本文档提供了云安全中心支持的14项日志的字段说明。

网络日志

DNS解析日志

字段名 说明 示例
additional additional字段,竖线分隔。
additional_num additional字段数量。 0
answer DNS回答信息,竖线分隔。 abc.com A IN 52 1.2.3.4
answer_num DNS回答信息数量。 1
authority authority字段。 a1.a2.com NS IN 17597 b1.b2.com
authority_num authority字段数量。 1
client_subnet 客户端子网。 172.168.100.1
dst_ip 目标IP。 1.2.3.4
dst_port 目标端口。 53
in_out 数据的传输方向,取值:
  • in:流入
  • out:流出
out
qid 查询ID。 12345
qname 查询域名。 abc.com
qtype 查询类型。 A
query_datetime 查询时间戳(毫秒)。 1537840756263
rcode 返回代码。 0
region 来源区域ID。取值:
  • 1:北京
  • 2:青岛
  • 3:杭州
  • 4:上海
  • 5:深圳
  • 6:其他
1
response_datetime 返回时间。 2018-09-25 09:59:16
src_ip 源IP地址。 1.2.3.4
src_port 源端口。 22

本地DNS日志

字段名 说明 示例
answer_rda DNS回答信息,竖线分隔。 abc.com
answer_ttl DNS回答的时间周期,竖线分隔。 100
answer_type DNS回答的类型,竖线分隔。 1
anwser_name DNS回答的名称,竖线分隔。 abc.com
dest_ip 目标IP地址。 1.2.3.4
dest_port 目标端口。 53
group_id 分组ID。 3
hostname 主机名。 host.abc.com
id 查询的ID。 64588
instance_id 实例ID。 i-2zeg4zldn8zypsfg****
internet_ip 公网IP地址。 1.2.3.4
ip_ttl IP的周期。 64
query_name 查询的域名。 abc.com
query_type 查询的类型。 A
src_ip 源IP地址。 1.2.3.4
src_port 源端口。 1234
time 查询时间戳(秒)。 1537840756
time_usecond 响应耗时(微秒)。 49069
tunnel_id 通道ID。 514763

网络会话日志

字段名 说明 示例
asset_type 关联的资产类型。取值:
  • ECS
  • SLB
  • RDS
ECS
dst_ip 目标IP地址。 1.2.3.4
dst_port 目标端口。 53
proto 协议类型。可能取值:
  • tcp
  • udp
tcp
session_time 会话开始时间。 2018-09-25 09:59:49
src_ip 源IP地址。 1.2.3.4
src_port 源端口。 54

Web访问日志

字段名 说明 示例
content_length 内容长度。 123
dst_ip 目的IP地址。 1.2.3.4
dst_port 目的端口。 54
host 访问的主机。 47.XX.XX.158:8080
jump_location 重定向地址。 123
method HTTP请求方式。 GET
referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。 www.abc.com
request_datetime 请求时间。 2018-09-25 09:58:37
ret_code 返回状态值。 200
rqs_content_type 请求内容类型。 text/plain;charset=utf-8
rsp_content_type 响应内容类型。 text/plain; charset=utf-8
src_ip 源IP地址。 1.2.3.4
src_port 源端口。 54
uri 请求URI。 /report
user_agent 向用户客户端发起的请求。 okhttp/3.2.0
x_forward_for 路由跳转信息。 1.2.3.4

安全日志

漏洞日志

字段名 说明 示例
name 漏洞名称。 oval:com.redhat.rhsa:def:20182390
alias_name 漏洞别名。 RHSA-2018:2390: kernel security and bug fix update
op 操作信息。可能取值:
  • new:新增
  • verity:验证
  • fix:修复
new
status 漏洞状态信息。 1
tag 漏洞标签。取值:
  • oval
  • system
  • cms
oval
type 漏洞类型。取值:
  • sys:windows漏洞
  • cve:Linux漏洞
  • cms:Web-CMS漏洞
  • EMG:紧急漏洞
sys
uuid 服务器UUID。 1234-b7ca-4a0a-9267-123456

基线日志

字段名 说明 示例
level 风险项级别。取值:
  • high:高
  • mediam:中
  • low:低
low
op 操作信息。取值:
  • new:新增
  • verity:验证
new
risk_name 风险项名称。 密码策略合规检测
status 状态信息。更多信息请参见安全日志状态码 1
sub_type_alias 子类型别名(中文)。 系统账户安全
sub_type_name 子类型名称。 system_account_security
type_name 检测类型名称。 account
type_alias 类型别名(中文)。 cis
uuid 检测出当前风险项的服务器UUID。 12345-b7ca-4a0a-9267-123456

基线type-sub-type列表

type_name sub_type_name
system baseline
weak_password postsql_weak_password
database redis_check
account system_account_security
account system_account_security
weak_password mysq_weak_password
weak_password ftp_anonymous
weak_password rdp_weak_password
system group_policy
system register
account system_account_security
weak_password sqlserver_weak_password
system register
weak_password ssh_weak_password
weak_password ftp_weak_password
cis centos7
cis tomcat7
cis memcached-check
cis mongodb-check
cis ubuntu14
cis win2008_r2
system file_integrity_mon
cis linux-httpd-2.2-cis
cis linux-docker-1.6-cis
cis SUSE11
cis redhat6
cis bind9.9
cis centos6
cis debain8
cis redhat7
cis SUSE12
cis ubuntu16

安全日志状态码

状态值 描述
1 未修复
2 修复失败
3 回滚失败
4 修复中
5 回滚中
6 验证中
7 修复成功
8 修复成功待重启
9 回滚成功
10 忽略
11 回滚成功待重启
12 已不存在
20 已失效

安全告警日志

字段名 说明 示例
data_source 数据源。更多信息请参见安全告警data_source列表 aegis_login_log
level 告警事件的危险等级。取值(以下等级排序按照严重等级递减):
  • serious:紧急
  • suspicious:可疑
  • remind:提醒
suspicious
name 告警名称。 Suspicious Process-SSH-based Remote Execution of Non-interactive Commands
op 操作信息。取值:
  • new:新增
  • dealing:处理
new
status 状态信息。更多信息请参见安全日志状态码 1
uuid 产生告警的服务器UUID。 12345-b7ca-4a0a-9267-123456

安全告警data_source列表

描述
aegis_suspicious_event 主机异常
aegis_suspicious_file_v2 Webshell
aegis_login_log 异常登录
security_event 安全中心异常事件

主机日志

进程启动日志

字段名 说明 示例
uuid 进程所在服务器的UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端主机的IP地址。 1.2.3.4
cmdline 进程启动的完整命令行。 cmd.exe /C "netstat -ano“
username 用户名。 administrator
uid 用户ID。 123
pid 进程ID。 7100
filename 进程文件名。 cmd.exe
filepath 进程文件完整路径。 C:/Windows/SysWOW64/cmd.exe
groupname 用户组。 group1
ppid 父进程ID。 2296
pfilename 父进程文件名。 client.exe
pfilepath 父进程文件完整路径。 D:/client/client.exe

进程快照日志

字段名 说明 示例
uuid 进程所在服务器的UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端主机的IP地址。 1.2.3.4
cmdline 进程启动的完整命令行。 cmd.exe /C "netstat -ano"
pid 进程ID。 7100
name 进程文件名。 cmd.exe
path 进程文件所在的完整路径。 C:/Windows/SysWOW64/cmd.exe
md5 进程文件名MD5。
说明 超过1 MB的进程文件不进行MD5计算。
d0424c22dfa03f6e4d5289f7f5934dd4
pname 父进程文件名。 client.exe
start_time 进程启动时间。内置字段。 2018-01-18 20:00:12
user 用户名。 administrator
uid 用户ID。 123

登录日志

说明 1分钟内的重复登录会被合并为1条日志,字段warn_count表示次数。
字段名 说明 示例
uuid 被登录的服务器的UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 客户端主机的IP地址。 1.2.3.4
warn_ip 登录来源IP地址。 1.2.3.4
warn_port 登录端口。 22
warn_type 登录类型。取值:
  • SSHLOGIN:SSH登录
  • RDPLOGIN:远程桌面登录
  • IPCLOGIN
SSHLOGIN
warn_user 登录用户名。 admin
warn_count 登录次数。1分钟内重复登录会被合并为1条日志。例如warn_count值为3表示这次登录前1分钟内还登录了2次。 3

暴力破解日志

字段名 说明 示例
uuid 被暴力破解的服务器UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 服务器IP地址。 1.2.3.4
warn_ip 登录来源IP地址。 1.2.3.4
warn_port 登录端口。 22
warn_type 登录类型。取值:
  • SSHLOGIN:SSH登录
  • RDPLOGIN:远程桌面登录
  • IPCLOGIN
SSHLOGIN
warn_user 登录用户名。 admin
warn_count 失败登录次数。 3

网络连接日志

说明 服务器上每隔10秒到1分钟会收集变化的网络连接,而一个网络连接的状态收集从建立到结束过程中的部分状态。
字段名 说明 示例
uuid 服务器的UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 服务器IP地址。 1.2.3.4
src_ip 源IP地址。 1.2.3.4
src_port 源端口。 41897
dst_ip 目标IP地址。 1.2.3.4
dst_port 目标端口。 22
proc_name 进程名。 java
proc_path 进程路径。 /hsdata/jdk1.7.0_79/bin/java
proto 协议。取值:
  • tcp
  • udp
  • raw(表示raw socket)
tcp
status 连接状态。更多信息请参见网络连接状态描述列表 5

网络连接状态描述列表

状态值 描述
1 closed
2 listen
3 syn send
4 syn recv
5 establisted
6 close wait
7 closing
8 fin_wait1
9 fin_wait2
10 time_wait
11 delete_tcb

端口监听快照

字段名 说明 示例
uuid 服务器的UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 服务器的IP地址。 1.2.3.4
proto 通信使用的协议。取值:
  • tcp
  • udp
  • raw(表示raw socket)
tcp
src_ip 监听的IP地址。 1.2.3.4
src_port 监听端口。 41897
pid 进程ID。 7100
proc_name 进程名。 kubelet

账号快照

说明 账号快照展示了在您资产中检测到的账号信息。
字段名 说明 示例
uuid 服务器的UUID。 5d83b26b-b7ca-4a0a-9267-123456
ip 服务器IP地址。 1.2.3.4
user 用户名称。 nscd
perm 是否拥有root权限。取值:
  • 0:没有root权限。
  • 1:有root权限。
0
home_dir home目录。 /Users/abc
groups 用户所在的分组。不属于任何组时为N/A ["users", "root"]
last_chg 密码最后的修改日期。 2017-08-24
shell Linux的Shell命令。 /sbin/nologin
domain Windows域。不属于任何域为N/A administrator
tty 登录的终端。不适用时为N/A pts/3
warn_time 密码到期提醒日期。永不提醒时为never 2017-08-24
account_expire 账号过期日期。永不过期时为never 2017-08-24
passwd_expire 密码过期日期。永不过期时为never 2017-08-24
login_ip 最后一次登录的远程IP地址。不适用时为N/A 1.2.3.4
last_logon 最后一次登录的日期和时间。不适用时为N/A 2017-08-21 09:21:21
status 用户状态,取值:
  • 0:禁用
  • 1:正常
0