文档

云安全中心

更新时间:

本文介绍云安全中心网络日志、安全日志和主机日志的字段详情。

网络日志

  • DNS日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-log-dns。

    owner_id

    阿里云账号ID

    additional

    additional字段,各个值之间以竖线(|)分隔。

    additional_num

    additional字段数量

    answer

    DNS回答信息,各个值之间以竖线(|)分隔。

    answer_num

    DNS回答信息数量

    authority

    authority字段

    authority_num

    authority字段数量

    client_subnet

    客户端子网

    dst_ip

    目标IP地址

    threat_dst_ip

    目标IP地址的威胁情报。更多信息,请参见威胁情报字段

    dst_port

    目标端口

    in_out

    数据的传输方向,包括:

    • in:入方式

    • out:出方向

    qid

    查询ID

    qname

    查询域名

    threat_qname

    查询域名的威胁情报。更多信息,请参见威胁情报字段

    qtype

    查询类型

    query_datetime

    查询时间戳,单位:毫秒。

    rcode

    返回代码

    region

    来源地域ID,包括:

    • 1:北京

    • 2:青岛

    • 3:杭州

    • 4:上海

    • 5:深圳

    • 6:其它

    response_datetime

    返回时间

    src_ip

    源IP地址

    threat_src_ip

    源IP地址的威胁情报。更多信息,请参见威胁情报字段

    src_port

    源端口

  • 本地DNS日志

    字段名

    说明

    __topic__

    日志主题,固定为local-dns。

    owner_id

    阿里云账号ID

    answer_rdata

    DNS回答信息,各个值之间以竖线(|)分隔。

    answer_ttl

    DNS回答的时间周期,各个值之间以竖线(|)分隔。

    answer_type

    DNS回答的类型,各个值之间以竖线(|)分隔。

    anwser_name

    DNS回答的名称,各个值之间以竖线(|)分隔。

    dest_ip

    目标IP地址

    dest_port

    目标端口

    group_id

    分组ID

    hostname

    主机名

    id

    查询ID

    instance_id

    实例ID

    internet_ip

    互联网IP地址

    ip_ttl

    IP地址的周期

    query_name

    查询域名

    threat_query_name

    查询域名的威胁情报。更多信息,请参见威胁情报字段

    query_type

    查询类型

    src_ip

    源IP地址

    threat_src_ip

    源IP地址的威胁情报。更多信息,请参见威胁情报字段

    src_port

    源端口

    time

    查询时间戳,单位:秒。

    time_usecond

    响应耗时,单位:微秒。

    tunnel_id

    通道ID

  • 网络会话日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-log-session。

    owner_id

    阿里云账号ID

    asset_type

    关联的资产类型,例如ECS、SLB、RDS等。

    dst_ip

    目标IP地址

    threat_dst_ip

    目标IP地址的威胁情报。更多信息,请参见威胁情报字段

    dst_port

    目标端口

    proto

    协议类型,例如tcp、udp。

    session_time

    Session时间

    src_ip

    源IP地址

    threat_src_ip

    源IP地址的威胁情报。更多信息,请参见威胁情报字段

    src_port

    源端口

  • Web日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-log-http。

    owner_id

    阿里云账号ID

    content_length

    内容长度

    dst_ip

    目标IP地址

    threat_dst_ip

    目标IP地址的威胁情报。更多信息,请参见威胁情报字段

    dst_port

    目标端口

    host

    访问主机名

    jump_location

    重定向地址

    method

    HTTP访问

    referer

    客户端向服务器发送请求时的HTTP referer

    request_datetime

    请求时间

    ret_code

    返回状态值

    rqs_content_type

    请求内容类型

    rsp_content_type

    响应内容类型

    src_ip

    源IP地址

    threat_src_ip

    源IP地址的威胁情报。更多信息,请参见威胁情报字段

    src_port

    源端口

    uri

    请求URI

    user_agent

    向客户端发起的请求

    x_forward_for

    路由跳转信息

安全日志

  • 漏洞日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-vul-log。

    owner_id

    阿里云账号ID

    name

    漏洞名称

    alias_name

    漏洞别名

    op

    操作信息,包括:

    • new:新增

    • verify:验证

    • fix:修复

    status

    状态。更多信息,请参见安全日志状态码

    tag

    漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。

    type

    漏洞类型,包括:

    • sys:windows漏洞

    • cve:Linux漏洞

    • cms:Web CMS漏洞

    • EMG:紧急漏洞

    uuid

    客户端号

  • 基线日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-hc-log。

    owner_id

    阿里云账号ID

    level

    风险级别

    op

    操作信息,包括:

    • new:新增

    • verify:验证

    risk_name

    风险名称

    status

    状态。更多信息,请参见安全日志状态码

    sub_type_alias

    子类型别名,中文。

    sub_type_name

    子类型名称

    type_name

    类型名称。更多信息,请参见基线type-sub-type列表

    type_alias

    类型别名,中文。

    uuid

    客户端号

    check_item

    检查项名称

    check_level

    检查项级别

    check_type

    检查项类型

    表 1. 基线type-sub-type列表

    type_name

    sub_type_name

    system

    baseline

    weak_password

    postsql_weak_password

    database

    redis_check

    account

    system_account_security

    account

    system_account_security

    weak_password

    mysq_weak_password

    weak_password

    ftp_anonymous

    weak_password

    rdp_weak_password

    system

    group_policy

    system

    register

    account

    system_account_security

    weak_password

    sqlserver_weak_password

    system

    register

    weak_password

    ssh_weak_password

    weak_password

    ftp_weak_password

    cis

    centos7

    cis

    tomcat7

    cis

    memcached-check

    cis

    mongodb-check

    cis

    ubuntu14

    cis

    win2008_r2

    system

    file_integrity_mon

    cis

    linux-httpd-2.2-cis

    cis

    linux-docker-1.6-cis

    cis

    SUSE11

    cis

    redhat6

    cis

    bind9.9

    cis

    centos6

    cis

    debain8

    cis

    redhat7

    cis

    SUSE12

    cis

    ubuntu16

    表 2. 安全日志状态码

    状态值

    说明

    1

    未修复

    2

    修复失败

    3

    回滚失败

    4

    修复中

    5

    回滚中

    6

    验证中

    7

    修复成功

    8

    修复成功待重启

    9

    回滚成功

    10

    忽略

    11

    回滚成功待重启

    12

    已不存在

    20

    已失效

  • 安全告警日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-security-log。

    data_source

    数据源。更多信息,请参见安全告警data_source列表

    level

    告警级别

    name

    名称

    op

    操作信息,包括:

    • new:新增

    • dealing:处理

    status

    状态。更多信息,请参见安全日志状态码

    uuid

    客户端号

    detail

    告警详情

    unique_info

    告警的唯一标识

    表 3. 安全告警data_source列表

    描述

    aegis_suspicious_event

    主机异常

    aegis_suspicious_file_v2

    Webshell

    aegis_login_log

    异常登录

    security_event

    安全中心异常事件

  • 云平台配置检查日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-cspm-log。

    check_id

    检查项ID。您可以调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。

    check_show_name

    检查项名称。

    instance_id

    实例ID。

    instance_name

    实例名称。

    instance_result

    风险产生的影响。格式为JSON字符串。

    instance_sub_type

    实例的子类型。取值:

    • 当实例类型为ECS时,子类型的取值:

      • INSTANCE。

      • DISK。

      • SECURITY_GROUP。

    • 当实例类型为ACR时,子类型的取值:

      • REPOSITORY_ENTERPRISE。

      • REPOSITORY_PERSON。

    • 当实例类型为RAM时,子类型的取值:

      • ALIAS。

      • USER。

      • POLICY。

      • GROUP。

    • 当实例类型为WAF时,子类型的取值为DOMAIN。

    • 当实例类型为其他值时,子类型的取值为INSTANCE。

    instance_type

    实例类型。取值:

    • ECS:云服务器。

    • SLB:负载均衡。

    • RDS:RDS数据库。

    • MONGODB:MongoDB数据库。

    • KVSTORE:Redis数据库。

    • ACR:容器镜像服务。

    • CSK:CSK。

    • VPC:专有网络。

    • ACTIONTRAIL:操作审计。

    • CDN:内容分发网络。

    • CAS:数字证书管理服务(原SSL证书)。

    • RDC:云效。

    • RAM:访问控制。

    • DDoS:DDoS防护。

    • WAF:Web应用防火墙。

    • OSS:对象存储。

    • POLARDB:PolarDB数据库。

    • POSTGRESQL:PostgreSQL数据库。

    • MSE:微服务引擎。

    • NAS:文件存储。

    • SDDP:敏感数据保护。

    • EIP:弹性公网IP。

    region_id

    实例所在地域ID。

    requirement_id

    条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。

    risk_level

    风险级别。取值:

    • LOW。

    • MEDIUM。

    • HIGH。

    section_id

    章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。

    standard_id

    标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。

    status

    检查项的状态。取值:

    • NOT_CHECK:未检查。

    • CHECKING:检查中。

    • PASS:检查通过。

    • NOT_PASS:检查未通过。

    • WHITELIST:已加入白名单。

    vendor

    所属云厂商。固定取值:ALIYUN。

  • 网络防御日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-net-block。

    cmd

    被攻击的进程命令行。

    cur_time

    攻击事件的发生时间。

    decode_payload

    HEX格式转换为字符的payload。

    dest_ip

    被攻击资产的IP地址。

    dest_port

    被攻击资产的端口。

    func

    拦截事件的类型。取值:

    • payload:恶意负载类型,表示由于检测到恶意数据或指令而触发的攻击事件拦截。

    • tuple:恶意IP类型,表示由于检测到恶意IP访问而触发的攻击事件拦截。

    rule_type

    拦截事件下的具体规则类型。取值:

    • alinet_payload:云安全中心指定的payload事件防御规则。

    • alinet_tuple:云安全中心指定的tuple事件防御规则。

    instance_id

    被攻击资产的实例ID。

    internet_ip

    被攻击资产的公网IP。

    intranet_ip

    被攻击资产的私网IP。

    model

    防御动作模式。取值:block(已拦截)。

    payload

    HEX格式的payload。

    pid

    被攻击的进程ID。

    platform

    被攻击资产的系统类型。取值:

    • win。

    • linux。

    proc_path

    被攻击的进程路径。

    sas_group_name

    服务器在云安全中心的资产分组。

    src_ip

    发起攻击的源IP地址。

    src_port

    发起攻击的源端口。

    uuid

    服务器的UUID。

  • 应用防护日志

    日志字段

    说明

    __topic__

    日志主题,固定为sas-rasp-log。

    app_dir

    应用所在目录。

    app_id

    应用ID。

    app_name

    应用名称。

    confidence

    检测算法的置信度。取值:

    • high。

    • medium。

    • low。

    content

    请求体信息。

    content_length

    请求体长度。

    data

    hook点参数。

    headers

    请求头信息。

    hostname

    主机或网络设备的名称。

    ip

    主机私网IP地址。

    is_cliped

    该条日志是否因为超长被裁剪过。取值:

    • true:裁剪过。

    • false:未裁剪过。

    jdk

    JDK版本。

    message

    告警描述信息。

    method

    请求方法。

    os

    操作系统类型。

    os_arch

    操作系统架构。

    os_version

    操作系统内核版本。

    param

    请求参数,常见格式包括:

    • GET参数。

    • application/x-www-form-urlencoded。

    payload

    有效攻击载荷。

    payload_length

    有效攻击载荷长度。

    rasp_id

    应用防护探针唯一ID。

    rasp_version

    应用防护探针版本。

    remote

    请求者IP地址。

    result

    告警处理结果。取值:

    • block:防护,即阻断。

    • monitor:监控。

    rule_result

    规则指定的告警处理方式。取值:

    • block。

    • monitor。

    severity

    风险级别。取值:

    • high。

    • medium。

    • low。

    stacktrace

    堆栈信息。

    time

    触发告警的时间。

    timestamp

    触发告警的时间戳,单位为毫秒。

    type

    漏洞类型。取值:

    • attach:恶意Attach。

    • beans:恶意beans绑定。

    • classloader:恶意类加载。

    • dangerous_protocol:危险协议使用。

    • dns:恶意DNS查询。

    • engine:引擎注入。

    • expression:表达式注入。

    • file:恶意文件读写。

    • file_delete:任意文件删除。

    • file_list:目录遍历。

    • file_read:任意文件读取。

    • file_upload:恶意文件上传。

    • jndi:JNDI注入。

    • jni:JNI注入。

    • jstl:JSTL任意文件包含。

    • memory_shell:内存马注入。

    • rce:命令执行。

    • read_object:反序列化攻击。

    • reflect:恶意反射调用。

    • sql:SQL注入。

    • ssrf:恶意外连。

    • thread_inject:线程注入。

    • xxe:XXE攻击。

    url

    请求URL。

    rasp_attack_uuid

    漏洞UUID。

    uuid

    主机UUID。

    internet_ip

    主机公网IP地址。

    intranet_ip

    主机私网IP地址。

    sas_group_name

    云安全中心服务器分组名称。

    instance_id

    主机实例ID。

  • 文件检测日志

    字段名

    说明

    __topic__

    日志主题,固定为sas-filedetect-log。

    bucket_name

    Bucket名称。

    event_id

    告警ID。

    event_name

    告警名称。

    md5

    文件的MD5值。

    sha256

    文件的SHA256值。

    result

    检测结果。

    • 0:文件安全。

    • 1:存在恶意文件。

    file_path

    文件路径。

    etag

    OSS文件标识。

    risk_level

    风险等级。

    • serious:紧急。

    • suspicions:可疑。

    • remind:提醒。

    source

    检测场景。

    • OSS:在云安全中心控制台执行对阿里云对象存储Bucket内文件的检测。

    • API:通过SDK接入的方式检测恶意文件,支持通过Java或Python方式接入。

    parent_md5

    父类文件或压缩包文件的MD5值。

    parent_sha256

    父类文件或压缩包文件的SHA256值。

    parent_file_path

    父类文件或压缩包文件的名称。

    start_time

    开始检测时间的时间戳。单位为秒。

主机日志

  • 进程启动日志

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-log-process。

    uuid

    客户端号

    ip

    客户端主机的IP地址

    cmdline

    用户启动完整命令行

    username

    用户名

    uid

    用户ID

    pid

    进程ID

    filename

    进程文件名

    filepath

    进程文件完整路径

    groupname

    用户组

    ppid

    父进程ID

    pfilename

    父进程文件名

    pfilepath

    父进程文件完整路径

    cmd_chain

    进程链

    containerhostname

    容器主机名

    containerpid

    容器PID

    containerimageid

    镜像ID

    containerimagename

    镜像名称

    containername

    容器名称

    containerid

    容器ID

    cwd

    进程运行目录

  • 进程快照日志

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-snapshot-process。

    owner_id

    阿里云账号ID

    uuid

    客户端号

    ip

    客户端主机的IP地址

    cmdline

    用户启动完整命令行

    pid

    进程ID

    name

    进程文件名

    path

    进程文件完整路径

    md5

    进程文件进行MD5计算,超过1 MB的进程文件不进行计算。

    pname

    父进程文件名

    start_time

    进程启动时间,内置字段

    user

    用户名

    uid

    用户ID

  • 登录日志

    1分钟内重复登录会被合并为1条日志。

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-log-login。

    owner_id

    阿里云账号ID

    uuid

    客户端号

    ip

    客户端主机的IP地址

    warn_ip

    登录来源IP地址

    threat_warn_ip

    登录来源IP地址的威胁情报。更多信息,请参见威胁情报字段

    warn_port

    登录端口

    warn_type

    登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。

    warn_user

    登录用户名

    warn_count

    登录次数,例如3次表示这次登录前1分钟内还发送了2次。

  • 暴力破解日志

    字段名

    说明

    __topic__

    日志主题,固定为aegis-log-crack。

    owner_id

    阿里云账号ID

    uuid

    客户端号

    ip

    客户端主机的IP地址

    warn_ip

    登录来源IP地址

    threat_warn_ip

    登录来源IP地址的威胁情报。更多信息,请参见威胁情报字段

    warn_port

    登录端口

    warn_type

    登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。

    warn_user

    登录用户名

    warn_count

    失败登录次数

  • 主机网络连接日志

    主机上每隔10秒到1分钟会收集变化的网络连接。

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-log-network。

    owner_id

    阿里云账号ID

    uuid

    客户端号

    ip

    客户端主机的IP地址

    src_ip

    源IP地址

    threat_src_ip

    源IP地址的威胁情报。更多信息,请参见威胁情报字段

    src_port

    源端口

    dst_ip

    目标IP地址

    threat_dst_ip

    目标IP地址的威胁情报。更多信息,请参见威胁情报字段

    dst_port

    目标端口

    proc_name

    进程名

    proc_path

    进程路径

    proto

    连接协议

    status

    连接状态。更多信息,请参见网络连接状态描述列表

    表 4. 网络连接状态描述列表

    状态值

    描述

    1

    closed

    2

    listen

    3

    syn send

    4

    syn recv

    5

    establisted

    6

    close wait

    7

    closing

    8

    fin_wait1

    9

    fin_wait2

    10

    time_wait

    11

    delete_tcb

  • 端口监听快照

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-snapshot-port。

    owner_id

    阿里云账号ID

    uuid

    客户端号

    ip

    客户端IP地址

    proto

    监听协议

    src_ip

    监听IP地址

    threat_src_ip

    监听IP地址的威胁情报。更多信息,请参见威胁情报字段

    src_port

    监听端口

    pid

    进程ID

    proc_name

    进程名

  • 账户快照

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-snapshot-host。

    owner_id

    阿里云账号ID

    name

    漏洞名称

    alias_name

    漏洞别名

    op

    操作信息,包括:

    • new:新增

    • verify:验证

    • fix:修复

    status

    连接状态。更多信息,请参见网络连接状态描述列表

    tag

    漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。

    type

    漏洞类型,包括:

    • sys:windows漏洞

    • cve:Linux漏洞

    • cms:Web CMS漏洞

    • EMG:紧急漏洞

    uuid

    客户端号

  • DNS请求日志

    日志字段

    说明

    __topic__

    日志主题,固定为aegis-log-dns-query。

    ali_uid

    阿里云账号ID

    uuid

    客户端号

    ip

    客户端机器IP地址

    pid

    DNS请求发起者进程ID

    ppid

    DNS请求发起者的父进程ID

    time

    DNS请求发生时间

    domain

    DNS请求对应域名

    proc_path

    DNS请求发起进程路径

    proc_cmdline

    DNS请求发起进程命令行

    proc_cmd_chain

    DNS请求发起者进程链

    sas_group_name

    云安全中心分组名称

    instance_id

    实例ID

  • 客户端事件日志

    字段名

    说明

    __topic__

    日志主题,固定为aegis-log-client。

    uuid

    服务器的UUID。

    client_ip

    服务器IP地址。

    agent_version

    客户端版本。

    last_login

    上次登录的时间戳。单位:毫秒。

    platform

    操作系统类型。取值:

    • windows

    • linux

    region_id

    服务器所在地域ID。

    status

    客户端状态。取值:

    • online

    • offline