日志字段

全流量威胁检测与响应NDR(Network Detection and Response)自动实时采集并生成日志,您可以通过指定日志字段快速查询所需的日志内容,方便您进行日志分析和流量审计。本文为您介绍NDR日志字段类型及含义。

支持协议类型

NDR支持识别55种协议。其中 HTTP、DNS、ICMP、TLS、MySQL、PostgreSQL、FTPWebSocket 等协议支持深度解析,可在通用字段基础上提取并展示具体协议字段。其他协议目前仅支持识别,暂不支持具体协议字段提取。

支持的所有协议识别类型

FTP_CONTROL、DNS、HTTP、PostgreSQL、MySQL、SSL、ICMP、WebSocket、POP3、SMTP、IMAP、NTP、NetBIOS、NFS、SSDP、SNMP、SMB、Syslog、RTSP、Telnet、LDAP、RTP、RDP、VNC、SSH、TFTP、SIP、Kerberos、MsSQL-TDS、PPTP、Citrix、OpenVPN、RTCP、RSYNC、Oracle、SOCKS、RTMP、Redis、QUIC、MQTT、MongoDB、Memcache、RPC、RPCBind、SVN、Cassandra、Zookeeper、IPsec、Nagios、Oracle_docker、Impala、Zabbix、Kafka、Thrift、SSE

协议日志字段分类

协议类别

字段类别

字段名称

通用字段

标识信息

ndr_log_type

会话信息

start_timeend_timesrc_ipsrc_portdst_ipdst_portnet_connect_dirl3_protocoll4_protocoll7_protocoltcp_flagsnew_connapp_id_extendapp_name_extendcategory_idcategory_name

地理位置信息

country_idcity_id

原始负载数据

req_trans_dataresp_trans_datareq_trans_offsetsresp_trans_offsetsreq_trans_lensresp_trans_lens

ICMP协议

报文类型字段

typecodetype_str

匹配字段

idseq

ICMP 携带的数据包

inner_src_ipinner_src_portinner_dest_ipinner_dest_portinner_l4_proto

HTTP协议

摘要信息

hostrequest_urirequest_methodhttp_refererhttp_user_agentquerystringrequest_pathhttp_x_forwarded_forstatusresponse_set_cookiecontent_typeresponse_content_typeproxy_connectionproxy_authorizationlocation

负载信息

request_headerrequest_bodyresponse_headerresponse_info

TLS协议

TLS 基础信息

versionsnistate

TLS 证书信息

cert_subjectcert_issuercert_serialcert_fingerprint

TLS 指纹

ja3_str_clientja3_str_serverja3_hash_clientja3_hash_server

TLS 加密套件

cipher_suite

DNS协议

基础信息

typeidrcode

问题部分

query_namequery_type

回答部分

answersadditionalauthority

数据库协议

数据库基础信息

db_typetypeuserdb

握手-登录阶段信息

protocol_versionsaltserver_versionserver_statusauth_response

客户端命令信息

command_typesql

服务端响应信息

failresulterror_codeerror_messagereturn_rowsreturn_rows_dataaffect_rowslast_insert_id

FTP协议

基础信息

userpasswordcwd

命令-响应信息

request_commandrequest_argresponse_coderesponse_arg

WebSocket协议

帧信息

opcodemasking_key

负载信息

payload_lenpayload

SSH协议

版本信息

clientserverversion

密钥信息

cipher_algcompression_alghost_keyhost_key_algkex_algmac_alg

认证信息

auth_attemptsauth_success

RDP协议

连接信息

cert_countcert_typeencryption_levelencryption_methodresult

客户端信息

client_buildclient_channelsclient_dig_product_idclient_namecookie

MQTT协议

订阅消息

ackactiontopics

连接信息

client_idconnect_statusproto_nameproto_versionwill_payloadwill_topic

发布消息

from_clientpayloadpayload_lenqosretainstatustopic

Syslog协议

日志信息

facilitymessageseverity

SIP协议

消息标识

call_idmethodsequri

响应信息

content_typeresponse_body_lenresponse_fromresponse_tostatus_codestatus_msgwarning

请求信息

reply_torequest_body_lenrequest_fromrequest_touser_agent

协议日志通用及附加字段说明

通用字段

字段名

说明

示例值

ndr_log_type

NDR 协议日志类型,不同协议该值不同,具体取值范围,请参见:支持协议类型

HTTP

start_time

会话开始时间,使用 Unix 时间戳格式表示,单位:秒。

1750157428

end_time

会话结束时间,使用 Unix 时间戳格式表示,单位:秒。

1750157428

src_ip

会话的源 IP。

8.153.XX.XXX

src_port

会话的源端口。

33321

dst_ip

会话的目的 IP。

203.119.XXX.XXX

dst_port

会话的目的端口。

80

net_connect_dir

会话流量相对于资产的方向。

  • in:入方向,表示来自互联网的其他资源或内网中的其他 ECS 访问您的资产。

  • out:出方向,表示您的资产主动访问互联网的其他资源或内网中的其他 ECS。

in

l3_protocol

3 层协议类型。

ipv4、ipv6、other

l4_protocol

4 层协议类型。

tcp、udp、icmp、other

l7_protocol

7 层协议类型。

HTTP

tcp_flags

以十进制形式表示的TCP标志位信息,由这条流量所有报文的TCP标志位经过或运算得到。

26

new_conn

当前流量是否为新建流量。

  • 0:当前流量非新建流量。

  • 1:当前流量为新建流量。

0

app_id_extend

应用 ID。

72

app_name_extend

应用名。

HTTP_POST

category_id

应用分类ID。

5

category_name

应用分类名称。

WEB

country_id

国家或地区,取值采用 ISO 3166-1 国际标准中的两位字母代码。

说明:

  • 空值表示未识别的国家或地域。

  • net_connect_dir 为 in 时,取值为发起流量的国家或地区。

  • net_connect_dir 为 out 时,取值为流量目的地所在的国家或地区。

CN

city_id

用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码,您可以通过中国行政区划代码查询对应的城市代码。

110000

req_trans_data

存储原始请求数据,注意:若原始负载过长,可能会按照固定长度进行截断。

L7PROTODATAL7PROTODATAL7PROTODATAL7PROTODATA

resp_trans_data

存储原始响应数据,注意:若原始负载过长,可能会按照固定长度进行截断。

L7PROTODATAL7PROTODATAL7PROTODATA

req_trans_offsets

记录每个请求数据分段的起始位置(在req_trans_data中的字节偏移量)。

0,700,2472,3177,3935

resp_trans_offsets

记录每个响应数据分段的起始位置(在esp_trans_data中的字节偏移量)。

0,329,1003

req_trans_lens

记录每个请求数据的原始完整长度(截断前的实际长度)。

700,1772,705,758,374

resp_trans_lens

记录每个响应数据的原始完整长度(截断前的实际长度)。

329,674,1002

ICMP协议

字段名

说明

示例值

type

ICMP报文的标准类型代码。

8

code

ICMP 报文代码。

0

type_str

ICMP 报文类型的可读字符串描述(英文)。

Echo (ping) reply

id

ICMP报文中的标识符(Identifier),用于匹配请求与应答(如Ping中的会话标识)。通常由发送方生成,接收方需原样返回。

24367

seq

ICMP报文中的序列号(Sequence Number),标识同一会话中不同报文的顺序(如连续Ping包的序号)。

256

inner_src_ip

ICMP负载中封装的内层数据包的源IP(仅在ICMP负载中封装了内层数据包时有效)。

8.8.X.X

inner_src_port

内层数据包的源端口(如原始TCP/UDP包的端口),仅在ICMP负载中封装了内层数据包时有效。

22546

inner_dest_ip

ICMP负载中封装的内层数据包的目的IP(仅在 ICMP 负载中封装了内层数据包时有效)。

1.1.X.X

inner_dest_port

内层数据包的目的端口(如原始TCP/UDP包的端口),仅在 ICMP 负载中封装了内层数据包时有效。

50988

inner_l4_proto

内层数据包的传输层协议类型(如TCP=6、UDP=17),仅在 ICMP 负载中封装了内层数据包时有效。

17

HTTP协议

字段名

说明

示例值

host

请求头中的目标主机名及端口号(Host头部)。

aliyun.com:8080

request_uri

  • 完整的请求 URI,包含路径和查询参数(如 /api/data?id=123)。用于路由匹配、资源定位及审计完整请求路径。

  • 与 request_path 区别:request_uri 包含查询参数,request_path 仅路径部分。

/api?key=value

request_method

HTTP请求方法(如 GET、POST、PUT、DELETE等)。

POST

http_referer

请求来源页面的完整URL(Referer 头部)。

https://aliyun.com/workplace

http_user_agent

请求头中的客户端标识。

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.95 Safari/537.36

querystring

URL中 ? 后的查询参数。

key=value

request_path

URI的路径部分(不含查询参数)。

/api

http_x_forwarded_for

反向代理链中的原始客户端IP(X-Forwarded-For头部)。格式:逗号分隔的IP列表。

11.11.XX.XX, 22.22.XX.XX

status

HTTP响应状态码(三位数字代码)。

200

response_set_cookie

服务器通过Set-Cookie头部设置的会话标识。

user=sincerexia; state1=180; state2=135; Secure

content_type

标识请求体的媒体类型。

application/x-www-form-urlencoded; charset=UTF-8

response_content_type

标识响应体的媒体类型。

text/plain;charset=UTF-8

proxy_connection

代理服务器连接控制,管理代理与客户端/服务端的长连接复用。

keep-alive

proxy_authorization

代理服务器认证凭证。

Basic Yxxxxxxxxxxxxxxxxxx==

location

重定向目标URL。

http://relocation.com

request_header

原始 HTTP 请求头的完整内容。包含:请求行(方法 + URI + 协议版本)、所有头部键值对。

POST /api?key=value HTTP/1.1
X-Real-IP: 8.8.8.8
X-Forwarded-For: 11.11.XX.XX, 22.22.XX.XX
Host: aliyun.com:3080
Connection: close
Content-Length: 123

request_body

原始HTTP请求体数据(POST/PUT/PATCH等方法携带)。

&user=sincerexia

response_header

原始HTTP响应头的完整内容。

HTTP/1.1 200 OK
Cache-Control: no-cache
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Last-Modified: Wed, 18 Jun 2025 08:25:56 GMT
Content-Type: text/plain;charset=UTF-8
Transfer-Encoding: chunked
Date: Wed, 18 Jun 2025 08:25:56 GMT
Connection: close

response_info

原始HTTP响应体内容。

{
  "result":"OK"
 }

TLS协议

字段名

说明

示例值

version

SSL/TLS 版本。标识加密通信使用的协议版本。

TLS 1.3

sni

客户端在握手时发送的目标服务器域名。

aliyun.com

state

TLS 握手状态。取值范围:

  • IN_PROGRESS:开始进行 TLS 握手。

  • TLS_STATE_CERT_READY:证书传输完成。

  • HANDSHAKE_DONE:完成 TLS 握手。

HANDSHAKE_DONE

cert_subject

证书主体。证书持有者(Subject)信息,包含域名、组织、地理位置等,采用 X.500 格式。

C=CN, ST=ZheJiang, L=HangZhou, O=Alibaba (China) Technology Co., Ltd., CN=aliyuncs.com

cert_issuer

证书颁发者。证书颁发机构(CA)信息。

C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 OV TLS CA 2024

cert_serial

证书序列号。CA 为证书分配的唯一序列号。

45:33:16:59:11:9B:XX:XX:XX:XX:XX:XX

cert_fingerprint

证书指纹。证书的哈希摘要,唯一标识证书内容。

14:2e:56:4b:8f:b1:c2:0f:8c:8b:ce:36:XX:XX:XX:XX:XX:XX:XX:XX

ja3_str_client

客户端 JA3 字符串。基于 TLS 握手特征生成的客户端 JA3 指纹字符串,标识客户端行为模式。

771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-35-22-23-13-43-45-51,29-23-30-25-24,0-1-2

ja3_str_server

服务端 JA3 字符串。基于 TLS 握手特征生成的服务端 JA3 指纹字符串,标识服务端行为模式。

771,4866,43-51

ja3_hash_client

客户端 JA3 Hash。客户端 JA3 字符串的 MD5 哈希值(32 位十六进制)。

40adfd923eb82b89d8836ba37a19bca1

ja3_hash_server

服务端 JA3 Hash。服务端 JA3 字符串的 MD5 哈希值(32 位十六进制)。

15af977ce25de452b96affa2addb1036

cipher_suite

加密套件。表示 TLS 连接使用的加密套件(Cipher Suite),包含密钥交换、认证、对称加密和消息认证码(MAC)算法的组合。

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

DNS协议

字段名

说明

示例值

type

表示 DNS 消息类型,分为查询(Query)或响应(Response)。取值范围:

  • query:该条日志是 DNS 查询日志。

  • response:该条日志是 DNS 响应日志。

query

id

事务 ID(Transaction ID),16 位唯一标识符,用于匹配请求与响应。

40125

rcode

响应码(Response Code),表示 DNS 请求的处理结果状态。

NOCODE

query_name

客户端请求解析的完整域名(FQDN)。

oss-cn-hangzhou.aliyuncs.com

query_type

请求的资源记录类型(RR Type),决定返回的数据类型。

A

answers

响应中的答案部分(Answer Section),包含直接回答查询的资源记录,以 JSON 数组形式表示。

[
  {
    "name":"oss-cn-hangzhou.aliyuncs.com",
    "type":"A",
    "data":"118.31.XX.XX",
    "ttl":131
  }
]

additional

响应中的附加信息部分(Additional Section),提供与查询相关的额外数据,以 JSON 数组形式表示。

[ ]

authority

响应中的权威部分(Authority Section),提供指向域名的权威 DNS 服务器信息(NS 记录),以 JSON 数组形式表示。

[
  {
    "name":"",
    "type":"SOA",
    "data":"ns1.alidns.com",
    "ttl":600
  }
]

数据库协议

说明

数据库类型协议(MySQL、PostgreSQL 等) 使用相同的日志字段,但并非每种协议均支持全部字段提取,部分数据库协议暂不支持结果集的提取。

字段名

说明

示例值

db_type

标识数据库引擎类型。取值范围:

  • MySQL:MySQL 数据库。

  • PostgreSQL:PostgreSQL 数据库。

MySQL

type

当前日志类型。取值范围:

  • Server Greeting:服务端握手类型日志。

  • Login Request:客户端登录请求类型日志。

  • Server Greeting & Login Request:同时包含服务端握手和客户端登录请求类型日志。

  • Request:普通请求类型日志。

  • Unknown:其他类型日志。

Server Greeting & Login Request

user

发起操作的用户名。

root

db

目标数据库名称(在连接时指定的默认库)。

test_db

protocol_version

数据库协议版本号。

10

salt

认证阶段服务端生成的随机盐值。

x!2k7Gg^9TqL

server_version

数据库服务端版本字符串。

5.7.40-log

server_status

服务器状态标志位。

2

auth_response

客户端加密后的认证响应。

5f28eeab88bfc739938db314591ff3f9501e8cd5

command_type

SQL 命令类型。

Query

sql

原始 SQL 语句文本。

SELECT * FROM users;

fail

操作是否失败。取值范围:

  • 0:成功。

  • 1:失败。

  • -1:未知。

0

result

操作结果摘要。

SUCCESS

error_code

数据库特定错误码。

0

error_message

人类可读的错误描述。

You have an error in your SQL syntax

return_rows

查询返回的结果行数。

1

return_rows_data

结果集的具体内容(CSV 格式)。

admin,123456

affect_rows

DML 操作影响的行数。

3

last_insert_id

自增主键的最近插入值。

42

FTP协议

字段名

说明

示例值

user

记录通过 FTP 协议进行身份验证的用户名。该字段标识发起会话的客户端实体。

user

password

客户端在身份验证阶段提交的明文密码。

password

cwd

客户端当前的工作目录路径。记录用户执行命令时所处的文件系统位置,该字段随 CWD(Change Working Directory)命令动态更新。

/test

request_command

客户端发送的FTP协议命令(RFC 959 定义)。代表客户端请求的操作类型,例如:

  • USER/PASS:认证。

  • LIST/NLST:目录列表。

  • RETR:下载文件。

  • STOR:上传文件。

  • DELE:删除文件。

  • PORT/PASV:数据连接模式。

USER

request_arg

客户端发送的 FTP 命令所附带的参数。与 request_command 结合形成完整操作语义。

username

response_code

服务器对请求的三位数状态码(RFC 959 标准)。首位数字标识响应类别:

  • 1xx:预备响应(如 150 File status okay)。

  • 2xx:成功(如 226 Transfer complete)。

  • 3xx:需进一步操作(如 331 Password required)。

  • 4xx:临时错误(如 425 Can't open data connection)。

  • 5xx:永久错误(如 530 Not logged in)。

331

response_arg

服务器响应状态码后的附加信息文本,提供可读的解释或详情。

Anonymous access granted, restrictions apply

WebSocket协议

字段名

说明

示例值

opcode

位于 WebSocket 帧头部(第4-7位),4 比特的无符号整数,标识帧的类型和数据处理逻辑。

1

masking_key

4 字节(32 位)的随机数,用于负载数据的逐字节掩码计算。通常存在于客户端→服务端的帧中,该字段值为掩码密钥的十六进制表示。

pb37e1b69

payload_len

负载数据(payload)的字节长度。

15

payload

帧中携带的实际应用层数据。若存在 masking_key,该字段为逆向解掩码后的真实数据。

{
  "request":true
 }

SSH协议

字段名

说明

示例值

client

发起SSH连接的客户端软件名称和版本号,用于识别客户端类型(如OpenSSH)。这有助于分析兼容性、安全漏洞和客户端行为,支持安全策略管理。

OpenSSH_8.4p1

server

接收SSH连接的服务端软件名称和版本号(如OpenSSH服务端),用于服务器识别、漏洞管理和安全补丁跟踪。

OpenSSH_8.4p1 Ubuntu-4ubuntu0.3

version

SSH协议的版本号(1、2 或未设置),在连接开始时协商。

2

cipher_alg

SSH会话中使用的对称加密算法,用于加密数据传输,确保数据机密性。常见算法如AES-CTRChaCha20,选择强算法(如AES-256)可抵御窃听攻击。

AES-128-GCM

compression_alg

SSH中用于数据压缩的算法,以减少网络带宽使用。值可为none(无压缩)或具体算法(如zlib),启用压缩可能影响性能,需权衡效率与安全。

none

host_key

SSH服务器公钥的指纹,用于验证服务器身份,防止中间人攻击。指纹是公钥的摘要,用户可对比以确认连接到的合法服务器。

cc:aa:aa:b7:********:cc:50:11:2d:71:f0:ee

host_key_alg

SSH服务器主机密钥使用的公钥算法类型,如RSAECDSA。算法强度直接影响身份验证安全,强算法(如RSA-SHA2)可抵御伪造攻击。

ECDSA-SHA2-NISTP256

kex_alg

SSH连接初始化阶段使用的密钥交换算法,用于协商会话密钥并提供前向保密。常见算法如Curve25519Diffie-Hellman,安全实现可防止密钥泄露。

Curve25519-SHA256

mac_alg

SSH中用于消息认证码(MAC)的算法,确保数据完整性和真实性,防止篡改。常见如HMAC-SHA2系列,强MAC算法是数据传输安全的基础。

HMAC-SHA2-256-ETM

auth_attempts

SSH认证过程中尝试认证的次数,包括用户名、密码、公钥等认证方法的尝试。值大于1可能表示多次失败尝试,或服务器需使用了双因素身份验证,用于监控暴力破解攻击和审计安全事件。

3

auth_success

表示SSH认证的最终结果,值为布尔类型(truefalse)。成功或失败信息用于检测未授权访问、审计日志和安全告警,是防止账户劫持的关键指标。

false

RDP协议

字段名

说明

示例值

cert_count

RDP会话中使用的数字证书数量,用于服务器身份验证和安全通信,以增强连接可信度。

2

cert_type

证书的签发类型,如自签名证书或由证书颁发机构(CA)签发的证书,影响身份验证的安全级别。

RSA

encryption_level

RDP连接的加密强度级别,决定数据传输的机密性和完整性保护水平。

Client compatible

encryption_method

RDP连接的加密方法。

56bit

result

RDP连接尝试的最终状态,反映会话建立或终止的原因。

Success

client_build

RDP客户端的软件构建版本号,标识客户端应用程序的特定发布版本。

RDP 5.1

client_channels

RDP客户端支持的通道列表,用于数据传输功能,如剪贴板共享或打印机重定向。

rdpdr, cliprdr, rdpsnd

client_dig_product_id

客户端产品的唯一数字标识符,用于识别和追踪软件产品来源。

76487-OEM-******-00107

client_name

发起RDP连接的客户端计算机名称或主机标识符,用于会话来源识别。

UserPC

cookie

RDP连接中用于会话管理或状态保持的Cookie值,提供安全上下文和连续性。

session_token

MQTT协议

字段名

说明

示例值

ack

表示订阅消息是否被服务器确认。在MQTT协议中,当订阅请求被接受时,服务器会发送确认标志。

true

action

指示订阅操作的类型,如SUBSCRIBE(订阅)或UNSUBSCRIBE(取消订阅)。

SUBSCRIBE

topics

客户端订阅的主题列表,用于指定消息接收的范围。

sensor/temperature

client_id

客户端的唯一标识符,用于会话管理和身份验证。

client123

connect_status

表示客户端与服务器的连接状态。

Connection Accepted

proto_name

使用的协议名称,通常为MQTT(Message Queuing Telemetry Transport)。

MQTT

proto_version

MQTT协议的版本号,如3.1.15.0,用于兼容性管理。

3.1.1

will_payload

遗嘱消息的内容,当客户端意外断开连接时自动发布。

offline

will_topic

遗嘱消息发布的主题,用于指定消息的目标路径。

status/offline

from_client

指示消息是否由客户端发起发布,而非服务器。

TRUE

payload

消息的实际内容,可以是任意数据格式,如文本或二进制。

Hello World

payload_len

消息内容(payload)的字节长度,用于监控数据大小。

11

qos

服务质量等级(Quality of Service)。

at most once

retain

指示消息是否保留在服务器上,以便新订阅者立即接收。

false

status

消息发布的状态。

ok

topic

消息发布的主题路径,用于路由和过滤消息。

sensor/data

Syslog协议

字段名

说明

示例值

facility

表示日志消息的来源类型,如内核、用户程序或邮件系统。在Syslog协议中,facility用于分类日志的生成组件,有助于日志过滤和分析。

USER

message

日志消息的实际内容,包含事件、错误或操作的详细信息。在Syslog协议中,message字段存储核心日志数据,用于诊断和监控系统行为。

System rebooted unexpectedly

severity

表示日志消息的严重性级别,范围从emergency(最高紧急)到debug(调试)。级别包括emergency、alert、critical、error、warning、notice、infodebug,用于优先处理重要事件。

INFO

SIP协议

字段名

说明

示例值

call_id

SIP协议中,唯一标识通话会话的Call-ID头字段值,用于关联同一会话的所有请求和响应消息。

101365e0-7e65-****-****-00163e10aabd

method

SIP请求的方法类型,如INVITE(建立会话)、ACK(确认)、BYE(终止会话)或CANCEL(取消请求),用于定义操作类型。

INVITE

seq

SIP消息中的CSeq字段,表示命令序列号和方法,用于匹配请求与响应,确保消息顺序和完整性。

12345 INVITE

uri

SIP请求行中的统一资源标识符,指定请求的目标地址资源。

sip:bob@example.com

content_type

响应消息体的媒体类型,如application/sdp(会话描述协议),用于描述消息内容的格式。

application/sdp

response_body_len

响应消息体的长度(字节数),表示数据大小,用于诊断网络传输问题。

256

response_from

响应消息的来源地址,通常对应SIP From头字段,标识消息发起方。

"66666" <sip:66666@example.com>

response_to

响应消息的目标地址,通常对应SIP To头字段,标识消息接收方,可能包含标签参数。

<sip:777777@example.com>;tag=aaaaaaaaaa

status_code

SIP响应状态码,表示请求处理结果,如200(成功)、404(未找到)或500(服务器错误)。

180

status_msg

与状态码关联的文本描述,如OKNot Found,提供状态码的可读解释。

Ringing

warning

包含警告文本,用于指示潜在问题或非关键错误,如会话超时或兼容性问题。

399 example.com Session expired

reply_to

指定回复消息的地址,用于重定向响应,通常对应SIP Reply-To头字段。

sip:carol@example.com

request_body_len

请求消息体的长度(字节数),表示数据大小,用于监控带宽使用和传输效率。

128

request_from

请求消息的来源地址,通常对应SIP From头字段,标识消息发起方。

"66666" <sip:66666@example.com>

request_to

请求消息的目标地址,通常对应SIP To头字段,标识消息接收方。

<sip:777777@example.com>;tag=aaaaaaaaaa

user_agent

标识发送请求的客户端软件或设备,用于用户代理识别和兼容性检查。

Zoiper/2.0