本文档介绍了安骑士日志的类型和相关参数说明。
安骑士全量日志集中存放在aegis-log专属日志库中,您可以在储存日志服务的项目aegis-log-阿里云账户ID-区域名中找到专属日志库。
安骑士默认开启两大类日志:
- 主机日志
- 暴力破解日志
- 登录流水日志
- 账户快照
- 端口快照
- 进程快照
- 安全日志
- 异常登录
- 主机异常
- 网站后门
- 基线日志
- 漏洞日志
主机日志
主机日志参数说明见下表:
| 日志来源 | 主题(__topic__) |
描述 | 备注 |
|---|---|---|---|
| 暴力破解日志 | aegis-log-crack | 登录失败的信息。 | 实时采集。 |
| 登录流水日志 | aegis-log-login | 登录的流水日志。 | 实时采集,1分钟内的重复登录时间会被合并为1条日志。 |
| 进程快照 | aegis-snapshot-process | 主机上进程快照信息。 | 资产指纹自动收集功能开启后才有数据。每台主机一天非固定时间收集一次。 |
| 账户快照 | aegis-snapshot-host | 主机上账户快照信息。 | 资产指纹自动收集功能开启后才有数据。每台主机一天非固定时间收集一次。 |
| 端口快照 | aegis-snapshot-port | 主机上端口侦听快照信息。 | 资产指纹自动收集功能开启后才有数据。每台主机一天非固定时间收集一次。 |
安全日志
安全日志参数说明见下表:
| 日志来源 | 主题(__topic__) |
描述 | 备注 |
|---|---|---|---|
| 异常登录 | aegis-login-log | 主机的异常登录信息。 | 实时采集 |
| 主机异常 | aegis-susp-log | 主机的异常事件信息。 | 实时采集 |
| 网站后门 | aegis-webshell-log | 网站后门日志。 | 实时采集。 |
| 基线日志 | sas-hc-log | 基线日志。 | 实时采集。 |
| 漏洞日志 | sas-vul-log | 漏洞日志。 | 实时采集。 |