本文介绍云安全中心网络日志、安全日志和主机日志的字段详情。
网络日志
DNS日志
日志字段
说明
__topic__
日志主题,固定为sas-log-dns。
owner_id
阿里云账号ID
additional
additional字段,各个值之间以竖线(|)分隔。
additional_num
additional字段数量
answer
DNS回答信息,各个值之间以竖线(|)分隔。
answer_num
DNS回答信息数量
authority
authority字段
authority_num
authority字段数量
client_subnet
客户端子网
dst_ip
目标IP地址
threat_dst_ip
目标IP地址的威胁情报。更多信息,请参见威胁情报字段。
dst_port
目标端口
in_out
数据的传输方向,包括:
in:入方式
out:出方向
qid
查询ID
qname
查询域名
threat_qname
查询域名的威胁情报。更多信息,请参见威胁情报字段。
qtype
查询类型
query_datetime
查询时间戳,单位:毫秒。
rcode
返回代码
region
来源地域ID,包括:
1:北京
2:青岛
3:杭州
4:上海
5:深圳
6:其它
response_datetime
返回时间
src_ip
源IP地址
threat_src_ip
源IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
源端口
本地DNS日志
字段名
说明
__topic__
日志主题,固定为local-dns。
owner_id
阿里云账号ID
answer_rdata
DNS回答信息,各个值之间以竖线(|)分隔。
answer_ttl
DNS回答的时间周期,各个值之间以竖线(|)分隔。
answer_type
DNS回答的类型,各个值之间以竖线(|)分隔。
anwser_name
DNS回答的名称,各个值之间以竖线(|)分隔。
dest_ip
目标IP地址
dest_port
目标端口
group_id
分组ID
hostname
主机名
id
查询ID
instance_id
实例ID
internet_ip
互联网IP地址
ip_ttl
IP地址的周期
query_name
查询域名
threat_query_name
查询域名的威胁情报。更多信息,请参见威胁情报字段。
query_type
查询类型
src_ip
源IP地址
threat_src_ip
源IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
源端口
time
查询时间戳,单位:秒。
time_usecond
响应耗时,单位:微秒。
tunnel_id
通道ID
网络会话日志
日志字段
说明
__topic__
日志主题,固定为sas-log-session。
owner_id
阿里云账号ID
asset_type
关联的资产类型,例如ECS、SLB、RDS等。
dst_ip
目标IP地址
threat_dst_ip
目标IP地址的威胁情报。更多信息,请参见威胁情报字段。
dst_port
目标端口
proto
协议类型,例如tcp、udp。
session_time
Session时间
src_ip
源IP地址
threat_src_ip
源IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
源端口
Web日志
日志字段
说明
__topic__
日志主题,固定为sas-log-http。
owner_id
阿里云账号ID
content_length
内容长度
dst_ip
目标IP地址
threat_dst_ip
目标IP地址的威胁情报。更多信息,请参见威胁情报字段。
dst_port
目标端口
host
访问主机名
jump_location
重定向地址
method
HTTP访问
referer
客户端向服务器发送请求时的HTTP referer
request_datetime
请求时间
ret_code
返回状态值
rqs_content_type
请求内容类型
rsp_content_type
响应内容类型
src_ip
源IP地址
threat_src_ip
源IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
源端口
uri
请求URI
user_agent
向客户端发起的请求
x_forward_for
路由跳转信息
安全日志
漏洞日志
日志字段
说明
__topic__
日志主题,固定为sas-vul-log。
owner_id
阿里云账号ID
name
漏洞名称
alias_name
漏洞别名
op
操作信息,包括:
new:新增
verify:验证
fix:修复
status
状态。更多信息,请参见安全日志状态码。
tag
漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。
type
漏洞类型,包括:
sys:windows漏洞
cve:Linux漏洞
cms:Web CMS漏洞
EMG:紧急漏洞
uuid
客户端号
基线日志
日志字段
说明
__topic__
日志主题,固定为sas-hc-log。
owner_id
阿里云账号ID
level
风险级别
op
操作信息,包括:
new:新增
verify:验证
risk_name
风险名称
status
状态。更多信息,请参见安全日志状态码。
sub_type_alias
子类型别名,中文。
sub_type_name
子类型名称
type_name
类型名称。更多信息,请参见基线type-sub-type列表。
type_alias
类型别名,中文。
uuid
客户端号
check_item
检查项名称
check_level
检查项级别
check_type
检查项类型
表 1. 基线type-sub-type列表
type_name
sub_type_name
system
baseline
weak_password
postsql_weak_password
database
redis_check
account
system_account_security
account
system_account_security
weak_password
mysq_weak_password
weak_password
ftp_anonymous
weak_password
rdp_weak_password
system
group_policy
system
register
account
system_account_security
weak_password
sqlserver_weak_password
system
register
weak_password
ssh_weak_password
weak_password
ftp_weak_password
cis
centos7
cis
tomcat7
cis
memcached-check
cis
mongodb-check
cis
ubuntu14
cis
win2008_r2
system
file_integrity_mon
cis
linux-httpd-2.2-cis
cis
linux-docker-1.6-cis
cis
SUSE11
cis
redhat6
cis
bind9.9
cis
centos6
cis
debain8
cis
redhat7
cis
SUSE12
cis
ubuntu16
表 2. 安全日志状态码
状态值
说明
1
未修复
2
修复失败
3
回滚失败
4
修复中
5
回滚中
6
验证中
7
修复成功
8
修复成功待重启
9
回滚成功
10
忽略
11
回滚成功待重启
12
已不存在
20
已失效
安全告警日志
日志字段
说明
__topic__
日志主题,固定为sas-security-log。
data_source
数据源。更多信息,请参见安全告警data_source列表。
level
告警级别
name
名称
op
操作信息,包括:
new:新增
dealing:处理
status
状态。更多信息,请参见安全日志状态码。
uuid
客户端号
detail
告警详情
unique_info
告警的唯一标识
表 3. 安全告警data_source列表
值
描述
aegis_suspicious_event
主机异常
aegis_suspicious_file_v2
Webshell
aegis_login_log
异常登录
security_event
安全中心异常事件
云平台配置检查日志
日志字段
说明
__topic__
日志主题,固定为sas-cspm-log。
check_id
检查项ID。您可以调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。
check_show_name
检查项名称。
instance_id
实例ID。
instance_name
实例名称。
instance_result
风险产生的影响。格式为JSON字符串。
instance_sub_type
实例的子类型。取值:
当实例类型为ECS时,子类型的取值:
INSTANCE。
DISK。
SECURITY_GROUP。
当实例类型为ACR时,子类型的取值:
REPOSITORY_ENTERPRISE。
REPOSITORY_PERSON。
当实例类型为RAM时,子类型的取值:
ALIAS。
USER。
POLICY。
GROUP。
当实例类型为WAF时,子类型的取值为DOMAIN。
当实例类型为其他值时,子类型的取值为INSTANCE。
instance_type
实例类型。取值:
ECS:云服务器。
SLB:负载均衡。
RDS:RDS数据库。
MONGODB:MongoDB数据库。
KVSTORE:Redis数据库。
ACR:容器镜像服务。
CSK:CSK。
VPC:专有网络。
ACTIONTRAIL:操作审计。
CDN:内容分发网络。
CAS:数字证书管理服务(原SSL证书)。
RDC:云效。
RAM:访问控制。
DDoS:DDoS防护。
WAF:Web应用防火墙。
OSS:对象存储。
POLARDB:PolarDB数据库。
POSTGRESQL:PostgreSQL数据库。
MSE:微服务引擎。
NAS:文件存储。
SDDP:敏感数据保护。
EIP:弹性公网IP。
region_id
实例所在地域ID。
requirement_id
条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。
risk_level
风险级别。取值:
LOW。
MEDIUM。
HIGH。
section_id
章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。
standard_id
标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。
status
检查项的状态。取值:
NOT_CHECK:未检查。
CHECKING:检查中。
PASS:检查通过。
NOT_PASS:检查未通过。
WHITELIST:已加入白名单。
vendor
所属云厂商。固定取值:ALIYUN。
网络防御日志
日志字段
说明
__topic__
日志主题,固定为sas-net-block。
cmd
被攻击的进程命令行。
cur_time
攻击事件的发生时间。
decode_payload
HEX格式转换为字符的payload。
dest_ip
被攻击资产的IP地址。
dest_port
被攻击资产的端口。
func
拦截事件的类型。取值:
payload:恶意负载类型,表示由于检测到恶意数据或指令而触发的攻击事件拦截。
tuple:恶意IP类型,表示由于检测到恶意IP访问而触发的攻击事件拦截。
rule_type
拦截事件下的具体规则类型。取值:
alinet_payload:云安全中心指定的payload事件防御规则。
alinet_tuple:云安全中心指定的tuple事件防御规则。
instance_id
被攻击资产的实例ID。
internet_ip
被攻击资产的公网IP。
intranet_ip
被攻击资产的私网IP。
model
防御动作模式。取值:block(已拦截)。
payload
HEX格式的payload。
pid
被攻击的进程ID。
platform
被攻击资产的系统类型。取值:
win。
linux。
proc_path
被攻击的进程路径。
sas_group_name
服务器在云安全中心的资产分组。
src_ip
发起攻击的源IP地址。
src_port
发起攻击的源端口。
uuid
服务器的UUID。
应用防护日志
日志字段
说明
__topic__
日志主题,固定为sas-rasp-log。
app_dir
应用所在目录。
app_id
应用ID。
app_name
应用名称。
confidence
检测算法的置信度。取值:
high。
medium。
low。
content
请求体信息。
content_length
请求体长度。
data
hook点参数。
headers
请求头信息。
hostname
主机或网络设备的名称。
ip
主机私网IP地址。
is_cliped
该条日志是否因为超长被裁剪过。取值:
true:裁剪过。
false:未裁剪过。
jdk
JDK版本。
message
告警描述信息。
method
请求方法。
os
操作系统类型。
os_arch
操作系统架构。
os_version
操作系统内核版本。
param
请求参数,常见格式包括:
GET参数。
application/x-www-form-urlencoded。
payload
有效攻击载荷。
payload_length
有效攻击载荷长度。
rasp_id
应用防护探针唯一ID。
rasp_version
应用防护探针版本。
remote
请求者IP地址。
result
告警处理结果。取值:
block:防护,即阻断。
monitor:监控。
rule_result
规则指定的告警处理方式。取值:
block。
monitor。
severity
风险级别。取值:
high。
medium。
low。
stacktrace
堆栈信息。
time
触发告警的时间。
timestamp
触发告警的时间戳,单位为毫秒。
type
漏洞类型。取值:
attach:恶意Attach。
beans:恶意beans绑定。
classloader:恶意类加载。
dangerous_protocol:危险协议使用。
dns:恶意DNS查询。
engine:引擎注入。
expression:表达式注入。
file:恶意文件读写。
file_delete:任意文件删除。
file_list:目录遍历。
file_read:任意文件读取。
file_upload:恶意文件上传。
jndi:JNDI注入。
jni:JNI注入。
jstl:JSTL任意文件包含。
memory_shell:内存马注入。
rce:命令执行。
read_object:反序列化攻击。
reflect:恶意反射调用。
sql:SQL注入。
ssrf:恶意外连。
thread_inject:线程注入。
xxe:XXE攻击。
url
请求URL。
rasp_attack_uuid
漏洞UUID。
uuid
主机UUID。
internet_ip
主机公网IP地址。
intranet_ip
主机私网IP地址。
sas_group_name
云安全中心服务器分组名称。
instance_id
主机实例ID。
文件检测日志
字段名
说明
__topic__
日志主题,固定为sas-filedetect-log。
bucket_name
Bucket名称。
event_id
告警ID。
event_name
告警名称。
md5
文件的MD5值。
sha256
文件的SHA256值。
result
检测结果。
0:文件安全。
1:存在恶意文件。
file_path
文件路径。
etag
OSS文件标识。
risk_level
风险等级。
serious:紧急。
suspicions:可疑。
remind:提醒。
source
检测场景。
OSS:在云安全中心控制台执行对阿里云对象存储Bucket内文件的检测。
API:通过SDK接入的方式检测恶意文件,支持通过Java或Python方式接入。
parent_md5
父类文件或压缩包文件的MD5值。
parent_sha256
父类文件或压缩包文件的SHA256值。
parent_file_path
父类文件或压缩包文件的名称。
start_time
开始检测时间的时间戳。单位为秒。
主机日志
进程启动日志
日志字段
说明
__topic__
日志主题,固定为aegis-log-process。
uuid
客户端号
ip
客户端主机的IP地址
cmdline
用户启动完整命令行
username
用户名
uid
用户ID
pid
进程ID
filename
进程文件名
filepath
进程文件完整路径
groupname
用户组
ppid
父进程ID
pfilename
父进程文件名
pfilepath
父进程文件完整路径
cmd_chain
进程链
containerhostname
容器主机名
containerpid
容器PID
containerimageid
镜像ID
containerimagename
镜像名称
containername
容器名称
containerid
容器ID
cwd
进程运行目录
进程快照日志
日志字段
说明
__topic__
日志主题,固定为aegis-snapshot-process。
owner_id
阿里云账号ID
uuid
客户端号
ip
客户端主机的IP地址
cmdline
用户启动完整命令行
pid
进程ID
name
进程文件名
path
进程文件完整路径
md5
进程文件进行MD5计算,超过1 MB的进程文件不进行计算。
pname
父进程文件名
start_time
进程启动时间,内置字段
user
用户名
uid
用户ID
登录日志
1分钟内重复登录会被合并为1条日志。
日志字段
说明
__topic__
日志主题,固定为aegis-log-login。
owner_id
阿里云账号ID
uuid
客户端号
ip
客户端主机的IP地址
warn_ip
登录来源IP地址
threat_warn_ip
登录来源IP地址的威胁情报。更多信息,请参见威胁情报字段。
warn_port
登录端口
warn_type
登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
warn_user
登录用户名
warn_count
登录次数,例如3次表示这次登录前1分钟内还发送了2次。
暴力破解日志
字段名
说明
__topic__
日志主题,固定为aegis-log-crack。
owner_id
阿里云账号ID
uuid
客户端号
ip
客户端主机的IP地址
warn_ip
登录来源IP地址
threat_warn_ip
登录来源IP地址的威胁情报。更多信息,请参见威胁情报字段。
warn_port
登录端口
warn_type
登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
warn_user
登录用户名
warn_count
失败登录次数
主机网络连接日志
主机上每隔10秒到1分钟会收集变化的网络连接。
日志字段
说明
__topic__
日志主题,固定为aegis-log-network。
owner_id
阿里云账号ID
uuid
客户端号
ip
客户端主机的IP地址
src_ip
源IP地址
threat_src_ip
源IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
源端口
dst_ip
目标IP地址
threat_dst_ip
目标IP地址的威胁情报。更多信息,请参见威胁情报字段。
dst_port
目标端口
proc_name
进程名
proc_path
进程路径
proto
连接协议
status
连接状态。更多信息,请参见网络连接状态描述列表。
表 4. 网络连接状态描述列表
状态值
描述
1
closed
2
listen
3
syn send
4
syn recv
5
establisted
6
close wait
7
closing
8
fin_wait1
9
fin_wait2
10
time_wait
11
delete_tcb
端口监听快照
日志字段
说明
__topic__
日志主题,固定为aegis-snapshot-port。
owner_id
阿里云账号ID
uuid
客户端号
ip
客户端IP地址
proto
监听协议
src_ip
监听IP地址
threat_src_ip
监听IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
监听端口
pid
进程ID
proc_name
进程名
账户快照
日志字段
说明
__topic__
日志主题,固定为aegis-snapshot-host。
owner_id
阿里云账号ID
name
漏洞名称
alias_name
漏洞别名
op
操作信息,包括:
new:新增
verify:验证
fix:修复
status
连接状态。更多信息,请参见网络连接状态描述列表。
tag
漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。
type
漏洞类型,包括:
sys:windows漏洞
cve:Linux漏洞
cms:Web CMS漏洞
EMG:紧急漏洞
uuid
客户端号
DNS请求日志
日志字段
说明
__topic__
日志主题,固定为aegis-log-dns-query。
ali_uid
阿里云账号ID
uuid
客户端号
ip
客户端机器IP地址
pid
DNS请求发起者进程ID
ppid
DNS请求发起者的父进程ID
time
DNS请求发生时间
domain
DNS请求对应域名
proc_path
DNS请求发起进程路径
proc_cmdline
DNS请求发起进程命令行
proc_cmd_chain
DNS请求发起者进程链
sas_group_name
云安全中心分组名称
instance_id
实例ID
客户端事件日志
字段名
说明
__topic__
日志主题,固定为aegis-log-client。
uuid
服务器的UUID。
client_ip
服务器IP地址。
agent_version
客户端版本。
last_login
上次登录的时间戳。单位:毫秒。
platform
操作系统类型。取值:
windows
linux
region_id
服务器所在地域ID。
status
客户端状态。取值:
online
offline