本文介绍云安全中心网络日志、安全日志和主机日志的字段详情。
网络日志
DNS日志
日志字段
说明
__topic__
日志主题,固定为sas-log-dns。
owner_id
阿里云账号ID。
additional
additional字段,各个值之间以竖线(|)分隔。
additional_num
additional字段数量。
answer
DNS回答信息,各个值之间以竖线(|)分隔。
answer_num
DNS回答信息数量。
authority
authority字段。
authority_num
authority字段数量。
client_subnet
客户端子网。
dst_ip
目标IP地址。
dst_port
目标端口。
net_connect_dir
数据的传输方向,包括:
in:入方式
out:出方向
qid
查询ID。
query_name
查询域名。
query_type
查询类型。
query_datetime
查询时间戳,单位:毫秒。
rcode
返回代码。
region
来源地域ID,包括:
1:北京
2:青岛
3:杭州
4:上海
5:深圳
6:其它
response_datetime
返回时间。
src_ip
源IP地址。
threat_src_ip
源IP地址的威胁情报。更多信息,请参见威胁情报字段。
src_port
源端口。
start_time
开始时间戳,单位秒。
本地DNS日志
字段名
说明
__topic__
日志主题,固定为local-dns。
owner_id
阿里云账号ID。
answer_rdata
DNS回答信息,各个值之间以竖线(|)分隔。
answer_ttl
DNS回答的时间周期,各个值之间以竖线(|)分隔。
answer_type
DNS回答的类型,各个值之间以竖线(|)分隔。以下是常见的DNS响应类型取值:
1:A记录。
2:NS记录。
5:CNAME记录。
6:SOA记录。
10:NULL记录。
12:PTR记录。
15:MX记录。
16:TXT记录。
25:KEY记录。
28:AAAA记录。
33:SRV记录。
41:OPT记录。
43:DS记录。
44:SSHFP记录。
45:IPSECKEY记录。
46:RRSIG记录。
47:NSEC记录。
answer_name
DNS回答的名称,各个值之间以竖线(|)分隔。
dst_ip
目标IP地址。
dst_port
目标端口。
group_id
分组ID。
host
主机名。
id
查询ID。
instance_id
实例ID。
internet_ip
互联网IP地址。
ip_ttl
IP地址的周期。
query_name
查询域名。
query_type
查询类型。
src_ip
源IP地址。
src_port
源端口。
start_time
查询时间戳,单位:秒。
time_usecond
响应耗时,单位:微秒。
tunnel_id
通道ID。
网络会话日志
日志字段
说明
__topic__
日志主题,固定为sas-log-session。
owner_id
阿里云账号ID。
asset_type
关联的资产类型,例如ECS、SLB、RDS等。
net_connect_dir
网络连接方向。
dst_ip
目标IP地址。
dst_port
目标端口。
l4_proto
协议类型,例如TCP、UDP。
session_time
Session时间。
src_ip
源IP地址。
src_port
源端口。
start_time
开始时间戳,单位秒。
Web日志
日志字段
说明
__topic__
日志主题,固定为sas-log-http。
owner_id
阿里云账号ID。
response_content_length
内容长度。
dst_ip
目标IP地址。
dst_port
目标端口。
host
访问主机名。
jump_location
重定向地址。
request_method
HTTP访问。
request_datetime
请求时间。
status
返回状态值。
content_type
请求内容类型。
response_content_type
响应内容类型。
src_ip
源IP地址。
src_port
源端口。
request_uri
请求URI。
http_user_agent
向客户端发起的请求。
http_x_forward_for
路由跳转信息。
安全日志
漏洞日志
日志字段
说明
__topic__
日志主题,固定为sas-vul-log。
owner_id
阿里云账号ID。
vul_name
漏洞名称。
vul_alias_name
漏洞别名。
risk_level
风险等级。
vul_primary_id
漏洞标识符。
instance_name
机器名称。
operation
操作信息,包括:
new:新增
verify:验证
fix:修复
status
状态。更多信息,请参见安全日志状态码。
tag
漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。
type
漏洞类型,包括:
sys:windows漏洞
cve:Linux漏洞
cms:Web CMS漏洞
emg:紧急漏洞
uuid
客户端号。
extend_content
漏洞扩展信息。
instance_id
实例ID。
internet_ip
资产的公网IP。
intranet_ip
资产的私网IP。
start_time
开始时间戳,单位秒。
基线日志
日志字段
说明
__topic__
日志主题,固定为sas-hc-log。
owner_id
阿里云账号ID。
risk_level
风险级别。
operation
操作信息,包括:
new:新增
verify:验证
risk_name
风险名称。
status
状态。更多信息,请参见安全日志状态码。
sub_type_alias_name
子类型别名,中文。
sub_type_name
子类型名称。
type_name
类型名称。更多信息,请参见基线type-sub-type列表。
type_alias_name
类型别名,中文。
uuid
客户端号。
check_item_name
检查项名称。
check_item_level
检查项级别。
check_type
检查项类型。
instance_id
示例ID。
start_time
开始时间戳,单位秒。
表 1. 基线type-sub-type列表
type_name
sub_type_name
system
baseline
weak_password
postsql_weak_password
database
redis_check
account
system_account_security
account
system_account_security
weak_password
mysq_weak_password
weak_password
ftp_anonymous
weak_password
rdp_weak_password
system
group_policy
system
register
account
system_account_security
weak_password
sqlserver_weak_password
system
register
weak_password
ssh_weak_password
weak_password
ftp_weak_password
cis
centos7
cis
tomcat7
cis
memcached-check
cis
mongodb-check
cis
ubuntu14
cis
win2008_r2
system
file_integrity_mon
cis
linux-httpd-2.2-cis
cis
linux-docker-1.6-cis
cis
SUSE11
cis
redhat6
cis
bind9.9
cis
centos6
cis
debain8
cis
redhat7
cis
SUSE12
cis
ubuntu16
表 2. 安全日志状态码
状态值
说明
1
未修复
2
修复失败
3
回滚失败
4
修复中
5
回滚中
6
验证中
7
修复成功
8
修复成功待重启
9
回滚成功
10
忽略
11
回滚成功待重启
12
已不存在
20
已失效
安全告警日志
日志字段
说明
__topic__
日志主题,固定为sas-security-log。
data_source
数据源。更多信息,请参见安全告警data_source列表。
level
告警级别。
name
名称。
operation
操作信息,包括:
new:新增
dealing:处理
status
状态。更多信息,请参见安全日志状态码。
uuid
客户端号。
detail
告警详情。
unique_info
告警的唯一标识。
instance_id
示例ID。
internet_ip
资产的公网IP。
intranet_ip
资产的私网IP。
start_time
开始时间戳,单位秒。
表 3. 安全告警data_source列表
值
描述
aegis_suspicious_event
主机异常。
aegis_suspicious_file_v2
Webshell。
aegis_login_log
异常登录。
security_event
安全中心异常事件。
云平台配置检查日志
日志字段
说明
__topic__
日志主题,固定为sas-cspm-log。
check_id
检查项ID。您可以调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。
check_item_name
检查项名称。
instance_id
实例ID。
instance_name
实例名称。
instance_result
风险产生的影响。格式为JSON字符串。
instance_sub_type
实例的子类型。取值:
当实例类型为ECS时,子类型的取值:
INSTANCE。
DISK。
SECURITY_GROUP。
当实例类型为ACR时,子类型的取值:
REPOSITORY_ENTERPRISE。
REPOSITORY_PERSON。
当实例类型为RAM时,子类型的取值:
ALIAS。
USER。
POLICY。
GROUP。
当实例类型为WAF时,子类型的取值为DOMAIN。
当实例类型为其他值时,子类型的取值为INSTANCE。
instance_type
实例类型。取值:
ECS:云服务器。
SLB:负载均衡。
RDS:RDS数据库。
MONGODB:MongoDB数据库。
KVSTORE:Redis数据库。
ACR:容器镜像服务。
CSK:CSK。
VPC:专有网络。
ACTIONTRAIL:操作审计。
CDN:内容分发网络。
CAS:数字证书管理服务(原SSL证书)。
RDC:云效。
RAM:访问控制。
DDoS:DDoS防护。
WAF:Web应用防火墙。
OSS:对象存储。
POLARDB:PolarDB数据库。
POSTGRESQL:PostgreSQL数据库。
MSE:微服务引擎。
NAS:文件存储。
SDDP:敏感数据保护。
EIP:弹性公网IP。
region_id
实例所在地域ID。
requirement_id
条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。
risk_level
风险级别。取值:
LOW。
MEDIUM。
HIGH。
section_id
章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。
standard_id
标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。
status
检查项的状态。取值:
NOT_CHECK:未检查。
CHECKING:检查中。
PASS:检查通过。
NOT_PASS:检查未通过。
WHITELIST:已加入白名单。
vendor
所属云厂商。固定取值:ALIYUN。
start_time
开始时间戳,单位秒。
网络防御日志
日志字段
说明
__topic__
日志主题,固定为sas-net-block。
cmd
被攻击的进程命令行。
cur_time
攻击事件的发生时间。
decode_payload
HEX格式转换为字符的payload。
dst_ip
被攻击资产的IP地址。
dst_port
被攻击资产的端口。
func
拦截事件的类型。取值:
payload:恶意负载类型,表示由于检测到恶意数据或指令而触发的攻击事件拦截。
tuple:恶意IP类型,表示由于检测到恶意IP访问而触发的攻击事件拦截。
rule_type
拦截事件下的具体规则类型。取值:
alinet_payload:云安全中心指定的payload事件防御规则。
alinet_tuple:云安全中心指定的tuple事件防御规则。
instance_id
被攻击资产的实例ID。
internet_ip
被攻击资产的公网IP。
intranet_ip
被攻击资产的私网IP。
final_action
防御动作模式。取值:block(已拦截)。
payload
HEX格式的payload。
pid
被攻击的进程ID。
platform
被攻击资产的系统类型。取值:
win。
linux。
proc_path
被攻击的进程路径。
sas_group_name
服务器在云安全中心的资产分组。
src_ip
发起攻击的源IP地址。
src_port
发起攻击的源端口。
uuid
服务器的UUID。
owner_id
阿里云账号ID。
start_time
开始时间戳,单位秒。
应用防护日志
日志字段
说明
__topic__
日志主题,固定为sas-rasp-log。
app_dir
应用所在目录。
app_id
应用ID。
app_name
应用名称。
confidence_level
检测算法的置信度。取值:
high。
medium。
low。
request_body
请求体信息。
request_content_length
请求体长度。
data
hook点参数。
headers
请求头信息。
hostname
主机或网络设备的名称。
host_ip
主机私网IP地址。
is_clipped
该条日志是否因为超长被裁剪过。取值:
true:裁剪过。
false:未裁剪过。
jdk_version
JDK版本。
message
告警描述信息。
request_method
请求方法。
platform
操作系统类型。
arch
操作系统架构。
kernel_version
操作系统内核版本。
param
请求参数,常见格式包括:
GET参数。
application/x-www-form-urlencoded。
payload
有效攻击载荷。
payload_length
有效攻击载荷长度。
rasp_id
应用防护探针唯一ID。
rasp_version
应用防护探针版本。
src_ip
请求者IP地址。
final_action
告警处理结果。取值:
block:防护,即阻断。
monitor:监控。
rule_action
规则指定的告警处理方式。取值:
block。
monitor。
risk_level
风险级别。取值:
high。
medium。
low。
stacktrace
堆栈信息。
time
触发告警的时间。
timestamp
触发告警的时间戳,单位为毫秒。
type
漏洞类型。取值:
attach:恶意Attach。
beans:恶意beans绑定。
classloader:恶意类加载。
dangerous_protocol:危险协议使用。
dns:恶意DNS查询。
engine:引擎注入。
expression:表达式注入。
file:恶意文件读写。
file_delete:任意文件删除。
file_list:目录遍历。
file_read:任意文件读取。
file_upload:恶意文件上传。
jndi:JNDI注入。
jni:JNI注入。
jstl:JSTL任意文件包含。
memory_shell:内存马注入。
rce:命令执行。
read_object:反序列化攻击。
reflect:恶意反射调用。
sql:SQL注入。
ssrf:恶意外连。
thread_inject:线程注入。
xxe:XXE攻击。
url
请求URL。
rasp_attack_uuid
漏洞UUID。
uuid
主机UUID。
internet_ip
主机公网IP地址。
intranet_ip
主机私网IP地址。
sas_group_name
云安全中心服务器分组名称。
instance_id
主机实例ID。
owner_id
阿里云账号ID。
start_time
开始时间戳,单位秒。
文件检测日志
字段名
说明
__topic__
日志主题,固定为sas-filedetect-log。
bucket_name
Bucket名称。
event_id
告警ID。
event_name
告警名称。
md5
文件的MD5值。
sha256
文件的SHA256值。
result
检测结果。
0:文件安全。
1:存在恶意文件。
file_path
文件路径。
etag
OSS文件标识。
risk_level
风险等级。
serious:紧急。
suspicions:可疑。
remind:提醒。
source
检测场景。
OSS:在云安全中心控制台执行对阿里云对象存储Bucket内文件的检测。
API:通过SDK接入的方式检测恶意文件,支持通过Java或Python接入。
parent_md5
父类文件或压缩包文件的MD5值。
parent_sha256
父类文件或压缩包文件的SHA256值。
parent_file_path
父类文件或压缩包文件的名称。
owner_id
阿里云账号ID。
start_time
开始检测时间的时间戳。单位为秒。
主机日志
进程启动日志
日志字段
说明
__topic__
日志主题,固定为aegis-log-process。
uuid
客户端号。
host_ip
客户端主机的IP地址。
cmdline
用户启动完整命令行。
username
用户名。
uid
用户ID。
pid
进程ID。
proc_name
进程文件名。
proc_path
进程文件完整路径。
proc_start_time
进程的启动时间。
parent_proc_start_time
父进程的启动时间。
groupname
用户组。
ppid
父进程ID。
parent_proc_name
父进程文件名。
parent_proc_path
父进程文件完整路径。
cmd_chain
进程链。
container_hostname
容器主机名。
container_pid
容器PID。
container_image_id
镜像ID。
container_image_name
镜像名称。
container_name
容器名称。
container_id
容器ID。
cwd
进程运行目录。
owner_id
阿里云账号ID。
start_time
开始时间戳,单位秒。
cmd_chain_index
进程链索引,可以通过相同索引查找进程链。
cmd_index
命令行每个参数的索引,每两个为一组,标识一个参数的起止索引。
comm
进程关联的命令名。
gid
进程组的ID。
instance_id
实例ID。
parent_cmd_line
父进程的命令行。
sas_group_name
服务器在云安全中心的资产分组。
srv_cmd
祖进程的命令行。
tty
登录的终端。N/A表示账号从未登录过终端。
uid
用户ID。
start_time
开始时间戳,单位秒。
进程快照日志
日志字段
说明
__topic__
日志主题,固定为aegis-snapshot-process。
owner_id
阿里云账号ID。
uuid
客户端号。
host_ip
客户端主机的IP地址。
cmdline
用户启动完整命令行。
pid
进程ID。
proc_name
进程文件名。
proc_path
进程文件完整路径。
md5
进程文件进行MD5计算,超过1 MB的进程文件不进行计算。
parent_proc_name
父进程文件名。
proc_start_time
进程启动时间,内置字段。
user
用户名。
uid
用户ID。
start_time
开始时间戳,单位秒。
instance_id
实例ID。
pname
父进程文件名。
sas_group_name
服务器在云安全中心的资产分组。
登录日志
1分钟内重复登录会被合并为1条日志。
日志字段
说明
__topic__
日志主题,固定为aegis-log-login。
owner_id
阿里云账号ID。
uuid
客户端号。
host_ip
客户端主机的IP地址。
src_ip
登录来源IP地址。
dst_port
登录端口。
login_type
登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
username
登录用户名。
login_count
登录次数,例如3次表示这次登录前1分钟内还发送了2次。
instance_id
实例ID。
sas_group_name
服务器在云安全中心的资产分组。
start_time
开始时间戳戳,单位秒。
暴力破解日志
字段名
说明
__topic__
日志主题,固定为aegis-log-crack。
owner_id
阿里云账号ID。
uuid
客户端号。
host_ip
客户端主机的IP地址。
src_ip
登录来源IP地址。
dst_port
登录端口。
login_type
登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
username
登录用户名。
login_count
失败登录次数。
instance_id
实例ID。
sas_group_name
服务器在云安全中心的资产分组 。
start_time
开始时间戳,单位秒。
主机网络连接日志
主机上每隔10秒到1分钟会收集变化的网络连接。
日志字段
说明
__topic__
日志主题,固定为aegis-log-network。
owner_id
阿里云账号ID。
uuid
客户端号。
host_ip
客户端主机的IP地址。
src_ip
源IP地址。
src_port
源端口。
dst_ip
目标IP地址。
threat_dst_ip
目标IP地址的威胁情报。更多信息,请参见威胁情报字段。
dst_port
目标端口。
proc_name
进程名。
proc_path
进程路径。
connection_type
连接协议。
status
连接状态。更多信息,请参见网络连接状态描述列表。
net_connect_dir
网络连接方向。
parent_proc_name
父进程可执行文件名。
cmd_chain
进程链。
cmd_chain_index
进程链索引,可以通过相同索引查找进程链。
container_hostname
容器内服务器名称。
container_id
容器ID。
container_image_id
镜像ID。
container_image_name
镜像名称。
container_name
容器名称。
container_pid
容器内进程ID。
instance_id
实例ID。
pid
进程ID。
ppid
父进程ID。
proc_start_time
进程的启动时间。
src_ip
源IP地址。
src_port
源端口。
srv_comm
父进程的父进程关联的命令名。
type
实时网络连接的类型。取值如下:
connect:主动发起TCP connect连接。
accept:收到TCP连接。
listen:端口监听。
uid
进程用户的ID。
username
进程的用户名。
start_time
开始时间戳,单位秒。
表 4. 网络连接状态描述列表
状态值
描述
1
closed
2
listen
3
syn send
4
syn recv
5
establisted
6
close wait
7
closing
8
fin_wait1
9
fin_wait2
10
time_wait
11
delete_tcb
端口监听快照
日志字段
说明
__topic__
日志主题,固定为aegis-snapshot-port。
owner_id
阿里云账号ID。
uuid
客户端号。
host_ip
客户端IP地址。
connection_type
监听协议。
src_ip
监听IP地址。
src_port
监听端口。
pid
进程ID。
proc_name
进程名。
net_connect_dir
网络连接方向。
dst_ip
网络连接接收者的IP。
dir为out时,表示对端主机。
dir为in时,表示本机。
dst_port
网络连接接收者的端口。
instance_id
实例ID。
sas_group_name
服务器在云安全中心的资产分组。
status
网络连接状态。取值:
1:连接已关闭(closed)。
2:正在等待连接请求(listen)。
3:已发送SYN请求(syn send)。
4:已接收SYN请求(syn recv)。
5:连接已建立(established)。
6:等待关闭连接(close wait)。
7:正在关闭连接(closing)。
8:等待对方发送关闭请求(fin_wait1)。
9:等待对方发送关闭请求并确认(fin_wait2)。
10:等待足够的时间以确保对方收到关闭请求的确认(time_wait)。
11:已删除传输控制块(delete_tcb)。
start_time
开始时间戳,单位秒。
账户快照
日志字段
说明
__topic__
日志主题,固定为aegis-snapshot-host。
owner_id
阿里云账号ID。
name
漏洞名称。
alias_name
漏洞别名。
op
操作信息,包括:
new:新增
verify:验证
fix:修复
status
连接状态。更多信息,请参见网络连接状态描述列表。
tag
漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。
type
漏洞类型,包括:
sys:windows漏洞
cve:Linux漏洞
cms:Web CMS漏洞
EMG:紧急漏洞
uuid
客户端号。
username
登录用户名。
host_ip
服务器IP地址。
account_expire
账号的过期时间。never表示永不过期。
domain
账号所在的域或目录服务。N/A表示不属于任何域。
groups
账号所在的分组。N/A表示不属于任何组。
home_dir
主目录,是系统中存储和管理文件的默认位置。
instance_id
实例ID。
last_chg
最后一次修改密码的日期。
last_logon
最后一次登录账号的日期和时间。N/A表示从未登录过。
login_ip
最后一次登录账号的远程IP地址。N/A表示从未登录过。
passwd_expire
密码的过期日期。never表示永不过期。
perm
是否拥有root权限。取值:
0:没有root权限。
1:有root权限。
sas_group_name
服务器在云安全中心的资产分组。
shell
Linux的Shell命令。
tty
登录的终端。N/A表示从未登录过终端。
warn_time
密码到期提醒日期。never表示永不提醒。
start_time
开始时间戳,单位秒。
DNS请求日志
日志字段
说明
__topic__
日志主题,固定为aegis-log-dns-query。
owner_id
阿里云账号ID。
uuid
客户端号。
host_ip
客户端机器IP地址。
pid
DNS请求发起者进程ID。
ppid
DNS请求发起者的父进程ID。
time
DNS请求发生时间。
domain
DNS请求对应域名。
proc_path
DNS请求发起进程路径。
cmdline
DNS请求发起进程命令行。
cmd_chain
DNS请求发起者进程链。
sas_group_name
云安全中心分组名称。
instance_id
实例ID。
start_time
开始时间戳,单位秒。
客户端事件日志
字段名
说明
__topic__
日志主题,固定为aegis-log-client。
uuid
服务器的UUID。
host_ip
服务器IP地址。
agent_version
客户端版本。
last_login
上次登录的时间戳。单位:毫秒。
platform
操作系统类型。取值:
windows
linux
region_id
服务器所在地域ID。
status
客户端状态。取值:
online
offline
owner_id
阿里云账号ID。
start_time
开始时间戳,单位秒。