云安全中心日志服务默认开启安全日志、网络日志、主机日志三大类日志,共14个子类,全面实时防护您的资产。

云安全中心默认开启三大类日志:

  • 安全日志
    • 漏洞日志
    • 基线日志
    • 安全告警日志
  • 网络日志
    • DNS解析日志
    • 本地DNS日志
    • 网络会话日志
    • WEB访问日志
    说明 仅企业版用户支持查看网络日志,高级版用户不支持。即高级版用户在控制台日志分析页面仅能查看安全日志和主机日志。
  • 主机日志
    • 进程启动日志
    • 网络连接日志
    • 登录流水日志
    • 暴力破解日志
    • 进程快照
    • 账号快照
    • 端口快照

安全日志

安全日志参数说明见下表:

日志来源 主题(__topic__ 描述 备注
漏洞日志 sas-vul-log 漏洞日志 实时采集。
基线日志 sas-hc-log 基线日志 实时采集。
安全告警日志 sas-security-log 安全告警日志 实时采集。

网络日志

网络日志参数说明见下表:

日志来源 主题(__topic__ 描述 备注
DNS解析日志 sas-log-dns 通过网络的DNS日志 延迟2小时采集。
本地DNS日志 local-dns 同一个阿里云域内的ECS之间DNS解析日志 延迟1小时采集。
网络会话日志 sas-log-session 特定协议的网络日志 延迟1小时采集。
WEB访问日志 sas-log-http HTTP日志 延迟1小时。

主机日志

主机日志参数说明见下表:

日志来源 主题(__topic__ 描述 备注
进程启动日志 aegis-log-process 主机上进程启动信息 实时采集,进程启动立刻上报。
网络连接日志 aegis-log-network 主机上连接的五元组信息 Windows系统实时采集,Linux系统10秒采集,增量上报。
登录流水日志 aegis-log-login SSH、RDP登录成功日志 实时采集。
暴力破解日志 aegis-log-crack 登录失败的日志 实时采集。
进程快照 aegis-snapshot-process 主机上进程快照信息 资产指纹自动收集功能开启后才有数据。每台主机一天非固定时间收集一次。
账号快照 aegis-snapshot-host 主机上账户快照信息 资产指纹自动收集功能开启后才有数据。每台主机一天非固定时间收集一次。
端口快照 aegis-snapshot-port 主机上端口侦听快照信息 资产指纹自动收集功能开启后才有数据。每台主机一天非固定时间收集一次。