日志字段详情

字段名

说明

__topic__

日志主题，固定为sas-log-dns。

additional

additional字段，竖线（|）分隔。

additional_num

additional字段数量。

answer

DNS回答信息，竖线（|）分隔。

answer_num

DNS回答信息数量。

authority

authority字段。

authority_num

authority字段数量。

client_subnet

客户端子网。

dst_ip

目标IP地址。

dst_port

目标端口。

in_out

数据的传输方向。

• in：流入。

• out：流出。

qid

查询ID。

qname

查询域名。

qtype

查询类型。

query_datetime

查询时间戳，单位：毫秒。

rcode

返回代码。

region

来源区域ID。

• 1：北京

• 2：青岛

• 3：杭州

• 4：上海

• 5：深圳

• 6：其他

response_datetime

返回时间。

src_ip

源IP地址。

src_port

源端口。

字段名

说明

__topic__

日志主题，固定为local-dns。

answer_rda

DNS回答信息，竖线（|）分隔。

answer_ttl

DNS回答的时间周期，竖线（|）分隔。

answer_type

DNS回答的类型，竖线（|）分隔。

anwser_name

DNS回答的名称，竖线（|）分隔。

dest_ip

目标IP地址。

dest_port

目标端口。

group_id

分组ID。

hostname

主机名。

id

查询的ID。

instance_id

实例ID。

internet_ip

公网IP地址。

ip_ttl

IP的周期。

query_name

查询的域名。

query_type

查询的类型。

• 1：A记录。

• 2：NS记录。

• 3：NXDOMAIN记录。

• 5：CNAME记录。

• 10：NULL记录。

• 15：MX记录。

• 16：TXT记录。

• 25：KEY记录。

• 28：AAAA记录。

• 33：SRV记录。

src_ip

源IP地址。

src_port

源端口。

time

查询时间戳，单位：秒。

time_usecond

响应耗时，单位：微秒。

tunnel_id

通道ID。

字段名

说明

__topic__

日志主题，固定为sas-log-session。

asset_type

产生日志的资产。取值：

• ECS

• SLB

• RDS

dst_ip

目标IP地址。

dst_port

目标端口。

proto

协议类型。

• tcp

• udp

session_time

会话开始时间。

src_ip

源IP地址。

src_port

源端口。

字段名

说明

__topic__

日志主题，固定为sas-log-http

content_length

消息实体的传输长度。单位：字节。

dst_ip

目的IP地址。

dst_port

目的端口。

host

访问的主机。

jump_location

重定向地址。

method

HTTP请求方式。

referer

客户端向服务器发送请求时的HTTP referer，告知服务器访问来源的HTTP连接。

request_datetime

请求时间。

ret_code

返回状态值。

rqs_content_type

请求内容类型。

rsp_content_type

响应内容类型。

src_ip

源IP地址。

src_port

源端口。

uri

请求URI。

user_agent

向用户客户端发起的请求。

x_forward_for

路由跳转信息。

字段名

说明

__topic__

日志主题，固定为sas-vul-log。

name

漏洞名称。

alias_name

漏洞别名。

op

漏洞的处理动作。

• new：新增。

• verify：验证。

• fix：修复。

status

漏洞状态信息。

tag

漏洞的标签。

• oval：Linux软件漏洞。

• system：Windows系统漏洞。

• cms：Web-CMS漏洞。

  说明

  其他类型的漏洞的标签为随机字符串。

type

漏洞类型。

• sys：windows系统漏洞。

• cve：Linux软件漏洞。

• cms：Web-CMS漏洞。

• emg：紧急漏洞。

uuid

服务器UUID。

字段名

说明

__topic__

日志主题，固定为sas-hc-log。

level

风险项级别。

• high：高。

• medium：中。

• low：低。

op

操作信息。

• new：新增。

• verity：验证。

risk_name

风险项名称。

status

状态信息。更多信息，请参见安全告警状态码。

sub_type_alias

子类型别名（中文）。

sub_type_name

子类型名称。

type_name

检测类型名称。

type_alias

类型别名（中文）。

uuid

检测出当前风险项的服务器UUID。

类型名称

子类型名称

描述

hc_exploit

hc_exploit_redis

高危风险利用-Redis未授权访问高危风险。

hc_exploit

hc_exploit_activemq

高危风险利用-ActiveMQ未授权访问高危风险。

hc_exploit

hc_exploit_couchdb

高危风险利用-CouchDB未授权访问高危风险。

hc_exploit

hc_exploit_docker

高危风险利用-Docker未授权访问高危风险。

hc_exploit

hc_exploit_es

高危风险利用-Elasticsearch未授权访问高危风险。

hc_exploit

hc_exploit_hadoop

高危风险利用-Hadoop未授权访问高危风险。

hc_exploit

hc_exploit_jboss

高危风险利用-Jboss未授权访问高危风险。

hc_exploit

hc_exploit_jenkins

高危风险利用-Jenkins未授权访问高危风险。

hc_exploit

hc_exploit_k8s_api

高危风险利用Kubernetes-Apiserver未授权访问高危风险。

hc_exploit

hc_exploit_ldap

高危风险利用-LDAP未授权访问高危风险（Windows环境）。

hc_exploit

hc_exploit_ldap_linux

高危风险利用-openLDAP未授权访问高危风险（Linux环境）。

hc_exploit

hc_exploit_memcache

高危风险利用-Memcached未授权访问高危风险。

hc_exploit

hc_exploit_mongo

高危风险利用-Mongodb未授权访问高危风险。

hc_exploit

hc_exploit_pgsql

高危风险利用-Postgresql未授权访问高危风险基线。

hc_exploit

hc_exploit_rabbitmq

高危风险利用-RabbitMQ未授权访问高危风险。

hc_exploit

hc_exploit_rsync

高危风险利用-rsync未授权访问高危风险。

hc_exploit

hc_exploit_tomcat

高危风险利用-Apache Tomcat AJP文件包含漏洞风险。

hc_exploit

hc_exploit_zookeeper

高危风险利用-ZooKeeper未授权访问高危风险。

hc_container

hc_docker

阿里云标准-Docker安全基线检查。

hc_container

hc_middleware_ack_master

CIS标准-Kubernetes(ACK) Master节点安全基线检查。

hc_container

hc_middleware_ack_node

CIS标准-Kubernetes(ACK) Node节点安全基线检查。

hc_container

hc_middleware_k8s

阿里云标准-Kubernetes-Master安全基线检查。

hc_container

hc_middleware_k8s_node

阿里云标准-Kubernetes-Node安全基线检查。

cis

hc_suse 15_djbh

等保三级-SUSE 15合规基线检查。

cis

hc_aliyun_linux3_djbh_l3

等保三级-Alibaba Cloud Linux 3合规基线检查。

cis

hc_aliyun_linux_djbh_l3

等保三级-Alibaba Cloud Linux/Alibaba Cloud Linux (Alinux） 2合规基线检查。

cis

hc_bind_djbh

等保三级-Bind合规基线检查。

cis

hc_centos 6_djbh_l3

等保三级-CentOS Linux 6合规基线检查。

cis

hc_centos 7_djbh_l3

等保三级-CentOS Linux 7合规基线检查。

cis

hc_centos 8_djbh_l3

等保三级-CentOS Linux 8合规基线检查。

cis

hc_debian_djbh_l3

等保三级-Debian Linux 8/9/10合规基线检查。

cis

hc_iis_djbh

等保三级-IIS合规基线检查。

cis

hc_informix_djbh

等保三级-Informix合规基线检查。

cis

hc_jboss_djbh

等保三级-Jboss合规基线检查。

cis

hc_mongo_djbh

等保三级-MongoDB合规基线检查。

cis

hc_mssql_djbh

等保三级-SQL Server合规基线检查。

cis

hc_mysql_djbh

等保三级-MySQL合规基线检查。

cis

hc_nginx_djbh

等保三级-Nginx合规基线检查。

cis

hc_oracle_djbh

等保三级-Oracle合规基线检查。

cis

hc_pgsql_djbh

等保三级-PostgreSQL合规基线检查。

cis

hc_redhat 6_djbh_l3

等保三级-Red Hat Linux 6合规基线检查。

cis

hc_redhat_djbh_l3

等保三级-Red Hat Linux 7合规基线检查。

cis

hc_redis_djbh

等保三级-Redis合规基线检查。

cis

hc_suse 10_djbh_l3

等保三级-SUSE 10合规基线检查。

cis

hc_suse 12_djbh_l3

等保三级-SUSE 12合规基线检查。

cis

hc_suse_djbh_l3

等保三级-SUSE 11合规基线检查。

cis

hc_ubuntu 14_djbh_l3

等保三级-Ubuntu 14合规基线检查。

cis

hc_ubuntu_djbh_l3

等保三级-Ubuntu 16/18/20合规基线检查。

cis

hc_was_djbh

等保三级-WebSphere Application Server合规基线检查。

cis

hc_weblogic_djbh

等保三级-WebLogic合规基线检查。

cis

hc_win 2008_djbh_l3

等保三级-Windows 2008 R2合规基线检查。

cis

hc_win 2012_djbh_l3

等保三级-Windows 2012 R2合规基线检查。

cis

hc_win 2016_djbh_l3

等保三级-Windows 2016/2019 合规基线检查。

cis

hc_aliyun_linux_djbh_l2

等保二级-Alibaba Cloud Linux/Alibaba Cloud Linux (Alinux） 2合规基线检查。

cis

hc_centos 6_djbh_l2

等保二级-CentOS Linux 6合规基线检查。

cis

hc_centos 7_djbh_l2

等保二级-CentOS Linux 7合规基线检查。

cis

hc_debian_djbh_l2

等保二级-Debian Linux 8合规基线检查。

cis

hc_redhat 7_djbh_l2

等保二级-Red Hat Linux 7合规基线检查。

cis

hc_ubuntu_djbh_l2

等保二级-Ubuntu16/18合规基线检查。

cis

hc_win 2008_djbh_l2

等保二级-Windows 2008 R2合规基线检查。

cis

hc_win 2012_djbh_l2

等保二级-Windows 2012 R2合规基线检查。

cis

hc_win 2016_djbh_l2

等保二级-Windows 2016/2019 合规基线检查。

cis

hc_aliyun_linux_cis

CIS标准-Alibaba Cloud Linux/Alibaba Cloud Linux (Alinux） 2安全基线检查。

cis

hc_centos 6_cis_rules

CIS标准-CentOS Linux 6安全基线检查。

cis

hc_centos 7_cis_rules

CIS标准-CentOS Linux 7安全基线检查。

cis

hc_centos 8_cis_rules

CIS标准-CentOS Linux 8安全基线检查。

cis

hc_debian 8_cis_rules

CIS标准-Debian Linux 8安全基线检查。

cis

hc_ubuntu 14_cis_rules

CIS标准-Ubuntu 14安全基线检查。

cis

hc_ubuntu 16_cis_rules

CIS标准-Ubuntu 16/18/20安全基线检查。

cis

hc_win 2008_cis_rules

CIS标准-Windows Server 2008 R2安全基线检查。

cis

hc_win 2012_cis_rules

CIS标准-Windows Server 2012 R2安全基线检查。

cis

hc_win 2016_cis_rules

CIS标准-Windows Server 2016/2019 R2安全基线检查。

cis

hc_kylin_djbh_l3

等保三级-麒麟合规基线检查。

cis

hc_uos_djbh_l3

等保三级-UOS合规基线检查。

hc_best_security

hc_aliyun_linux

阿里云标准-Alibaba Cloud Linux/Alibaba Cloud Linux (Alinux） 2安全基线检查。

hc_best_security

hc_centos 6

阿里云标准-CentOS Linux 6安全基线检查。

hc_best_security

hc_centos 7

阿里云标准-CentOS Linux 7/8安全基线检查。

hc_best_security

hc_debian

阿里云标准-Debian Linux 8/9/10安全基线检查。

hc_best_security

hc_redhat 6

阿里云标准-Red Hat Linux 6安全基线检查。

hc_best_security

hc_redhat 7

阿里云标准-Red Hat Linux 7/8安全基线检查。

hc_best_security

hc_ubuntu

阿里云标准-Ubuntu安全基线检查。

hc_best_security

hc_windows_2008

阿里云标准-Windows 2008 R2安全基线检查。

hc_best_security

hc_windows_2012

阿里云标准-Windows 2012 R2安全基线检查。

hc_best_security

hc_windows_2016

阿里云标准-Windows 2016/2019 安全基线检查。

hc_best_security

hc_db_mssql

阿里云标准-SQL Server安全基线检查。

hc_best_security

hc_memcached_ali

阿里云标准-Memcached安全基线检查。

hc_best_security

hc_mongodb

阿里云标准-MongoDB 3.x版本安全基线检查。

hc_best_security

hc_mysql_ali

阿里云标准-MySQL安全基线检查。

hc_best_security

hc_oracle

阿里云标准-Oracle 11g安全基线检查。

hc_best_security

hc_pgsql_ali

阿里云标准-PostgreSQL安全基线检查。

hc_best_security

hc_redis_ali

阿里云标准-Redis安全基线检查。

hc_best_security

hc_apache

阿里云标准-Apache安全基线检查。

hc_best_security

hc_iis_8

阿里云标准-IIS 8安全基线检查。

hc_best_security

hc_nginx_linux

阿里云标准-Nginx安全基线检查。

hc_best_security

hc_suse 15

阿里云标准-SUSE Linux 15安全基线检查。

hc_best_security

tomcat 7

阿里云标准-Apache Tomcat安全基线检查。

weak_password

hc_mongodb_pwd

弱口令-MongoDB登录弱口令检测（支持2.x版本）。

weak_password

hc_weakpwd_ftp_linux

弱口令-FTP登录弱口令检查。

weak_password

hc_weakpwd_linux_sys

弱口令-Linux系统登录弱口令检查。

weak_password

hc_weakpwd_mongodb 3

弱口令-MongoDB登录弱口令检测。

weak_password

hc_weakpwd_mssql

弱口令-SQL Server数据库登录弱口令检查。

weak_password

hc_weakpwd_mysql_linux

弱口令-Mysql数据库登录弱口令检查。

weak_password

hc_weakpwd_mysql_win

弱口令-Mysql数据库登录弱口令检查（Windows版）。

weak_password

hc_weakpwd_openldap

弱口令-OpenLDAP登录弱口令检查。

weak_password

hc_weakpwd_oracle

弱口令-Oracle登录弱口令检测。

weak_password

hc_weakpwd_pgsql

弱口令-PostgreSQL数据库登录弱口令检查。

weak_password

hc_weakpwd_pptp

弱口令-pptpd服务登录弱口令检查。

weak_password

hc_weakpwd_redis_linux

弱口令-Redis数据库登录弱口令检查。

weak_password

hc_weakpwd_rsync

弱口令-rsync服务登录弱口令检查。

weak_password

hc_weakpwd_svn

弱口令-svn服务登录弱口令检查。

weak_password

hc_weakpwd_tomcat_linux

弱口令-Apache Tomcat控制台弱口令检查。

weak_password

hc_weakpwd_vnc

弱口令-VncServer弱口令检查。

weak_password

hc_weakpwd_weblogic

弱口令-Weblogic 12c登录弱口令检测。

weak_password

hc_weakpwd_win_sys

弱口令-Windows系统登录弱口令检查。

状态值

描述

1

未修复

2

修复失败

3

回滚失败

4

修复中

5

回滚中

6

验证中

7

修复成功

8

修复成功待重启

9

回滚成功

10

忽略

11

回滚成功待重启

12

已不存在

20

已失效

状态值

描述

1

待处理

2

已忽略

4

已确认

8

已标记误报

16

处理中

32

处理完毕

64

已经过期

128

已经删除

512

自动拦截中

513

自动拦截完毕

状态值

描述

1

未通过

2

验证中

3

已通过

5

已经失效

6

已经忽略

7

修复中

字段名

说明

__topic__

日志主题，固定为sas-security-log。

data_source

数据源。更多信息，请参见安全告警data_source列表。

level

告警事件的危险等级。

• serious：紧急。

• suspicious：可疑。

• remind：提醒。

name

告警名称。

op

操作信息。

• new：新增。

• dealing：处理。

• update：更新。

status

状态信息。更多信息，请参见安全告警状态码。

uuid

产生告警的服务器UUID。

detail

告警详细信息。

unique_info

告警的唯一标识。

值

描述

aegis_suspicious_event

主机异常

aegis_suspicious_file_v2

WebShell

aegis_login_log

异常登录

security_event

云安全中心异常事件

字段名

说明

__topic__

日志主题，固定为sas-cspm-log。

check_id

检查项ID。您可以通过ListCheckResult接口获取该ID。更多信息，请参见ListCheckResult - 查看云产品中云平台配置检查风险项结果详情。

instance_id

实例ID。

instance_name

实例名称。

instance_result

风险产生的影响。格式为JSON字符串。

instance_sub_type

实例的子类型。

• 当实例类型为ECS时，子类型的取值：

  • INSTANCE

  • DISK

  • SECURITY_GROUP

• 当实例类型为ACR时，子类型的取值：

  • REPOSITORY_ENTERPRISE

  • REPOSITORY_PERSON

• 当实例类型为RAM时，子类型的取值：

  • ALIAS

  • USER

  • POLICY

  • GROUP

• 当实例类型为WAF时，子类型的取值为DOMAIN。

• 当实例类型为其他值时，子类型的取值为INSTANCE。

instance_type

实例类型。

• ECS：云服务器。

• SLB：负载均衡。

• RDS：RDS数据库。

• MONGODB：MongoDB数据库。

• KVSTORE：Redis数据库。

• ACR：容器镜像服务。

• CSK：CSK。

• VPC：专有网络。

• ACTIONTRAIL：操作审计。

• CDN：内容分发网络。

• CAS：数字证书管理服务（原SSL证书）。

• RDC：云效。

• RAM：访问控制。

• DDoS：DDoS防护。

• WAF：Web应用防火墙。

• OSS：对象存储。

• POLARDB：PolarDB数据库。

• POSTGRESQL：PostgreSQL数据库。

• MSE：微服务引擎。

• NAS：文件存储。

• SDDP：敏感数据保护。

• EIP：弹性公网IP。

region_id

实例所在地域ID。

requirement_id

条例ID。您可以通过ListCheckStandard接口获取该ID。更多信息，请参见ListCheckStandard - 云平台配置检查获取标准列表。

risk_level

风险级别。

• LOW。

• MEDIUM。

• HIGH。

section_id

章节ID。您可以通过ListCheckResult接口获取该ID。更多信息，请参见ListCheckResult - 查看云产品中云平台配置检查风险项结果详情。

standard_id

标准ID。您可以通过ListCheckStandard接口获取该ID。更多信息，请参见ListCheckStandard - 云平台配置检查获取标准列表。

status

检查项的状态。

• NOT_CHECK：未检查。

• CHECKING：检查中。

• PASS：检查通过。

• NOT_PASS：检查未通过。

• WHITELIST：已加入白名单。

vendor

所属云厂商。固定为ALIYUN。

字段名

说明

__topic__

日志主题，固定为aegis-log-process。

uuid

进程所在服务器的UUID。

ip

客户端主机的IP地址。

cmdline

进程启动的完整命令行。

username

用户名。

uid

用户ID。

pid

进程ID。

filename

进程文件名。

filepath

进程文件完整路径。

groupname

用户组。

ppid

父进程ID。

pfilename

父进程文件名。

pfilepath

父进程文件完整路径。

cmd_chain

进程链。

containerhostname

容器内服务器名称。

containerpid

容器内进程ID。

containerimageid

镜像ID。

containerimagename

镜像名称。

containername

容器名称。

containerid

容器ID。

cmd_chain_index

进程链索引，可以通过相同索引查找进程链。

cmd_index

命令行每个参数的索引，每两个为一组，标识一个参数的起止索引。

comm

进程关联的命令名。

gid

进程组的ID。

parent_cmd_line

父进程的命令行。

pid_start_time

父进程的启动时间。

srv_cmd

祖进程的命令行。

stime

进程的启动时间。

字段名

说明

__topic__

日志主题，固定为aegis-snapshot-process

uuid

进程所在服务器的UUID。

ip

客户端主机的IP地址。

cmdline

进程启动的完整命令行。

pid

进程ID。

name

进程文件名。

path

进程文件所在的完整路径。

md5

进程文件名MD5。

pname

父进程文件名。

start_time

进程启动时间。内置字段。

user

用户名。

uid

用户ID。

字段名

说明

__topic__

日志主题，固定为aegis-log-login

uuid

被登录的服务器的UUID。

ip

客户端主机的IP地址。

warn_ip

登录来源IP地址。

warn_port

登录端口。

warn_type

登录类型。

• SSHLOGIN：SSH登录。

• RDPLOGIN：远程桌面登录。

• IPCLOGIN：IPC连接登录。

warn_user

登录用户名。

warn_count

登录次数。1分钟内重复登录会被合并为1条日志。例如warn_count值为3表示这次登录前1分钟内还登录了2次。

字段名

说明

__topic__

日志主题，固定为aegis-log-crack。

uuid

被暴力破解的服务器UUID。

ip

服务器IP地址。

warn_ip

登录来源IP地址。

warn_port

登录端口。

warn_type

登录类型。

• SSHLOGIN：SSH登录。

• RDPLOGIN：远程桌面登录。

• IPCLOGIN：IPC连接登录。

warn_user

登录用户名。

warn_count

失败登录次数。

字段名

说明

__topic__

日志主题，固定为aegis-log-network。

uuid

服务器的UUID。

ip

服务器IP地址。

src_ip

源IP地址。

src_port

源端口。

dst_ip

目标IP地址。

dst_port

目标端口。

proc_name

进程名。

proc_path

进程路径。

proto

协议。

• tcp。

• udp。

• raw（表示raw socket）。

status

连接状态。更多信息，请参见网络连接状态描述列表。

cmd_chain

进程链。

pid

进程ID。

ppid

父进程ID。

container_hostname

容器内服务器名称。

container_pid

容器内进程ID。

container_image_id

镜像ID。

container_image_name

镜像名称。

container_name

容器名称。

container_id

容器ID。

cmd_chain_index

进程链索引，可以通过相同索引查找进程链。

parent_proc_file_name

父进程的文件名。

proc_start_time

进程的启动时间。

srv_comm

祖进程关联的命令名。

uid

进程用户的ID。

username

进程的用户名。

状态值

描述

1

closed

2

listen

3

syn send

4

syn recv

5

established

6

close wait

7

closing

8

fin_wait1

9

fin_wait2

10

time_wait

11

delete_tcb

字段名

说明

__topic__

日志主题，固定为aegis-snapshot-port

uuid

服务器的UUID。

ip

服务器的IP地址。

proto

通信使用的协议。

• tcp。

• udp。

• raw（表示raw socket）。

src_ip

监听的IP地址。

src_port

监听端口。

pid

进程ID。

proc_name

进程名。

字段名

说明

__topic__

日志主题，固定为aegis-snapshot-host。

uuid

服务器的UUID。

ip

服务器IP地址。

user

用户名称。

perm

是否拥有登录服务器root权限。

• 0：没有root权限。

• 1：有root权限。

home_dir

home目录。

groups

用户所在的分组。不属于任何组时为N/A。

last_chg

密码最后的修改日期。

shell

Linux的Shell命令。

domain

Windows域。不属于任何域为N/A。

tty

登录的终端。账号从未登录过终端时为N/A。

warn_time

密码到期提醒日期。永不提醒时为never。

account_expire

账号过期日期。永不过期时为never。

passwd_expire

密码过期日期。永不过期时为never。

login_ip

最后一次登录的远程IP地址。账号从未登录时为N/A。

last_logon

最后一次登录的日期和时间。账号从未登录时为N/A。

status

用户账号状态。

• 0：账号已被禁止登录。

• 1：账号可正常登录。

字段名

说明

__topic__

日志主题，固定为aegis-log-dns-query。

domain

DNS请求对应的域名。

ip

DNS请求对应的IP地址。

pid

发起DNS请求的进程ID。

ppid

发起DNS请求的父进程ID。

proc_cmd_chain

发起DNS请求的进程链。

proc_cmdline

发起DNS请求的命令行。

proc_path

发起DNS请求的进程路径。

time

捕获DNS请求事件的时间，该时间一般和DNS请求发生时间相同。

uuid

发起DNS请求的服务器的UUID。