调用ExportSuspEvents导出异常告警信息_云安全中心(Security Center)-阿里云帮助中心

导出异常告警信息。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用背景高亮的方式表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	访问级别	资源类型	条件关键字	关联操作
yundun-sas:ExportSuspEvents	Write	全部资源 acs:yundun-sas::{#accountId}:	无	无

请求参数

名称	类型	必填	描述	示例值
SourceIp	string	否	请求源 IP。无需填写，系统自动获取。	127.0.XX.XX
Dealed	string	否	要查询的告警事件是否已处理。取值： N：待处理 Y：已处理	Y
TimeStart	string	否	异常事件发生时间的开始时间。	2022-10-01 00:00:00
TimeEnd	string	否	异常事件结束时间。	2022-12-05 00:00:00
Name	string	否	异常事件的完整名称。	WEBSHELL
Levels	string	否	要查询的告警事件处理的紧急程度，多个紧急程度之间使用半角逗号（,）分隔，紧急程度依次递减。取值： serious：紧急 suspicious：可疑 remind：提醒	serious,suspicious,remind
ParentEventTypes	string	否	要查询的告警事件的告警类型。取值：进程异常行为网站后门异常登录异常事件敏感文件篡改恶意进程（云查杀）异常网络连接异常账号应用入侵事件云产品威胁检测精准防御应用白名单持久化后门 Web 应用威胁检测恶意脚本威胁情报恶意网络行为容器集群异常网站后门（本地查杀）漏洞利用恶意进程（本地查杀）可信异常其他	WEBSHELL
Remark	string	否	备注信息。	remark
Status	string	否	异常事件的处理状态。取值包括： 0：全部。 1：待处理。 2：已忽略。 4：已确认。 8：已标记误报。 16：处理中。 32：处理完毕。 64：已经过期。 128：已经删除。	0
Lang	string	否	设置请求和接收消息的语言类型，默认为 zh。取值： zh：中文。 en：英文。	zh
From	string	否	异常事件所属数据源标识，固定为 sas。	sas
ClusterId	string	否	指定要查询的集群的 ID。说明您可以调用 DescribeGroupedContainerInstances 接口获取该参数。	c4af4fdf38a98496a9b63c2be5dae****
ContainerFieldName	string	否	容器检索项。取值： instanceId：实例 ID appName：应用名 clusterId：集群 ID regionId：地域 nodeName：节点名 namespace：命名空间 clusterName：集群名称 image：镜像名称 imageRepoName：镜像的仓库名称 imageRepoNamespace：镜像的仓库命名空间 imageRepoTag：镜像的标签 imageDigest：镜像摘要	clusterId
ContainerFieldValue	string	否	容器检索项的条件。	c819391d2d520485fa3e81e2dc2ea****
TargetType	string	否	目标开关的配置的操作维度。取值： uuid：资产 UUID image_repo：镜像仓 ID Cluster：集群 ID	uuid
PageSize	string	否	分页查询时，显示每页数据的最大条数。默认值为 20。	20
CurrentPage	string	否	分页查询时，显示的当前页的页码。	1
AssetsTypeList	array	否	资产类型集合。
	string	否	资产类型集合。	ECS
Uuid	string	否	关联实例的唯一标识。	18b7336e-d469-473b-af83-8e5420f9****
UniqueInfo	string	否	安全告警的唯一 key。	1fbe8d16727f61d1478a674d6fa0****
Id	long	否	记录告警事件的唯一标识 ID。	17821
OperateErrorCodeList	array	否	告警事件处理结果码集合。
	string	否	告警事件处理结果码。格式为：操作类型.操作结果码。包括以下操作类型： Common：通用操作 deal：处理 ignore：忽略 offline_handled：告警已确认 mark_mis_info：加白名单 rm_mark_mis_info：取消加白名单 quara：隔离 kill_and_quara：普通查杀 kill_virus：深度清理 block_ip：阻断 manual_handled：手工处理 advance_mark_mis_info：精准防御加白名单 advance_mark_mis_info.System：精准防御加白名单自动加白 advance_mark_mis_info.User：精准防御加白名单手动加白操作结果码： Success：成功 Failure：失败 AgentOffline：客户端离线	ignore. Success
GroupId	long	否	资产分组的 ID。	9454789

返回参数

名称	类型	描述	示例值
	object
RequestId	string	阿里云为该请求生成的唯一标识符。	EF145C20-6A19-529A-8BDD-0671DXXXXXX
FileName	string	导出文件的名称。	suspicious_event_20221209
Id	integer	异常事件的导出记录 ID。	1

示例

正常返回示例

JSON格式

{
  "RequestId": "EF145C20-6A19-529A-8BDD-0671DXXXXXX",
  "FileName": "suspicious_event_20221209",
  "Id": 1
}

错误码

HTTP status code	错误码	错误信息	描述
400	IllegalParam	Illegal param	无效参数
403	NoPermission	caller has no permission	当前操作未被授权，请联系主账号在RAM控制台进行授权后再执行操作。
500	ServerError	ServerError	服务故障，请稍后重试！

访问错误中心查看更多错误码。

变更历史

变更时间

变更内容概要

操作

2023-12-06

OpenAPI 错误码发生变更、OpenAPI 入参发生变更

看变更集

变更项	变更内容
错误码	OpenAPI 错误码发生变更。
	删除错误码：400
入参	OpenAPI 入参发生变更。
	新增入参：GroupId

2023-10-11

OpenAPI 错误码发生变更、OpenAPI 入参发生变更

看变更集

变更项	变更内容
错误码	OpenAPI 错误码发生变更。
	删除错误码：400
入参	OpenAPI 入参发生变更。
	新增入参：UniqueInfo
	新增入参：Id
	新增入参：OperateErrorCodeList

2023-10-11

OpenAPI 错误码发生变更、OpenAPI 入参发生变更

看变更集

变更项	变更内容
错误码	OpenAPI 错误码发生变更。
	删除错误码：400
入参	OpenAPI 入参发生变更。
	新增入参：Uuid