云安全中心日志服务默认开启安全日志、网络日志、主机日志三大类日志,为您的资产提供多种日志记录。
云安全中心默认开启以下三大类日志:
| 日志分类 | 具体日志类型 |
|---|---|
| 安全日志 |
|
| 网络日志 |
说明 企业版和旗舰版支持14种子类日志;防病毒版和高级版仅支持主机和安全两大类的10种子类日志,不支持网络日志。 |
| 主机日志 |
|
安全日志
安全日志参数说明见下表:
| 日志类型 | 主题(__topic__) | 描述 | 采集周期 |
|---|---|---|---|
| 漏洞日志 | sas-vul-log | 漏洞相关的日志。 说明 记录漏洞数据的新增、验证、修复日志。 | 实时采集。 |
| 基线日志 | sas-hc-log | 基线风险相关的日志。 说明 仅记录首次出现且未通过的检查项数据,以及在历史检测中为已通过重新检测后未通过的检查项数据。 | 实时采集。 |
| 安全告警日志 | sas-security-log | 安全告警相关的日志。 说明 记录告警数据的新增、更新、处理日志。 | 实时采集。 |
网络日志
网络日志参数说明见下表:
| 日志类型 | 主题(__topic__) | 描述 | 采集周期 |
|---|---|---|---|
| DNS解析日志 | sas-log-dns | 外网DNS流量的相关日志。 | 延迟2小时采集。 |
| 本地DNS日志 | local-dns | 内网DNS流量相关的日志。 | 延迟1小时采集。 |
| 网络会话日志 | sas-log-session | 特定协议的网络日志。 | 延迟1小时采集。 |
| Web访问日志 | sas-log-http | 服务器与外网通信的HTTP流量日志。 | 延迟1小时采集。 |
主机日志
主机日志参数说明见下表:
| 日志类型 | 主题(__topic__) | 描述 | 采集周期 |
|---|---|---|---|
| 进程启动日志 | aegis-log-process | 服务器上进程启动相关的日志。 | 实时采集,进程启动立刻上报。 |
| 网络连接日志 | aegis-log-network | 服务器连接的五元组相关的日志。 |
|
| 登录流水日志 | aegis-log-login | SSH、RDP登录成功日志。 说明 云安全中心不支持记录Windows Server 2008操作系统中的登录流水日志。 | 实时采集。 |
| 暴力破解日志 | aegis-log-crack | 登录失败相关的日志。 | 实时采集。 |
| 进程快照 | aegis-snapshot-process | 服务器上进程快照信息。 | 资产指纹自动收集功能开启后才有数据。每台服务器一天非固定时间收集一次。 |
| 账号快照 | aegis-snapshot-host | 服务器上账户快照信息。 | 资产指纹自动收集功能开启后才有数据。每台服务器一天非固定时间收集一次。 |
| 端口快照 | aegis-snapshot-port | 服务器上端口快照信息。 | 资产指纹自动收集功能开启后才有数据。每台服务器一天非固定时间收集一次。 |
| DNS请求 | aegis-log-dns-query | 服务器上的DNS请求信息。 | 实时采集。 |