本文档提供了云安全中心日志的字段说明。

实时数据

字段名 说明 示例
dir 网络连接方向。取值:
  • in:入方向
  • out:出方向
in
src_ip 网络连接发起者的IP。
  • dir为out时表示本机
  • dir为in时表示对端主机
10.240.XX.XX
src_port 网络连接发起者的端口。 24680
dst_ip 网络连接接收者的IP。
  • dir为out时表示对端主机
  • dir为in时表示本机
10.240.XX.XX
dst_port 网络连接接收者端口。 22
status 网络连接状态。
说明 实时日志中该参数的取值为随机赋予,取值无任何意义,您无需关注。
2
type 实时网络连接的类型。取值:
  • connect:主动发起TCP connect连接
  • accept:收到TCP连接
  • listen:端口监听
listen

快照数据(资产指纹)

字段名 说明 示例
proc_path 进程路径。 "/usr/sbin/sshd"
proc_cmdline 进程命令行。 "/usr/sbin/sshd -D"
pid 进程ID。 1158
ppid 父进程ID。 1
dir 网络连接方向。取值:
  • in:入方向
  • out:出方向
in
src_ip 网络连接发起者的IP。
  • dir为out时表示本机
  • dir为in时表示对端主机
10.240.XX.XX
src_port 网络连接发起者的端口。 24680
dst_ip 网络连接接收者的IP。
  • dir为out时表示对端主机
  • dir为in时表示本机
10.240.XX.XX
dst_port 网络连接接收者端口。 22
status 网络连接状态。取值:
  • 1:TCP_STATE_CLOSED(连接关闭/未打开)
  • 2:TCP_STATE_LISTEN(监听中)
  • 3:TCP_STATE_SYN_SENT(发送SYN包)
  • 4:TCP_STATE_SYN_RCVD(SYN包已接收)
  • 5:TCP_STATE_ESTABLISHED(已建立连接)
  • 6:TCP_STATE_CLOSE_WAIT(等待关闭)
  • 7:TCP_STATE_CLOSING(双方都在关闭连接)
  • 8:TCP_STATE_FIN_WAIT1(主动关闭方发送FIN等待ACK)
  • 9:TCP_STATE_FIN_WAIT2(主动关闭方收到ACK)
  • 10:TCP_STATE_LAST_ACK(被动关闭方等待ACK)
  • 11:TCP_STATE_TIME_WAIT(主动关闭方收到FIN并发送ACK)
2

网络日志

DNS解析日志

字段名 说明 示例
additional additional字段,竖线分隔。
additional_num additional字段数量。 0
answer DNS回答信息,竖线分隔。 example.com A IN 52 1.2.XX.XX
answer_num DNS回答信息数量。 1
authority authority字段。 a1.a2.com NS IN 17597 b1.b2.com
authority_num authority字段数量。 1
client_subnet 客户端子网。 172.168.XX.XX
dst_ip 目标IP。 1.2.XX.XX
dst_port 目标端口。 53
in_out 数据的传输方向,取值:
  • in:流入
  • out:流出
out
qid 查询ID。 12345
qname 查询域名。 example.com
qtype 查询类型。 A
query_datetime 查询时间戳(毫秒)。 1537840756263
rcode 返回代码。 0
region 来源区域ID。取值:
  • 1:北京
  • 2:青岛
  • 3:杭州
  • 4:上海
  • 5:深圳
  • 6:其他
1
response_datetime 返回时间。 2018-09-25 09:59:16
src_ip 源IP地址。 1.2.XX.XX
src_port 源端口。 22

本地DNS日志

字段名 说明 示例
answer_rda DNS回答信息,竖线分隔。 example.com
answer_ttl DNS回答的时间周期,竖线分隔。 100
answer_type DNS回答的类型,竖线分隔。 1
anwser_name DNS回答的名称,竖线分隔。 example.com
dest_ip 目标IP地址。 1.2.XX.XX
dest_port 目标端口。 53
group_id 分组ID。 3
hostname 主机名。 host.abc.com
id 查询的ID。 64588
instance_id 实例ID。 i-2zeg4zldn8zypsfg****
internet_ip 公网IP地址。 1.2.XX.XX
ip_ttl IP的周期。 64
query_name 查询的域名。 example.com
query_type 查询的类型。 A
src_ip 源IP地址。 1.2.XX.XX
src_port 源端口。 1234
time 查询时间戳(秒)。 1537840756
time_usecond 响应耗时(微秒)。 49069
tunnel_id 通道ID。 514763

网络会话日志

字段名 说明 示例
asset_type 产生日志的资产。取值:
  • ECS
  • SLB
  • RDS
ECS
dst_ip 目标IP地址。 1.2.XX.XX
dst_port 目标端口。 53
proto 协议类型。取值:
  • tcp
  • udp
tcp
session_time 会话开始时间。 2018-09-25 09:59:49
src_ip 源IP地址。 1.2.XX.XX
src_port 源端口。 54

Web访问日志

字段名 说明 示例
content_length 消息实体的传输长度。单位为:字节。 123
dst_ip 目的IP地址。 1.2.XX.XX
dst_port 目的端口。 54
host 访问的主机。 47.XX.XX.158:8080
jump_location 重定向地址。 123
method HTTP请求方式。 GET
referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。 www.example.com
request_datetime 请求时间。 2018-09-25 09:58:37
ret_code 返回状态值。 200
rqs_content_type 请求内容类型。 text/plain;charset=utf-8
rsp_content_type 响应内容类型。 text/plain; charset=utf-8
src_ip 源IP地址。 1.2.XX.XX
src_port 源端口。 54
uri 请求URI。 /report
user_agent 向用户客户端发起的请求。 okhttp/3.2.0
x_forward_for 路由跳转信息。 1.2.XX.XX

安全日志

漏洞日志

字段名 说明 示例
name 漏洞名称。 oval:com.redhat.rhsa:def:20182390
alias_name 漏洞别名。 RHSA-2018:2390: kernel security and bug fix update
op 漏洞的处理动作。取值:
  • new:新增
  • verify:验证
  • fix:修复
new
status 漏洞状态信息。 1
tag 漏洞的标签。取值:
  • oval:Linux软件漏洞
  • system:Windows系统漏洞
  • cms:Web-CMS漏洞
    说明 其他类型的漏洞的标签为随机字符串。
oval
type 漏洞类型。取值:
  • sys:windows系统漏洞
  • cve:Linux软件漏洞
  • cms:Web-CMS漏洞
  • emg:紧急漏洞
sys
uuid 服务器UUID。 1234-b7ca-4a0a-9267-12****

基线日志

字段名 说明 示例
level 风险项级别。取值:
  • high:高
  • mediam:中
  • low:低
low
op 操作信息。取值:
  • new:新增
  • verity:验证
new
risk_name 风险项名称。 密码策略合规检测
status 状态信息。更多信息,请参见安全日志状态码 1
sub_type_alias 子类型别名(中文)。 系统账户安全
sub_type_name 子类型名称。 system_account_security
type_name 检测类型名称。 account
type_alias 类型别名(中文)。 cis
uuid 检测出当前风险项的服务器UUID。 12345-b7ca-4a0a-9267-123456

基线类型及子类型列表

类型名称 子类型名称 描述
hc_exploit hc_exploit_redis 高危风险利用-Redis未授权访问高危风险
hc_exploit hc_exploit_activemq 高危风险利用-ActiveMQ未授权访问高危风险
hc_exploit hc_exploit_couchdb 高危风险利用-CouchDB未授权访问高危风险
hc_exploit hc_exploit_docker 高危风险利用-Docker未授权访问高危风险
hc_exploit hc_exploit_es 高危风险利用-Elasticsearch未授权访问高危风险
hc_exploit hc_exploit_hadoop 高危风险利用-Hadoop未授权访问高危风险
hc_exploit hc_exploit_jboss 高危风险利用-Jboss未授权访问高危风险
hc_exploit hc_exploit_jenkins 高危风险利用-Jenkins未授权访问高危风险
hc_exploit hc_exploit_k8s_api 高危风险利用Kubernetes-Apiserver未授权访问高危风险
hc_exploit hc_exploit_ldap 高危风险利用-LDAP未授权访问高危风险(Windows环境)
hc_exploit hc_exploit_ldap_linux 高危风险利用-openLDAP未授权访问高危风险(Linux环境)
hc_exploit hc_exploit_memcache 高危风险利用-Memcached未授权访问高危风险
hc_exploit hc_exploit_mongo 高危风险利用-Mongodb未授权访问高危风险
hc_exploit hc_exploit_pgsql 高危风险利用-Postgresql未授权访问高危风险基线
hc_exploit hc_exploit_rabbitmq 高危风险利用-RabbitMQ未授权访问高危风险
hc_exploit hc_exploit_rsync 高危风险利用-rsync未授权访问高危风险
hc_exploit hc_exploit_tomcat 高危风险利用-Apache Tomcat AJP文件包含漏洞风险
hc_exploit hc_exploit_zookeeper 高危风险利用-ZooKeeper未授权访问高危风险
hc_container hc_docker 阿里云标准-Docker安全基线检查
hc_container hc_middleware_ack_master CIS标准-Kubernetes(ACK) Master节点安全基线检查
hc_container hc_middleware_ack_node CIS标准-Kubernetes(ACK) Node节点安全基线检查
hc_container hc_middleware_k8s 阿里云标准-Kubernetes-Master安全基线检查
hc_container hc_middleware_k8s_node 阿里云标准-Kubernetes-Node安全基线检查
cis hc_suse 15_djbh 等保三级-SUSE 15合规基线检查
cis hc_aliyun_linux3_djbh_l3 等保三级-Alibaba Cloud Linux 3合规基线检查
cis hc_aliyun_linux_djbh_l3 等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查
cis hc_bind_djbh 等保三级-Bind合规基线检查
cis hc_centos 6_djbh_l3 等保三级-CentOS Linux 6合规基线检查
cis hc_centos 7_djbh_l3 等保三级-CentOS Linux 7合规基线检查
cis hc_centos 8_djbh_l3 等保三级-CentOS Linux 8合规基线检查
cis hc_debian_djbh_l3 等保三级-Debian Linux 8/9/10合规基线检查
cis hc_iis_djbh 等保三级-IIS合规基线检查
cis hc_informix_djbh 等保三级-Informix合规基线检查
cis hc_jboss_djbh 等保三级-Jboss合规基线检查
cis hc_mongo_djbh 等保三级-MongoDB合规基线检查
cis hc_mssql_djbh 等保三级-SQL Server合规基线检查
cis hc_mysql_djbh 等保三级-MySql合规基线检查
cis hc_nginx_djbh 等保三级-Nginx合规基线检查
cis hc_oracle_djbh 等保三级-Oracle合规基线检查
cis hc_pgsql_djbh 等保三级-PostgreSql合规基线检查
cis hc_redhat 6_djbh_l3 等保三级-Redhat Linux 6合规基线检查
cis hc_redhat_djbh_l3 等保三级-Redhat Linux 7合规基线检查
cis hc_redis_djbh 等保三级-Redis合规基线检查
cis hc_suse 10_djbh_l3 等保三级-SUSE 10合规基线检查
cis hc_suse 12_djbh_l3 等保三级-SUSE 12合规基线检查
cis hc_suse_djbh_l3 等保三级-SUSE 11合规基线检查
cis hc_ubuntu 14_djbh_l3 等保三级-Ubuntu 14合规基线检查
cis hc_ubuntu_djbh_l3 等保三级-Ubuntu 16/18/20合规基线检查
cis hc_was_djbh 等保三级-Websphere Application Server合规基线检查
cis hc_weblogic_djbh 等保三级-Weblogic合规基线检查
cis hc_win 2008_djbh_l3 等保三级-Windows 2008 R2合规基线检查
cis hc_win 2012_djbh_l3 等保三级-Windows 2012 R2合规基线检查
cis hc_win 2016_djbh_l3 等保三级-Windows 2016/2019 合规基线检查
cis hc_aliyun_linux_djbh_l2 等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查
cis hc_centos 6_djbh_l2 等保二级-CentOS Linux 6合规基线检查
cis hc_centos 7_djbh_l2 等保二级-CentOS Linux 7合规基线检查
cis hc_debian_djbh_l2 等保二级-Debian Linux 8合规基线检查
cis hc_redhat 7_djbh_l2 等保二级-Redhat Linux 7合规基线检查
cis hc_ubuntu_djbh_l2 等保二级-Ubuntu16/18合规基线检查
cis hc_win 2008_djbh_l2 等保二级-Windows 2008 R2合规基线检查
cis hc_win 2012_djbh_l2 等保二级-Windows 2012 R2合规基线检查
cis hc_win 2016_djbh_l2 等保二级-Windows 2016/2019 合规基线检查
cis hc_aliyun_linux_cis CIS标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查
cis hc_centos 6_cis_rules CIS标准-CentOS Linux 6安全基线检查
cis hc_centos 7_cis_rules CIS标准-CentOS Linux 7安全基线检查
cis hc_centos 8_cis_rules CIS标准-CentOS Linux 8安全基线检查
cis hc_debian 8_cis_rules CIS标准-Debian Linux 8安全基线检查
cis hc_ubuntu 14_cis_rules CIS标准-Ubuntu 14安全基线检查
cis hc_ubuntu 16_cis_rules CIS标准-Ubuntu 16/18/20安全基线检查
cis hc_win 2008_cis_rules CIS标准-Windows Server 2008 R2安全基线检查
cis hc_win 2012_cis_rules CIS标准-Windows Server 2012 R2安全基线检查
cis hc_win 2016_cis_rules CIS标准-Windows Server 2016/2019 R2安全基线检查
cis hc_kylin_djbh_l3 等保三级-麒麟合规基线检查
cis hc_uos_djbh_l3 等保三级-Uos合规基线检查
hc_best_secruity hc_aliyun_linux 阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查
hc_best_secruity hc_centos 6 阿里云标准-CentOS Linux 6安全基线检查
hc_best_secruity hc_centos 7 阿里云标准-CentOS Linux 7/8安全基线检查
hc_best_secruity hc_debian 阿里云标准-Debian Linux 8/9/10安全基线检查
hc_best_secruity hc_redhat 6 阿里云标准-Redhat Linux 6安全基线检查
hc_best_secruity hc_redhat 7 阿里云标准-Redhat Linux 7/8安全基线检查
hc_best_secruity hc_ubuntu 阿里云标准-Ubuntu安全基线检查
hc_best_secruity hc_windows_2008 阿里云标准-Windows 2008 R2安全基线检查
hc_best_secruity hc_windows_2012 阿里云标准-Windows 2012 R2安全基线检查
hc_best_secruity hc_windows_2016 阿里云标准-Windows 2016/2019 安全基线检查
hc_best_secruity hc_db_mssql 阿里云标准-SQL server安全基线检查
hc_best_secruity hc_memcached_ali 阿里云标准-Memcached安全基线检查
hc_best_secruity hc_mongodb 阿里云标准-MongoDB 3.x版本安全基线检查
hc_best_secruity hc_mysql_ali 阿里云标准-Mysql安全基线检查
hc_best_secruity hc_oracle 阿里云标准-Oracle 11g安全基线检查
hc_best_secruity hc_pgsql_ali 阿里云标准-PostgreSql安全基线检查
hc_best_secruity hc_redis_ali 阿里云标准-Redis安全基线检查
hc_best_secruity hc_apache 阿里云标准-Apache安全基线检查
hc_best_secruity hc_iis_8 阿里云标准-IIS 8安全基线检查
hc_best_secruity hc_nginx_linux 阿里云标准-Nginx安全基线检查
hc_best_secruity hc_suse 15 阿里云标准-SUSE Linux 15安全基线检查
hc_best_secruity tomcat 7 阿里云标准-Apache Tomcat 安全基线检查
weak_password hc_mongodb_pwd 弱口令-MongoDB登录弱口令检测(支持2.x版本)
weak_password hc_weakpwd_ftp_linux 弱口令-FTP登录弱口令检查
weak_password hc_weakpwd_linux_sys 弱口令-Linux系统登录弱口令检查
weak_password hc_weakpwd_mongodb 3 弱口令-MongoDB登录弱口令检测
weak_password hc_weakpwd_mssql 弱口令-SQL Server数据库登录弱口令检查
weak_password hc_weakpwd_mysql_linux 弱口令-Mysql数据库登录弱口令检查
weak_password hc_weakpwd_mysql_win 弱口令-Mysql数据库登录弱口令检查(Windows版)
weak_password hc_weakpwd_openldap 弱口令-Openldap登录弱口令检查
weak_password hc_weakpwd_oracle 弱口令-Oracle登录弱口令检测
weak_password hc_weakpwd_pgsql 弱口令-PostgreSQL数据库登录弱口令检查
weak_password hc_weakpwd_pptp 弱口令-pptpd服务登录弱口令检查
weak_password hc_weakpwd_redis_linux 弱口令-Redis数据库登录弱口令检查
weak_password hc_weakpwd_rsync 弱口令-rsync服务登录弱口令检查
weak_password hc_weakpwd_svn 弱口令-svn服务登录弱口令检查
weak_password hc_weakpwd_tomcat_linux 弱口令-Apache Tomcat控制台弱口令检查
weak_password hc_weakpwd_vnc 弱口令-VncServer弱口令检查
weak_password hc_weakpwd_weblogic 弱口令-Weblogic 12c登录弱口令检测
weak_password hc_weakpwd_win_sys 弱口令-Windows系统登录弱口令检查

安全日志状态码

状态值 描述
1 未修复
2 修复失败
3 回滚失败
4 修复中
5 回滚中
6 验证中
7 修复成功
8 修复成功待重启
9 回滚成功
10 忽略
11 回滚成功待重启
12 已不存在
20 已失效

安全告警状态码

状态值 描述
1 待处理
2 已忽略
4 已确认
8 已标记误报
16 处理中
32 处理完毕
64 已经过期
128 已经删除
512 自动拦截中
513 自动拦截完毕

基线日志状态码

状态值 描述
1 未通过
2 验证中
3 已通过
5 已经失效
6 已经忽略
7 修复中

安全告警日志

字段名 说明 示例
data_source 数据源。更多信息,请参见安全告警data_source列表 aegis_login_log
level 告警事件的危险等级。取值(以下等级排序按照严重等级递减):
  • serious:紧急
  • suspicious:可疑
  • remind:提醒
suspicious
name 告警名称。 Suspicious Process-SSH-based Remote Execution of Non-interactive Commands
op 操作信息。取值:
  • new:新增
  • dealing:处理
new
status 状态信息。更多信息,请参见安全日志状态码 1
uuid 产生告警的服务器UUID。 12345-b7ca-4a0a-9267-123456
detail 告警详细信息。
说明 告警类型不同,日志中的detail字段包含的内容也不同。如果您在查看告警日志时,对detail字段中的参数有疑问,您可以提交工单咨询。
由于detail字段内容较长,以下示例截取了非常用登录地登录服务器的告警日志中,detail字段的部分内容:{"loginSourceIp":"120.27.XX.XX","loginTimes":1,"type":"login_common_location","loginDestinationPort":22,"loginUser":"aike","protocol":2,"protocolName":"SSH","location":"青岛市"}
unique_info 告警的唯一标识。 2536dd765f804916a1fa3b9516b5****

安全告警data_source列表

描述
aegis_suspicious_event 主机异常
aegis_suspicious_file_v2 Webshell
aegis_login_log 异常登录
security_event 云安全中心异常事件

主机日志

进程启动日志

字段名 说明 示例
uuid 进程所在服务器的UUID。 5d83b26b-b7ca-4a0a-9267-12****
ip 客户端主机的IP地址。 1.2.XX.XX
cmdline 进程启动的完整命令行。 cmd.exe /C "netstat -ano“
username 用户名。 administrator
uid 用户ID。 123
pid 进程ID。 7100
filename 进程文件名。 cmd.exe
filepath 进程文件完整路径。 C:/Windows/SysWOW64/cmd.exe
groupname 用户组。 group1
ppid 父进程ID。 2296
pfilename 父进程文件名。 client.exe
pfilepath 父进程文件完整路径。 D:/client/client.exe
cmd_chain 进程链。
[
    {
        "9883":"bash -c kill -0 -- -'6274'"
    },
    {
        "19617":"/opt/java8/bin/java -Dproc_nodemanager -Xmx8192m -Dhdp.version=2.6.5.0-292 -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir= -Dyarn.id.str=yarn -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -Dyarn.policy.file=hadoop-policy.xml -Djava.io.tmpdir=/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -server -Dnm.audit.logger=INFO,NMAUDIT -Dnm.audit.logger=INFO,NMAUDIT -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir=/usr/hdp/2.6.5.0-292/hadoop-yarn -Dhadoop.home.dir=/usr/hdp/2.6.5.0-292/hadoop -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -classpath /usr/hdp/2.6.5.0-292/hadoop/conf:/usr/hdp/2.6.5.0-292/hadoop/conf:/usr/hdp/2.6.5.0-292/hadoop/conf:/usr/hdp/2.6.5.0-292/hadoop/lib/*:/usr/hdp/2.6.5.0-292/hadoop/.//*:/usr/hdp/2.6.5.0-292/hadoop-hdfs/./:/usr/hdp/2.6.5.0-292/hadoop-hdfs/lib/*:/usr/hdp/2.6.5.0-292/hadoop-hdfs/.//*:/usr/hdp/2.6.5.0-292/hadoop-yarn/lib/*:/usr/hdp/2.6.5.0-292/hadoop-yarn/.//*:/usr/hdp/2.6.5.0-292/hadoop-mapreduce/lib/*:/usr/hdp/2.6.5.0-292/hadoop-mapreduce/.//*:/usr/hdp/2.6.5.0-292/hadoop-yarn/.//*:/usr/hdp/2.6.5.0-292/hadoop-yarn/lib/*:/usr/hdp/2.6.5.0-292/hadoop/conf/nm-config/log4j.properties org.apache.hadoop.yarn.server.nodemanager.NodeManager"
    }
]
containerhostname 容器内服务器名称。 gamify-answer-bol-5-6876d5dc78-vf****
containerpid 容器内进程ID。 0
containerimageid 镜像ID。 sha256:7fee4a991f7c41c5511234dfea37a2a5c70c894fa7b4ca5c08d9fad74077****
containerimagename 镜像名称。 registry-vpc.cn-north-2-gov-1.aliyuncs.com/lippi-dingtalk/gamify-answer-bol-start:2020111714****
containername 容器名称。 k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e010b62_0****
containerid 容器ID。 b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86****
cmd_chain_index 进程链索引,可以通过相同索引查找进程链。 P253
cmd_index 命令行每个参数的索引,每两个为一组,标识一个参数的起止索引。 0,3,5,8
comm 进程关联的命令名。 N/A
gid 进程组的ID。 0
parent_cmd_line 父进程的命令行。 /bin/sh -c ip a |grep inet|grep -v inet6|grep -v 127.0.0.1|grep -v 'inet 192.168.'|grep -v 'inet 10.'|awk '{print $2}'|sed 's#/[0-9]*##g'
pid_start_time 父进程的启动时间。 2022-01-12 15:27:46
srv_cmd 祖进程的命令行。 /www/server/panel/pyenv/bin/python /www/server/panel/BT-Task
stime 进程的启动时间。 2022-01-12 15:27:46

进程快照日志

字段名 说明 示例
uuid 进程所在服务器的UUID。 5d83b26b-b7ca-4a0a-9267-12****
ip 客户端主机的IP地址。 1.2.XX.XX
cmdline 进程启动的完整命令行。 cmd.exe /C "netstat -ano"
pid 进程ID。 7100
name 进程文件名。 cmd.exe
path 进程文件所在的完整路径。 C:/Windows/SysWOW64/cmd.exe
md5 进程文件名MD5。
说明 超过1 MB的进程文件不进行MD5计算。
d0424c22dfa03f6e4d5289f7f5934dd4
pname 父进程文件名。 client.exe
start_time 进程启动时间。内置字段。 2018-01-18 20:00:12
user 用户名。 administrator
uid 用户ID。 123

登录日志

说明 1分钟内的重复登录会被合并为1条日志,字段warn_count表示次数。
字段名 说明 示例
uuid 被登录的服务器的UUID。 5d83b26b-b7ca-4a0a-9267-12****
ip 客户端主机的IP地址。 1.2.XX.XX
warn_ip 登录来源IP地址。 1.2.XX.XX
warn_port 登录端口。 22
warn_type 登录类型。取值:
  • SSHLOGIN:SSH登录
  • RDPLOGIN:远程桌面登录
  • IPCLOGIN:IPC连接登录
SSHLOGIN
warn_user 登录用户名。 admin
warn_count 登录次数。1分钟内重复登录会被合并为1条日志。例如warn_count值为3表示这次登录前1分钟内还登录了2次。 3

暴力破解日志

字段名 说明 示例
uuid 被暴力破解的服务器UUID。 5d83b26b-b7ca-4a0a-9267-12*****
ip 服务器IP地址。 1.2.XX.XX
warn_ip 登录来源IP地址。 1.2..XX.XX
warn_port 登录端口。 22
warn_type 登录类型。取值:
  • SSHLOGIN:SSH登录
  • RDPLOGIN:远程桌面登录
  • IPCLOGIN:IPC连接登录
SSHLOGIN
warn_user 登录用户名。 admin
warn_count 失败登录次数。 3

网络连接日志

说明 服务器上每隔10秒到1分钟会收集变化的网络连接,而一个网络连接的状态收集从建立到结束过程中的部分状态。
字段名 说明 示例
uuid 服务器的UUID。 5d83b26b-b7ca-4a0a-9267-12****
ip 服务器IP地址。 1.2.XX.XX
src_ip 源IP地址。 1.2.XX.XX
src_port 源端口。 41897
dst_ip 目标IP地址。 1.2.XX.XX
dst_port 目标端口。 22
proc_name 进程名。 java
proc_path 进程路径。 /hsdata/jdk1.7.0_79/bin/java
proto 协议。取值:
  • tcp
  • udp
  • raw(表示raw socket)
tcp
status 连接状态。更多信息请参见网络连接状态描述列表 5
cmd_chain 进程链。
[
    {
        "9883":"bash -c kill -0 -- -'6274'"
    },
    {
        "19617":"/opt/java8/bin/java -Dproc_nodemanager -Xmx8192m -Dhdp.version=2.6.5.0-292 -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir= -Dyarn.id.str=yarn -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -Dyarn.policy.file=hadoop-policy.xml -Djava.io.tmpdir=/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -server -Dnm.audit.logger=INFO,NMAUDIT -Dnm.audit.logger=INFO,NMAUDIT -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir=/usr/hdp/2.6.5.0-292/hadoop-yarn -Dhadoop.home.dir=/usr/hdp/2.6.5.0-292/hadoop -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.5.0-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -classpath /usr/hdp/2.6.5.0-292/hadoop/conf:/usr/hdp/2.6.5.0-292/hadoop/conf:/usr/hdp/2.6.5.0-292/hadoop/conf:/usr/hdp/2.6.5.0-292/hadoop/lib/*:/usr/hdp/2.6.5.0-292/hadoop/.//*:/usr/hdp/2.6.5.0-292/hadoop-hdfs/./:/usr/hdp/2.6.5.0-292/hadoop-hdfs/lib/*:/usr/hdp/2.6.5.0-292/hadoop-hdfs/.//*:/usr/hdp/2.6.5.0-292/hadoop-yarn/lib/*:/usr/hdp/2.6.5.0-292/hadoop-yarn/.//*:/usr/hdp/2.6.5.0-292/hadoop-mapreduce/lib/*:/usr/hdp/2.6.5.0-292/hadoop-mapreduce/.//*:/usr/hdp/2.6.5.0-292/hadoop-yarn/.//*:/usr/hdp/2.6.5.0-292/hadoop-yarn/lib/*:/usr/hdp/2.6.5.0-292/hadoop/conf/nm-config/log4j.properties org.apache.hadoop.yarn.server.nodemanager.NodeManager"
    }
]
pid 进程ID。 123
ppid 父进程ID。 1
container_hostname 容器内服务器名称。 gamify-answer-bol-5-6876d5dc78-v****
container_pid 容器内进程ID。 0
container_image_id 镜像ID。 sha256:7fee4a991f7c41c5511234dfea37a2a5c70c894fa7b4ca5c08d9fad74077****
container_image_name 镜像名称。 registry-vpc.cn-north-2-gov-1.aliyuncs.com/lippi-dingtalk/gamify-answer-bol-start:2020111714****
container_name 容器名称。 k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e010b62_0****
container_id 容器ID。 b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86****
cmd_chain_index 进程链索引,可以通过相同索引查找进程链。 P3285
parent_proc_file_name 父进程的文件名。 /usr/bin/bash
proc_start_time 进程的启动时间。 N/A
srv_comm 祖进程关联的命令名。 python
uid 进程用户的ID。 -1
username 进程的用户名。 N/A

网络连接状态描述列表

状态值 描述
1 closed
2 listen
3 syn send
4 syn recv
5 establisted
6 close wait
7 closing
8 fin_wait1
9 fin_wait2
10 time_wait
11 delete_tcb

端口监听快照

字段名 说明 示例
uuid 服务器的UUID。 5d83b26b-b7ca-4a0a-9267-12****
ip 服务器的IP地址。 1.2.XX.XX
proto 通信使用的协议。取值:
  • tcp
  • udp
  • raw(表示raw socket)
tcp
src_ip 监听的IP地址。 1.2.XX.XX
src_port 监听端口。 41897
pid 进程ID。 7100
proc_name 进程名。 kubelet

账号快照

说明 账号快照展示了在您资产中检测到的账号信息。
字段名 说明 示例
uuid 服务器的UUID。 5d83b26b-b7ca-4a0a-9267-12****
ip 服务器IP地址。 1.2.XX.XX
user 用户名称。 nscd
perm 是否拥有登录服务器root权限。取值:
  • 0:没有root权限。
  • 1:有root权限。
0
home_dir home目录。 /Users/abc
groups 用户所在的分组。不属于任何组时为N/A ["users", "root"]
last_chg 密码最后的修改日期。 2017-08-24
shell Linux的Shell命令。 /sbin/nologin
domain Windows域。不属于任何域为N/A administrator
tty 登录的终端。账号从未登录过终端时为N/A pts/3
warn_time 密码到期提醒日期。永不提醒时为never 2017-08-24
account_expire 账号过期日期。永不过期时为never 2017-08-24
passwd_expire 密码过期日期。永不过期时为never 2017-08-24
login_ip 最后一次登录的远程IP地址。账号从未登录时为N/A 1.2.XX.XX
last_logon 最后一次登录的日期和时间。账号从未登录时为N/A 2017-08-21 09:21:21
status 用户账号状态,取值:
  • 0:账号已被禁止登录
  • 1:账号可正常登录
0