云安全中心日志字段详情_日志服务-阿里云帮助中心

本文介绍云安全中心支持的16种日志的字段详情。

网络日志

DNS解析日志

字段名	说明
__topic__	日志主题，固定为sas-log-dns。
additional	additional字段，竖线（\|）分隔。
additional_num	additional字段数量。
answer	DNS回答信息，竖线（\|）分隔。
answer_num	DNS回答信息数量。
authority	authority字段。
authority_num	authority字段数量。
client_subnet	客户端子网。
dst_ip	目标IP地址。
dst_port	目标端口。
in_out	数据的传输方向。 in：流入。 out：流出。
qid	查询ID。
qname	查询域名。
qtype	查询类型。
query_datetime	查询时间戳，单位：毫秒。
rcode	返回代码。
region	来源区域ID。 1：北京 2：青岛 3：杭州 4：上海 5：深圳 6：其他
response_datetime	返回时间。
src_ip	源IP地址。
src_port	源端口。

本地DNS日志

字段名	说明
__topic__	日志主题，固定为local-dns。
answer_rda	DNS回答信息，竖线（\|）分隔。
answer_ttl	DNS回答的时间周期，竖线（\|）分隔。
answer_type	DNS回答的类型，竖线（\|）分隔。
anwser_name	DNS回答的名称，竖线（\|）分隔。
dest_ip	目标IP地址。
dest_port	目标端口。
group_id	分组ID。
hostname	主机名。
id	查询的ID。
instance_id	实例ID。
internet_ip	公网IP地址。
ip_ttl	IP的周期。
query_name	查询的域名。
query_type	查询的类型。 1：A记录。 2：NS记录。 3：NXDOMAIN记录。 5：CNAME记录。 10：NULL记录。 15：MX记录。 16：TXT记录。 25：KEY记录。 28：AAAA记录。 33：SRV记录。
src_ip	源IP地址。
src_port	源端口。
time	查询时间戳，单位：秒。
time_usecond	响应耗时，单位：微秒。
tunnel_id	通道ID。

网络会话日志

字段名	说明
__topic__	日志主题，固定为sas-log-session。
asset_type	产生日志的资产。取值： ECS SLB RDS
dst_ip	目标IP地址。
dst_port	目标端口。
proto	协议类型。 tcp udp
session_time	会话开始时间。
src_ip	源IP地址。
src_port	源端口。

Web访问日志

字段名	说明
__topic__	日志主题，固定为sas-log-http
content_length	消息实体的传输长度。单位：字节。
dst_ip	目的IP地址。
dst_port	目的端口。
host	访问的主机。
jump_location	重定向地址。
method	HTTP请求方式。
referer	客户端向服务器发送请求时的HTTP referer，告知服务器访问来源的HTTP连接。
request_datetime	请求时间。
ret_code	返回状态值。
rqs_content_type	请求内容类型。
rsp_content_type	响应内容类型。
src_ip	源IP地址。
src_port	源端口。
uri	请求URI。
user_agent	向用户客户端发起的请求。
x_forward_for	路由跳转信息。

安全日志

漏洞日志

字段名	说明
__topic__	日志主题，固定为sas-vul-log。
name	漏洞名称。
alias_name	漏洞别名。
op	漏洞的处理动作。 new：新增。 verify：验证。 fix：修复。
status	漏洞状态信息。
tag	漏洞的标签。 oval：Linux软件漏洞。 system：Windows系统漏洞。 cms：Web-CMS漏洞。说明其他类型的漏洞的标签为随机字符串。
type	漏洞类型。 sys：windows系统漏洞。 cve：Linux软件漏洞。 cms：Web-CMS漏洞。 emg：紧急漏洞。
uuid	服务器UUID。

基线日志

字段名	说明
__topic__	日志主题，固定为sas-hc-log。
level	风险项级别。 high：高。 mediam：中。 low：低。
op	操作信息。 new：新增。 verity：验证。
risk_name	风险项名称。
status	状态信息。更多信息，请参见安全日志状态码。
sub_type_alias	子类型别名（中文）。
sub_type_name	子类型名称。
type_name	检测类型名称。
type_alias	类型别名（中文）。
uuid	检测出当前风险项的服务器UUID。

基线类型及子类型列表

类型名称	子类型名称	描述
hc_exploit	hc_exploit_redis	高危风险利用-Redis未授权访问高危风险。
hc_exploit	hc_exploit_activemq	高危风险利用-ActiveMQ未授权访问高危风险。
hc_exploit	hc_exploit_couchdb	高危风险利用-CouchDB未授权访问高危风险。
hc_exploit	hc_exploit_docker	高危风险利用-Docker未授权访问高危风险。
hc_exploit	hc_exploit_es	高危风险利用-Elasticsearch未授权访问高危风险。
hc_exploit	hc_exploit_hadoop	高危风险利用-Hadoop未授权访问高危风险。
hc_exploit	hc_exploit_jboss	高危风险利用-Jboss未授权访问高危风险。
hc_exploit	hc_exploit_jenkins	高危风险利用-Jenkins未授权访问高危风险。
hc_exploit	hc_exploit_k8s_api	高危风险利用Kubernetes-Apiserver未授权访问高危风险。
hc_exploit	hc_exploit_ldap	高危风险利用-LDAP未授权访问高危风险（Windows环境）。
hc_exploit	hc_exploit_ldap_linux	高危风险利用-openLDAP未授权访问高危风险（Linux环境）。
hc_exploit	hc_exploit_memcache	高危风险利用-Memcached未授权访问高危风险。
hc_exploit	hc_exploit_mongo	高危风险利用-Mongodb未授权访问高危风险。
hc_exploit	hc_exploit_pgsql	高危风险利用-Postgresql未授权访问高危风险基线。
hc_exploit	hc_exploit_rabbitmq	高危风险利用-RabbitMQ未授权访问高危风险。
hc_exploit	hc_exploit_rsync	高危风险利用-rsync未授权访问高危风险。
hc_exploit	hc_exploit_tomcat	高危风险利用-Apache Tomcat AJP文件包含漏洞风险。
hc_exploit	hc_exploit_zookeeper	高危风险利用-ZooKeeper未授权访问高危风险。
hc_container	hc_docker	阿里云标准-Docker安全基线检查。
hc_container	hc_middleware_ack_master	CIS标准-Kubernetes(ACK) Master节点安全基线检查。
hc_container	hc_middleware_ack_node	CIS标准-Kubernetes(ACK) Node节点安全基线检查。
hc_container	hc_middleware_k8s	阿里云标准-Kubernetes-Master安全基线检查。
hc_container	hc_middleware_k8s_node	阿里云标准-Kubernetes-Node安全基线检查。
cis	hc_suse 15_djbh	等保三级-SUSE 15合规基线检查。
cis	hc_aliyun_linux3_djbh_l3	等保三级-Alibaba Cloud Linux 3合规基线检查。
cis	hc_aliyun_linux_djbh_l3	等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查。
cis	hc_bind_djbh	等保三级-Bind合规基线检查。
cis	hc_centos 6_djbh_l3	等保三级-CentOS Linux 6合规基线检查。
cis	hc_centos 7_djbh_l3	等保三级-CentOS Linux 7合规基线检查。
cis	hc_centos 8_djbh_l3	等保三级-CentOS Linux 8合规基线检查。
cis	hc_debian_djbh_l3	等保三级-Debian Linux 8/9/10合规基线检查。
cis	hc_iis_djbh	等保三级-IIS合规基线检查。
cis	hc_informix_djbh	等保三级-Informix合规基线检查。
cis	hc_jboss_djbh	等保三级-Jboss合规基线检查。
cis	hc_mongo_djbh	等保三级-MongoDB合规基线检查。
cis	hc_mssql_djbh	等保三级-SQL Server合规基线检查。
cis	hc_mysql_djbh	等保三级-MySql合规基线检查。
cis	hc_nginx_djbh	等保三级-Nginx合规基线检查。
cis	hc_oracle_djbh	等保三级-Oracle合规基线检查。
cis	hc_pgsql_djbh	等保三级-PostgreSql合规基线检查。
cis	hc_redhat 6_djbh_l3	等保三级-Redhat Linux 6合规基线检查。
cis	hc_redhat_djbh_l3	等保三级-Redhat Linux 7合规基线检查。
cis	hc_redis_djbh	等保三级-Redis合规基线检查。
cis	hc_suse 10_djbh_l3	等保三级-SUSE 10合规基线检查。
cis	hc_suse 12_djbh_l3	等保三级-SUSE 12合规基线检查。
cis	hc_suse_djbh_l3	等保三级-SUSE 11合规基线检查。
cis	hc_ubuntu 14_djbh_l3	等保三级-Ubuntu 14合规基线检查。
cis	hc_ubuntu_djbh_l3	等保三级-Ubuntu 16/18/20合规基线检查。
cis	hc_was_djbh	等保三级-Websphere Application Server合规基线检查。
cis	hc_weblogic_djbh	等保三级-Weblogic合规基线检查。
cis	hc_win 2008_djbh_l3	等保三级-Windows 2008 R2合规基线检查。
cis	hc_win 2012_djbh_l3	等保三级-Windows 2012 R2合规基线检查。
cis	hc_win 2016_djbh_l3	等保三级-Windows 2016/2019 合规基线检查。
cis	hc_aliyun_linux_djbh_l2	等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查。
cis	hc_centos 6_djbh_l2	等保二级-CentOS Linux 6合规基线检查。
cis	hc_centos 7_djbh_l2	等保二级-CentOS Linux 7合规基线检查。
cis	hc_debian_djbh_l2	等保二级-Debian Linux 8合规基线检查。
cis	hc_redhat 7_djbh_l2	等保二级-Redhat Linux 7合规基线检查。
cis	hc_ubuntu_djbh_l2	等保二级-Ubuntu16/18合规基线检查。
cis	hc_win 2008_djbh_l2	等保二级-Windows 2008 R2合规基线检查。
cis	hc_win 2012_djbh_l2	等保二级-Windows 2012 R2合规基线检查。
cis	hc_win 2016_djbh_l2	等保二级-Windows 2016/2019 合规基线检查。
cis	hc_aliyun_linux_cis	CIS标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查。
cis	hc_centos 6_cis_rules	CIS标准-CentOS Linux 6安全基线检查。
cis	hc_centos 7_cis_rules	CIS标准-CentOS Linux 7安全基线检查。
cis	hc_centos 8_cis_rules	CIS标准-CentOS Linux 8安全基线检查。
cis	hc_debian 8_cis_rules	CIS标准-Debian Linux 8安全基线检查。
cis	hc_ubuntu 14_cis_rules	CIS标准-Ubuntu 14安全基线检查。
cis	hc_ubuntu 16_cis_rules	CIS标准-Ubuntu 16/18/20安全基线检查。
cis	hc_win 2008_cis_rules	CIS标准-Windows Server 2008 R2安全基线检查。
cis	hc_win 2012_cis_rules	CIS标准-Windows Server 2012 R2安全基线检查。
cis	hc_win 2016_cis_rules	CIS标准-Windows Server 2016/2019 R2安全基线检查。
cis	hc_kylin_djbh_l3	等保三级-麒麟合规基线检查。
cis	hc_uos_djbh_l3	等保三级-Uos合规基线检查。
hc_best_security	hc_aliyun_linux	阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查。
hc_best_security	hc_centos 6	阿里云标准-CentOS Linux 6安全基线检查。
hc_best_security	hc_centos 7	阿里云标准-CentOS Linux 7/8安全基线检查。
hc_best_security	hc_debian	阿里云标准-Debian Linux 8/9/10安全基线检查。
hc_best_security	hc_redhat 6	阿里云标准-Redhat Linux 6安全基线检查。
hc_best_security	hc_redhat 7	阿里云标准-Redhat Linux 7/8安全基线检查。
hc_best_security	hc_ubuntu	阿里云标准-Ubuntu安全基线检查。
hc_best_security	hc_windows_2008	阿里云标准-Windows 2008 R2安全基线检查。
hc_best_security	hc_windows_2012	阿里云标准-Windows 2012 R2安全基线检查。
hc_best_security	hc_windows_2016	阿里云标准-Windows 2016/2019 安全基线检查。
hc_best_security	hc_db_mssql	阿里云标准-SQL server安全基线检查。
hc_best_security	hc_memcached_ali	阿里云标准-Memcached安全基线检查。
hc_best_security	hc_mongodb	阿里云标准-MongoDB 3.x版本安全基线检查。
hc_best_security	hc_mysql_ali	阿里云标准-Mysql安全基线检查。
hc_best_security	hc_oracle	阿里云标准-Oracle 11g安全基线检查。
hc_best_security	hc_pgsql_ali	阿里云标准-PostgreSql安全基线检查。
hc_best_security	hc_redis_ali	阿里云标准-Redis安全基线检查。
hc_best_security	hc_apache	阿里云标准-Apache安全基线检查。
hc_best_security	hc_iis_8	阿里云标准-IIS 8安全基线检查。
hc_best_security	hc_nginx_linux	阿里云标准-Nginx安全基线检查。
hc_best_security	hc_suse 15	阿里云标准-SUSE Linux 15安全基线检查。
hc_best_security	tomcat 7	阿里云标准-Apache Tomcat安全基线检查。
weak_password	hc_mongodb_pwd	弱口令-MongoDB登录弱口令检测（支持2.x版本）。
weak_password	hc_weakpwd_ftp_linux	弱口令-FTP登录弱口令检查。
weak_password	hc_weakpwd_linux_sys	弱口令-Linux系统登录弱口令检查。
weak_password	hc_weakpwd_mongodb 3	弱口令-MongoDB登录弱口令检测。
weak_password	hc_weakpwd_mssql	弱口令-SQL Server数据库登录弱口令检查。
weak_password	hc_weakpwd_mysql_linux	弱口令-Mysql数据库登录弱口令检查。
weak_password	hc_weakpwd_mysql_win	弱口令-Mysql数据库登录弱口令检查（Windows版）。
weak_password	hc_weakpwd_openldap	弱口令-Openldap登录弱口令检查。
weak_password	hc_weakpwd_oracle	弱口令-Oracle登录弱口令检测。
weak_password	hc_weakpwd_pgsql	弱口令-PostgreSQL数据库登录弱口令检查。
weak_password	hc_weakpwd_pptp	弱口令-pptpd服务登录弱口令检查。
weak_password	hc_weakpwd_redis_linux	弱口令-Redis数据库登录弱口令检查。
weak_password	hc_weakpwd_rsync	弱口令-rsync服务登录弱口令检查。
weak_password	hc_weakpwd_svn	弱口令-svn服务登录弱口令检查。
weak_password	hc_weakpwd_tomcat_linux	弱口令-Apache Tomcat控制台弱口令检查。
weak_password	hc_weakpwd_vnc	弱口令-VncServer弱口令检查。
weak_password	hc_weakpwd_weblogic	弱口令-Weblogic 12c登录弱口令检测。
weak_password	hc_weakpwd_win_sys	弱口令-Windows系统登录弱口令检查。

安全日志状态码

状态值	描述
1	未修复
2	修复失败
3	回滚失败
4	修复中
5	回滚中
6	验证中
7	修复成功
8	修复成功待重启
9	回滚成功
10	忽略
11	回滚成功待重启
12	已不存在
20	已失效

安全告警状态码

状态值	描述
1	待处理
2	已忽略
4	已确认
8	已标记误报
16	处理中
32	处理完毕
64	已经过期
128	已经删除
512	自动拦截中
513	自动拦截完毕

基线日志状态码

状态值	描述
1	未通过
2	验证中
3	已通过
5	已经失效
6	已经忽略
7	修复中

安全告警日志

字段名	说明
__topic__	日志主题，固定为sas-security-log。
data_source	数据源。更多信息，请参见安全告警data_source列表。
level	告警事件的危险等级。 serious：紧急。 suspicious：可疑。 remind：提醒。
name	告警名称。
op	操作信息。 new：新增。 dealing：处理。 update：更新。
status	状态信息。更多信息，请参见安全日志状态码。
uuid	产生告警的服务器UUID。
detail	告警详细信息。说明告警类型不同，日志中的detail字段包含的内容也不同。如果您在查看告警日志时，对detail字段中的参数有疑问，您可以通过智能在线联系技术支持人员。
unique_info	告警的唯一标识。

安全告警data_source列表

值	描述
aegis_suspicious_event	主机异常
aegis_suspicious_file_v2	WebShell
aegis_login_log	异常登录
security_event	云安全中心异常事件

云平台配置检查日志

字段名	说明
__topic__	日志主题，固定为sas-cspm-log。
check_id	检查项ID。您可以通过ListCheckResult接口获取该ID。更多信息，请参见ListCheckResult - 查看云产品中云平台配置检查风险项结果详情。
instance_id	实例ID。
instance_name	实例名称。
instance_result	风险产生的影响。格式为JSON字符串。
instance_sub_type	实例的子类型。当实例类型为ECS时，子类型的取值： INSTANCE DISK SECURITY_GROUP 当实例类型为ACR时，子类型的取值： REPOSITORY_ENTERPRISE REPOSITORY_PERSON 当实例类型为RAM时，子类型的取值： ALIAS USER POLICY GROUP 当实例类型为WAF时，子类型的取值为DOMAIN。当实例类型为其他值时，子类型的取值为INSTANCE。
instance_type	实例类型。 ECS：云服务器。 SLB：负载均衡。 RDS：RDS数据库。 MONGODB：MongoDB数据库。 KVSTORE：Redis数据库。 ACR：容器镜像服务。 CSK：CSK。 VPC：专有网络。 ACTIONTRAIL：操作审计。 CDN：内容分发网络。 CAS：数字证书管理服务（原SSL证书）。 RDC：云效。 RAM：访问控制。 DDoS：DDoS防护。 WAF：Web应用防火墙。 OSS：对象存储。 POLARDB：PolarDB数据库。 POSTGRESQL：PostgreSQL数据库。 MSE：微服务引擎。 NAS：文件存储。 SDDP：敏感数据保护。 EIP：弹性公网IP。
region_id	实例所在地域ID。
requirement_id	条例ID。您可以通过ListCheckStandard接口获取该ID。更多信息，请参见ListCheckStandard - 云平台配置检查获取标准列表。
risk_level	风险级别。 LOW。 MEDIUM。 HIGH。
section_id	章节ID。您可以通过ListCheckResult接口获取该ID。更多信息，请参见ListCheckResult - 查看云产品中云平台配置检查风险项结果详情。
standard_id	标准ID。您可以通过ListCheckStandard接口获取该ID。更多信息，请参见ListCheckStandard - 云平台配置检查获取标准列表。
status	检查项的状态。 NOT_CHECK：未检查。 CHECKING：检查中。 PASS：检查通过。 NOT_PASS：检查未通过。 WHITELIST：已加入白名单。
vendor	所属云厂商。固定为ALIYUN。

主机日志

进程启动日志

字段名	说明
__topic__	日志主题，固定为aegis-log-process。
uuid	进程所在服务器的UUID。
ip	客户端主机的IP地址。
cmdline	进程启动的完整命令行。
username	用户名。
uid	用户ID。
pid	进程ID。
filename	进程文件名。
filepath	进程文件完整路径。
groupname	用户组。
ppid	父进程ID。
pfilename	父进程文件名。
pfilepath	父进程文件完整路径。
cmd_chain	进程链。
containerhostname	容器内服务器名称。
containerpid	容器内进程ID。
containerimageid	镜像ID。
containerimagename	镜像名称。
containername	容器名称。
containerid	容器ID。
cmd_chain_index	进程链索引，可以通过相同索引查找进程链。
cmd_index	命令行每个参数的索引，每两个为一组，标识一个参数的起止索引。
comm	进程关联的命令名。
gid	进程组的ID。
parent_cmd_line	父进程的命令行。
pid_start_time	父进程的启动时间。
srv_cmd	祖进程的命令行。
stime	进程的启动时间。

进程快照日志

字段名	说明
__topic__	日志主题，固定为aegis-snapshot-process
uuid	进程所在服务器的UUID。
ip	客户端主机的IP地址。
cmdline	进程启动的完整命令行。
pid	进程ID。
name	进程文件名。
path	进程文件所在的完整路径。
md5	进程文件名MD5。说明超过1 MB的进程文件不进行MD5计算。
pname	父进程文件名。
start_time	进程启动时间。内置字段。
user	用户名。
uid	用户ID。

登录日志

说明

1分钟内的重复登录会被合并为1条日志，字段warn_count表示次数。

字段名	说明
__topic__	日志主题，固定为aegis-log-login
uuid	被登录的服务器的UUID。
ip	客户端主机的IP地址。
warn_ip	登录来源IP地址。
warn_port	登录端口。
warn_type	登录类型。 SSHLOGIN：SSH登录。 RDPLOGIN：远程桌面登录。 IPCLOGIN：IPC连接登录。
warn_user	登录用户名。
warn_count	登录次数。1分钟内重复登录会被合并为1条日志。例如`warn_count`值为3表示这次登录前1分钟内还登录了2次。

暴力破解日志

字段名	说明
__topic__	日志主题，固定为aegis-log-crack。
uuid	被暴力破解的服务器UUID。
ip	服务器IP地址。
warn_ip	登录来源IP地址。
warn_port	登录端口。
warn_type	登录类型。 SSHLOGIN：SSH登录。 RDPLOGIN：远程桌面登录。 IPCLOGIN：IPC连接登录。
warn_user	登录用户名。
warn_count	失败登录次数。

网络连接日志

说明

服务器每隔10秒到1分钟会收集变化的网络连接，服务器只收集网络连接从建立到结束过程中的部分状态。

字段名	说明
__topic__	日志主题，固定为aegis-log-network。
uuid	服务器的UUID。
ip	服务器IP地址。
src_ip	源IP地址。
src_port	源端口。
dst_ip	目标IP地址。
dst_port	目标端口。
proc_name	进程名。
proc_path	进程路径。
proto	协议。 tcp。 udp。 raw（表示raw socket）。
status	连接状态。更多信息，请参见网络连接状态描述列表。
cmd_chain	进程链。
pid	进程ID。
ppid	父进程ID。
container_hostname	容器内服务器名称。
container_pid	容器内进程ID。
container_image_id	镜像ID。
container_image_name	镜像名称。
container_name	容器名称。
container_id	容器ID。
cmd_chain_index	进程链索引，可以通过相同索引查找进程链。
parent_proc_file_name	父进程的文件名。
proc_start_time	进程的启动时间。
srv_comm	祖进程关联的命令名。
uid	进程用户的ID。
username	进程的用户名。

网络连接状态描述列表

状态值	描述
1	closed
2	listen
3	syn send
4	syn recv
5	establisted
6	close wait
7	closing
8	fin_wait1
9	fin_wait2
10	time_wait
11	delete_tcb

端口监听快照

字段名	说明
__topic__	日志主题，固定为aegis-snapshot-port
uuid	服务器的UUID。
ip	服务器的IP地址。
proto	通信使用的协议。 tcp。 udp。 raw（表示raw socket）。
src_ip	监听的IP地址。
src_port	监听端口。
pid	进程ID。
proc_name	进程名。

账号快照日志

说明

账号快照展示了在您资产中检测到的账号信息。

字段名	说明
__topic__	日志主题，固定为aegis-snapshot-host。
uuid	服务器的UUID。
ip	服务器IP地址。
user	用户名称。
perm	是否拥有登录服务器root权限。 0：没有root权限。 1：有root权限。
home_dir	home目录。
groups	用户所在的分组。不属于任何组时为`N/A`。
last_chg	密码最后的修改日期。
shell	Linux的Shell命令。
domain	Windows域。不属于任何域为`N/A`。
tty	登录的终端。账号从未登录过终端时为`N/A`。
warn_time	密码到期提醒日期。永不提醒时为`never`。
account_expire	账号过期日期。永不过期时为`never`。
passwd_expire	密码过期日期。永不过期时为`never`。
login_ip	最后一次登录的远程IP地址。账号从未登录时为`N/A`。
last_logon	最后一次登录的日期和时间。账号从未登录时为`N/A`。
status	用户账号状态。 0：账号已被禁止登录。 1：账号可正常登录。

DNS请求日志

字段名	说明
__topic__	日志主题，固定为aegis-log-dns-query。
domain	DNS请求对应的域名。
ip	DNS请求对应的IP地址。
pid	发起DNS请求的进程ID。
ppid	发起DNS请求的父进程ID。
proc_cmd_chain	发起DNS请求的进程链。
proc_cmdline	发起DNS请求的命令行。
proc_path	发起DNS请求的进程路径。
time	捕获DNS请求事件的时间，该时间一般和DNS请求发生时间相同。
uuid	发起DNS请求的服务器的UUID。