调用DescribeAlarmEventDetail获取告警事件的详细信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeAlarmEventDetail

要执行的操作。

取值:DescribeAlarmEventDetail

AlarmUniqueInfo String 8df914418f4211fbf756efe7a6f40cbc

告警事件的唯一标识。

说明 查询警事件的详细信息,需要提供告警事件的唯一标识信息,该标识信息可调用DescribeAlarmEventList接口获取。
From String sas

请求来源标识,固定为sas。

SourceIp String 1.2.3.4

访问源的IP地址。

Lang String zh

请求和接收消息的语言类型。取值包括:

  • zh:中文
  • en:英文

返回数据

名称 类型 示例值 描述
Data Struct

告警事件详情。

AlarmEventAliasName String 进程异常行为-Linux计划任务执行异常指令

告警事件完整名称。

AlarmEventDesc String 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。

告警事件描述。

AlarmUniqueInfo String 8df914418f4211fbf756efe700000000

告警事件的唯一标识。

CanBeDealOnLine Boolean false

是否支持在线处理告警事件,例如阻断隔离、加白名单、忽略等。取值:

  • true:支持在线处理。
  • false:不支持在线处理。
CanCancelFault Boolean false

能否取消标记为误报。取值:

  • true:可以取消标记为误报。
  • false:不能取消标记为误报。
CauseDetails Array

告警事件发生的原因(溯源信息)。

Key String item

文本的展示方式。取值:

  • text:文本方式
  • html:富文本方式
Value Array

溯源信息字段值。

Name String 排查方案

溯源信息字段的Key。

Type String html

溯源信息字段展示的类型。

Value String 请根据上述信息排查您的WEB服务被利用的页面及参数是否存在漏洞,并及时修复。

溯源信息字段的值。

DataSource String aegis_***

数据来源。

EndTime Long 1542366542000

告警事件结束时间。

InstanceName String 测试服务器

关联实例的名称。

InternetIp String 1.2.3.1

关联实例的公网IP。

IntranetIp String 1.2.3.5

关联实例的私网IP。

Level String serious

告警事件的危险等级。取值:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
Solution String 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件。并及时清理已运行的恶意进程。如果该指令是您自己主动执行,您可以在控制台点击标记为误报,并通过工单方式反馈给我们的安全工程师。

告警事件的处理方法。

StartTime Long 1542378601000

告警事件的开始时间。

Type String 异常网络连接

告警事件类型。

Uuid String 47900178-885d-4fa4-9d77-XXXXXXXXXXXX

关联实例的唯一标识ID。

RequestId String 5A1DDB3C-798C-4A84-BF6E-3DC700000000

阿里云为该请求生成的唯一标识符。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeAlarmEventDetail
&AlarmUniqueInfo=8df914418f4211fbf756efe7a6f40cbc
&From=sas
&<公共请求参数>

正常返回示例

XML 格式

<DescribeAlarmEventDetailResponse>
  <Data>
        <Uuid>47900178-885d-4fa4-9d77-XXXXXXXXXXXX</Uuid>
        <AlarmEventAliasName>进程异常行为-Linux计划任务执行异常指令</AlarmEventAliasName>
        <Type>进程异常行为</Type>
        <InternetIp>1.2.3.1</InternetIp>
        <AlarmEventDesc>黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。</AlarmEventDesc>
        <IntranetIp>1.2.3.5</IntranetIp>
        <CauseDetails>
              <Value>
                    <Type>text</Type>
                    <Value>黑客登录ECS后通过编辑文件方式 写WEBSHELL</Value>
                    <Name>入侵原因</Name>
              </Value>
              <Value>
                    <Type>text</Type>
                    <Value>2018-11-16 19:09:02</Value>
                    <Name>攻击时间</Name>
              </Value>
              <Value>
                    <Type>text</Type>
                    <Value>N/A</Value>
                    <Name>攻击源IP</Name>
              </Value>
              <Value>
                    <Type>text</Type>
                    <Value>N/A</Value>
                    <Name>漏洞攻击载荷</Name>
              </Value>
              <Value>
                    <Type>text</Type>
                    <Value>请根据上述信息排查您的WEB服务被利用的页面及参数是否存在漏洞,并及时修复。</Value>
                    <Name>排查方案</Name>
              </Value>
              <Key>item</Key>
        </CauseDetails>
        <Level>serious</Level>
        <EndTime>1543741201000</EndTime>
        <StartTime>1543312803000</StartTime>
        <CanBeDealOnLine>false</CanBeDealOnLine>
        <InstanceName>serve***</InstanceName>
  </Data>
  <RequestId>5A1DDB3C-798C-4A84-BF6E-3DC7F7D7EB4A</RequestId>
</DescribeAlarmEventDetailResponse>

JSON 格式

{
    "Data": {
        "Uuid": "47900178-885d-4fa4-9d77-XXXXXXXXXXXX",
        "AlarmEventAliasName": "进程异常行为-Linux计划任务执行异常指令",
        "Type": "进程异常行为",
        "InternetIp": "1.2.3.1",
        "AlarmEventDesc": "黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。",
        "IntranetIp": "1.2.3.5",
        "CauseDetails": [
            {
                "Value": [
                    {
                        "Type": "text",
                        "Value": "黑客登录ECS后通过编辑文件方式 写WEBSHELL",
                        "Name": "入侵原因"
                    },
                    {
                        "Type": "text",
                        "Value": "2018-11-16 19:09:02",
                        "Name": "攻击时间"
                    },
                    {
                        "Type": "text",
                        "Value": "N/A",
                        "Name": "攻击源IP"
                    },
                    {
                        "Type": "text",
                        "Value": "N/A",
                        "Name": "漏洞攻击载荷"
                    },
                    {
                        "Type": "text",
                        "Value": "请根据上述信息排查您的WEB服务被利用的页面及参数是否存在漏洞,并及时修复。",
                        "Name": "排查方案"
                    }
                ],
                "Key": "item"
            }
        ],
        "Level": "serious",
        "EndTime": 1543741201000,
        "StartTime": 1543312803000,
        "CanBeDealOnLine": false,
        "InstanceName": "serve***"
    },
    "RequestId": "5A1DDB3C-798C-4A84-BF6E-3DC7F7D7EB4A"
}

错误码

访问错误中心查看更多错误码。