调用DescribeSuspEventDetail查询单个异常事件详情_云安全中心(Security Center)-阿里云帮助中心

查询单个告警事件详情。

调试

您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息，可以在RAM权限策略语句的Action元素中使用，用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下：

操作：是指具体的权限点。
访问级别：是指每个操作的访问级别，取值为写入（Write）、读取（Read）或列出（List）。
资源类型：是指操作中支持授权的资源类型。具体说明如下：
- 对于必选的资源类型，用背景高亮的方式表示。
- 对于不支持资源级授权的操作，用全部资源表示。
条件关键字：是指云产品自身定义的条件关键字。
关联操作：是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限，操作才能成功。

操作	访问级别	资源类型	条件关键字	关联操作
yundun-sas:DescribeSuspEventDetail	get	全部资源 *	无	无

请求参数

名称	类型	必填	描述	示例值
SourceIp	string	否	访问源的 IP 地址。	121.33.XX.XX
Lang	string	否	指定请求和接收消息的语言类型，默认值为 zh。取值： zh：中文 en：英文	zh
SuspiciousEventId	integer	是	告警事件 ID。	32750999
From	string	是	告警事件数据的来源，固定为 sas。	sas
ResourceDirectoryAccountId	long	否	资源目录成员账号主账号 ID。说明调用 DescribeMonitorAccounts 接口可以获取该参数。	16670360956*****

返回参数

名称	类型	描述	示例值
	object	请求返回数据。
DataSource	string	告警事件的数据来源。	aegis_suspicious_****
EventName	string	告警事件的名称。	WEBSHELL
InternetIp	string	发生告警事件的服务器的公网 IP。	101.132.XX.XX
IntranetIp	string	发生告警事件的服务器的私网 IP。	172.26.XX.XX
LastTime	string	告警事件最新发生时间。	2018-10-30 11:43:46
OperateMsg	string	告警事件的处理结果的说明。	success
Uuid	string	发生告警事件的服务器实例的 UUID。	bffb12c3-590a-4db2-b538-****
CanBeDealOnLine	boolean	是否支持在线处理告警事件，例如阻断隔离、加白名单、忽略等。取值包括： true：支持在线处置 false：不支持在线处置	true
RequestId	string	结果的请求 ID。	0B48AB3C-84FC-424D-A01D-B9270EF46038
EventTypeDesc	string	告警事件类型说明。	Malicious Software-Variable Trojan
EventDesc	string	告警事件的描述信息。	The detection model found a suspicious Webshell file on your server, which may be a backdoor file implanted to maintain permissions after the attacker successfully invaded the website.
InstanceName	string	发生告警事件的服务器的名称。	ca_cpm_****
EventStatus	string	告警事件状态。取值包括： 1：pending（待处理） 2：ignore（已忽略） 4：handled（已确认） 8：fault（已标记误报） 16：dealing（处理中） 32：done（处理完毕） 64：expire（已经过期）	1
SaleVersion	string	告警事件检测支持的云安全中心版本。取值包括： 0：基础版 1：高级版 2：企业版	1
OperateErrorCode	string	告警事件的处理结果。	quara.Succes
Level	string	告警事件的危险等级。取值包括： serious：紧急 suspicious：可疑 remind：提醒	serious
Id	integer	记录告警事件的唯一标识 ID。	11416624
Details	array<object>	告警事件的详情。
QuaraFile	object	告警事件的详情。
Type	string	告警事件详情信息展示的方式。取值包括： text：文本方式 html：富文本的方式	html
Value	string	告警事件的其他属性信息。例如：异常登录告警的登录时间或登录地点、webshell 告警的木马文件路径或木马类型等。	getopt
NameDisplay	string	告警事件显示名称。	Trojan Path

示例

正常返回示例

JSON格式

{
  "DataSource": "aegis_suspicious_****",
  "EventName": "WEBSHELL",
  "InternetIp": "101.132.XX.XX",
  "IntranetIp": "172.26.XX.XX",
  "LastTime": " 2018-10-30 11:43:46 ",
  "OperateMsg": "success",
  "Uuid": "bffb12c3-590a-4db2-b538-****",
  "CanBeDealOnLine": true,
  "RequestId": "0B48AB3C-84FC-424D-A01D-B9270EF46038",
  "EventTypeDesc": "Malicious Software-Variable Trojan",
  "EventDesc": "The detection model found a suspicious Webshell file on your server, which may be a backdoor file implanted to maintain permissions after the attacker successfully invaded the website.",
  "InstanceName": "ca_cpm_****",
  "EventStatus": "1",
  "SaleVersion": "1",
  "OperateErrorCode": "quara.Succes",
  "Level": "serious",
  "Id": 11416624,
  "Details": [
    {
      "Type": "html",
      "Value": "getopt",
      "NameDisplay": "Trojan Path"
    }
  ]
}

错误码

HTTP status code	错误码	错误信息	描述
400	UnknownError	UnknownError	未知错误，请稍后重试！
400	DataExists	%s data exist	-
400	RdCheckNoPermission	Resource directory account verification has no permission.	资源目录账号校验无权限。
403	NoPermission	caller has no permission	当前操作未被授权，请联系主账号在RAM控制台进行授权后再执行操作。
500	ServerError	ServerError	服务故障，请稍后重试！
500	RdCheckInnerError	Resource directory account service internal error.	资源目录账号服务内部错误。

访问错误中心查看更多错误码。

变更历史

变更时间	变更内容概要	操作
2024-01-24	OpenAPI 错误码发生变更	查看变更详情
2023-07-20	OpenAPI 错误码发生变更、OpenAPI 入参发生变更	查看变更详情
2023-01-03	OpenAPI 描述信息更新、OpenAPI 错误码发生变更	查看变更详情