调用DescribeRiskEventGroup获取入侵防御事件的详细数据_云防火墙(Cloud Firewall)-阿里云帮助中心

获取入侵防御事件的详细数据。

接口说明

本接口用于查询和下载入侵防御详细数据，建议一次查询 5~10 条。为避免查询超时，如果无需返回 IP 地理位置信息，请设置参数 NoLocation 为 true。

QPS 限制

本接口的单用户 QPS 限制为 10 次/秒。超过限制，API 调用会被限流，这可能会影响您的业务，请合理调用。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用背景高亮的方式表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	访问级别	资源类型	条件关键字	关联操作
yundun-cloudfirewall:DescribeRiskEventGroup	Read	全部资源 *	无	无

请求参数

名称	类型	必填	描述	示例值
Lang	string	否	请求和接收消息的语言类型。取值： zh（默认）：表示中文。 en：表示英文。	zh
StartTime	string	是	设置查询开始时间。使用秒级时间戳格式表示。	1534408189
EndTime	string	是	设置查询结束时间。使用秒级时间戳格式表示。	1534408267
Direction	string	否	入侵防御事件的流量的方向。取值： in：表示进方向。 out：表示出方向。说明不设置该参数表示查询所有流量方向。	in
PageSize	string	否	设置分页查询每页包含多少条结果。默认值为 6，表示每页包含 6 条结果。最大值为 10。	6
CurrentPage	string	否	设置分页查询返回第几页数据。默认值为 1，表示返回第 1 页数据。	1
DataType	string	是	风险事件类型。唯一取值：session，表示入侵防御事件。	session
RuleSource	string	否	入侵防御事件的检测规则来源。取值： 1：表示基础防御。 2：表示虚拟补丁。 4：表示威胁情报。说明不设置该参数表示查询所有规则来源。	1
RuleResult	string	否	云防火墙的防御状态。取值： 1：表示告警。 2：表示拦截。说明不设置该参数表示查询所有防御状态。	1
SrcIP	string	否	要查询的源 IP。设置该参数表示查询包含了这条源 IP 的入侵防御事件。	192.0.XX.XX
DstIP	string	否	要查询的目的 IP。设置该参数表示查询包含了这条目的 IP 的入侵防御事件。	192.0.XX.XX
VulLevel	string	否	入侵防御事件的安全等级。取值： 1：表示低危。 2：表示中危。 3：表示高危。说明不设置该参数表示查询所有安全等级。	1
FirewallType	string	否	云防火墙类型。取值： VpcFirewall：表示 VPC 边界防火墙。 InternetFirewall（默认）：表示互联网边界防火墙。	InternetFirewall
SrcNetworkInstanceId	string	否	源 VPC 实例 ID。说明仅在 FirewallType 为 VpcFirewall 时，需要设置该参数。	vpc-uf6e9a9zyokj2ywuo****
DstNetworkInstanceId	string	否	目的 VPC 实例 ID。说明仅在 FirewallType 为 VpcFirewall 时，需要设置该参数。	vpc-uf6e9a9zyokj2ywuo****
AttackType	string	否	入侵防御事件的攻击类型。取值： 1：表示异常连接。 2：表示命令执行。 3：表示暴力破解。 4：表示扫描。 5：表示其它。 6：表示信息泄露。 7：表示 Dos 攻击。 8：表示溢出攻击。 9：表示 Web 攻击。 10：表示木马后门。 11：表示病毒蠕虫。 12：表示挖矿行为。 13：表示反弹 Shell。说明不设置该参数表示查询全部攻击类型。	1
NoLocation	string	否	是否查询 IP 地址位置信息。 true：表示不查询 IP 地理位置信息。 false（默认）：表示查询 IP 地理位置信息。	false
AttackApp	array	否	被攻击应用的名称的列表，使用`["AttackApp1","AttackApp2"]`格式表示。
	string	否	被攻击应用的名称的列表，使用`["AttackApp1","AttackApp2"]`格式表示。	Redis
BuyVersion	long	否	购买版本。取值： 2：高级版。 3：企业版。 4：旗舰版。 10：按量付费版。	10
Sort	string	否	根据指定字段排序。取值： VulLevel（默认）：根据风险等级排序。 LastTime：根据最近发生时间排序。	LastTime
Order	string	否	排序方式。取值： asc：升序。 desc（默认）：降序。	desc
EventName	string	否	入侵防御事件名称。	木马后门通信

调用 API 时，除了本文中该 API 的请求参数，还需加入阿里云 API 公共请求参数。公共请求参数的详细介绍，请参见公共参数。调用 API 的请求格式，请参见本文示例中的请求示例。

返回参数

名称	类型	描述	示例值
	object	入侵防御事件的详细数据。
TotalCount	integer	风险事件的总数量。	20
RequestId	string	本次请求的 ID。	B14757D0-4640-4B44-AC67-7F558FE7E6EF
DataList	object []	返回数据列表。
Direction	string	该入侵防御事件的流量方向。取值： in：表示进方向。 out：表示出方向。	in
EventName	string	入侵防御事件名称。	Web目录穿越攻击
DstIP	string	查询到的目的 IP。表示入侵防御事件中包含了这条目的 IP。	192.0.XX.XX
AttackType	integer	该入侵防御事件的攻击类型。取值： 1：表示异常连接。 2：表示命令执行。 3：表示暴力破解。 4：表示扫描。 5：表示其它。 6：表示信息泄露。 7：表示 Dos 攻击。 8：表示溢出攻击。 9：表示 Web 攻击。 10：表示木马后门。 11：表示病毒蠕虫。 12：表示挖矿行为。 13：表示反弹 Shell。	1
Tag	string	重保情报标签。	重保情报
RuleId	string	本次入侵防御事件的防护规则 ID。	1000****
EventId	string	入侵防御事件 ID。	2b58efae-4c4b-4d96-9544-a586fb1f****
ResourceType	string	该入侵防御事件的公网 IP 类型。取值： EIP：表示弹性公网 IP。 EcsPublicIP：表示 ECS 公网 IP。 EcsEIP：表示 ECS EIP。 NatPublicIP：表示 NAT 公网 IP。 NatEIP：表示 NAT EIP。 SlbPublicIp：表示 SLB 公网 IP。	EcsPublicIP
FirstEventTime	integer	入侵事件首次发生时间。使用秒级时间戳格式表示。	1534408189
Description	string	该入侵防御事件的描述。	检测到HTTP请求的Web访问中使用了目录穿越攻击。
EventCount	integer	入侵防御事件数。	100
VulLevel	integer	该入侵防御事件的安全等级。取值： 1：表示低危。 2：表示中危。 3：表示高危。	1
AttackApp	string	被攻击应用的名称。	MySql
RuleSource	integer	本次入侵防御事件的检测规则来源。取值： 1：表示基础防御。 2：表示虚拟补丁。 4：表示威胁情报。	1
RuleResult	integer	防御状态。取值： 1：表示告警。 2：表示拦截。	2
SrcIP	string	查询到的源 IP。表示入侵防御事件中包含了这条源 IP。	192.0.XX.XX
LastEventTime	integer	入侵防御事件上次发生的时间。使用秒级时间戳格式表示。	1534408267
ResourcePrivateIPList	object []	该入侵防御事件的私网 IP 信息，以 RegionNo、ResourceInstanceId、ResourceInstanceName 和 ResourcePrivateIP 的数组形式返回该 IP 信息。其中，RegionNo 表示该 IP 所属的地域 ID，ResourceInstanceId 表示该 IP 所属的实例 ID，ResourceInstanceName 表示该 IP 所属的实例名，ResourcePrivateIP 表示该 IP。
ResourceInstanceName	string	实例名。	LD-shenzhen-zy****
ResourcePrivateIP	string	私网 IP。	10.255.XX.XX
ResourceInstanceId	string	实例 ID。	i-wz92jf4scg2zb74p****
RegionNo	string	地域 ID。表示私网 IP 所属的地域 ID。	cn-hangzhou
SrcPrivateIPList	array	入侵防御事件的源私网 IP 列表。
	string	入侵防御事件的源私网 IP 列表。说明只有出方向会返回该参数的值。	["192.168.XX.XX","192.168.XX.XX"]
VpcSrcInfo	object	该入侵防御事件的源 VPC 信息，该结构体包含 EcsInstanceId、EcsInstanceName、NetworkInstanceId、NetworkInstanceName 和 RegionNo 参数。其中，EcsInstanceId 表示该 VPC 中的 ECS 实例 ID，EcsInstanceName 表示该 VPC 中的 ECS 实例名，NetworkInstanceId 表示该 VPC 实例 ID，NetworkInstanceName 表示该 VPC 实例名，RegionNo 表示该 VPC 实例所属的地域 ID。
EcsInstanceName	string	ECS 实例名。	LD-shenzhen-zy****
NetworkInstanceName	string	VPC 实例名。	VPC-SH-TX****
NetworkInstanceId	string	VPC 实例 ID。	vpc-uf6e9a9zyokj2ywuo****
EcsInstanceId	string	ECS 实例 ID。	i-wz92jf4scg2zb74p****
RegionNo	string	地域 ID。表示源 VPC 实例所属的地域 ID。	cn-hangzhou
VpcDstInfo	object	该入侵防御事件的目的 VPC 信息，该结构体包含 EcsInstanceId、EcsInstanceName、NetworkInstanceId、NetworkInstanceName 和 RegionNo 参数。其中，EcsInstanceId 表示该 VPC 中的 ECS 实例 ID，EcsInstanceName 表示该 VPC 中的 ECS 实例名，NetworkInstanceId 表示该 VPC 实例 ID，NetworkInstanceName 表示该 VPC 实例名，RegionNo 表示该 VPC 实例所属的地域 ID。
EcsInstanceName	string	ECS 实例名。	LD-shenzhen-zy****
NetworkInstanceName	string	VPC 实例名。	VPC-SH-TX****
NetworkInstanceId	string	VPC 实例 ID。	vpc-uf6e9a9zyokj2ywuo****
EcsInstanceId	string	ECS 实例 ID。	i-wz92jf4scg2zb74p****
RegionNo	string	地域 ID。表示目的 VPC 实例所属的地域 ID。	cn-hangzhou
IPLocationInfo	object	IP 地理位置信息，该结构体包含 CityId、CityName、CountryId 和 CountryName 参数。其中，CityId 表示该 IP 所属的城市 ID，CityName 表示该 IP 所属的城市名，CountryId 表示该 IP 所属的国家 ID，CountryName 表示该 IP 所属的国家名。
CityId	string	城市 ID。	510100
CountryName	string	国家名。	中国
CityName	string	城市名。	四川省成都
CountryId	string	国家 ID。	CN
SrcIPTag	string	源 IP 标签，用于标识是否为云产品回源 IP。	WAF Back-to-origin Address

示例

正常返回示例

JSON格式

{
  "TotalCount": 20,
  "RequestId": "B14757D0-4640-4B44-AC67-7F558FE7E6EF",
  "DataList": [
    {
      "Direction": "in",
      "EventName": "Web目录穿越攻击",
      "DstIP": "192.0.XX.XX",
      "AttackType": 1,
      "Tag": "重保情报",
      "RuleId": "1000****",
      "EventId": "2b58efae-4c4b-4d96-9544-a586fb1f****",
      "ResourceType": "EcsPublicIP",
      "FirstEventTime": 1534408189,
      "Description": "检测到HTTP请求的Web访问中使用了目录穿越攻击。",
      "EventCount": 100,
      "VulLevel": 1,
      "AttackApp": "MySql",
      "RuleSource": 1,
      "RuleResult": 2,
      "SrcIP": "192.0.XX.XX",
      "LastEventTime": 1534408267,
      "ResourcePrivateIPList": [
        {
          "ResourceInstanceName": "LD-shenzhen-zy****",
          "ResourcePrivateIP": "10.255.XX.XX",
          "ResourceInstanceId": "i-wz92jf4scg2zb74p****",
          "RegionNo": "cn-hangzhou"
        }
      ],
      "SrcPrivateIPList": [
        "[\"192.168.XX.XX\",\"192.168.XX.XX\"]"
      ],
      "VpcSrcInfo": {
        "EcsInstanceName": "LD-shenzhen-zy****",
        "NetworkInstanceName": "VPC-SH-TX****",
        "NetworkInstanceId": "vpc-uf6e9a9zyokj2ywuo****",
        "EcsInstanceId": "i-wz92jf4scg2zb74p****",
        "RegionNo": "cn-hangzhou"
      },
      "VpcDstInfo": {
        "EcsInstanceName": "LD-shenzhen-zy****",
        "NetworkInstanceName": "VPC-SH-TX****",
        "NetworkInstanceId": "vpc-uf6e9a9zyokj2ywuo****",
        "EcsInstanceId": "i-wz92jf4scg2zb74p****",
        "RegionNo": "cn-hangzhou"
      },
      "IPLocationInfo": {
        "CityId": "510100",
        "CountryName": "中国",
        "CityName": "四川省成都",
        "CountryId": "CN"
      },
      "SrcIPTag": "WAF Back-to-origin Address"
    }
  ]
}

错误码

HTTP status code	错误码	错误信息	描述
400	ErrorAliUid	The aliuid is invalid.	无效的用户id

访问错误中心查看更多错误码。

变更历史

变更时间

变更内容概要

操作

2023-03-16

OpenAPI 错误码发生变更、OpenAPI 入参发生变更

看变更集

变更项	变更内容
错误码	OpenAPI 错误码发生变更。
	删除错误码：400
入参	OpenAPI 入参发生变更。
	新增入参：EventName

2022-09-27

OpenAPI 去除了 deprecated 标记、OpenAPI 错误码发生变更、OpenAPI 入参发生变更

看变更集

变更项	变更内容
API 弃用说明(deprecated)	OpenAPI 去除了 deprecated 标记。
错误码	OpenAPI 错误码发生变更。
	删除错误码：400
入参	OpenAPI 入参发生变更。
	新增入参：Sort
	新增入参：Order