本文介绍云安全中心支持的14种日志的字段详情。

网络日志

  • DNS日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为sas-log-dns
    additional additional字段,多个值之间用竖线(|)分隔
    additional_num additional数量
    answer DNS回答信息,多个值之间用竖线(|)分隔
    answer_num DNS回答信息数量
    authority authority字段,多个值之间用竖线(|)分隔
    authority_num authority数量
    client_subnet 客户端子网
    dst_ip 目标IP地址
    dst_port 目标端口
    in_out 数据的传输方向
    • in表示流入
    • out表示流出
    qid 查询ID
    qname 查询域名
    qtype 查询类型
    query_datetime 查询时间戳,单位:毫秒
    rcode 返回代码
    region 地域ID
    • 1:北京
    • 2:青岛
    • 3:杭州
    • 4:上海
    • 5:深圳
    • 6:其它
    response_datetime 返回时间,例如:2018-09-25 09:59:16
    src_ip 源IP地址
    src_port 源端口
  • 本地DNS日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为local-dns
    answer_rda DNS回答信息,多个值之间用竖线(|)分隔
    answer_ttl DNS回答的时间周期,多个值之间用竖线(|)分隔
    answer_type DNS回答的类型,多个值之间用竖线(|)分隔
    anwser_name DNS回答的名称,多个值之间用竖线(|)分隔
    dest_ip 目标IP地址
    dest_port 目标端口
    group_id 分组ID
    hostname 主机名
    id 主机IP地址
    instance_id 实例ID
    internet_ip 互联网IP地址
    ip_ttl IP周期
    query_name 查询域名
    query_type 查询类型
    src_ip 源IP地址
    src_port 源端口
    time 查询的时间戳,单位:秒
    time_usecond 响应耗时,单位:微秒
    tunnel_id 通道ID
  • 网络会话日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为sas-log-session
    asset_type 关联的资产类型,例如:ECS
    dst_ip 目标IP地址
    dst_port 目标端口
    proto 协议类型,例如:tcp、udp
    session_time 会话时间,例如:2018-09-25 09:59:49
    src_ip 源IP地址
    src_port 源端口
  • Web访问日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为sas-log-http
    content_length 内容长度
    dst_ip 目标IP地址
    dst_port 目标端口
    host 访问的主机名
    jump_location 重定向地址
    method HTTP请求方法,例如:GET
    referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接
    request_datetime 请求时间
    ret_code 返回状态值
    rqs_content_type 请求内容类型
    rsp_content_type 响应内容类型
    src_ip 源IP地址
    src_port 源端口
    uri 请求URI
    user_agent 向客户端发起的请求
    x_forward_for 路由跳转信息

安全日志

  • 漏洞日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为sas-vul-log
    name 漏洞名称
    alias_name 漏洞别名
    op 操作信息
    • new:新增
    • verify:验证
    • fix:修复
    status 状态信息,详情请参见表 2
    tag 漏洞标签,例如:oval、system、cms
    type 漏洞类型,例如:
    • sys:windows漏洞
    • cve:Linux漏洞
    • cms:Web CMS漏洞
    • EMG: 紧急漏洞
    uuid 客户端号
  • 基线日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为sas-hc-log
    level 日志级别,例如:ow、mediam、high
    op 操作信息,例如:
    • new:新增
    • verify:验证
    • fix:修复
    risk_name 风险名称
    status 状态信息,详情请参见表 2
    sub_type_alias 子类型别名,中文格式
    sub_type_name 子类型名称
    type_name 类型名称
    type_alias 类型别名,中文格式
    uuid 客户端号
    表 1. 基线type-sub-type列表
    type_name sub_type_name
    system baseline
    weak_password postsql_weak_password
    database redis_check
    account system_account_security
    account system_account_security
    weak_password mysq_weak_password
    weak_password ftp_anonymous
    weak_password rdp_weak_password
    system group_policy
    system register
    account system_account_security
    weak_password sqlserver_weak_password
    system register
    weak_password ssh_weak_password
    weak_password ftp_weak_password
    cis centos7
    cis tomcat7
    cis memcached-check
    cis mongodb-check
    cis ubuntu14
    cis win2008_r2
    system file_integrity_mon
    cis linux-httpd-2.2-cis
    cis linux-docker-1.6-cis
    cis SUSE11
    cis redhat6
    cis bind9.9
    cis centos6
    cis debain8
    cis redhat7
    cis SUSE12
    cis ubuntu16
    表 2. 安全日志状态码
    状态值 说明
    1 未修复
    2 修复失败
    3 回滚失败
    4 修复中
    5 回滚中
    6 验证中
    7 修复成功
    8 修复成功待重启
    9 回滚成功
    10 忽略
    11 回滚成功待重启
    12 已不存在
    20 已失效
  • 安全告警日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为sas-security-log
    data_source 数据源
    • aegis_suspicious_event:主机异常
    • aegis_suspicious_file_v2:Webshell
    • aegis_login_log:异常登录
    • security_event:安全中心异常事件
    level 告警级别,例如:suspicious、serious、remind
    name 名称
    op 操作信息,例如:
    • new:新增
    • dealing:处理
    status 状态信息,详情请参见表 2
    uuid 客户端号

主机日志

  • 进程启动日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-log-process
    uuid 客户端号
    ip 客户端主机的IP地址
    cmdline 启动进程的完整命令行
    username 用户名
    uid 用户ID
    pid 进程ID
    filename 进程文件名
    filepath 进程文件所在的完整路径
    groupname 用户组
    ppid 父进程ID
    pfilename 父进程文件名
    pfilepath 父进程文件所在的完整路径
    containerhostname 容器主机名
    containerpid 容器PID
    containerimageid 镜像ID
    containerimagename 镜像名称
    containername 容器名称
    containerid 容器ID
    cwd 进程运行目录
  • 进程快照日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-snapshot-process
    uuid 客户端号
    ip 客户端主机的IP地址
    cmdline 启动进程的完整命令行
    pid 进程ID
    name 进程文件名
    path 进程文件所在的完整路径
    md5 进程文件MD5,超过1MB的进程文件不进行计算。
    pname 父进程文件名
    start_time 进程启动时间
    user 用户名
    uid 用户ID
  • 登录日志
    说明 1分钟内的重复登录会被合并为1条日志,warn_count字段表示次数。
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-log-login
    uuid 客户端号
    ip 客户端主机的IP地址
    warn_ip 登录来源IP地址
    warn_port 登录端口
    warn_type 登录类型,例如:
    • SSHLOGIN:SSH登录
    • RDPLOGIN:远程桌面登录
    • IPCLOGIN:IPC登录
    warn_user 登录用户名
    warn_count 登录次数,例如:值为3,表示这次登录前1分钟内还发送了2次。
  • 暴力破解日志
    字段名 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-log-crack
    uuid 客户端号
    ip 客户端机器IP地址
    warn_ip 登录来源IP地址
    warn_port 登录端口
    warn_type 登录类型,例如:
    • SSHLOGIN:SSH登录
    • RDPLOGIN:远程桌面登录
    • IPCLOGIN:IPC登录
    warn_user 登录用户名
    warn_count 失败登录次数
  • 网络连接日志
    说明 主机上每隔10秒到1分钟采集一次变化的网络连接日志,而一个网络连接的状态从建立到结束的过程中部分状态会被采集到。
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-log-network
    uuid 客户端号
    ip 客户端机器IP地址
    src_ip 源IP地址
    src_port 源端口
    dst_ip 目标IP地址
    dst_port 目标端口
    proc_name 进程名
    proc_path 进程路径
    proto 协议,例如:udp、raw
    status 连接状态,详情请参见表 3
    表 3. 网络连接状态
    状态值 描述
    1 closed
    2 listen
    3 syn send
    4 syn recv
    5 establisted
    6 close wait
    7 closing
    8 fin_wait1
    9 fin_wait2
    10 time_wait
    11 delete_tcb
  • 端口快照日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-snapshot-port
    uuid 客户端号
    ip 客户端机器IP地址
    proto 协议,例如:tcp、udp、raw
    src_ip 监听的IP地址
    src_port 监听的端口
    pid 进程ID
    proc_name 进程名
  • 账户快照日志
    字段名称 说明
    __time__ 日志时间
    __topic__ 日志主题,固定为aegis-snapshot-host
    uuid 客户端号
    ip 客户端机器IP地址
    user 用户
    perm 是否拥有root权限
    • 0:没有
    • 1:有
    home_dir home目录
    groups 用户属于的组
    last_chg 密码最后修改日期
    shell Shell命令
    domain Windows域
    tty 登录的终端
    warn_time 密码到期提醒日期
    account_expire 账号超期日期
    passwd_expire 密码超期日期
    login_ip 最后一次登录的远程IP地址
    last_logon 最后一次登录的日期和时间
    status 用户状态
    • 0:禁用
    • 1:正常