全流量威胁检测与响应NDR(Network Detection and Response)自动实时采集并生成日志,您可以通过指定日志字段快速查询所需的日志内容,方便您进行日志分析和流量审计。本文为您介绍NDR日志字段类型及含义。
支持协议类型
NDR支持识别55种协议。其中 HTTP、DNS、ICMP、TLS、MySQL、PostgreSQL、FTP和WebSocket 等协议支持深度解析,可在通用字段基础上提取并展示具体协议字段。其他协议目前仅支持识别,暂不支持具体协议字段提取。
协议日志字段分类
协议日志通用及附加字段说明
通用字段
字段名 | 说明 | 示例值 |
ndr_log_type | NDR 协议日志类型,不同协议该值不同,具体取值范围,请参见:支持协议类型。 | HTTP |
start_time | 会话开始时间,使用 Unix 时间戳格式表示,单位:秒。 | 1750157428 |
end_time | 会话结束时间,使用 Unix 时间戳格式表示,单位:秒。 | 1750157428 |
src_ip | 会话的源 IP。 | 8.153.XX.XXX |
src_port | 会话的源端口。 | 33321 |
dst_ip | 会话的目的 IP。 | 203.119.XXX.XXX |
dst_port | 会话的目的端口。 | 80 |
net_connect_dir | 会话流量相对于资产的方向。
| in |
l3_protocol | 3 层协议类型。 | ipv4、ipv6、other |
l4_protocol | 4 层协议类型。 | tcp、udp、icmp、other |
l7_protocol | 7 层协议类型。 | HTTP |
tcp_flags | 以十进制形式表示的TCP标志位信息,由这条流量所有报文的TCP标志位经过或运算得到。 | 26 |
new_conn | 当前流量是否为新建流量。
| 0 |
app_id_extend | 应用 ID。 | 72 |
app_name_extend | 应用名。 | HTTP_POST |
category_id | 应用分类ID。 | 5 |
category_name | 应用分类名称。 | WEB |
country_id | 国家或地区,取值采用 ISO 3166-1 国际标准中的两位字母代码。 说明:
| CN |
city_id | 用于表示城市的唯一标识符。取值采用中国县以上六位数字行政区划代码,您可以通过中国行政区划代码查询对应的城市代码。 | 110000 |
req_trans_data | 存储原始请求数据,注意:若原始负载过长,可能会按照固定长度进行截断。 | L7PROTODATAL7PROTODATAL7PROTODATAL7PROTODATA |
resp_trans_data | 存储原始响应数据,注意:若原始负载过长,可能会按照固定长度进行截断。 | L7PROTODATAL7PROTODATAL7PROTODATA |
req_trans_offsets | 记录每个请求数据分段的起始位置(在 | 0,700,2472,3177,3935 |
resp_trans_offsets | 记录每个响应数据分段的起始位置(在 | 0,329,1003 |
req_trans_lens | 记录每个请求数据的原始完整长度(截断前的实际长度)。 | 700,1772,705,758,374 |
resp_trans_lens | 记录每个响应数据的原始完整长度(截断前的实际长度)。 | 329,674,1002 |
ICMP协议
字段名 | 说明 | 示例值 |
type | ICMP报文的标准类型代码。 | 8 |
code | ICMP 报文代码。 | 0 |
type_str | ICMP 报文类型的可读字符串描述(英文)。 | Echo (ping) reply |
id | ICMP报文中的标识符(Identifier),用于匹配请求与应答(如Ping中的会话标识)。通常由发送方生成,接收方需原样返回。 | 24367 |
seq | ICMP报文中的序列号(Sequence Number),标识同一会话中不同报文的顺序(如连续Ping包的序号)。 | 256 |
inner_src_ip | ICMP负载中封装的内层数据包的源IP(仅在ICMP负载中封装了内层数据包时有效)。 | 8.8.X.X |
inner_src_port | 内层数据包的源端口(如原始TCP/UDP包的端口),仅在ICMP负载中封装了内层数据包时有效。 | 22546 |
inner_dest_ip | ICMP负载中封装的内层数据包的目的IP(仅在 ICMP 负载中封装了内层数据包时有效)。 | 1.1.X.X |
inner_dest_port | 内层数据包的目的端口(如原始TCP/UDP包的端口),仅在 ICMP 负载中封装了内层数据包时有效。 | 50988 |
inner_l4_proto | 内层数据包的传输层协议类型(如TCP=6、UDP=17),仅在 ICMP 负载中封装了内层数据包时有效。 | 17 |
HTTP协议
字段名 | 说明 | 示例值 |
host | 请求头中的目标主机名及端口号(Host头部)。 | aliyun.com:8080 |
request_uri |
| /api?key=value |
request_method | HTTP请求方法(如 GET、POST、PUT、DELETE等)。 | POST |
http_referer | 请求来源页面的完整URL(Referer 头部)。 | https://aliyun.com/workplace |
http_user_agent | 请求头中的客户端标识。 | Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.6261.95 Safari/537.36 |
querystring | URL中 | key=value |
request_path | URI的路径部分(不含查询参数)。 | /api |
http_x_forwarded_for | 反向代理链中的原始客户端IP( | 11.11.XX.XX, 22.22.XX.XX |
status | HTTP响应状态码(三位数字代码)。 | 200 |
response_set_cookie | 服务器通过 | user=sincerexia; state1=180; state2=135; Secure |
content_type | 标识请求体的媒体类型。 | application/x-www-form-urlencoded; charset=UTF-8 |
response_content_type | 标识响应体的媒体类型。 | text/plain;charset=UTF-8 |
proxy_connection | 代理服务器连接控制,管理代理与客户端/服务端的长连接复用。 | keep-alive |
proxy_authorization | 代理服务器认证凭证。 | Basic Yxxxxxxxxxxxxxxxxxx== |
location | 重定向目标URL。 | http://relocation.com |
request_header | 原始 HTTP 请求头的完整内容。包含:请求行(方法 + URI + 协议版本)、所有头部键值对。 |
|
request_body | 原始HTTP请求体数据(POST/PUT/PATCH等方法携带)。 | &user=sincerexia |
response_header | 原始HTTP响应头的完整内容。 |
|
response_info | 原始HTTP响应体内容。 |
|
TLS协议
字段名 | 说明 | 示例值 |
version | SSL/TLS 版本。标识加密通信使用的协议版本。 | TLS 1.3 |
sni | 客户端在握手时发送的目标服务器域名。 | aliyun.com |
state | TLS 握手状态。取值范围:
| HANDSHAKE_DONE |
cert_subject | 证书主体。证书持有者(Subject)信息,包含域名、组织、地理位置等,采用 X.500 格式。 | C=CN, ST=ZheJiang, L=HangZhou, O=Alibaba (China) Technology Co., Ltd., CN=aliyuncs.com |
cert_issuer | 证书颁发者。证书颁发机构(CA)信息。 | C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 OV TLS CA 2024 |
cert_serial | 证书序列号。CA 为证书分配的唯一序列号。 | 45:33:16:59:11:9B:XX:XX:XX:XX:XX:XX |
cert_fingerprint | 证书指纹。证书的哈希摘要,唯一标识证书内容。 | 14:2e:56:4b:8f:b1:c2:0f:8c:8b:ce:36:XX:XX:XX:XX:XX:XX:XX:XX |
ja3_str_client | 客户端 JA3 字符串。基于 TLS 握手特征生成的客户端 JA3 指纹字符串,标识客户端行为模式。 | 771,4866-4867-4865-49196-49200-159-52393-52392-52394-49195-49199-158-49188-49192-107-49187-49191-103-49162-49172-57-49161-49171-51-157-156-61-60-53-47-255,0-11-10-35-22-23-13-43-45-51,29-23-30-25-24,0-1-2 |
ja3_str_server | 服务端 JA3 字符串。基于 TLS 握手特征生成的服务端 JA3 指纹字符串,标识服务端行为模式。 | 771,4866,43-51 |
ja3_hash_client | 客户端 JA3 Hash。客户端 JA3 字符串的 MD5 哈希值(32 位十六进制)。 | 40adfd923eb82b89d8836ba37a19bca1 |
ja3_hash_server | 服务端 JA3 Hash。服务端 JA3 字符串的 MD5 哈希值(32 位十六进制)。 | 15af977ce25de452b96affa2addb1036 |
cipher_suite | 加密套件。表示 TLS 连接使用的加密套件(Cipher Suite),包含密钥交换、认证、对称加密和消息认证码(MAC)算法的组合。 | TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
DNS协议
字段名 | 说明 | 示例值 |
type | 表示 DNS 消息类型,分为查询(Query)或响应(Response)。取值范围:
| query |
id | 事务 ID(Transaction ID),16 位唯一标识符,用于匹配请求与响应。 | 40125 |
rcode | 响应码(Response Code),表示 DNS 请求的处理结果状态。 | NOCODE |
query_name | 客户端请求解析的完整域名(FQDN)。 | oss-cn-hangzhou.aliyuncs.com |
query_type | 请求的资源记录类型(RR Type),决定返回的数据类型。 | A |
answers | 响应中的答案部分(Answer Section),包含直接回答查询的资源记录,以 JSON 数组形式表示。 |
|
additional | 响应中的附加信息部分(Additional Section),提供与查询相关的额外数据,以 JSON 数组形式表示。 | [ ] |
authority | 响应中的权威部分(Authority Section),提供指向域名的权威 DNS 服务器信息(NS 记录),以 JSON 数组形式表示。 |
|
数据库协议
数据库类型协议(MySQL、PostgreSQL 等) 使用相同的日志字段,但并非每种协议均支持全部字段提取,部分数据库协议暂不支持结果集的提取。
字段名 | 说明 | 示例值 |
db_type | 标识数据库引擎类型。取值范围:
| MySQL |
type | 当前日志类型。取值范围:
| Server Greeting & Login Request |
user | 发起操作的用户名。 | root |
db | 目标数据库名称(在连接时指定的默认库)。 | test_db |
protocol_version | 数据库协议版本号。 | 10 |
salt | 认证阶段服务端生成的随机盐值。 | x!2k7Gg^9TqL |
server_version | 数据库服务端版本字符串。 | 5.7.40-log |
server_status | 服务器状态标志位。 | 2 |
auth_response | 客户端加密后的认证响应。 | 5f28eeab88bfc739938db314591ff3f9501e8cd5 |
command_type | SQL 命令类型。 | Query |
sql | 原始 SQL 语句文本。 |
|
fail | 操作是否失败。取值范围:
| 0 |
result | 操作结果摘要。 | SUCCESS |
error_code | 数据库特定错误码。 | 0 |
error_message | 人类可读的错误描述。 | You have an error in your SQL syntax |
return_rows | 查询返回的结果行数。 | 1 |
return_rows_data | 结果集的具体内容(CSV 格式)。 | admin,123456 |
affect_rows | DML 操作影响的行数。 | 3 |
last_insert_id | 自增主键的最近插入值。 | 42 |
FTP协议
字段名 | 说明 | 示例值 |
user | 记录通过 FTP 协议进行身份验证的用户名。该字段标识发起会话的客户端实体。 | user |
password | 客户端在身份验证阶段提交的明文密码。 | password |
cwd | 客户端当前的工作目录路径。记录用户执行命令时所处的文件系统位置,该字段随 | /test |
request_command | 客户端发送的FTP协议命令(RFC 959 定义)。代表客户端请求的操作类型,例如:
| USER |
request_arg | 客户端发送的 FTP 命令所附带的参数。与 | username |
response_code | 服务器对请求的三位数状态码(RFC 959 标准)。首位数字标识响应类别:
| 331 |
response_arg | 服务器响应状态码后的附加信息文本,提供可读的解释或详情。 | Anonymous access granted, restrictions apply |
WebSocket协议
字段名 | 说明 | 示例值 |
opcode | 位于 WebSocket 帧头部(第4-7位),4 比特的无符号整数,标识帧的类型和数据处理逻辑。 | 1 |
masking_key | 4 字节(32 位)的随机数,用于负载数据的逐字节掩码计算。通常存在于客户端→服务端的帧中,该字段值为掩码密钥的十六进制表示。 | pb37e1b69 |
payload_len | 负载数据(payload)的字节长度。 | 15 |
payload | 帧中携带的实际应用层数据。若存在 |
|
SSH协议
字段名 | 说明 | 示例值 |
client | 发起SSH连接的客户端软件名称和版本号,用于识别客户端类型(如OpenSSH)。这有助于分析兼容性、安全漏洞和客户端行为,支持安全策略管理。 | OpenSSH_8.4p1 |
server | 接收SSH连接的服务端软件名称和版本号(如OpenSSH服务端),用于服务器识别、漏洞管理和安全补丁跟踪。 | OpenSSH_8.4p1 Ubuntu-4ubuntu0.3 |
version | SSH协议的版本号(1、2 或未设置),在连接开始时协商。 | 2 |
cipher_alg | SSH会话中使用的对称加密算法,用于加密数据传输,确保数据机密性。常见算法如AES-CTR或ChaCha20,选择强算法(如AES-256)可抵御窃听攻击。 | AES-128-GCM |
compression_alg | SSH中用于数据压缩的算法,以减少网络带宽使用。值可为none(无压缩)或具体算法(如zlib),启用压缩可能影响性能,需权衡效率与安全。 | none |
host_key | SSH服务器公钥的指纹,用于验证服务器身份,防止中间人攻击。指纹是公钥的摘要,用户可对比以确认连接到的合法服务器。 | cc:aa:aa:b7:********:cc:50:11:2d:71:f0:ee |
host_key_alg | SSH服务器主机密钥使用的公钥算法类型,如RSA或ECDSA。算法强度直接影响身份验证安全,强算法(如RSA-SHA2)可抵御伪造攻击。 | ECDSA-SHA2-NISTP256 |
kex_alg | SSH连接初始化阶段使用的密钥交换算法,用于协商会话密钥并提供前向保密。常见算法如Curve25519或Diffie-Hellman,安全实现可防止密钥泄露。 | Curve25519-SHA256 |
mac_alg | SSH中用于消息认证码(MAC)的算法,确保数据完整性和真实性,防止篡改。常见如HMAC-SHA2系列,强MAC算法是数据传输安全的基础。 | HMAC-SHA2-256-ETM |
auth_attempts | 在SSH认证过程中尝试认证的次数,包括用户名、密码、公钥等认证方法的尝试。值大于1可能表示多次失败尝试,或服务器需使用了双因素身份验证,用于监控暴力破解攻击和审计安全事件。 | 3 |
auth_success | 表示SSH认证的最终结果,值为布尔类型(true或false)。成功或失败信息用于检测未授权访问、审计日志和安全告警,是防止账户劫持的关键指标。 | false |
RDP协议
字段名 | 说明 | 示例值 |
cert_count | 在RDP会话中使用的数字证书数量,用于服务器身份验证和安全通信,以增强连接可信度。 | 2 |
cert_type | 证书的签发类型,如自签名证书或由证书颁发机构(CA)签发的证书,影响身份验证的安全级别。 | RSA |
encryption_level | RDP连接的加密强度级别,决定数据传输的机密性和完整性保护水平。 | Client compatible |
encryption_method | RDP连接的加密方法。 | 56bit |
result | RDP连接尝试的最终状态,反映会话建立或终止的原因。 | Success |
client_build | RDP客户端的软件构建版本号,标识客户端应用程序的特定发布版本。 | RDP 5.1 |
client_channels | RDP客户端支持的通道列表,用于数据传输功能,如剪贴板共享或打印机重定向。 | rdpdr, cliprdr, rdpsnd |
client_dig_product_id | 客户端产品的唯一数字标识符,用于识别和追踪软件产品来源。 | 76487-OEM-******-00107 |
client_name | 发起RDP连接的客户端计算机名称或主机标识符,用于会话来源识别。 | UserPC |
cookie | 在RDP连接中用于会话管理或状态保持的Cookie值,提供安全上下文和连续性。 | session_token |
MQTT协议
字段名 | 说明 | 示例值 |
ack | 表示订阅消息是否被服务器确认。在MQTT协议中,当订阅请求被接受时,服务器会发送确认标志。 | true |
action | 指示订阅操作的类型,如SUBSCRIBE(订阅)或UNSUBSCRIBE(取消订阅)。 | SUBSCRIBE |
topics | 客户端订阅的主题列表,用于指定消息接收的范围。 | sensor/temperature |
client_id | 客户端的唯一标识符,用于会话管理和身份验证。 | client123 |
connect_status | 表示客户端与服务器的连接状态。 | Connection Accepted |
proto_name | 使用的协议名称,通常为MQTT(Message Queuing Telemetry Transport)。 | MQTT |
proto_version | MQTT协议的版本号,如3.1.1或5.0,用于兼容性管理。 | 3.1.1 |
will_payload | 遗嘱消息的内容,当客户端意外断开连接时自动发布。 | offline |
will_topic | 遗嘱消息发布的主题,用于指定消息的目标路径。 | status/offline |
from_client | 指示消息是否由客户端发起发布,而非服务器。 | TRUE |
payload | 消息的实际内容,可以是任意数据格式,如文本或二进制。 | Hello World |
payload_len | 消息内容(payload)的字节长度,用于监控数据大小。 | 11 |
qos | 服务质量等级(Quality of Service)。 | at most once |
retain | 指示消息是否保留在服务器上,以便新订阅者立即接收。 | false |
status | 消息发布的状态。 | ok |
topic | 消息发布的主题路径,用于路由和过滤消息。 | sensor/data |
Syslog协议
字段名 | 说明 | 示例值 |
facility | 表示日志消息的来源类型,如内核、用户程序或邮件系统。在Syslog协议中,facility用于分类日志的生成组件,有助于日志过滤和分析。 | USER |
message | 日志消息的实际内容,包含事件、错误或操作的详细信息。在Syslog协议中,message字段存储核心日志数据,用于诊断和监控系统行为。 | System rebooted unexpectedly |
severity | 表示日志消息的严重性级别,范围从emergency(最高紧急)到debug(调试)。级别包括emergency、alert、critical、error、warning、notice、info和debug,用于优先处理重要事件。 | INFO |
SIP协议
字段名 | 说明 | 示例值 |
call_id | 在SIP协议中,唯一标识通话会话的Call-ID头字段值,用于关联同一会话的所有请求和响应消息。 | 101365e0-7e65-****-****-00163e10aabd |
method | SIP请求的方法类型,如INVITE(建立会话)、ACK(确认)、BYE(终止会话)或CANCEL(取消请求),用于定义操作类型。 | INVITE |
seq | SIP消息中的CSeq字段,表示命令序列号和方法,用于匹配请求与响应,确保消息顺序和完整性。 | 12345 INVITE |
uri | SIP请求行中的统一资源标识符,指定请求的目标地址资源。 | sip:bob@example.com |
content_type | 响应消息体的媒体类型,如application/sdp(会话描述协议),用于描述消息内容的格式。 | application/sdp |
response_body_len | 响应消息体的长度(字节数),表示数据大小,用于诊断网络传输问题。 | 256 |
response_from | 响应消息的来源地址,通常对应SIP From头字段,标识消息发起方。 | "66666" <sip:66666@example.com> |
response_to | 响应消息的目标地址,通常对应SIP To头字段,标识消息接收方,可能包含标签参数。 | <sip:777777@example.com>;tag=aaaaaaaaaa |
status_code | SIP响应状态码,表示请求处理结果,如200(成功)、404(未找到)或500(服务器错误)。 | 180 |
status_msg | 与状态码关联的文本描述,如OK或Not Found,提供状态码的可读解释。 | Ringing |
warning | 包含警告文本,用于指示潜在问题或非关键错误,如会话超时或兼容性问题。 | 399 example.com Session expired |
reply_to | 指定回复消息的地址,用于重定向响应,通常对应SIP Reply-To头字段。 | sip:carol@example.com |
request_body_len | 请求消息体的长度(字节数),表示数据大小,用于监控带宽使用和传输效率。 | 128 |
request_from | 请求消息的来源地址,通常对应SIP From头字段,标识消息发起方。 | "66666" <sip:66666@example.com> |
request_to | 请求消息的目标地址,通常对应SIP To头字段,标识消息接收方。 | <sip:777777@example.com>;tag=aaaaaaaaaa |
user_agent | 标识发送请求的客户端软件或设备,用于用户代理识别和兼容性检查。 | Zoiper/2.0 |