日志字段

字段名

说明

示例值

ndr_log_type

NDR 协议日志类型，不同协议该值不同，具体取值范围，请参见：支持协议类型。

HTTP

start_time

会话开始时间，使用 Unix 时间戳格式表示，单位：秒。

1750157428

end_time

会话结束时间，使用 Unix 时间戳格式表示，单位：秒。

1750157428

src_ip

会话的源 IP。

8.153.XX.XXX

src_port

会话的源端口。

33321

dst_ip

会话的目的 IP。

203.119.XXX.XXX

dst_port

会话的目的端口。

80

net_connect_dir

会话流量相对于资产的方向。

• in：入方向，表示来自互联网的其他资源或内网中的其他 ECS 访问您的资产。

• out：出方向，表示您的资产主动访问互联网的其他资源或内网中的其他 ECS。

in

l3_protocol

3 层协议类型。

ipv4、ipv6、other

l4_protocol

4 层协议类型。

tcp、udp、icmp、other

l7_protocol

7 层协议类型。

HTTP

tcp_flags

以十进制形式表示的TCP标志位信息，由这条流量所有报文的TCP标志位经过或运算得到。

26

new_conn

当前流量是否为新建流量。

• 0：当前流量非新建流量。

• 1：当前流量为新建流量。

0

app_id_extend

应用 ID。

72

app_name_extend

应用名。

HTTP_POST

category_id

应用分类ID。

5

category_name

应用分类名称。

WEB

country_id

国家或地区，取值采用 ISO 3166-1 国际标准中的两位字母代码。

说明：

• 空值表示未识别的国家或地域。

• net_connect_dir 为 in 时，取值为发起流量的国家或地区。

• net_connect_dir 为 out 时，取值为流量目的地所在的国家或地区。

CN

city_id

用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码，您可以通过中国行政区划代码查询对应的城市代码。

110000

req_trans_data

存储原始请求数据，注意：若原始负载过长，可能会按照固定长度进行截断。

L7PROTODATAL7PROTODATAL7PROTODATAL7PROTODATA

resp_trans_data

存储原始响应数据，注意：若原始负载过长，可能会按照固定长度进行截断。

L7PROTODATAL7PROTODATAL7PROTODATA

req_trans_offsets

记录每个请求数据分段的起始位置（在req_trans_data中的字节偏移量）。

0,700,2472,3177,3935

resp_trans_offsets

记录每个响应数据分段的起始位置（在esp_trans_data中的字节偏移量）。

0,329,1003

req_trans_lens

记录每个请求数据的原始完整长度（截断前的实际长度）。

700,1772,705,758,374

resp_trans_lens

记录每个响应数据的原始完整长度（截断前的实际长度）。

329,674,1002

字段名

说明

示例值

type

ICMP报文的标准类型代码。

8

code

ICMP 报文代码。

0

type_str

ICMP 报文类型的可读字符串描述（英文）。

Echo (ping) reply

id

ICMP报文中的标识符（Identifier），用于匹配请求与应答（如Ping中的会话标识）。通常由发送方生成，接收方需原样返回。

24367

seq

ICMP报文中的序列号（Sequence Number），标识同一会话中不同报文的顺序（如连续Ping包的序号）。

256

inner_src_ip

ICMP负载中封装的内层数据包的源IP（仅在ICMP负载中封装了内层数据包时有效）。

8.8.X.X

inner_src_port

内层数据包的源端口（如原始TCP/UDP包的端口），仅在ICMP负载中封装了内层数据包时有效。

22546

inner_dest_ip

ICMP负载中封装的内层数据包的目的IP（仅在 ICMP 负载中封装了内层数据包时有效）。

1.1.X.X

inner_dest_port

内层数据包的目的端口（如原始TCP/UDP包的端口），仅在 ICMP 负载中封装了内层数据包时有效。

50988

inner_l4_proto

内层数据包的传输层协议类型（如TCP=6、UDP=17），仅在 ICMP 负载中封装了内层数据包时有效。

17

字段名

说明

示例值

host

请求头中的目标主机名及端口号（Host头部）。

aliyun.com:8080

request_uri

• 完整的请求 URI，包含路径和查询参数（如 /api/data?id=123）。用于路由匹配、资源定位及审计完整请求路径。

• 与 request_path 区别：request_uri 包含查询参数，request_path 仅路径部分。

/api?key=value

request_method

HTTP请求方法（如 GET、POST、PUT、DELETE等）。

POST

http_referer

请求来源页面的完整URL（Referer 头部）。

https://aliyun.com/workplace

http_user_agent

请求头中的客户端标识。

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.95 Safari/537.36

querystring

URL中 ? 后的查询参数。

key=value

request_path

URI的路径部分（不含查询参数）。

/api

http_x_forwarded_for

反向代理链中的原始客户端IP（X-Forwarded-For头部）。格式：逗号分隔的IP列表。

11.11.XX.XX, 22.22.XX.XX

status

HTTP响应状态码（三位数字代码）。

200

response_set_cookie

服务器通过Set-Cookie头部设置的会话标识。

user=sincerexia; state1=180; state2=135; Secure

content_type

标识请求体的媒体类型。

application/x-www-form-urlencoded; charset=UTF-8

response_content_type

标识响应体的媒体类型。

text/plain;charset=UTF-8

proxy_connection

代理服务器连接控制，管理代理与客户端/服务端的长连接复用。

keep-alive

proxy_authorization

代理服务器认证凭证。

Basic Yxxxxxxxxxxxxxxxxxx==

location

重定向目标URL。

http://relocation.com

request_header

原始 HTTP 请求头的完整内容。包含：请求行（方法 + URI + 协议版本）、所有头部键值对。

POST /api?key=value HTTP/1.1
X-Real-IP: 8.8.8.8
X-Forwarded-For: 11.11.XX.XX, 22.22.XX.XX
Host: aliyun.com：3080
Connection: close
Content-Length: 123

request_body

原始HTTP请求体数据（POST/PUT/PATCH等方法携带）。

&user=sincerexia

response_header

原始HTTP响应头的完整内容。

HTTP/1.1 200 OK
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Last-Modified: Wed, 18 Jun 2025 08:25:56 GMT
Content-Type: text/plain;charset=UTF-8
Transfer-Encoding: chunked
Date: Wed, 18 Jun 2025 08:25:56 GMT
Connection: close

response_info

原始HTTP响应体内容。

{
  "result"："OK"
 }

字段名

说明

示例值

version

SSL/TLS 版本。标识加密通信使用的协议版本。

TLS 1.3

sni

客户端在握手时发送的目标服务器域名。

aliyun.com

state

TLS 握手状态。取值范围：

• IN_PROGRESS：开始进行 TLS 握手。

• TLS_STATE_CERT_READY：证书传输完成。

• HANDSHAKE_DONE：完成 TLS 握手。

HANDSHAKE_DONE

cert_subject

证书主体。证书持有者（Subject）信息，包含域名、组织、地理位置等，采用 X.500 格式。

C=CN, ST=ZheJiang, L=HangZhou, O=Alibaba (China) Technology Co., Ltd., CN=aliyuncs.com

cert_issuer

证书颁发者。证书颁发机构（CA）信息。

C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 OV TLS CA 2024

cert_serial

证书序列号。CA 为证书分配的唯一序列号。

45:33:16:59:11:9B:XX:XX:XX:XX:XX:XX

cert_fingerprint

证书指纹。证书的哈希摘要，唯一标识证书内容。

14:2e:56:4b:8f:b1:c2:0f:8c:8b:ce:36:XX:XX:XX:XX:XX:XX:XX:XX

ja3_str_client

客户端 JA3 字符串。基于 TLS 握手特征生成的客户端 JA3 指纹字符串，标识客户端行为模式。

771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-35-22-23-13-43-45-51,29-23-30-25-24,0-1-2

ja3_str_server

服务端 JA3 字符串。基于 TLS 握手特征生成的服务端 JA3 指纹字符串，标识服务端行为模式。

771,4866,43-51

ja3_hash_client

客户端 JA3 Hash。客户端 JA3 字符串的 MD5 哈希值（32 位十六进制）。

40adfd923eb82b89d8836ba37a19bca1

ja3_hash_server

服务端 JA3 Hash。服务端 JA3 字符串的 MD5 哈希值（32 位十六进制）。

15af977ce25de452b96affa2addb1036

cipher_suite

加密套件。表示 TLS 连接使用的加密套件（Cipher Suite），包含密钥交换、认证、对称加密和消息认证码（MAC）算法的组合。

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

字段名

说明

示例值

type

表示 DNS 消息类型，分为查询（Query）或响应（Response）。取值范围：

• query：该条日志是 DNS 查询日志。

• response：该条日志是 DNS 响应日志。

query

id

事务 ID（Transaction ID），16 位唯一标识符，用于匹配请求与响应。

40125

rcode

响应码（Response Code），表示 DNS 请求的处理结果状态。

NOCODE

query_name

客户端请求解析的完整域名（FQDN）。

oss-cn-hangzhou.aliyuncs.com

query_type

请求的资源记录类型（RR Type），决定返回的数据类型。

A

answers

响应中的答案部分（Answer Section），包含直接回答查询的资源记录，以 JSON 数组形式表示。

[
  {
    "name"："oss-cn-hangzhou.aliyuncs.com",
    "type"："A",
    "data"："118.31.XX.XX",
    "ttl"：131
  }
]

additional

响应中的附加信息部分（Additional Section），提供与查询相关的额外数据，以 JSON 数组形式表示。

[ ]

authority

响应中的权威部分（Authority Section），提供指向域名的权威 DNS 服务器信息（NS 记录），以 JSON 数组形式表示。

[
  {
    "name"："",
    "type"："SOA",
    "data"："ns1.alidns.com",
    "ttl"：600
  }
]

字段名

说明

示例值

db_type

标识数据库引擎类型。取值范围：

• MySQL：MySQL 数据库。

• PostgreSQL：PostgreSQL 数据库。

MySQL

type

当前日志类型。取值范围：

• Server Greeting：服务端握手类型日志。

• Login Request：客户端登录请求类型日志。

• Server Greeting & Login Request：同时包含服务端握手和客户端登录请求类型日志。

• Request：普通请求类型日志。

• Unknown：其他类型日志。

Server Greeting & Login Request

user

发起操作的用户名。

root

db

目标数据库名称（在连接时指定的默认库）。

test_db

protocol_version

数据库协议版本号。

10

salt

认证阶段服务端生成的随机盐值。

x!2k7Gg^9TqL

server_version

数据库服务端版本字符串。

5.7.40-log

server_status

服务器状态标志位。

2

auth_response

客户端加密后的认证响应。

5f28eeab88bfc739938db314591ff3f9501e8cd5

command_type

SQL 命令类型。

Query

sql

原始 SQL 语句文本。

SELECT * FROM users;

fail

操作是否失败。取值范围：

• 0：成功。

• 1：失败。

• -1：未知。

0

result

操作结果摘要。

SUCCESS

error_code

数据库特定错误码。

0

error_message

人类可读的错误描述。

You have an error in your SQL syntax

return_rows

查询返回的结果行数。

1

return_rows_data

结果集的具体内容（CSV 格式）。

admin,123456

affect_rows

DML 操作影响的行数。

3

last_insert_id

自增主键的最近插入值。

42

字段名

说明

示例值

user

记录通过 FTP 协议进行身份验证的用户名。该字段标识发起会话的客户端实体。

user

password

客户端在身份验证阶段提交的明文密码。

password

cwd

客户端当前的工作目录路径。记录用户执行命令时所处的文件系统位置，该字段随 CWD（Change Working Directory）命令动态更新。

/test

request_command

客户端发送的FTP协议命令（RFC 959 定义）。代表客户端请求的操作类型，例如：

• USER/PASS：认证。

• LIST/NLST：目录列表。

• RETR：下载文件。

• STOR：上传文件。

• DELE：删除文件。

• PORT/PASV：数据连接模式。

USER

request_arg

客户端发送的 FTP 命令所附带的参数。与 request_command 结合形成完整操作语义。

username

response_code

服务器对请求的三位数状态码（RFC 959 标准）。首位数字标识响应类别：

• 1xx：预备响应（如 150 File status okay）。

• 2xx：成功（如 226 Transfer complete）。

• 3xx：需进一步操作（如 331 Password required）。

• 4xx：临时错误（如 425 Can't open data connection）。

• 5xx：永久错误（如 530 Not logged in）。

331

response_arg

服务器响应状态码后的附加信息文本，提供可读的解释或详情。

Anonymous access granted, restrictions apply

字段名

说明

示例值

opcode

位于 WebSocket 帧头部（第4-7位），4 比特的无符号整数，标识帧的类型和数据处理逻辑。

1

masking_key

4 字节（32 位）的随机数，用于负载数据的逐字节掩码计算。通常存在于客户端→服务端的帧中，该字段值为掩码密钥的十六进制表示。

pb37e1b69

payload_len

负载数据（payload）的字节长度。

15

payload

帧中携带的实际应用层数据。若存在 masking_key，该字段为逆向解掩码后的真实数据。

{
  "request"：true
 }

字段名

说明

示例值

client

发起SSH连接的客户端软件名称和版本号，用于识别客户端类型（如OpenSSH）。这有助于分析兼容性、安全漏洞和客户端行为，支持安全策略管理。

OpenSSH_8.4p1

server

接收SSH连接的服务端软件名称和版本号（如OpenSSH服务端），用于服务器识别、漏洞管理和安全补丁跟踪。

OpenSSH_8.4p1 Ubuntu-4ubuntu0.3

version

SSH协议的版本号（1、2 或未设置），在连接开始时协商。

2

cipher_alg

SSH会话中使用的对称加密算法，用于加密数据传输，确保数据机密性。常见算法如AES-CTR或ChaCha20，选择强算法（如AES-256）可抵御窃听攻击。

AES-128-GCM

compression_alg

SSH中用于数据压缩的算法，以减少网络带宽使用。值可为none（无压缩）或具体算法（如zlib），启用压缩可能影响性能，需权衡效率与安全。

none

host_key

SSH服务器公钥的指纹，用于验证服务器身份，防止中间人攻击。指纹是公钥的摘要，用户可对比以确认连接到的合法服务器。

cc:aa:aa:b7:********:cc:50:11:2d:71:f0:ee

host_key_alg

SSH服务器主机密钥使用的公钥算法类型，如RSA或ECDSA。算法强度直接影响身份验证安全，强算法（如RSA-SHA2）可抵御伪造攻击。

ECDSA-SHA2-NISTP256

kex_alg

SSH连接初始化阶段使用的密钥交换算法，用于协商会话密钥并提供前向保密。常见算法如Curve25519或Diffie-Hellman，安全实现可防止密钥泄露。

Curve25519-SHA256

mac_alg

SSH中用于消息认证码（MAC）的算法，确保数据完整性和真实性，防止篡改。常见如HMAC-SHA2系列，强MAC算法是数据传输安全的基础。

HMAC-SHA2-256-ETM

auth_attempts

在SSH认证过程中尝试认证的次数，包括用户名、密码、公钥等认证方法的尝试。值大于1可能表示多次失败尝试，或服务器需使用了双因素身份验证，用于监控暴力破解攻击和审计安全事件。

3

auth_success

表示SSH认证的最终结果，值为布尔类型（true或false）。成功或失败信息用于检测未授权访问、审计日志和安全告警，是防止账户劫持的关键指标。

false

字段名

说明

示例值

cert_count

在RDP会话中使用的数字证书数量，用于服务器身份验证和安全通信，以增强连接可信度。

2

cert_type

证书的签发类型，如自签名证书或由证书颁发机构（CA）签发的证书，影响身份验证的安全级别。

RSA

encryption_level

RDP连接的加密强度级别，决定数据传输的机密性和完整性保护水平。

Client compatible

encryption_method

RDP连接的加密方法。

56bit

result

RDP连接尝试的最终状态，反映会话建立或终止的原因。

Success

client_build

RDP客户端的软件构建版本号，标识客户端应用程序的特定发布版本。

RDP 5.1

client_channels

RDP客户端支持的通道列表，用于数据传输功能，如剪贴板共享或打印机重定向。

rdpdr, cliprdr, rdpsnd

client_dig_product_id

客户端产品的唯一数字标识符，用于识别和追踪软件产品来源。

76487-OEM-******-00107

client_name

发起RDP连接的客户端计算机名称或主机标识符，用于会话来源识别。

UserPC

cookie

在RDP连接中用于会话管理或状态保持的Cookie值，提供安全上下文和连续性。

session_token

字段名

说明

示例值

ack

表示订阅消息是否被服务器确认。在MQTT协议中，当订阅请求被接受时，服务器会发送确认标志。

true

action

指示订阅操作的类型，如SUBSCRIBE（订阅）或UNSUBSCRIBE（取消订阅）。

SUBSCRIBE

topics

客户端订阅的主题列表，用于指定消息接收的范围。

sensor/temperature

client_id

客户端的唯一标识符，用于会话管理和身份验证。

client123

connect_status

表示客户端与服务器的连接状态。

Connection Accepted

proto_name

使用的协议名称，通常为MQTT（Message Queuing Telemetry Transport）。

MQTT

proto_version

MQTT协议的版本号，如3.1.1或5.0，用于兼容性管理。

3.1.1

will_payload

遗嘱消息的内容，当客户端意外断开连接时自动发布。

offline

will_topic

遗嘱消息发布的主题，用于指定消息的目标路径。

status/offline

from_client

指示消息是否由客户端发起发布，而非服务器。

TRUE

payload

消息的实际内容，可以是任意数据格式，如文本或二进制。

Hello World

payload_len

消息内容（payload）的字节长度，用于监控数据大小。

11

qos

服务质量等级（Quality of Service）。

at most once

retain

指示消息是否保留在服务器上，以便新订阅者立即接收。

false

status

消息发布的状态。

ok

topic

消息发布的主题路径，用于路由和过滤消息。

sensor/data

字段名

说明

示例值

facility

表示日志消息的来源类型，如内核、用户程序或邮件系统。在Syslog协议中，facility用于分类日志的生成组件，有助于日志过滤和分析。

USER

message

日志消息的实际内容，包含事件、错误或操作的详细信息。在Syslog协议中，message字段存储核心日志数据，用于诊断和监控系统行为。

System rebooted unexpectedly

severity

表示日志消息的严重性级别，范围从emergency（最高紧急）到debug（调试）。级别包括emergency、alert、critical、error、warning、notice、info和debug，用于优先处理重要事件。

INFO

字段名

说明

示例值

call_id

在SIP协议中，唯一标识通话会话的Call-ID头字段值，用于关联同一会话的所有请求和响应消息。

101365e0-7e65-****-****-00163e10aabd

method

SIP请求的方法类型，如INVITE（建立会话）、ACK（确认）、BYE（终止会话）或CANCEL（取消请求），用于定义操作类型。

INVITE

seq

SIP消息中的CSeq字段，表示命令序列号和方法，用于匹配请求与响应，确保消息顺序和完整性。

12345 INVITE

uri

SIP请求行中的统一资源标识符，指定请求的目标地址资源。

sip:bob@example.com

content_type

响应消息体的媒体类型，如application/sdp（会话描述协议），用于描述消息内容的格式。

application/sdp

response_body_len

响应消息体的长度（字节数），表示数据大小，用于诊断网络传输问题。

256

response_from

响应消息的来源地址，通常对应SIP From头字段，标识消息发起方。

"66666" <sip:66666@example.com>

response_to

响应消息的目标地址，通常对应SIP To头字段，标识消息接收方，可能包含标签参数。

<sip:777777@example.com>;tag=aaaaaaaaaa

status_code

SIP响应状态码，表示请求处理结果，如200（成功）、404（未找到）或500（服务器错误）。

180

status_msg

与状态码关联的文本描述，如OK或Not Found，提供状态码的可读解释。

Ringing

warning

包含警告文本，用于指示潜在问题或非关键错误，如会话超时或兼容性问题。

399 example.com Session expired

reply_to

指定回复消息的地址，用于重定向响应，通常对应SIP Reply-To头字段。

sip:carol@example.com

request_body_len

请求消息体的长度（字节数），表示数据大小，用于监控带宽使用和传输效率。

128

request_from

请求消息的来源地址，通常对应SIP From头字段，标识消息发起方。

"66666" <sip:66666@example.com>

request_to

请求消息的目标地址，通常对应SIP To头字段，标识消息接收方。

<sip:777777@example.com>;tag=aaaaaaaaaa

user_agent

标识发送请求的客户端软件或设备，用于用户代理识别和兼容性检查。

Zoiper/2.0