调用DescribeSuspEvents接口查询异常事件信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeSuspEvents

需要执行的操作。

取值:DescribeSuspEvents

From String sas

异常事件所属数据源标识,固定为sas。

SourceIp String 1.2.3.4

访问源的IP地址。

Dealed String N

异常事件状态。取值包括:

  • N:待处理
  • Y:已处理
Name String ecs-xxx

异常事件名称或者是主机名称,模糊匹配。

Levels String serious

异常事件的危险等级,多个危险等级用英文逗号分隔。以下危险等级严重程度依次递减。

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
ParentEventTypes String 网站后门

异常事件所属的告警类型。

Remark String 测试机器

主机IP或者名称。

PageSize String 20

分页查询时,显示的每页数据的最大条数。默认值为20

CurrentPage String 1

分页查询时,显示的当前页的页码。

Lang String zh

请求和接收消息的语言类型。取值包括:

  • zh:中文
  • en:英文
AlarmUniqueInfo String 8df914418f4211fbf***

异常事件所属告警事件的唯一标识ID。

说明 如果查询单个告警事件的异常事件信息,需要提供告警事件的唯一标识ID,该ID可调用DescribeAlarmEventList接口获取。

返回数据

名称 类型 示例值 描述
RequestId String 43F670F3-AB40-4E91-BC7D-C57400000000

本次请求的ID。

Count Integer 1

分页查询时,当前页显示的数据条数。

PageSize Integer 20

分页查询时,每页数据显示的最大条数。

TotalCount Integer 100

异常事件的总数量。

CurrentPage Integer 1

分页查询时,当前页的页码。

SuspEvents Array

异常事件信息。

LastTime String 2018-09-26 01:51:01

异常事件最新发生时间。

OccurrenceTime String 2018-09-26 01:51:01

异常事件首次发生的时间。

Id Long 1000

记录异常事件的唯一标识ID。

UniqueInfo String e17e***

异常事件的唯一标识ID。

InstanceName String nginx

关联实例的名称。

InternetIp String 1.2.3.1

关联实例的公网IP。

IntranetIp String 1.2.3.5

关联实例的私网IP。

Uuid String bf6b30d3-eea8-4924-9f0a-***

关联实例的唯一标识。

Name String 恶意进程(云查杀)-XorDDoS木马

异常事件的完整名称。

EventSubType String XorDDoS木马

异常事件名称。

Level String serious

异常事件的危险等级。取值包括:

  • serious:紧急
  • suspicious:可疑
  • remind:提醒
EventStatus Integer 1

异常事件的状态。取值包括:

  • 1:PENDING(待处理)
  • 2:IGNORE(已忽略)
  • 4:HANDLED(已确认)
  • 8:FAULT(已标记误报)
  • 16:DEALING(处理中)
  • 32:DONE(处理完毕)
  • 64:EXPIRE(已经过期)
Desc String webshell

异常事件的影响概况描述。

OperateMsg String success

异常事件操作的备注信息。

DataSource String aegis_suspicious_***

数据来源(可忽略)。

CanBeDealOnLine Boolean true

是否支持在线处理异常事件,例如隔离。取值包括:

  • true:支持在线处理
  • false:不支持在线处理
SaleVersion String 1

异常事件检测支持的产品售卖版本。取值包括:

  • 0:基础版本
  • 1:企业版本
AlarmEventType String 进程异常行为

告警事件类型。

AlarmEventName String Linux计划任务执行异常指令

告警事件名称。

AlarmUniqueInfo String 8df914418f***

告警事件的唯一标识ID。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeSuspEvents
&From=saas
&<公共请求参数>

正常返回示例

XML 格式

<DescribeSuspEvents>
  <TotalCount>3</TotalCount>
  <Count>2</Count>
  <PageSize>20</PageSize>
  <RequestId>0C7FAD74-83FA-4671-9250-A5F2A64F437A</RequestId>
  <CurrentPage>1</CurrentPage>
  <SuspEvents>
        <EventStatus>1</EventStatus>
        <SaleVersion>1</SaleVersion>
        <IntranetIp>1.2.3.4</IntranetIp>
        <EventSubType>XorDDoS木马</EventSubType>
        <Name>恶意进程(云查杀)-XorDDoS木马</Name>
        <DataSource>aegis_suspiciou***</DataSource>
        <OccurrenceTime>2018-09-26 01:51:01</OccurrenceTime>
        <InstanceName>server01</InstanceName>
        <Desc>XORDDoS木马入侵后,会在Linux的定时任务中植入恶意代码。</Desc>
        <CanBeDealOnLine>false</CanBeDealOnLine>
        <Uuid>bf6b30d3-eea8-4924***</Uuid>
        <InternetIp>1.2.3.4</InternetIp>
        <Level>serious</Level>
        <Id>3682</Id>
        <LastTime>2018-10-24 21:06:01</LastTime>
  </SuspEvents>
  <SuspEvents>
        <EventStatus>1</EventStatus>
        <SaleVersion>1</SaleVersion>
        <IntranetIp>1.2.3.5</IntranetIp>
        <EventSubType>XorDDoS木马</EventSubType>
        <Name>恶意进程(云查杀)-XorDDoS木马</Name>
        <DataSource>aegis_suspiciou***</DataSource>
        <OccurrenceTime>2018-09-26 02:01:01</OccurrenceTime>
        <InstanceName>server01</InstanceName>
        <Desc>XORDDoS木马入侵后,会在Linux的定时任务中植入恶意代码。</Desc>
        <CanBeDealOnLine>false</CanBeDealOnLine>
        <Uuid>bf6b30d3-eea8-4924-***</Uuid>
        <InternetIp>1.2.3.4</InternetIp>
        <Level>serious</Level>
        <Id>3683</Id>
        <LastTime>2018-10-24 21:01:01</LastTime>
  </SuspEvents>
</DescribeSuspEvents>

JSON 格式

{
    "TotalCount": 3,
    "Count": 2,
    "PageSize": 20,
    "RequestId": "0C7FAD74-83FA-4671-9250-A5F2A64F437A",
    "CurrentPage": 1,
    "SuspEvents": [
        {
            "EventStatus": 1,
            "SaleVersion": "1",
            "IntranetIp": "1.2.3.4",
            "EventSubType": "XorDDoS木马",
            "Name": "恶意进程(云查杀)-XorDDoS木马",
            "DataSource": "aegis_suspiciou***",
            "OccurrenceTime": "2018-09-26 01:51:01",
            "InstanceName": "server01",
            "Desc": "XORDDoS木马入侵后,会在Linux的定时任务中植入恶意代码。",
            "CanBeDealOnLine": false,
            "Uuid": "bf6b30d3-eea8-4924***",
            "InternetIp": "1.2.3.4",
            "Level": "serious",
            "Id": 3682,
            "LastTime": "2018-10-24 21:06:01"
        },
        {
            "EventStatus": 1,
            "SaleVersion": "1",
            "IntranetIp": "1.2.3.5",
            "EventSubType": "XorDDoS木马",
            "Name": "恶意进程(云查杀)-XorDDoS木马",
            "DataSource": "aegis_suspiciou***",
            "OccurrenceTime": "2018-09-26 02:01:01",
            "InstanceName": "server01",
            "Desc": "XORDDoS木马入侵后,会在Linux的定时任务中植入恶意代码。",
            "CanBeDealOnLine": false,
            "Uuid": "bf6b30d3-eea8-4924-***",
            "InternetIp": "1.2.3.4",
            "Level": "serious",
            "Id": 3683,
            "LastTime": "2018-10-24 21:01:01"
        }
    ]
}

错误码

访问错误中心查看更多错误码。