 1.2.3.4 |
安全日志
漏洞日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| name | 漏洞名称。 | oval:com.redhat.rhsa:def:20182390 |
| alias_name | 漏洞别名。 | RHSA-2018:2390: kernel security and bug fix update |
| op | 操作信息。可能取值:
|
new |
| status | 漏洞状态信息。 | 1 |
| tag | 漏洞标签。取值:
|
oval |
| type | 漏洞类型。取值:
|
sys |
| uuid | 服务器UUID。 | 1234-b7ca-4a0a-9267-123456 |
基线日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| level | 风险项级别。取值:
|
low |
| op | 操作信息。取值:
|
new |
| risk_name | 风险项名称。 | 密码策略合规检测 |
| status | 状态信息。更多信息请参见安全日志状态码。 | 1 |
| sub_type_alias | 子类型别名(中文)。 | 系统账户安全 |
| sub_type_name | 子类型名称。 | system_account_security |
| type_name | 检测类型名称。 | account |
| type_alias | 类型别名(中文)。 | cis |
| uuid | 检测出当前风险项的服务器UUID。 | 12345-b7ca-4a0a-9267-123456 |
基线type-sub-type列表
| type_name | sub_type_name |
|---|---|
| system | baseline |
| weak_password | postsql_weak_password |
| database | redis_check |
| account | system_account_security |
| account | system_account_security |
| weak_password | mysq_weak_password |
| weak_password | ftp_anonymous |
| weak_password | rdp_weak_password |
| system | group_policy |
| system | register |
| account | system_account_security |
| weak_password | sqlserver_weak_password |
| system | register |
| weak_password | ssh_weak_password |
| weak_password | ftp_weak_password |
| cis | centos7 |
| cis | tomcat7 |
| cis | memcached-check |
| cis | mongodb-check |
| cis | ubuntu14 |
| cis | win2008_r2 |
| system | file_integrity_mon |
| cis | linux-httpd-2.2-cis |
| cis | linux-docker-1.6-cis |
| cis | SUSE11 |
| cis | redhat6 |
| cis | bind9.9 |
| cis | centos6 |
| cis | debain8 |
| cis | redhat7 |
| cis | SUSE12 |
| cis | ubuntu16 |
安全日志状态码
| 状态值 | 描述 |
|---|---|
| 1 | 未修复 |
| 2 | 修复失败 |
| 3 | 回滚失败 |
| 4 | 修复中 |
| 5 | 回滚中 |
| 6 | 验证中 |
| 7 | 修复成功 |
| 8 | 修复成功待重启 |
| 9 | 回滚成功 |
| 10 | 忽略 |
| 11 | 回滚成功待重启 |
| 12 | 已不存在 |
| 20 | 已失效 |
安全告警日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| data_source | 数据源。更多信息请参见安全告警data_source列表。 | aegis_login_log |
| level | 告警事件的危险等级。取值(以下等级排序按照严重等级递减):
|
suspicious |
| name | 告警名称。 | Suspicious Process-SSH-based Remote Execution of Non-interactive Commands |
| op | 操作信息。取值:
|
new |
| status | 状态信息。更多信息请参见安全日志状态码。 | 1 |
| uuid | 产生告警的服务器UUID。 | 12345-b7ca-4a0a-9267-123456 |
安全告警data_source列表
| 值 | 描述 |
|---|---|
| aegis_suspicious_event | 主机异常 |
| aegis_suspicious_file_v2 | Webshell |
| aegis_login_log | 异常登录 |
| security_event | 安全中心异常事件 |
主机日志
进程启动日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 进程所在服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 客户端主机的IP地址。 | 1.2.3.4 |
| cmdline | 进程启动的完整命令行。 | cmd.exe /C "netstat -ano“ |
| username | 用户名。 | administrator |
| uid | 用户ID。 | 123 |
| pid | 进程ID。 | 7100 |
| filename | 进程文件名。 | cmd.exe |
| filepath | 进程文件完整路径。 | C:/Windows/SysWOW64/cmd.exe |
| groupname | 用户组。 | group1 |
| ppid | 父进程ID。 | 2296 |
| pfilename | 父进程文件名。 | client.exe |
| pfilepath | 父进程文件完整路径。 | D:/client/client.exe |
进程快照日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 进程所在服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 客户端主机的IP地址。 | 1.2.3.4 |
| cmdline | 进程启动的完整命令行。 | cmd.exe /C "netstat -ano" |
| pid | 进程ID。 | 7100 |
| name | 进程文件名。 | cmd.exe |
| path | 进程文件所在的完整路径。 | C:/Windows/SysWOW64/cmd.exe |
| md5 | 进程文件名MD5。
说明 超过1 MB的进程文件不进行MD5计算。
|
d0424c22dfa03f6e4d5289f7f5934dd4 |
| pname | 父进程文件名。 | client.exe |
| start_time | 进程启动时间。内置字段。 | 2018-01-18 20:00:12 |
| user | 用户名。 | administrator |
| uid | 用户ID。 | 123 |
登录日志
说明 1分钟内的重复登录会被合并为1条日志,字段
warn_count表示次数。
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 被登录的服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 客户端主机的IP地址。 | 1.2.3.4 |
| warn_ip | 登录来源IP地址。 | 1.2.3.4 |
| warn_port | 登录端口。 | 22 |
| warn_type | 登录类型。取值:
|
SSHLOGIN |
| warn_user | 登录用户名。 | admin |
| warn_count | 登录次数。1分钟内重复登录会被合并为1条日志。例如warn_count值为3表示这次登录前1分钟内还登录了2次。
|
3 |
暴力破解日志
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 被暴力破解的服务器UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 服务器IP地址。 | 1.2.3.4 |
| warn_ip | 登录来源IP地址。 | 1.2.3.4 |
| warn_port | 登录端口。 | 22 |
| warn_type | 登录类型。取值:
|
SSHLOGIN |
| warn_user | 登录用户名。 | admin |
| warn_count | 失败登录次数。 | 3 |
网络连接日志
说明 服务器上每隔10秒到1分钟会收集变化的网络连接,而一个网络连接的状态收集从建立到结束过程中的部分状态。
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 服务器IP地址。 | 1.2.3.4 |
| src_ip | 源IP地址。 | 1.2.3.4 |
| src_port | 源端口。 | 41897 |
| dst_ip | 目标IP地址。 | 1.2.3.4 |
| dst_port | 目标端口。 | 22 |
| proc_name | 进程名。 | java |
| proc_path | 进程路径。 | /hsdata/jdk1.7.0_79/bin/java |
| proto | 协议。取值:
|
tcp |
| status | 连接状态。更多信息请参见网络连接状态描述列表。 | 5 |
网络连接状态描述列表
| 状态值 | 描述 |
|---|---|
| 1 | closed |
| 2 | listen |
| 3 | syn send |
| 4 | syn recv |
| 5 | establisted |
| 6 | close wait |
| 7 | closing |
| 8 | fin_wait1 |
| 9 | fin_wait2 |
| 10 | time_wait |
| 11 | delete_tcb |
端口监听快照
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 服务器的IP地址。 | 1.2.3.4 |
| proto | 通信使用的协议。取值:
|
tcp |
| src_ip | 监听的IP地址。 | 1.2.3.4 |
| src_port | 监听端口。 | 41897 |
| pid | 进程ID。 | 7100 |
| proc_name | 进程名。 | kubelet |
账号快照
说明 账号快照展示了在您资产中检测到的账号信息。
| 字段名 | 说明 | 示例 |
|---|---|---|
| uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-123456 |
| ip | 服务器IP地址。 | 1.2.3.4 |
| user | 用户名称。 | nscd |
| perm | 是否拥有root权限。取值:
|
0 |
| home_dir | home目录。 | /Users/abc |
| groups | 用户所在的分组。不属于任何组时为N/A。
|
["users", "root"] |
| last_chg | 密码最后的修改日期。 | 2017-08-24 |
| shell | Linux的Shell命令。 | /sbin/nologin |
| domain | Windows域。不属于任何域为N/A。
|
administrator |
| tty | 登录的终端。不适用时为N/A。
|
pts/3 |
| warn_time | 密码到期提醒日期。永不提醒时为never。
|
2017-08-24 |
| account_expire | 账号过期日期。永不过期时为never。
|
2017-08-24 |
| passwd_expire | 密码过期日期。永不过期时为never。
|
2017-08-24 |
| login_ip | 最后一次登录的远程IP地址。不适用时为N/A。
|
1.2.3.4 |
| last_logon | 最后一次登录的日期和时间。不适用时为N/A。
|
2017-08-21 09:21:21 |
| status | 用户状态,取值:
|
0 |
在文档使用中是否遇到以下问题
更多建议
匿名提交