本文介绍了云安全中心日志检索功能可以采集并供检索的原始日志类型和字段说明。
各日志源字段列表
日志分析功能支持查询下表中的日志类型。您可以单击日志源链接查看其支持的具体字段信息。
| 类型 | 日志源 | 说明 |
|---|---|---|
| 主机日志 | 登录流水 | 系统登录成功的日志记录。 |
| 暴力破解 | 尝试暴力破解登录密码的日志记录。 | |
| 进程快照 | 主机上进程运行的相关信息。 | |
| 端口监听快照 | 主机上监听端口的相关信息。 | |
| 账号快照 | 主机上账号登录的相关信息。 | |
| 进程启动 | 主机上进程启动的相关信息。 | |
| 网络连接 | 主机对外主动连接的日志。 | |
| Web日志 | Web访问日志 | 云上业务的HTTP协议日志。 |
| 网络会话日志 | 云上业务的网络5元组日志(全端口)。 | |
| DNS日志 | 网络DNS解析日志。 |
登录流水
登录流水查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| ip | string | IP地址 |
| warn_ip | string | 登录来源IP |
| warn_port | string | 登录端口 |
| warn_user | string | 登录用户名 |
| warn_type | string | 登录类型 |
| warn_count | string | 登录次数 |
暴力破解
暴力破解查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| ip | string | IP地址 |
| warn_ip | string | 攻击来源IP |
| warn_port | string | 登录端口 |
| warn_user | string | 登录用户名 |
| warn_type | string | 登录类型 |
| warn_count | string | 登录次数 |
进程启动日志
进程启动日志查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| ip | string | IP地址 |
| pid | string | 进程ID |
| groupname | string | 用户组 |
| ppid | string | 父进程ID |
| uid | string | 用户ID |
| username | string | 用户名 |
| filename | string | 文件名 |
| pfilename | string | 父进程文件名 |
| cmdline | string | 命令行 |
| filepath | string | 进程路径 |
| pfilepath | string | 父进程路径 |
端口监听快照
端口监听快照查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| ip | string | IP地址 |
| src_port | string | 监听端口 |
| src_ip | string | 监听IP |
| proc_path | string | 进程路径 |
| pid | string | 进程ID |
| proc_name | string | 进程名 |
| proto | string | 协议 |
网络连接日志
网络连接日志查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| ip | string | IP地址 |
| src_ip | string | 源IP |
| src_port | string | 源端口 |
| proc_path | string | 进程路径 |
| dst_port | string | 目标端口 |
| proc_name | string | 进程名 |
| dst_ip | string | 目标IP |
| status | string | 状态 |
账号快照
账号快照查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| IP | string | IP地址 |
| perm | string | 是否拥有root权限 |
| home_dir | string | home目录 |
| warn_time | string | 密码到期提醒时间 |
| groups | string | 用户属于的组 |
| login_ip | string | 最后一次登录的IP地址 |
| last_chg | string | 密码最后修改时间 |
| shell | string | linux的Shell命令 |
| domain | string | Windows域 |
| tty | string | 登录的终端 |
| account_expire | string | 账号超期时间 |
| passwd_expire | string | 密码超期时间 |
| last_logon | string | 最后登录时间 |
| user | string | 用户 |
| status | string | 用户状态。取值:
|
进程快照
进程快照查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| uuid | string | 客户端编号 |
| ip | string | IP地址 |
| path | string | 进程路径 |
| start_time | string | 进程启动时间 |
| uid | string | 用户ID |
| cmdline | string | 命令行 |
| pname | string | 父进程名 |
| name | string | 进程名 |
| pid | string | 进程ID |
| user | string | 用户名 |
| md5 | string | 进程文件MD5值,超过1 MB不计算 |
Web访问日志
Web访问日志查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| src_ip | string | 访问源IP |
| src_port | string | 访问源端口号 |
| dst_ip | string | 目的IP |
| dst_port | string | 目的端口号 |
| request_datetime | string | 请求时间 |
| host | string | 主机名hoat |
| uri | string | 请求URI |
| method | string | 请求方法GET或POST |
| referer | string | 来源Referer |
| user_agent | string | 客户端user_agent |
| ret_code | string | 返回响应码 |
| jump_location | string | 跳转到的URL |
| x_forward_for | string | 来源x_forward_for |
| rsp_content_type | string | 请求内容类型 |
| rqs_content_type | string | 返回内容类型 |
| content_length | string | 返回数据长度 |
网络会话日志
网络会话日志查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| asset_type | string | 资产类型:RDS、SLB、ECS等 |
| session_time | datetime | 访问时间 |
| src_ip | string | 源IP |
| src_port | string | 源端口 |
| dst_ip | string | 目的IP |
| dst_port | string | 目的端口 |
| proto | string | 协议类型:TCP、UDP |
DNS日志
DNS日志查询支持以下字段:
| 字段 | 数据类型 | 说明 |
|---|---|---|
| query_datetime | datetime | 请求时间 |
| src_ip | string | 源IP |
| src_port | string | 源端口 |
| dst_ip | string | 目的IP |
| dst_port | string | 目的端口 |
| response_datetime | datetime | 响应时间 |
| qname | string | 解析域名 |
| qtype | string | 请求记录类型 |
| client_subnet | string | 客户端子网 |
| qid | string | 请求的ID |
| rcode | string | 返回码 |
| answer_num | string | answer字段数量 |
| answer | string | answer字段 |
| authority_num | string | authority字段数量 |
| authority | string | authority字段 |
| additional_num | string | additional字段数量 |
| additional | string | additional字段 |
| in_out | string | 方向 |
| region | string | 地域 |