本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
威胁分析与响应CTDR(Cloud Threat Detection and Response)2.0升级架构实现了第三方云厂商、IDC线下安全厂商日志标准化快速接入,升级架构后日志字段有所变更。
升级影响账号
2025年4月3日(含)前开通CTDR的阿里云账号。
多账号情况下若成员账号无订单,升级后成员账号将不能再使用CTDR,若成员账号需要使用,需要单独购买。
委派管理员(DA)可通过“接入中心-多账号接入”功能,接入成员账号的产品日志,且不依赖成员账号是否购买CTDR。
由于CTDR功能在中国站和全球站的数据与任务相互独立,需要分别为这两个站点执行升级操作。
升级时间
系统将于2025年10月15日(含)为所有账户自动升级。
您也可在2025年6月30日(含)至2025年10月15日期间,登录云安全中心控制台,根据升级指引完成升级评估后,单击立即升级,完成自主升级。
若您因特殊场景(如业务兼容性测试、设备维护等)需延长升级切换时间,您可以提交工单或拨打服务热线400-801-3260,随时与我们取得联系。
老订单功能使用配额的影响
老订单范围:2024年04月26日(包含)前仅购威胁分析日志存储容量的包年包月订单。
CTDR新版功能启用需开通日志接入流量或日志存储容量。老订单升级后会自动配置日志接入流量,保证老订单业务正常运行,无需额外付费。但接入流量有规格限制,接入流量额度计算公式如下:
日志接入流量=威胁分析日志存储容量/30*1.2(兼容系数),计算结果向上取最接近10的整数倍。
说明例如:老订单日志存储容量(GB/月)=3000(GB/月)。
升级后:日志存储容量(GB/月)=3000(GB/月),日志接入量(GB/天)=3000/30*1.2=120(GB/天)。
2024年04月26日后的订单费用不受影响,订单对应开通的日志接入流量和日志存储容量配额也不变。
升级功能影响
升级版本后,产品功能和日志、告警字段将升级至2.0版本,字段变化参见日志标准化字段变更。已投递的日志库历史数据不会删除,仍为1.0结构。产品功能差异对比如下:
产品功能 | CTDR 1.0 | CTDR 2.0 |
产品接入 |
|
重要 CTDR 1.0已接入的产品数据不会删除。 |
规则管理 | 图形交互配置自定义规则 |
|
日志管理 |
|
|
多账号管理 |
|
|
不再支持的日志
升级至CTDR2.0后,以下7种阿里云云产品日志将不再支持:
产品名称 | 日志名称 | 下线原因 |
云安全中心 | 端口快照日志 | 数据源重复,接入“网络快照日志”数据源即可。 |
DDoS防护 | DDoS高防流日志(老高防) | 老高防产品下线。 |
DDoS防护 | DDoS原生防护日志 | 产品日志规划下线。 |
云防火墙 | 云防火墙告警日志 | 数据源重复,下线原自定义日志服务的数据源,将由基于预定义日志服务的新数据源代替。 说明 新数据源名称仍为“云防火墙告警日志”,新数据源字段可参见云防火墙告警日志、云防火墙实时告警日志。 |
Web应用防火墙 | WAF CDN流日志 | CDN暂停规划,将由新的DCDN WAF拦截日志代替,字段说明参见DCDN WAF拦截日志。 |
内容分发网络CDN | CDN WAF流日志 | CDN暂停规划,将由新的DCDN WAF拦截日志代替。 |
云安全中心 | 文件读写日志 | 能力优化升级迭代,不再需要此数据源支撑。 |
日志标准化字段变更
云安全中心
账户快照
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
host_uuid | uuid | 主机ID |
is_root | perm | 是否拥有root权限。
|
group_name | groups | 用户组 |
account_expire_time | account_expire | 账号过期时间 |
log_time | log_time | 日志时间戳,单位秒 |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
last_login_time | last_logon | 最后一次登录账号的日期和时间。N/A表示从未登录过。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
无 | username | 账号名 |
无 | domain | 域名 |
无 | home_dir | home地址 |
无 | status | 用户账号的状态。
|
无 | login_ip | 最后一次登录账号的远程IP地址。N/A表示从未登录过。 |
无 | host_name | 主机名 |
无 | host_ip | 主机IP |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | log_uuid | 日志标志 |
无 | product_code | 产品code |
无 | extend_content | 扩展字段内容 |
snapshot_id | 无 | 下线 |
asset_type | 无 | 下线 |
asset_id | 无 | 下线 |
log_name | 无 | 下线 |
gmt_create | 无 | 下线 |
gmt_modified | 无 | 下线 |
account_id | 无 | 下线 |
password_expire_time | 无 | 下线 |
src_ip | 无 | 下线 |
暴力破解日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
host_uuid | uuid | 主机ID |
dst_ip | dst_ip | 目的IP |
login_count | login_count | 登录次数 |
src_ip | src_ip | 源IP |
u_name | username | 登录账户名称 |
无 | invalid_user | 是否有效用户invalid_user |
无 | login_type | 登录类型 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | dst_port | 客户端主机端口 |
host_name | 无 | 下线 |
net_connect_dir | 无 | 下线 |
log_name | 无 | 下线 |
src_port | 无 | 下线 |
occur_time | 无 | 下线 |
time_zone | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
resource_group_name | 无 | 下线 |
connect_count | 无 | 下线 |
protocol_name | 无 | 下线 |
transport_protocol_name | 无 | 下线 |
login_status | 无 | 下线 |
ip_version | 无 | 下线 |
asset_ip | 无 | 下线 |
class_name | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
raw_data | 无 | 下线 |
remote_ip | 无 | 下线 |
云安全态势管理日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
log_time | log_time | 日志时间戳,单位秒 |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
instance_id | instance_id | 检查对象实例ID |
instance_name | instance_name | 检查对象实例名称 |
instance_sub_type | instance_sub_type | 产品子类型 |
instance_type | instance_type | 产品类型 |
region_id | region_id | 地域 |
risk_level | risk_level | 风险级别:1、2、3、4、5。 |
status | status | 检测状态: 1:unfixed 2:fixfailed 3:fixed 4:ignored |
vendor | vendor | 被检测的实例归属的厂商 |
无 | risk_detail | 检查项详细信息 |
无 | risk_criterion | 风险标准 |
无 | risk_name | 风险名称 |
无 | risk_type | 风险类型 |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | cloud_code | 云code,枚举值:
|
无 | product_code | 产品code |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
check_id | 无 | 下线 |
check_item_code | 无 | 下线 |
check_item_name | 无 | 下线 |
log_name | 无 | 下线 |
occur_time | 无 | 下线 |
instance_result | 无 | 下线 |
requirement_id | 无 | 下线 |
requirement_name | 无 | 下线 |
section_id | 无 | 下线 |
section_name | 无 | 下线 |
standard_id | 无 | 下线 |
standard_name | 无 | 下线 |
requirement_code | 无 | 下线 |
section_code | 无 | 下线 |
DNS请求日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
host_uuid | uuid | 主机ID |
proc_id | pid | 进程ID |
proc_path | proc_path | 进程路径 |
cmd_line | cmdline | 命令行 |
cmd_chain | cmd_chain | 进程命令行 |
domain | domain | 进程请求DNS |
parent_proc_id | ppid | 父进程ID |
ip | host_ip | 主机IP |
log_time | log_time | 日志时间戳,单位秒 |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
product_code | product_code | 产品code |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
host_name | host_name | 主机名 |
无 | uid | 账号ID |
无 | username | 账号名 |
无 | parent_proc_path | 父进程路径 |
无 | pcmdline | 父命令行 |
无 | pstime | 父进程启动时间 |
无 | stime | 进程启动时间 |
无 | container_hostname | 容器内服务器名称 |
无 | container_id | 容器ID |
无 | container_image_id | 镜像ID |
无 | container_image_name | 镜像名称 |
无 | container_name | 容器名称 |
无 | container_pid | 容器内进程ID |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
file_path | 无 | 下线 |
sls_capacity | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
asset_list | 无 | 下线 |
time_zone | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
proc_name | 无 | 下线 |
occur_time | 无 | 下线 |
scan_time | 无 | 下线 |
log_protocol_action | 无 | 下线 |
log_protocol_type | 无 | 下线 |
app | 无 | 下线 |
trace_id | 无 | 下线 |
bind | 无 | 下线 |
version | 无 | 下线 |
client_mode | 无 | 下线 |
app_version | 无 | 下线 |
safe_mode | 无 | 下线 |
type | 无 | 下线 |
seq | 无 | 下线 |
dns_query_name | 无 | 下线 |
dns_query_time | 无 | 下线 |
file_name | 无 | 下线 |
class_name | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
raw_data | 无 | 下线 |
文件读写日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
log_code | log_code | 日志code,具体接入数据源 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
host_uuid | uuid | 主机ID |
host_name | host_name | 主机名 |
cmd_line | cmdline | 命令行 |
parent_file_path | parent_proc_path | 父进程路径 |
proc_id | pid | 进程ID |
parent_proc_id | ppid | 父进程ID |
proc_path | proc_path | 进程路径 |
proc_start_time | stime | 进程启动时间 |
parent_proc_start_time | pstime | 父进程启动时间 |
file_path | file_path | 进程写入文件路径 |
container_id | container_id | 容器ID |
container_name | container_name | 容器名称 |
container_image_id | container_image_id | 镜像ID |
container_image_name | container_image_name | 镜像名称 |
cmd_chain | cmd_chain | 进程命令行 |
无 | host_ip | 主机IP |
无 | uid | 账号ID |
无 | pcmdline | 父命令行 |
无 | username | 账号名 |
无 | container_hostname | 容器内服务器名称 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | container_pid | 容器内进程ID |
log_name | 无 | 下线 |
time_zone | 无 | 下线 |
occur_time | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
parent_file_name | 无 | 下线 |
container_file_path | 无 | 下线 |
k8s_pod_name | 无 | 下线 |
k8s_name_space | 无 | 下线 |
k8s_node_id | 无 | 下线 |
k8s_node_name | 无 | 下线 |
k8s_cluster_id | 无 | 下线 |
cmd_chain_index | 无 | 下线 |
proc_name | 无 | 下线 |
file_name | 无 | 下线 |
sid | 无 | 下线 |
srv_cmd_line | 无 | 下线 |
class_name | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
raw_data | 无 | 下线 |
基线日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
host_uuid | uuid | 主机ID |
host_name | host_name | 主机名 |
risk_level | risk_level | 风险级别:1、2、3、4、5。 |
risk_name | risk_name | 风险名 |
status | status | 检测状态: 1:unfixed 2:fixfailed 3:fixed 4:ignored |
无 | instance_id | 主机实例ID |
无 | risk_type | 主机基线风险类型 |
无 | risk_detail | 风险详情 |
无 | risk_criterion | 风险标准 |
无 | host_ip | 主机IP |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
check_item | 无 | 下线 |
check_level | 无 | 下线 |
check_type | 无 | 下线 |
level | 无 | 下线 |
operation | 无 | 下线 |
sub_type_alias | 无 | 下线 |
sub_type_name | 无 | 下线 |
type_alias | 无 | 下线 |
type_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
asset_list | 无 | 下线 |
time_zone | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
raw_data | 无 | 下线 |
登录流水日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
log_code | log_code | 日志code,具体接入数据源 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
host_uuid | uuid | 主机ID |
dst_ip | dst_ip | 登录主机的ip |
dst_port | dst_port | 客户端主机端口 |
src_ip | src_ip | 源IP |
u_name | username | 登录账户名称 |
login_type | login_type | 登录类型 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
host_name | 无 | 下线 |
ip | 无 | 下线 |
client_ip | 无 | 下线 |
is_login_success | 无 | 下线 |
log_count | 无 | 下线 |
proc_id | 无 | 下线 |
proto | 无 | 下线 |
invalid_user | 无 | 下线 |
client_mode | 无 | 下线 |
occur_time | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
asset_name | 无 | 下线 |
asset_list | 无 | 下线 |
time_zone | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
transport_protocol_name | 无 | 下线 |
ip_version | 无 | 下线 |
login_status | 无 | 下线 |
login_count | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
raw_data | 无 | 下线 |
asset_ip | 无 | 下线 |
class_name | 无 | 下线 |
log_name | 无 | 下线 |
remote_ip | 无 | 下线 |
网络连接日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | user_id | 账号ID/阿里云日志所属账号ID |
sub_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
host_uuid | uuid | 主机ID |
host_name | host_name | 主机名 |
src_ip | src_ip | 源IP |
src_port | src_port | 源端口 |
dst_ip | dst_ip | 目的IP |
dst_port | dst_port | 目的端口 |
parent_proc_id | 进程ID | |
proc_path | proc_path | 进程路径 |
proc_start_time | stime | 进程启动时间 |
proc_id | pid | 进程ID |
parent_proc_path | parent_proc_path | 父进程路径 |
parent_proc_start_time | pstime | 父进程启动时间 |
status | status | 网络连接状态: 1:TCP_STATE_CLOSED(连接关闭/未打开) 2:TCP_STATE_LISTEN(监听中) 3:TCP_STATE_SYN_SENT(发送SYN包) 4:TCP_STATE_SYN_RCVD(SYN包已接收) 5:TCP_STATE_ESTABLISHED(已建立连接) 6:TCP_STATE_CLOSE_WAIT(等待关闭) 7:TCP_STATE_CLOSING(双方都在关闭连接) 8:TCP_STATE_FIN_WAIT1(主动关闭方发送FIN等待ACK) 9:TCP_STATE_FIN_WAIT2(主动关闭方收到ACK) 10:TCP_STATE_LAST_ACK(被动关闭方等待ACK) 11:TCP_STATE_TIME_WAIT(主动关闭方收到FIN并发送ACK) |
cmd_line | cmdline | 命令行 |
net_connect_dir | net_connect_dir | 网络连接方向 |
container_id | container_id | 容器ID |
container_image_id | container_image_id | 镜像ID |
container_image_name | container_image_name | 镜像名称 |
container_name | container_name | 容器名称 |
container_host_name | container_hostname | 容器内服务器名称 |
cmd_chain | cmd_chain | 进程命令行 |
uid | uid | 账号ID |
u_name | username | 账号名 |
无 | container_pid | 容器内进程ID |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
cwd | 无 | 下线 |
tty | 无 | 下线 |
scan_time | 无 | 下线 |
log_name | 无 | 下线 |
proc_name | 无 | 下线 |
file_path | 无 | 下线 |
file_name | 无 | 下线 |
parent_proc_name | 无 | 下线 |
parent_file_name | 无 | 下线 |
parent_file_path | 无 | 下线 |
proto | 无 | 下线 |
docker_proc_path | 无 | 下线 |
k8s_cluster_id | 无 | 下线 |
k8s_name_space | 无 | 下线 |
k8s_node_id | 无 | 下线 |
k8s_node_name | 无 | 下线 |
k8s_pod_name | 无 | 下线 |
cmd_chain_index | 无 | 下线 |
container_mip | 无 | 下线 |
ccp | 无 | 下线 |
client_mode | 无 | 下线 |
log_match | 无 | 下线 |
raw_ts | 无 | 下线 |
raw_cpu | 无 | 下线 |
srv_comm | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
asset_name | 无 | 下线 |
asset_list | 无 | 下线 |
asset_port | 无 | 下线 |
container_machine_ip | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
occur_time | 无 | 下线 |
time_zone | 无 | 下线 |
cmd_line_format | 无 | 下线 |
transport_protocol_name | 无 | 下线 |
transport_protocol_status | 无 | 下线 |
ip_version | 无 | 下线 |
asset_ip | 无 | 下线 |
class_name | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
remote_ip | 无 | 下线 |
remote_port | 无 | 下线 |
端口快照日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | user_id | 账号ID/阿里云日志所属账号ID |
sub_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
host_name | host_name | 主机名 |
proc_id | pid | 进程ID |
proc_path | proc_path | 进程路径 |
net_connect_dir | net_connect_dir | 网络链接方向 |
src_ip | src_ip | 源IP |
src_port | src_port | 源端口 |
dst_ip | dst_ip | 目的IP |
dst_port | dst_port | 目的端口 |
proto | l4_protocol | 协议 |
cmd_line | cmdline | 命令行 |
proc_name | proc_name | 进程名 |
status | status | 网络连接状态 1:TCP_STATE_CLOSED(连接关闭/未打开) 2:TCP_STATE_LISTEN(监听中) 3:TCP_STATE_SYN_SENT(发送SYN包) 4:TCP_STATE_SYN_RCVD(SYN包已接收) 5:TCP_STATE_ESTABLISHED(已建立连接) 6:TCP_STATE_CLOSE_WAIT(等待关闭) 7:TCP_STATE_CLOSING(双方都在关闭连接) 8:TCP_STATE_FIN_WAIT1(主动关闭方发送FIN等待ACK) 9:TCP_STATE_FIN_WAIT2(主动关闭方收到ACK) 10:TCP_STATE_LAST_ACK(被动关闭方等待ACK) 11:TCP_STATE_TIME_WAIT(主动关闭方收到FIN并发送ACK)) |
host_uuid | uuid | 主机ID |
无 | host_ip | 主机IP |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
type | 无 | 下线 |
file_name | 无 | 下线 |
parent_cmd_line | 无 | 下线 |
parent_proc_id | 无 | 下线 |
parent_file_path | 无 | 下线 |
parent_proc_path | 无 | 下线 |
err_msg | 无 | 下线 |
ime | 无 | 下线 |
client_mode | 无 | 下线 |
occur_time | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
asset_list | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
transport_protocol_name | 无 | 下线 |
transport_protocol_status | 无 | 下线 |
time_zone | 无 | 下线 |
ip_version | 无 | 下线 |
asset_ip | 无 | 下线 |
asset_type | 无 | 下线 |
class_name | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
raw_data | 无 | 下线 |
remote_ip | 无 | 下线 |
remote_port | 无 | 下线 |
time | 无 | 下线 |
进程启动日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 账号ID/阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
cloud_code | cloud_code | 云code,枚举值:
|
host_uuid | uuid | 主机ID |
uid | uid | 账号ID |
u_name | username | 账号名 |
host_name | host_name | 主机名 |
proc_id | pid | 进程ID |
cmd_line | cmdline | 命令行 |
proc_path | proc_path | 进程路径 |
file_path | file_path | 进程写入文件 |
parent_proc_id | ppid | 父进程ID |
parent_cmd_line | pcmdline | 父命令行 |
parent_proc_path | parent_proc_path | 父进程路径 |
proc_start_time | stime | 进程启动时间 |
cmd_chain | cmd_chain | 进程命令行 |
pstime | pstime | 父进程启动时间 |
container_host_name | container_hostname | 容器内服务器名称 |
container_id | container_id | 容器ID |
container_image_id | container_image_id | 镜像ID |
container_image_name | container_image_name | 镜像名称 |
container_name | container_name | 容器名称 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | container_pid | 容器内进程ID |
无 | host_ip | 主机IP |
log_name | 无 | 下线 |
scan_time | 无 | 下线 |
euid | 无 | 下线 |
euid_name | 无 | 下线 |
gid | 无 | 下线 |
gid_name | 无 | 下线 |
egroup_id | 无 | 下线 |
egroup_name | 无 | 下线 |
sid | 无 | 下线 |
tty | 无 | 下线 |
cwd | 无 | 下线 |
parent_file_name | 无 | 下线 |
parent_proc_name | 无 | 下线 |
file_name | 无 | 下线 |
proc_name | 无 | 下线 |
parent_file_path | 无 | 下线 |
perm | 无 | 下线 |
index | 无 | 下线 |
file_gid | 无 | 下线 |
file_uid | 无 | 下线 |
file_uid_name | 无 | 下线 |
file_gid_name | 无 | 下线 |
docker_file_path | 无 | 下线 |
docker_container_id | 无 | 下线 |
docker_image_id | 无 | 下线 |
docker_image_name | 无 | 下线 |
k8s_pod_name | 无 | 下线 |
k8s_name_space | 无 | 下线 |
k8s_node_id | 无 | 下线 |
k8s_node_name | 无 | 下线 |
k8s_cluster_id | 无 | 下线 |
cmd_chain_index | 无 | 下线 |
host_instance_id | 无 | 下线 |
occur_time | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
asset_name | 无 | 下线 |
asset_list | 无 | 下线 |
comm | 无 | 下线 |
pcomm | 无 | 下线 |
srv_cmd_line | 无 | 下线 |
cmd_line_format | 无 | 下线 |
container_machine_ip | 无 | 下线 |
container_file_path | 无 | 下线 |
container_type | 无 | 下线 |
client_mode | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
os_name | 无 | 下线 |
os_type | 无 | 下线 |
安全告警日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
log_time | log_time | 日志时间戳,单位秒 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
main_user_id | user_id | 阿里云日志所属账号ID |
sub_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | rule_id | 规则ID,云安全中心为空 |
无 | confidence_score | 告警的置信分数(0-100) |
无 | att_ck | ATT&CK字段 |
无 | alert_name | 告警名 |
无 | alert_type | 告警类型 |
无 | alert_level | 告警等级:
|
无 | alert_description | 告警描述 |
无 | action | 告警动作:pass、alert、drop。 |
无 | relate_alert_uuids | 关联告警 |
无 | alert_uuid | 告警标志 |
无 | payload | 攻击载荷 |
log_name | 无 | 下线 |
client_mode | 无 | 下线 |
cmd_line | 无 | 下线 |
cwd | 无 | 下线 |
docker_container_id | 无 | 下线 |
err_msg | 无 | 下线 |
euid | 无 | 下线 |
md5 | 无 | 下线 |
file_name | 无 | 下线 |
proc_name | 无 | 下线 |
parent_cmd_line | 无 | 下线 |
file_path | 无 | 下线 |
proc_path | 无 | 下线 |
proc_id | 无 | 下线 |
parent_proc_name | 无 | 下线 |
parent_file_name | 无 | 下线 |
parent_proc_path | 无 | 下线 |
parent_file_path | 无 | 下线 |
parent_proc_id | 无 | 下线 |
sid | 无 | 下线 |
srv_cmd | 无 | 下线 |
type | 无 | 下线 |
uid | 无 | 下线 |
user | 无 | 下线 |
uuid | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
class_name | 无 | 下线 |
asset_name | 无 | 下线 |
raw_data | 无 | 下线 |
asset_list | 无 | 下线 |
time_zone | 无 | 下线 |
proc_start_time | 无 | 下线 |
parent_proc_start_time | 无 | 下线 |
container_id | 无 | 下线 |
srv_cmd_line | 无 | 下线 |
u_name | 无 | 下线 |
host_uuid | 无 | 下线 |
os_type | 无 | 下线 |
os_name | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
host_name | 无 | 下线 |
漏洞日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
vul_alias | vul_alias_name | 漏洞别名 |
vul_code | vul_code | 漏洞编号;AVD或者CVE号 |
status | status | 检测状态:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
host_uuid | uuid | 主机ID |
vul_detail | vul_detail | 漏洞详情 |
main_user_id | user_id | 阿里云日志所属账号ID |
sub_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
end_time | end_time | 结束时间戳,单位秒 |
asset_id | asset_ip | 远程扫描,被扫的资产IP |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
product_code | product_code | 产品code |
vul_level | vul_level | 漏洞等级:1、2、3、4、5。 |
vul_type | vul_type | 漏洞类型 |
无 | cwe_id | CWE漏洞类型;https://avd.aliyun.com/detail/AVD-2023-1678778 |
无 | cvss | CVSS分数 |
无 | asset_url | 远程扫描,被扫的URL |
无 | asset_port | 远程扫描,被扫的资产端口 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | vul_name | 漏洞名称 |
log_name | 无 | 下线 |
necessity | 无 | 下线 |
operation | 无 | 下线 |
tag | 无 | 下线 |
type | 无 | 下线 |
asset_type | 无 | 下线 |
time_zone | 无 | 下线 |
raw_data | 无 | 下线 |
asset_list | 无 | 下线 |
vpc_instance_id | 无 | 下线 |
sas_group_name | 无 | 下线 |
ecs_instance_id | 无 | 下线 |
inter_ip | 无 | 下线 |
intra_ip | 无 | 下线 |
host_name | 无 | 下线 |
risk_level | 无 | 下线 |
WAF
WAF告警日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | user_id | 阿里云日志所属账号ID |
sub_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
scheme | schema | 活动分类 |
domain | host | 被攻击的域名 |
waf_rule_id | rule_id | 客户端请求命中的基础防护规则的ID。 说明 该规则ID对应您在安全报表页面的基础防护规则页签下,通过规则命中记录列表,查看到的规则ID。更多信息,请参见安全报表。 |
request_uri | request_uri | 请求全路径+参数 |
request_path | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
request_body | request_body | 访问请求体 |
request_method | request_method | 客户端请求的方法。 |
request_params | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_cookie | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
log_uuid | log_uuid | 日志标志 |
final_action | action | 告警动作:pass、alert、drop。 |
src_ip | src_ip | 攻击源ip |
attack_ip | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip,一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
alert_name | alert_name | 告警名称 |
alert_type | alert_type | 告警类型 |
alert_level | alert_level | 告警等级:1、2、3、4、5。 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | extend_content | 扩展字段内容 |
无 | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
无 | alert_description | 告警描述 |
无 | att_ck | att&ck字段 |
无 | confidence_score | 置信分数 |
无 | content_type | http请求体格式。 |
无 | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP |
无 | dst_port | 具体网络设备的端口号,比如waf就是waf引擎的ip,slb就是网关port |
无 | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
无 | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
无 | payload | 攻击载荷 |
无 | relate_alert_uuids | 关联告警 |
无 | response_info | 响应body |
无 | response_set_cookie | 响应的cookie |
无 | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
log_name | 无 | 下线 |
waf_agent_key | 无 | 下线 |
matched_host | 无 | 下线 |
src_country_id | 无 | 下线 |
final_disable_log | 无 | 下线 |
waf_disable_log | 无 | 下线 |
final_rule_id | 无 | 下线 |
final_plugin | 无 | 下线 |
waf_rule_type | 无 | 下线 |
final_rule_type | 无 | 下线 |
src_prov_id | 无 | 下线 |
cluster_name | 无 | 下线 |
prod_source | 无 | 下线 |
alert_uuid | 无 | 下线 |
method | 无 | 下线 |
waf_agent_ip | 无 | 下线 |
waf_test | 无 | 下线 |
defense_action | 无 | 下线 |
final_test | 无 | 下线 |
attack_time | 无 | 下线 |
region_code | 无 | 下线 |
cluster | 无 | 下线 |
plugins | 无 | 下线 |
waf_reserved2 | 无 | 下线 |
waf_host_name | 无 | 下线 |
request_time | 无 | 下线 |
remote_ip | 无 | 下线 |
waf_reserved | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
alert_name_cn | 无 | 下线 |
alert_type_cn | 无 | 下线 |
alert_desc | 无 | 下线 |
alert_desc_cn | 无 | 下线 |
alert_desc_en | 无 | 下线 |
alert_name_code | 无 | 下线 |
alert_type_code | 无 | 下线 |
alert_name_en | 无 | 下线 |
alert_type_en | 无 | 下线 |
alert_title | 无 | 下线 |
alert_title_cn | 无 | 下线 |
alert_title_en | 无 | 下线 |
region_name | 无 | 下线 |
src_country_name | 无 | 下线 |
src_prov_name | 无 | 下线 |
is_new | 无 | 下线 |
WAF CDN流日志、WAF流日志、WAF3.0流日志
V1.0字段 | V2.0字段 | 字段描述 |
log_code | log_code | 日志code,具体接入数据源 |
content_type | content_type | http请求体格式。 |
final_action | final_action | WAF对客户端请求最终执行的防护动作。取值:
|
final_plugin | final_plugin | WAF对客户端请求最终执行的防护动作(final_action)对应的防护模块。取值:
如果一个请求未触发任何防护模块(包括命中了放行类规则、客户端完成滑块或JS校验后触发放行的情况),则不会记录该字段。 如果一个请求同时触发了多个防护模块,则仅记录最终执行的防护动作(final_action)对应的防护模块。 |
final_rule_id | final_rule_id | WAF对客户端请求最终应用的防护规则的ID,即final_action对应的防护规则的ID。 |
final_rule_type | final_rule_type | WAF对客户端请求最终应用的防护规则(final_rule_id)的子类型。 例如,在 |
domain | host | http请求中的主机字段。 |
http_cookie | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
http_referer | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forwarded_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
request_params | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
src_ip | src_ip | 与WAF建立连接的IP。 如果WAF与客户端直接连接,该字段等同于客户端IP;如果WAF前面还有其他七层代理(例如CDN),该字段表示WAF的上一级代理的IP。 |
request_length | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
request_method | request_method | 客户端请求的方法。 |
request_path | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
request_time_msec | duration | 处理客户端请求所用的时间。单位:毫秒。 |
status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间。 |
main_user_id | cloud_user_id | 其他云云账号ID。或阿里云 |
sub_user_id | user_id | 阿里云日志所属账号ID |
request_body | request_body | 访问请求体 |
dst_ip | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP。 |
dst_port | dst_port | 具体网络设备的端口号,比如waf就是waf引擎的ip,slb就是网关port。 |
end_time | end_time | 结束时间戳,单位秒 |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
无 | product_code | 产品code |
无 | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip,一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
无 | response_content_type | 响应的content_type |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_set_cookie | 响应的cookie |
无 | response_info | 响应body |
无 | request_uri | 请求全路径+参数 |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | request_content_length | 访问请求体长度,单位:字节 |
ali_uid | 无 | 下线 |
log_name | 无 | 下线 |
acl_rule_type | 无 | 下线 |
bypass_matched_ids | 无 | 下线 |
cc_rule_type | 无 | 下线 |
http_scheme | 无 | 下线 |
matched_host | 无 | 下线 |
remote_ip | 无 | 下线 |
remote_port | 无 | 下线 |
request_traceid | 无 | 下线 |
server_port | 无 | 下线 |
server_protocol | 无 | 下线 |
upstream_addr | 无 | 下线 |
upstream_response_time | 无 | 下线 |
upstream_status | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
云防火墙
云防火墙告警日志、云防火墙实时告警日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
cloud_code | cloud_code | 云code,枚举值:
|
rule_id | rule_id | 规则id |
net_connect_dir | net_connect_dir | 方向(in/out) |
src_ip | src_ip | 源IP |
dst_ip | dst_ip | 目的IP |
log_uuid | log_uuid | 日志标志 |
alert_level | alert_level | 告警等级
|
dst_port | dst_port | 目的端口 |
src_port | src_port | 源端口 |
log_time | log_time | 日志时间戳,单位秒 |
defense_action | action | 告警动作:pass、alert、drop。 |
alert_name | alert_name | 告警名称 |
alert_type | alert_type | 告警类型 |
alert_desc | alert_description | 告警描述 |
payload | payload | 攻击载荷 |
att_ck | att_ck | att&ck字段 |
uuid | alert_uuid | 告警标志 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | l4_protocol | 网络协议(tcp、udp、icmp) |
无 | l7_protocol | 七层协议(Https、Http) |
无 | traffic_type | 采集方式 0-未知 1-包采集 2-流采集 |
无 | confidence_score | 置信分数 |
无 | file_name | 文件名 |
无 | md5 | 文件Md5 |
无 | relate_alert_uuids | 关联告警 |
attack_ip | 无 | 下线 |
ioc_ip | 无 | 下线 |
log_name | 无 | 下线 |
rule_result | 无 | 下线 |
op_level | 无 | 下线 |
rule_source | 无 | 下线 |
alert_json | 无 | 下线 |
asset_ip | 无 | 下线 |
asset_port | 无 | 下线 |
vul_level | 无 | 下线 |
alert_cnt | 无 | 下线 |
total_cnt | 无 | 下线 |
src_ip_region | 无 | 下线 |
dst_ip_region | 无 | 下线 |
occur_time | 无 | 下线 |
alert_name_code | 无 | 下线 |
alert_type_code | 无 | 下线 |
app_proto_type | 无 | 下线 |
domain | 无 | 下线 |
url | 无 | 下线 |
ip_proto_type | 无 | 下线 |
alert_name_cn | 无 | 下线 |
alert_name_en | 无 | 下线 |
alert_type_cn | 无 | 下线 |
alert_type_en | 无 | 下线 |
enable_status | 无 | 下线 |
alert_desc_cn | 无 | 下线 |
alert_desc_en | 无 | 下线 |
region_name | 无 | 下线 |
malware_type | 无 | 下线 |
alert_src_prod | 无 | 下线 |
alert_src_prod_module | 无 | 下线 |
mode | 无 | 下线 |
云防火墙流日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
net_connect_dir | net_connect_dir | 方向(in/out) |
dst_ip | dst_ip | 目的IP |
dst_port | dst_port | 目的端口 |
ip_proto_type | l3_protocol | ipv4,ipv6 |
rule_result | action | 流量命中访问控制策略后的执行动作。取值:
流量命中入侵防御事件的执行动作。取值:
|
src_ip | src_ip | 源IP |
src_port | src_port | 源端口 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | l4_protocol | 网络协议(tcp、udp、icmp) |
无 | l7_protocol | 七层协议(Https、Http) |
无 | traffic_type | 采集方式 0-未知 1-包采集 2-流采集 |
log_name | 无 | 下线 |
acl_rule_id | 无 | 下线 |
app_proto_type | 无 | 下线 |
attack_name | 无 | 下线 |
attack_type | 无 | 下线 |
country_id | 无 | 下线 |
domain | 无 | 下线 |
in_bps | 无 | 下线 |
in_packet_bytes | 无 | 下线 |
in_packet_count | 无 | 下线 |
in_pps | 无 | 下线 |
ips_ai_rule_id | 无 | 下线 |
ips_rule_id | 无 | 下线 |
ips_rule_name | 无 | 下线 |
ips_rule_name_en | 无 | 下线 |
log_type | 无 | 下线 |
out_bps | 无 | 下线 |
out_packet_bytes | 无 | 下线 |
out_packet_count | 无 | 下线 |
out_pps | 无 | 下线 |
proxy_acl_rule_id | 无 | 下线 |
region_code | 无 | 下线 |
src_private_ip | 无 | 下线 |
start_time_min | 无 | 下线 |
tcp_seq | 无 | 下线 |
total_bps | 无 | 下线 |
total_packet_bytes | 无 | 下线 |
total_packet_count | 无 | 下线 |
total_pps | 无 | 下线 |
url | 无 | 下线 |
vul_level | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
rule_source | 无 | 下线 |
DDoS高防流日志
V1.0字段 | V2.0字段 | 字段描述 |
log_code | log_code | 日志code,具体接入数据源 |
log_time | log_time | 日志时间戳,单位秒 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_code | cloud_code | 云code,枚举值:
|
http_content_type | content_type | http请求体格式。 |
http_host | host | http请求中的主机字段。 |
http_cookie | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
http_referer | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forward_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
http_x_real_ip | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip,一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
request_length | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
request_method | request_method | 客户端请求的方法。 |
request_path | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
response_code | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
request_paramters | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
src_ip | src_ip | 建立链接的IP |
dst_ip | dst_ip | 具体网络设备IP |
dst_port | dst_port | 具体网络设备的端口号 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | request_body | 访问请求体 |
无 | duration | 处理客户端请求所用的时间。单位:毫秒。 |
无 | request_content_length | 访问请求体长度,单位:字节 |
无 | response_content_type | 响应的content_type |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_set_cookie | 响应的cookie |
无 | response_info | 响应body |
无 | request_uri | 请求全路径+参数 |
无 | final_action | 设备最终动作 |
无 | final_plugin | 设备最终防护模块 |
无 | final_rule_id | 设备最终命中规则ID |
无 | final_rule_type | 设备最终命中规则类型 |
log_name | 无 | 下线 |
request_time_msec | 无 | 下线 |
domain | 无 | 下线 |
log_topic | 无 | 下线 |
request_body_size | 无 | 下线 |
http_scheme | 无 | 下线 |
matched_host | 无 | 下线 |
isp_line | 无 | 下线 |
remote_ip | 无 | 下线 |
remote_port | 无 | 下线 |
remote_addr | 无 | 下线 |
request_time | 无 | 下线 |
cc_action | 无 | 下线 |
cc_blocks | 无 | 下线 |
last_result | 无 | 下线 |
cc_phase | 无 | 下线 |
defense_action | 无 | 下线 |
defense_rule | 无 | 下线 |
ua_browser | 无 | 下线 |
ua_browser_family | 无 | 下线 |
ua_browser_type | 无 | 下线 |
ua_browser_version | 无 | 下线 |
ua_device_type | 无 | 下线 |
ua_os | 无 | 下线 |
ua_os_family | 无 | 下线 |
upstream_addr | 无 | 下线 |
upstream_ip | 无 | 下线 |
upstream_port | 无 | 下线 |
upstream_response_time_msec | 无 | 下线 |
upstream_response_code | 无 | 下线 |
request_id | 无 | 下线 |
log_id | 无 | 下线 |
occur_time | 无 | 下线 |
src_port | 无 | 下线 |
src_addr | 无 | 下线 |
dst_addr | 无 | 下线 |
app_protocol | 无 | 下线 |
net_connect_dir | 无 | 下线 |
asset_type | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_ip | 无 | 下线 |
asset_port | 无 | 下线 |
asset_addr | 无 | 下线 |
attack_ip | 无 | 下线 |
attack_port | 无 | 下线 |
attack_addr | 无 | 下线 |
堡垒机
V1.0字段 | V2.0字段 | 字段描述 |
log_code | log_code | 日志code,具体接入数据源 |
content | event_detail | 事件详情 |
event | event_type | 事件类型:
|
bst_instance_id | instance_id | 堡垒机实例ID |
resource_name | resource_name | 资产名 |
result | event_result | 事件结果 |
session_id | session_id | 会话ID |
client_ip | src_ip | 建连IP |
uid | uid | 堡垒机用户id |
u_name | user_name | 堡垒机用户名称 |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | resource_ip | 资产IP |
log_name | 无 | 下线 |
ali_uid | 无 | 下线 |
log_level | 无 | 下线 |
log_version | 无 | 下线 |
dst_ip | 无 | 下线 |
asset_id | 无 | 下线 |
asset_type | 无 | 下线 |
file_event_file_size | 无 | 下线 |
file_event_speed | 无 | 下线 |
file_event_status | 无 | 下线 |
file_event_take | 无 | 下线 |
CDN流日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
domain | host | http请求中的主机字段。 |
http_method | request_method | 客户端请求的方法。 |
request_path | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
request_parameters | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
request_url | request_uri | 请求全路径+参数 |
src_ip | src_ip | 建立链接的IP |
request_length | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
http_status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
dst_ip | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP |
dst_port | dst_port | 具体网络设备的端口号,比如 waf就是waf引擎的ip,slb就是网关port |
http_conent_type | content_type | http请求体格式。 |
user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forworded_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
无 | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
无 | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip,一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
无 | duration | 处理客户端请求所用的时间。单位:毫秒。 |
无 | request_body | 访问请求体 |
无 | request_content_length | 访问请求体长度,单位:字节 |
无 | final_action | 设备最终动作 |
无 | final_plugin | 设备最终防护模块 |
无 | final_rule_id | 设备最终命中规则ID |
无 | final_rule_type | 设备最终命中规则类型 |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_content_type | 响应的content_type |
无 | response_info | 响应body |
无 | response_set_cookie | 响应的cookie |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
reqeust_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
http_scheme | 无 | 下线 |
proxy_ip | 无 | 下线 |
remote_ip | 无 | 下线 |
remote_port | 无 | 下线 |
request_id | 无 | 下线 |
response_body_size | 无 | 下线 |
net_connect_dir | 无 | 下线 |
raw_data | 无 | 下线 |
全站加速DCDN
DCDN用户访问日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
category_name | category | 活动目录 |
activity_class_name | schema | 活动分类 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_time | log_time | 日志时间戳,单位秒 |
real_client_ip | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip, 一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
content_type | content_type | http请求体格式。 |
host | host | http请求中的主机字段。 |
request_method | request_method | 客户端请求的方法。 |
request_length | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
src_ip | src_ip | 建立链接的IP |
status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
dst_ip | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP |
dst_port | dst_port | 具体网络设备的端口号,比如waf就是waf引擎的ip,slb就是网关port |
request_uri | request_uri | 请求全路径+参数 |
querystring | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forwarded_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
无 | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
无 | end_time | 结束时间戳,单位秒 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | final_action | 设备最终动作 |
无 | final_plugin | 设备最终防护模块 |
无 | final_rule_id | 设备最终命中规则ID |
无 | final_rule_type | 设备最终命中规则类型 |
无 | response_content_type | 响应的content_type |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_set_cookie | 响应的cookie |
无 | response_info | 响应body |
无 | duration | 处理客户端请求所用的时间。单位:毫秒。 |
无 | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
无 | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
无 | request_body | 访问请求体 |
无 | request_content_length | 访问请求体长度,单位:字节 |
无 | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
request_body_size | 无 | 下线 |
hit_info | 无 | 下线 |
http_range | 无 | 下线 |
proxy_ip | 无 | 下线 |
refer_domain | 无 | 下线 |
refer_param | 无 | 下线 |
refer_protocol | 无 | 下线 |
refer_uri | 无 | 下线 |
src_port | 无 | 下线 |
request_time | 无 | 下线 |
response_size | 无 | 下线 |
http_scheme | 无 | 下线 |
sent_http_content_range | 无 | 下线 |
unix_time | 无 | 下线 |
user_info | 无 | 下线 |
uuid | 无 | 下线 |
via_info | 无 | 下线 |
DCDN WAF拦截日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
category_name | category | 活动目录 |
activity_class_name | schema | 活动分类 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_time | log_time | 日志时间戳,单位秒 |
real_client_ip | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip, 一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
content_type | content_type | http请求体格式。 |
http_cookie | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
host | host | http请求中的主机字段。 |
final_action | final_action | 设备最终动作 |
final_plugin | final_plugin | 设备最终防护模块 |
final_rule_id | final_rule_id | 设备最终命中规则ID |
final_rule_type | final_rule_type | 设备最终命中规则类型 |
request_method | request_method | 客户端请求的方法。 |
http_referer | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
src_ip | src_ip | 建立链接的IP |
status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
request_uri | request_uri | 请求全路径+参数 |
querystring | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forwarded_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
无 | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
无 | end_time | 结束时间戳,单位秒 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | response_content_type | 响应的content_type |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_set_cookie | 响应的cookie |
无 | response_info | 响应body |
无 | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP |
无 | dst_port | 具体网络设备的端口号,比如waf就是waf引擎的ip,slb就是网关port |
无 | duration | 处理客户端请求所用的时间。单位:毫秒。 |
无 | request_body | 访问请求体 |
无 | request_content_length | 访问请求体长度,单位:字节 |
无 | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
无 | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
log_name | 无 | 下线 |
client_id | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
final_test | 无 | 下线 |
matched_host | 无 | 下线 |
request_id | 无 | 下线 |
http_scheme | 无 | 下线 |
tls_hash | 无 | 下线 |
unix_time | 无 | 下线 |
DCDN边缘函数日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
category_name | category | 活动目录 |
activity_class_name | schema | 活动分类 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_time | log_time | 日志时间戳,单位秒 |
无 | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
无 | end_time | 结束时间戳,单位秒 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
code_ver | 无 | 下线 |
console_alert | 无 | 下线 |
error_code | 无 | 下线 |
error_message | 无 | 下线 |
fetch_status | 无 | 下线 |
fetch_uuid | 无 | 下线 |
http_2xx | 无 | 下线 |
http_3xx | 无 | 下线 |
http_4xx | 无 | 下线 |
http_5xx | 无 | 下线 |
http_status_other | 无 | 下线 |
in_authority | 无 | 下线 |
in_method | 无 | 下线 |
in_path | 无 | 下线 |
out_size | 无 | 下线 |
out_status | 无 | 下线 |
routine_spec | 无 | 下线 |
total_cpu_time | 无 | 下线 |
total_real_time | 无 | 下线 |
unique_id | 无 | 下线 |
unix_time | 无 | 下线 |
API网关访问日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
request_path | request_path | 请求路径 |
domain | host | 域名 |
http_status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
response_message | response_info | 响应信息 |
src_ip | src_ip | 请求ip |
request_id | request_id | 请求id |
request_paramters | querystring | 请求参数 |
reqeust_body | request_body | 请求体 |
无 | instance_id | 网关实例id |
无 | api_name | api名称 |
无 | api_id | api标志 |
无 | app_id | 调用者id |
无 | app_key | 请求appkey |
无 | app_name | 调用者名 |
无 | error_code | 错误码 |
无 | error_message | 错误详情 |
无 | api_user_id | API提供者账户id |
无 | region_code | 区域 |
无 | request_method | 请求方法 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
reqeust_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
net_connect_dir | 无 | 下线 |
raw_data | 无 | 下线 |
http_method | 无 | 下线 |
request_length | 无 | 下线 |
response_body_size | 无 | 下线 |
reqeust_headers | 无 | 下线 |
response_headers | 无 | 下线 |
response_body | 无 | 下线 |
K8s审计日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
cloud_code | cloud_code | 云code,枚举值:
|
audit_id | audit_id | 为每个请求所生成的唯一审计ID。 |
level | level | 生成事件所对应的审计级别。 |
kind | kind | Event |
reqeust_path | request_uri | requestURI是客户端发送到服务器端的请求URI。 |
response_status | response_status |
|
api_version | api_version | audit.k8s.io/v1 |
stage | stage | 生成此事件时请求的处理阶段。 |
log_time | log_time | 日志时间戳,单位秒 |
user | username | 关于认证用户的信息。 |
object_ref | object_ref | 此请求所指向的对象引用。对于List类型的请求或者非资源请求,此字段可忽略。 |
user_agent | user_agent | userAgent中记录客户端所报告的用户代理(UserAgent)字符串。注意userAgent信息是由客户端提供的,一定不要信任。 |
request_object | request_object | 来自请求的API对象,以JSON格式呈现。requestObject在请求中按原样记录(可能会采用JSON重新编码),之后会进入版本转换、默认值填充、准入控制以及配置信息合并等阶段。此对象为外部版本化的对象类型,甚至其自身可能并不是一个合法的对象。对于非资源请求,此字段被忽略。只有当审计级别为Request或更高的时候才会记录。 |
response_object | response_object | 响应中包含的API对象,以JSON格式呈现。responseObject是在被转换为外部类型并序列化为JSON格式之后才被记录的。对于非资源请求,此字段会被忽略。只有审计级别为Response时才会记录。 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | impersonated_user | 关于所伪装(impersonated)的用户的信息。 |
无 | source_ip_list | 发起请求和中间代理的源IP地址。源IP从以下(按顺序)列出:
|
无 | verb | verb是与请求对应的 Kubernetes动词。对于非资源请求,此字段为HTTP方法的小写形式。 |
ori_topic | 无 | 下线 |
trail_detail | 无 | 下线 |
log_name | 无 | 下线 |
instance_id | 无 | 下线 |
verb | 无 | 下线 |
stage_time_stamp | 无 | 下线 |
src_ip_list | 无 | 下线 |
ori_source | 无 | 下线 |
ori_path | 无 | 下线 |
file_path | 无 | 下线 |
project | 无 | 下线 |
log_store | 无 | 下线 |
云原生关系型数据库PolarDB
PolarDB-X1.0审计日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_type | cloud_code | 云code,枚举值:
|
sql_stmt_type | sql_type | 审计行为的类型 |
table_name | table_name | 表名列表 |
sql_stmt | sql | 审计行为 |
src_ip | src_ip | 操作者IP |
fetched_rows | check_rows | 扫描的行数 |
affect_rows | effect_row | 影响的行数 |
db_name | db | 数据库名 |
u_name | user | 操作者账号名 |
domain | domain | 数据库对应的域名 |
无 | log_time | 日志时间戳,单位秒 |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | product_code | 产品code |
无 | schema_name | 元数据名 |
log_name | 无 | 下线 |
sql_stmt_hash | 无 | 下线 |
spm_plan_id | 无 | 下线 |
phy_affected_rows | 无 | 下线 |
spm_baseline_id | 无 | 下线 |
total_physical_conn_time | 无 | 下线 |
src_port | 无 | 下线 |
temp_table_memory | 无 | 下线 |
total_physical_exec_time | 无 | 下线 |
trace_id | 无 | 下线 |
total_physical_read_time | 无 | 下线 |
memory_reject | 无 | 下线 |
sql_stmt_type_detail | 无 | 下线 |
memory_used | 无 | 下线 |
logical_opt_cpu_time | 无 | 下线 |
is_failed | 无 | 下线 |
shared_plan_memory | 无 | 下线 |
plan_memory | 无 | 下线 |
memory_pct | 无 | 下线 |
sql_hint | 无 | 下线 |
physical_sql_count | 无 | 下线 |
logical_cpu_time | 无 | 下线 |
instance_id | 无 | 下线 |
logical_exec_cpu_time | 无 | 下线 |
parameters | 无 | 下线 |
total_physical_time | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
dst_ip | 无 | 下线 |
dst_port | 无 | 下线 |
dst_intra_ip | 无 | 下线 |
occur_time | 无 | 下线 |
PolarDB-X2.0审计日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_type | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
src_ip | src_ip | 操作者IP |
db_name | db | 数据库名 |
affect_rows | effect_row | 影响的行数 |
fetched_rows | check_rows | 扫描的行数 |
sql_stmt | sql | 审计行为 |
sql_type | sql_type | 审计行为的类型 |
db_user_name | user | 操作者账号名 |
domain | domain | 数据库对应的域名 |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | table_name | 表名列表 |
无 | schema_name | 元数据名 |
无 | db_type | 数据库类型 |
log_name | 无 | 下线 |
is_auto_commit | 无 | 下线 |
ccl_hit_cache | 无 | 下线 |
ccl_status | 无 | 下线 |
ccl_wait_time | 无 | 下线 |
src_port | 无 | 下线 |
is_failed | 无 | 下线 |
polardb_instance_id | 无 | 下线 |
sql_hint | 无 | 下线 |
is_prepare_stmt | 无 | 下线 |
matched_ccl_rule | 无 | 下线 |
parameters | 无 | 下线 |
prepare_stmt_id | 无 | 下线 |
response_time | 无 | 下线 |
sql_stmt_hash | 无 | 下线 |
sql_exec_time | 无 | 下线 |
trace_id | 无 | 下线 |
transaction_id | 无 | 下线 |
transaction_policy | 无 | 下线 |
workload_type | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
dst_ip | 无 | 下线 |
dst_port | 无 | 下线 |
dst_intra_ip | 无 | 下线 |
occur_time | 无 | 下线 |
云数据库MongoDB
MongoDB审计日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
audited_action_type | sql_type | 审计行为的类型 |
audited_action | sql | 审计行为 |
operator_user_ip | user | 操作者账号名 |
src_ip | src_ip | 操作者IP |
database_name | db | 数据库名 |
table_name | table_name | 表名列表 |
无 | affect_rows | 影响的数据条目数 |
无 | schema_name | 元数据名 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
request_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
audited_object | 无 | 下线 |
operator_user_name | 无 | 下线 |
domain | 无 | 下线 |
raw_data | 无 | 下线 |
MongoDB慢日志和运行日志
CTDR2.0不再承接MongoDB慢日志和运行日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | 无 | 下线 |
sub_user_id | 无 | 下线 |
log_code | 无 | 下线 |
cloud_code | 无 | 下线 |
start_time | 无 | 下线 |
end_time | 无 | 下线 |
log_time | 无 | 下线 |
category_name | 无 | 下线 |
activity_name | 无 | 下线 |
src_ip | 无 | 下线 |
database_name | 无 | 下线 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
request_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
src_port | 无 | 下线 |
dst_ip | 无 | 下线 |
dst_port | 无 | 下线 |
domain | 无 | 下线 |
connection_status_message | 无 | 下线 |
connection_status | 无 | 下线 |
connection_type | 无 | 下线 |
connection_name | 无 | 下线 |
mongodb_instance_id | 无 | 下线 |
instance_id | 无 | 下线 |
level | 无 | 下线 |
raw_data | 无 | 下线 |
云数据库RDS审计日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
cloud_code | cloud_code | 云code,枚举值:
|
product_code | product_code | 产品code |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
audited_action_type | sql_type | 审计行为的类型 |
audited_action | sql | 审计行为 |
operator_user_name | user | 操作者账号名 |
src_ip | src_ip | 操作者IP |
database_name | db | 数据库名 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | affect_rows | 影响的数据条目数 |
无 | table_name | 表名列表 |
无 | schema_name | 元数据名 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
request_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
raw_data | 无 | 下线 |
audited_object | 无 | 下线 |
audited_action_status | 无 | 下线 |
operator_user_ip | 无 | 下线 |
domain | 无 | 下线 |
asset_list | 无 | 下线 |
无 | ||
无 | ||
无 | ||
无 |
专有网络VPC
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
src_ip | src_ip | 源IP |
src_port | src_port | 源端口 |
dst_ip | dst_ip | 目的IP |
dst_port | dst_port | 目的端口 |
proto | l4_protocol | 网络协议(tcp、udp、icmp) |
net_connect_dir | net_connect_dir | 方向(in/out) |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
action | action | 告警设备动作 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_time | log_time | 日志时间戳,单位秒 |
cloud_code | cloud_code | 云code,枚举值:
|
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | l3_protocol | ipv4,ipv6 |
无 | l7_protocol | 七层协议(Https、Http) |
无 | traffic_type | 采集方式 0-未知 1-包采集 2-流采集 |
log_name | 无 | 下线 |
version | 无 | 下线 |
vswitch_id | 无 | 下线 |
vm_id | 无 | 下线 |
vpc_id | 无 | 下线 |
account_id | 无 | 下线 |
eni_id | 无 | 下线 |
log_status | 无 | 下线 |
occur_time | 无 | 下线 |
packet_cnt | 无 | 下线 |
bytes | 无 | 下线 |
asset_type | 无 | 下线 |
asset_name | 无 | 下线 |
asset_id | 无 | 下线 |
弹性公网IP日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_type | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
无 | log_code | 日志code,具体接入数据源 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
type | 无 | 下线 |
tid | 无 | 下线 |
time | 无 | 下线 |
gw_ip | 无 | 下线 |
eip | 无 | 下线 |
ip | 无 | 下线 |
in_Bps | 无 | 下线 |
out_Bps | 无 | 下线 |
in_pps | 无 | 下线 |
out_pps | 无 | 下线 |
in_syn_speed | 无 | 下线 |
out_syn_speed | 无 | 下线 |
in_syn_ack_speed | 无 | 下线 |
out_syn_ack_speed | 无 | 下线 |
in_fin_speed | 无 | 下线 |
out_fin_speed | 无 | 下线 |
in_rst_speed | 无 | 下线 |
out_rst_speed | 无 | 下线 |
out_ratelimit_drop_speed | 无 | 下线 |
in_ratelimit_drop_speed | 无 | 下线 |
out_drop_speed | 无 | 下线 |
in_drop_speed | 无 | 下线 |
timestamp | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
SLB负载均衡
ALB访问日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
src_ip | src_ip | 建立链接的IP |
http_host | host | http请求中的主机字段。 |
http_referer | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forwarded_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
http_x_real_ip | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip,一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
request_length | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
request_method | request_method | 客户端请求的方法。 |
request_path | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
dst_ip | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP |
dst_port | dst_port | 具体网络设备的端口号,比如 waf就是waf引擎的ip,slb就是网关port |
http_status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | content_type | http请求体格式。 |
无 | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
无 | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
无 | duration | 处理客户端请求所用的时间。单位:毫秒。 |
无 | request_body | 访问请求体 |
无 | request_content_length | 访问请求体长度,单位:字节 |
无 | response_content_type | 响应的content_type |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_set_cookie | 响应的cookie |
无 | response_info | 响应body |
无 | request_uri | 请求全路径+参数 |
无 | final_action | 设备最终动作 |
无 | final_plugin | 设备最终防护模块 |
无 | final_rule_id | 设备最终命中规则ID |
无 | final_rule_type | 设备最终命中规则类型 |
log_name | 无 | 下线 |
src_port | 无 | 下线 |
domain | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
request_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
alb_instance_id | 无 | 下线 |
instance_id | 无 | 下线 |
response_body_size | 无 | 下线 |
http_scheme | 无 | 下线 |
http_version | 无 | 下线 |
ssl_cipher | 无 | 下线 |
ssl_protocol | 无 | 下线 |
upstream_ip | 无 | 下线 |
upstream_port | 无 | 下线 |
upstream_status | 无 | 下线 |
net_connect_dir | 无 | 下线 |
CLB访问日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
src_ip | src_ip | 建立链接的IP |
http_host | host | http请求中的主机字段。 |
http_referer | http_referer | http请求头部的Referer字段,表示请求的来源URL信息。 |
http_user_agent | http_user_agent | http请求头部的User-Agent字段,包含请求来源的客户端浏览器标识、操作系统标识等信息。 |
http_x_forwarded_for | http_x_forwarded_for | 客户端请求头部的X-Forwarded-For(XFF)字段,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
http_x_real_ip | real_client_ip | http请求头中自定义字段,主要用于存储发起的真实请求ip,一般对应x_forword_for第一个,如果没有该字段,可以建立链接IP字段 |
request_length | request_length | 客户端请求的字节数,包含请求行、请求头和请求体。单位:Byte。 |
request_method | request_method | 客户端请求的方法。 |
request_time | duration | 处理客户端请求所用的时间。单位:毫秒。 |
request_uri | request_uri | 请求全路径+参数 |
dst_port | dst_port | 具体网络设备的端口号,比如 waf就是waf引擎的ip,slb就是网关port |
status | status | 客户端接收到的HTTP状态码。例如,200(表示请求成功)。 |
dst_ip | dst_ip | 具体网络设备IP,比如waf就是waf引擎的ip,slb就是网关IP |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | content_type | http请求体格式。 |
无 | http_cookie | http请求头部的Cookie字段,表示访问来源客户端的Cookie信息。 |
无 | querystring | 客户端请求中的查询字符串,具体指被请求URL中问号(?)后面的部分。 |
无 | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
无 | request_body | 访问请求体 |
无 | request_content_length | 访问请求体长度,单位:字节 |
无 | response_content_type | 响应的content_type |
无 | response_content_length | 响应体长度,单位:字节 |
无 | response_set_cookie | 响应的cookie |
无 | response_info | 响应body |
无 | final_action | 设备最终动作 |
无 | final_plugin | 设备最终防护模块 |
无 | final_rule_id | 设备最终命中规则ID |
无 | final_rule_type | 设备最终命中规则类型 |
log_name | 无 | 下线 |
src_port | 无 | 下线 |
body_bytes_sent | 无 | 下线 |
read_request_time | 无 | 下线 |
domain | 无 | 下线 |
scheme | 无 | 下线 |
server_proto | 无 | 下线 |
slb_port | 无 | 下线 |
slb_id | 无 | 下线 |
ssl_cipher | 无 | 下线 |
ssl_protocol | 无 | 下线 |
tcpinfo_rtt | 无 | 下线 |
occur_time | 无 | 下线 |
upstream_addr | 无 | 下线 |
upstream_response_time | 无 | 下线 |
upstream_status | 无 | 下线 |
vip_addr | 无 | 下线 |
write_response_time | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
对象存储
OSS每小时计量日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
request_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
audited_action_type | 无 | 下线 |
audited_action | 无 | 下线 |
audited_object | 无 | 下线 |
domain | 无 | 下线 |
bucket_name | 无 | 下线 |
raw_data | 无 | 下线 |
OSS访问日志
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
cloud_type | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
request_id | request_id | 请求ID |
user_agent | http_user_agent | 用户代理 |
error_code | error_code | 失败code |
extend_information | extend_content | 扩展字段内容 |
access_id | access_id | 访问密钥 |
bucket | bucket | 对象存储桶 |
host | host | http请求中的主机字段。 |
http_method | request_method | 客户端请求的方法。 |
object | object | 对象 |
operation | operation | 操作类型 |
owner_id | owner_id | 对象存储归属者 |
request_uri | request_uri | 请求URI |
sign_type | sign_type | 登录状态 |
无 | product_code | 产品code |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | log_uuid | 日志标志 |
无 | src_ip | 请求IP |
无 | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
log_name | 无 | 下线 |
acc_access_region | 无 | 下线 |
bucket_location | 无 | 下线 |
bucket_storage_type | 无 | 下线 |
client_ip | 无 | 下线 |
content_length_in | 无 | 下线 |
content_length_out | 无 | 下线 |
delta_data_size | 无 | 下线 |
http_status | 无 | 下线 |
http_type | 无 | 下线 |
logging_flag | 无 | 下线 |
object_size | 无 | 下线 |
referer | 无 | 下线 |
request_length | 无 | 下线 |
response_body_length | 无 | 下线 |
response_time | 无 | 下线 |
restore_priority | 无 | 下线 |
server_cost_time | 无 | 下线 |
sync_request | 无 | 下线 |
time | 无 | 下线 |
vpc_addr | 无 | 下线 |
vpc_id | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
OSS批量删除日志
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
src_ip | src_ip | 源IP,同操作者IP |
http_user_agent | http_user_agent | 用户代理 |
request_id | request_id | 请求ID |
domain | host | http请求中的主机字段。 |
bucket_name | bucket | 对象存储桶 |
object_name | object | 对象 |
request_method | request_method | 客户端请求的方法。 |
request_url | request_uri | 请求URI |
request_path | request_path | 被请求的相对路径,具体指被请求URL中域名后面且问号(?)前面的部分(不包含查询字符串)。 |
asset_id | access_id | 访问密钥 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | owner_id | 对象存储归属者 |
无 | operation | 操作类型 |
无 | sign_type | 登录状态 |
无 | error_code | 错误码 |
log_name | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
audited_action_type | 无 | 下线 |
audited_action | 无 | 下线 |
audited_object | 无 | 下线 |
operator_user_id | 无 | 下线 |
operator_user_name | 无 | 下线 |
operator_user_ip | 无 | 下线 |
raw_data | 无 | 下线 |
request_time | 无 | 下线 |
request_paramters | 无 | 下线 |
request_length | 无 | 下线 |
response_body_size | 无 | 下线 |
http_referer | 无 | 下线 |
http_status | 无 | 下线 |
net_connect_dir | 无 | 下线 |
asset_list | 无 | 下线 |
文件存储NAS
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
occur_time | 无 | 下线 |
class_name | 无 | 下线 |
inode | 无 | 下线 |
auth_code | 无 | 下线 |
status_code | 无 | 下线 |
application_protocol_name | 无 | 下线 |
nfs_protocol_procedures | 无 | 下线 |
total_bytes | 无 | 下线 |
request_id | 无 | 下线 |
remote_inode | 无 | 下线 |
src_ip | 无 | 下线 |
application_protocol_version | 无 | 下线 |
dst_ip | 无 | 下线 |
nfs_instance_id | 无 | 下线 |
instance_id | 无 | 下线 |
time_zone | 无 | 下线 |
asset_list | 无 | 下线 |
raw_data | 无 | 下线 |
函数计算FC
V1.0字段 | V2.0字段 | 描述 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
start_time | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
end_time | end_time | 结束时间戳,单位秒 |
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
activity_name | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
log_name | 无 | 下线 |
occur_time | 无 | 下线 |
time_zone | 无 | 下线 |
class_name | 无 | 下线 |
api_name | 无 | 下线 |
asset_id | 无 | 下线 |
asset_name | 无 | 下线 |
asset_type | 无 | 下线 |
raw_data | 无 | 下线 |
操作审计
V1.0字段 | V2.0字段 | 描述 |
log_code | log_code | 日志code,具体接入数据源 |
main_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
sub_user_id | user_id | 阿里云日志所属账号ID |
log_time | log_time | 日志时间戳,单位秒 |
end_time | end_time | 结束时间戳,单位秒 |
cloud_code | cloud_code | 云code,枚举值:
|
event_id | event_id | 事件ID |
event_name | event_name | 事件名 |
region_code | region_id | 区域ID |
request_id | request_id | 请求ID |
resource_name | account_name | 账号名称 |
resource_type | account_type | 审计账号类型 RAM/Main/STS |
service_name | service_name | 服务名 |
version | event_version | 事件版本 |
error_code | error_code | 失败code |
error_message | error_message | 失败详情 |
event_source | event_source | 事件来源 |
request_parameters | request_paramters | 请求参数 |
src_ip | src_ip | 源IP,同操作者IP |
user_agent | user_agent | 请求代理 |
access_key_id | access_id | access_key |
principal_id | principal_id | 当前请求者ID |
无 | product_code | 产品code |
无 | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
无 | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | service_domain | 服务域名 |
无 | account_id | 审计账号ID |
无 | response_detail | 响应结果 |
stamp | 无 | 下线 |
time | 无 | 下线 |
to | 无 | 下线 |
user | 无 | 下线 |
trail_detail | 无 | 下线 |
rw_parser | 无 | 下线 |
source_ip_address | 无 | 下线 |
user_name | 无 | 下线 |
dm | 无 | 下线 |
rw | 无 | 下线 |
log_name | 无 | 下线 |
api_name | 无 | 下线 |
event_type | 无 | 下线 |
from | 无 | 下线 |
extra_encode | 无 | 下线 |
model | 无 | 下线 |
r0 | 无 | 下线 |
r1 | 无 | 下线 |
r2 | 无 | 下线 |
r3 | 无 | 下线 |
ak | 无 | 下线 |
配置审计
V1.0字段 | V2.0字段 | 描述 |
cloud_user_id | cloud_user_id | 其他云云账号ID,若为阿里云账号,则同aliuid,若为其他云账号,则为绑定的账号ID。 |
aliuid | user_id | 阿里云日志所属账号ID |
log_code | log_code | 日志code,具体接入数据源 |
product_code | product_code | 产品code |
cloud_code | cloud_code | 云code,枚举值:
|
log_time | log_time | 日志时间戳,单位秒 |
category_name | category | 活动目录 |
无 | schema | 活动分类 |
无 | extend_content | 扩展字段内容 |
无 | log_uuid | 日志标志 |
无 | start_time | 开始时间戳,单位秒,也用于表示事件发生的时间 |
无 | end_time | 结束时间戳,单位秒 |
log_name | 无 | 下线 |
resource_arn | 无 | 下线 |
region_code | 无 | 下线 |
availability_zone_code | 无 | 下线 |
resource_config | 无 | 下线 |
data_type | 无 | 下线 |
request_id | 无 | 下线 |
resource_create_time | 无 | 下线 |
resource_group_id | 无 | 下线 |
resource_id | 无 | 下线 |
resource_name | 无 | 下线 |
resource_type | 无 | 下线 |
raw_data | 无 | 下线 |
occur_time | 无 | 下线 |
time_zone | 无 | 下线 |