调用DescribeAlarmEventDetail获取告警事件的详细信息。告警事件分为告警与异常两个维度,一个告警事件包含多个异常事件。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String DescribeAlarmEventDetail

要执行的操作。

取值:DescribeAlarmEventDetail

AlarmUniqueInfo String 8df914418f4211fbf756efe7a6f4****

告警事件的唯一标识。

说明 查询警事件的详细信息,需要提供告警事件的唯一标识信息,该标识信息可调用DescribeAlarmEventList接口获取。
From String sas

请求来源标识,固定为sas。

SourceIp String 1.2.3.4

访问源的IP地址。

Lang String zh

请求和接收消息的语言类型。取值:

  • zh:中文
  • en:英文

返回数据

名称 类型 示例值 描述
Data Struct

告警事件详情。

AlarmEventAliasName String 进程异常行为-Linux计划任务执行异常指令

告警事件完整名称。

AlarmEventDesc String 黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。

告警事件描述。

AlarmUniqueInfo String 8df914418f4211fbf756efe70000****

告警事件的唯一标识。

CanBeDealOnLine Boolean false

是否支持在线处理告警事件,例如阻断隔离、加白名单、忽略等。取值:

  • true:支持在线处理。
  • false:不支持在线处理。
CanCancelFault Boolean false

能否取消标记为误报。取值:

  • true:可以取消标记为误报。
  • false:不能取消标记为误报。
CauseDetails Array of CauseDetail

告警事件发生的原因(溯源信息)。

Key String html

文本的展示方式。取值:

  • text:文本方式。
  • html:富文本方式。
Value Array of Value

溯源信息字段值。

Name String 排查方案

溯源信息字段的名称。

Type String html

溯源信息字段的展示类型。取值:

  • text:文本方式。
  • html:富文本方式。
Value String 请根据上述信息排查您的WEB服务被利用的页面及参数是否存在漏洞,并及时修复。

溯源信息字段的值。

ContainHwMode Boolean true

是否为服务器开启了重保护模式。取值:

  • true:已开启。
  • false:未开启。
DataSource String aegis_***

数据来源。

说明 此参数已废弃。
EndTime Long 1542366542000

告警事件结束时间。

InstanceName String 测试服务器

关联实例的名称。

InternetIp String 1.2.3.1

关联实例的公网IP。

IntranetIp String 1.2.3.5

关联实例的私网IP。

Level String serious

告警事件的危险等级。取值:

  • serious:紧急。
  • suspicious:可疑。
  • remind:提醒。
Solution String 请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件。并及时清理已运行的恶意进程。如果该指令是您自己主动执行,您可以在控制台点击标记为误报,并通过工单方式反馈给阿里云安全工程师。

告警事件的处理方法。

StartTime Long 1542378601000

告警事件的开始时间。

Type String 异常网络连接

告警事件类型。取值:

  • 进程异常行为
  • 网站后门
  • 异常登录
  • 异常事件
  • 敏感文件篡改
  • 恶意进程(云查杀)
  • 异常网络连接
  • 其他
  • 异常账号
  • 应用入侵事件
  • 云产品威胁检测
  • 精准防御
  • 应用白名单
  • 持久化后门
  • Web应用威胁检测
  • 恶意脚本
  • 威胁情报
  • 恶意网络行为
Uuid String 47900178-885d-4fa4-9d77-XXXXXXXXXXXX

关联实例的唯一标识ID。

RequestId String 5A1DDB3C-798C-4A84-BF6E-3DC700000000

阿里云为该请求生成的唯一标识符。

示例

请求示例

http(s)://[Endpoint]/?Action=DescribeAlarmEventDetail
&AlarmUniqueInfo=8df914418f4211fbf756efe7a6f4****
&From=sas
&<公共请求参数>

正常返回示例

XML 格式

<DescribeAlarmEventDetailResponse>
      <RequestId>5A1DDB3C-798C-4A84-BF6E-3DC700000000</RequestId>
      <Data>
            <CanCancelFault>false</CanCancelFault>
            <EndTime>1542366542000</EndTime>
            <ContainHwMode>true</ContainHwMode>
            <CauseDetails>
                  <Key>html</Key>
            </CauseDetails>
            <CauseDetails>
                  <Value>
                        <Type>html</Type>
                        <Value>请根据上述信息排查您的WEB服务被利用的页面及参数是否存在漏洞,并及时修复。</Value>
                        <Name>排查方案</Name>
                  </Value>
            </CauseDetails>
            <StartTime>1542378601000</StartTime>
            <IntranetIp>1.2.3.5</IntranetIp>
            <DataSource>aegis_***</DataSource>
            <InstanceName>测试服务器</InstanceName>
            <Type>异常网络连接</Type>
            <CanBeDealOnLine>false</CanBeDealOnLine>
            <Uuid>47900178-885d-4fa4-9d77-XXXXXXXXXXXX</Uuid>
            <InternetIp>1.2.3.1</InternetIp>
            <AlarmEventDesc>黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。</AlarmEventDesc>
            <AlarmUniqueInfo>8df914418f4211fbf756efe70000****</AlarmUniqueInfo>
            <Level>serious</Level>
            <AlarmEventAliasName>进程异常行为-Linux计划任务执行异常指令</AlarmEventAliasName>
            <Solution>请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件。并及时清理已运行的恶意进程。如果该指令是您自己主动执行,您可以在控制台点击标记为误报,并通过工单方式反馈给阿里云安全工程师。</Solution>
      </Data>
</DescribeAlarmEventDetailResponse>

JSON 格式

{
	"RequestId": "5A1DDB3C-798C-4A84-BF6E-3DC700000000",
	"Data": {
		"CanCancelFault": "false",
		"EndTime": "1542366542000",
		"ContainHwMode": "true",
		"CauseDetails": [{
			"Key": "html"
		}, {
			"Value": [{
				"Type": "html",
				"Value": "请根据上述信息排查您的WEB服务被利用的页面及参数是否存在漏洞,并及时修复。",
				"Name": "排查方案"
			}]
		}],
		"StartTime": "1542378601000",
		"IntranetIp": "1.2.3.5",
		"DataSource": "aegis_***",
		"InstanceName": "测试服务器",
		"Type": "异常网络连接",
		"CanBeDealOnLine": "false",
		"Uuid": "47900178-885d-4fa4-9d77-XXXXXXXXXXXX",
		"InternetIp": "1.2.3.1",
		"AlarmEventDesc": "黑客入侵服务器后,为了让恶意后门程序能持久化运行,黑客常常将恶意SHELL脚本写入crontab、systemd等计划任务。",
		"AlarmUniqueInfo": "8df914418f4211fbf756efe70000****",
		"Level": "serious",
		"AlarmEventAliasName": "进程异常行为-Linux计划任务执行异常指令",
		"Solution": "请及时排查告警中提示的恶意URL,以及所下载的目录下的恶意文件。并及时清理已运行的恶意进程。如果该指令是您自己主动执行,您可以在控制台点击标记为误报,并通过工单方式反馈给阿里云安全工程师。"
	}
}

错误码

访问错误中心查看更多错误码。