本文介绍云安全中心网络日志、安全日志和主机日志的字段详情。

网络日志

  • DNS日志
    日志字段 说明
    __topic__ 日志主题,固定为sas-log-dns。
    owner_id 阿里云账号ID
    additional additional字段,各个值之间以竖线(|)分隔。
    additional_num additional字段数量
    answer DNS回答信息,各个值之间以竖线(|)分隔。
    answer_num DNS回答信息数量
    authority authority字段
    authority_num authority字段数量
    client_subnet 客户端子网
    dst_ip 目标IP地址
    threat_dst_ip 目标IP地址的威胁情报。更多信息,请参见威胁情报字段
    dst_port 目标端口
    in_out 数据的传输方向,包括:
    • in:入方式
    • out:出方向
    qid 查询ID
    qname 查询域名
    threat_qname 查询域名的威胁情报。更多信息,请参见威胁情报字段
    qtype 查询类型
    query_datetime 查询时间戳,单位:毫秒。
    rcode 返回代码
    region 来源地域ID,包括:
    • 1:北京
    • 2:青岛
    • 3:杭州
    • 4:上海
    • 5:深圳
    • 6:其它
    response_datetime 返回时间
    src_ip 源IP地址
    threat_src_ip 源IP地址的威胁情报。更多信息,请参见威胁情报字段
    src_port 源端口
  • 本地DNS日志
    字段名 说明
    __topic__ 日志主题,固定为local-dns。
    owner_id 阿里云账号ID
    answer_rda DNS回答信息,各个值之间以竖线(|)分隔。
    answer_ttl DNS回答的时间周期,各个值之间以竖线(|)分隔。
    answer_type DNS回答的类型,各个值之间以竖线(|)分隔。
    anwser_name DNS回答的名称,各个值之间以竖线(|)分隔。
    dest_ip 目标IP地址
    dest_port 目标端口
    group_id 分组ID
    hostname 主机名
    id 查询ID
    instance_id 实例ID
    internet_ip 互联网IP地址
    ip_ttl IP地址的周期
    query_name 查询域名
    threat_query_name 查询域名的威胁情报。更多信息,请参见威胁情报字段
    query_type 查询类型
    src_ip 源IP地址
    threat_src_ip 源IP地址的威胁情报。更多信息,请参见威胁情报字段
    src_port 源端口
    time 查询时间戳,单位:秒。
    time_usecond 响应耗时,单位:微秒。
    tunnel_id 通道ID
  • 网络会话日志
    日志字段 说明
    __topic__ 日志主题,固定为sas-log-session。
    owner_id 阿里云账号ID
    asset_type 关联的资产类型,例如ECS、SLB、RDS等。
    dst_ip 目标IP地址
    threat_dst_ip 目标IP地址的威胁情报。更多信息,请参见威胁情报字段
    dst_port 目标端口
    proto 协议类型,例如tcp、udp。
    session_time Session时间
    src_ip 源IP地址
    threat_src_ip 源IP地址的威胁情报。更多信息,请参见威胁情报字段
    src_port 源端口
  • Web日志
    日志字段 说明
    __topic__ 日志主题,固定为sas-log-http。
    owner_id 阿里云账号ID
    content_length 内容长度
    dst_ip 目标IP地址
    threat_dst_ip 目标IP地址的威胁情报。更多信息,请参见威胁情报字段
    dst_port 目标端口
    host 访问主机名
    jump_location 重定向地址
    method HTTP访问
    referer 客户端向服务器发送请求时的HTTP referer
    request_datetime 请求时间
    ret_code 返回状态值
    rqs_content_type 请求内容类型
    rsp_content_type 响应内容类型
    src_ip 源IP地址
    threat_src_ip 源IP地址的威胁情报。更多信息,请参见威胁情报字段
    src_port 源端口
    uri 请求URI
    user_agent 向客户端发起的请求
    x_forward_for 路由跳转信息

安全日志

  • 漏洞日志
    日志字段 说明
    __topic__ 日志主题,固定为sas-vul-log。
    owner_id 阿里云账号ID
    name 漏洞名称
    alias_name 漏洞别名
    op 操作信息,包括:
    • new:新增
    • verify:验证
    • fix:修复
    status 状态。更多信息,请参见表 2
    tag 漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。
    type 漏洞类型,包括:
    • sys:windows漏洞
    • cve:Linux漏洞
    • cms:Web CMS漏洞
    • EMG:紧急漏洞
    uuid 客户端号
  • 基线日志
    日志字段 说明
    __topic__ 日志主题,固定为sas-hc-log。
    owner_id 阿里云账号ID
    level 风险级别
    op 操作信息,包括:
    • new:新增
    • verify:验证
    risk_name 风险名称
    status 状态。更多信息,请参见表 2
    sub_type_alias 子类型别名,中文。
    sub_type_name 子类型名称
    type_name 类型名称。更多信息,请参见表 1
    type_alias 类型别名,中文。
    uuid 客户端号
    check_item 检查项名称
    check_level 检查项级别
    check_type 检查项类型
    表 1. 基线type-sub-type列表
    type_name sub_type_name
    system baseline
    weak_password postsql_weak_password
    database redis_check
    account system_account_security
    account system_account_security
    weak_password mysq_weak_password
    weak_password ftp_anonymous
    weak_password rdp_weak_password
    system group_policy
    system register
    account system_account_security
    weak_password sqlserver_weak_password
    system register
    weak_password ssh_weak_password
    weak_password ftp_weak_password
    cis centos7
    cis tomcat7
    cis memcached-check
    cis mongodb-check
    cis ubuntu14
    cis win2008_r2
    system file_integrity_mon
    cis linux-httpd-2.2-cis
    cis linux-docker-1.6-cis
    cis SUSE11
    cis redhat6
    cis bind9.9
    cis centos6
    cis debain8
    cis redhat7
    cis SUSE12
    cis ubuntu16
    表 2. 安全日志状态码
    状态值 说明
    1 未修复
    2 修复失败
    3 回滚失败
    4 修复中
    5 回滚中
    6 验证中
    7 修复成功
    8 修复成功待重启
    9 回滚成功
    10 忽略
    11 回滚成功待重启
    12 已不存在
    20 已失效
  • 安全告警日志
    日志字段 说明
    __topic__ 日志主题,固定为sas-security-log。
    data_source 数据源。更多信息,请参见表 3
    level 告警级别
    name 名称
    op 操作信息,包括:
    • new:新增
    • dealing:处理
    status 状态。更多信息,请参见表 2
    uuid 客户端号
    detail 告警详情
    unique_info 告警的唯一标识
    表 3. 安全告警data_source列表
    描述
    aegis_suspicious_event 主机异常
    aegis_suspicious_file_v2 Webshell
    aegis_login_log 异常登录
    security_event 安全中心异常事件

主机日志

  • 进程启动日志
    日志字段 说明
    __topic__ 日志主题,固定为aegis-log-process。
    uuid 客户端号
    ip 客户端主机的IP地址
    cmdline 用户启动完整命令行
    username 用户名
    uid 用户ID
    pid 进程ID
    filename 进程文件名
    filepath 进程文件完整路径
    groupname 用户组
    ppid 父进程ID
    pfilename 父进程文件名
    pfilepath 父进程文件完整路径
    cmd_chain 进程链
    containerhostname 容器主机名
    containerpid 容器PID
    containerimageid 镜像ID
    containerimagename 镜像名称
    containername 容器名称
    containerid 容器ID
    cwd 进程运行目录
  • 进程快照日志
    日志字段 说明
    __topic__ 日志主题,固定为aegis-snapshot-process。
    owner_id 阿里云账号ID
    uuid 客户端号
    ip 客户端主机的IP地址
    cmdline 用户启动完整命令行
    pid 进程ID
    name 进程文件名
    path 进程文件完整路径
    md5 进程文件进行MD5计算,超过1 MB的进程文件不进行计算。
    pname 父进程文件名
    start_time 进程启动时间,内置字段
    user 用户名
    uid 用户ID
  • 登录日志
    1分钟内重复登录会被合并为1条日志。
    日志字段 说明
    __topic__ 日志主题,固定为aegis-log-login。
    owner_id 阿里云账号ID
    uuid 客户端号
    ip 客户端主机的IP地址
    warn_ip 登录来源IP地址
    threat_warn_ip 登录来源IP地址的威胁情报。更多信息,请参见威胁情报字段
    warn_port 登录端口
    warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
    warn_user 登录用户名
    warn_count 登录次数,例如3次表示这次登录前1分钟内还发送了2次。
  • 暴力破解日志
    字段名 说明
    __topic__ 日志主题,固定为aegis-log-crack。
    owner_id 阿里云账号ID
    uuid 客户端号
    ip 客户端主机的IP地址
    warn_ip 登录来源IP地址
    threat_warn_ip 登录来源IP地址的威胁情报。更多信息,请参见威胁情报字段
    warn_port 登录端口
    warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
    warn_user 登录用户名
    warn_count 失败登录次数
  • 主机网络连接日志
    主机上每隔10秒到1分钟会收集变化的网络连接。
    日志字段 说明
    __topic__ 日志主题,固定为aegis-log-network。
    owner_id 阿里云账号ID
    uuid 客户端号
    ip 客户端主机的IP地址
    src_ip 源IP地址
    threat_src_ip 源IP地址的威胁情报。更多信息,请参见威胁情报字段
    src_port 源端口
    dst_ip 目标IP地址
    threat_dst_ip 目标IP地址的威胁情报。更多信息,请参见威胁情报字段
    dst_port 目标端口
    proc_name 进程名
    proc_path 进程路径
    proto 连接协议
    status 连接状态。更多信息,请参见表 4
    表 4. 网络连接状态描述列表
    状态值 描述
    1 closed
    2 listen
    3 syn send
    4 syn recv
    5 establisted
    6 close wait
    7 closing
    8 fin_wait1
    9 fin_wait2
    10 time_wait
    11 delete_tcb
  • 端口监听快照
    日志字段 说明
    __topic__ 日志主题,固定为aegis-snapshot-port。
    owner_id 阿里云账号ID
    uuid 客户端号
    ip 客户端IP地址
    proto 监听协议
    src_ip 监听IP地址
    threat_src_ip 监听IP地址的威胁情报。更多信息,请参见威胁情报字段
    src_port 监听端口
    pid 进程ID
    proc_name 进程名
  • 账户快照
    日志字段 说明
    __topic__ 日志主题,固定为aegis-snapshot-host。
    owner_id 阿里云账号ID
    name 漏洞名称
    alias_name 漏洞别名
    op 操作信息,包括:
    • new:新增
    • verify:验证
    • fix:修复
    status 连接状态。更多信息,请参见表 4
    tag 漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。
    type 漏洞类型,包括:
    • sys:windows漏洞
    • cve:Linux漏洞
    • cms:Web CMS漏洞
    • EMG:紧急漏洞
    uuid 客户端号