Security Center：【通知】日誌分析字典升級

尊敬的阿里雲使用者：

為了提升雲安全產品日誌資料分析體驗的一致性，阿里雲Security Center計劃於2024年08月01日將日誌字典從V1.0版本升級至V2.0。日誌分析字典定義了日誌分析功能支援採集和儲存的欄位的結構、含義和規範。V2.0版本的字典支援在多款阿里雲安全產品（例如：Security Center和Cloud Firewall）中查詢資料做聯合分析，可以使用同一欄位在不同產品中檢索日誌，為您提供更高效的檢索服務。

日誌字典V1.0和V2.0區別

• V1.0為Security Center日誌分析在2024年08月01日前支援的日誌資料擷取方案，支援的具體欄位及欄位說明，請參見日誌類別及欄位說明V1.0。

• V2.0為Security Center在2024年08月01日發布的新版本日誌資料擷取方案，該方案在V1.0版本的基礎上，最佳化了部分欄位的名稱（欄位實質含義保持不變），新增了部分採集欄位。使用V2.0字典，您可以採集到更完整的資料，且該版本可以被多個阿里雲安全產品使用。V2.0版本字典支援的具體欄位及欄位說明，請參見日誌類別及欄位說明V2.0。

以下是V1和V2版本字典的具體差異，未在以下列表中的欄位在V1和V2版本無變更。

• 部落格

  V1.0和V2.0版本字典區別

  日誌類型	變更類型	欄位名V1.0	欄位名V2.0
  Web訪問日誌	修改欄位名	content_length	response_content_length
  		method	request_method
  		referer	http_referer
  		ret_code	status
  		rqs_content_type	content_type
  		rsp_content_type	response_content_type
  		uri	request_uri
  		user_agent	http_user_agent
  		x_forward_for	http_x_forward_for
  DNS解析日誌	修改欄位名	in_out	net_connect_dir
  		qname	query_name
  		qtype	query_type
  網路會話日誌	修改欄位名	in_out	net_connect_dir
  		proto	l4_proto
  本地DNS日誌	修改欄位名	dest_ip	dst_ip
  		dest_port	dst_port
  		hostname	host
  		time	start_time

• 主機日誌

  V1.0和V2.0版本字典區別

  日誌類型	變更類型	欄位名V1.0	欄位名V2.0
  登入流水日誌	修改欄位名	ip	host_ip
  		warn_ip	src_ip
  		warn_port	dst_port
  		warn_type	login_type
  		warn_user	username
  		warn_count	login_count
  	新增欄位	無	start_time
  網路連接日誌	修改欄位名	dir	net_connect_dir
  		ip	host_ip
  		parent_proc_file_name	parent_proc_name
  		proc_stime	proc_start_time
  		proto	connection_type
  	新增欄位	無	start_time
  進程開機記錄	修改欄位名	containerhostname	container_hostname
  		containerid	container_id
  		containerimageid	container_image_id
  		containerimagename	container_image_name
  		containername	container_name
  		containerpid	container_pid
  		filename	proc_name
  		filepath	proc_path
  		ip	host_ip
  		pfilename	parent_proc_name
  		pfilepath	parent_proc_path
  		stime	proc_start_time
  		pstime	parent_proc_start_time
  	新增欄位	無	start_time
  暴力破解日誌	修改欄位名	ip	host_ip
  		warn_count	login_count
  		warn_ip	src_ip
  		warn_type	login_type
  		warn_port	dst_port
  		warn_user	username
  	新增欄位	無	start_time
  帳號快照日誌	修改欄位名	ip	host_ip
  		user	username
  	新增欄位	無	start_time
  網路快照日誌	修改欄位名	dir	net_connect_dir
  		ip	host_ip
  		proto	connection_type
  	新增欄位	無	start_time
  進程快照日誌	修改欄位名	ip	host_ip
  		name	proc_name
  		path	proc_path
  		start_time	proc_start_time
  	新增欄位	無	start_time
  DNS請求日誌	修改欄位名	ip	host_ip
  		proc_cmdline	cmdline
  		proc_cmd_chain	cmd_chain
  	新增欄位	無	start_time
  用戶端事件記錄	修改欄位名	client_ip	host_ip
  	新增欄位	無	start_time

• 安全日誌

  V1.0和V2.0版本字典區別

  日誌類型	變更類型	欄位名V1.0	欄位名V2.0
  漏洞日誌	修改欄位名	alias_name	vul_alias_name
  		necessity	risk_level
  		machine_name	instance_name
  		name	vul_name
  		op	operation
  	新增欄位	無	start_time
  基準日誌	修改欄位名	check_item	check_item_name
  		check_level	check_item_level
  		level	risk_level
  		op	operation
  		sub_type_alias	sub_type_alias_name
  		type_alias	type_alias_name
  	新增欄位	無	start_time
  安全警示日誌	修改欄位名	op	operation
  	新增欄位	無	start_time
  雲平台配置檢查日誌	修改欄位名	check_show_name	check_item_name
  	新增欄位	無	start_time
  網路防禦日誌	修改欄位名	dest_ip	dst_ip
  		dest_port	dst_port
  		model	final_action
  	新增欄位	無	start_time
  應用防護日誌	修改欄位名	confidence	confidence_level
  		content	request_body
  		content_length	request_content_length
  		ip	host_ip
  		jdk	jdk_version
  		method	request_method
  		os	platform
  		os_arch	arch
  		os_version	kernel_version
  		remote	src_ip
  		result	final_action
  		rule_result	rule_action
  		severity	risk_level
  	新增欄位	無	start_time

自動升級時間

• 自2024年08月01日起，所有通過購買Security Center日誌分析服務新建立的日誌分析Logstore將直接採用V2.0版本字典。

• 對於在2024年08月01日前已建立的Logstore，Security Center計劃於2024年10月30日將新投遞的資料欄位自動升級至V2.0版本字典。在2024年10月30日前您可以繼續使用V1.0版本字典，也可以手動將字典升級到V2.0版本字典升級不會影響已投遞的日誌資料，歷史資料仍然完整可用。

如果在升級過程中遇到任何問題或需要進一步的協助，您可以通過提交工單或隨時與我們取得聯絡。

升級影響

• 如果您的阿里雲帳號未購買Security Center增值服務日誌分析，則您不會受到此次升級的影響。

• 如果您在2024年08月01日前已購買Security Center日誌分析服務，且存在下述消費日誌或自訂警示的情境，您需要關注此變更，對消費日誌分析資料的應用進行調整，並手動將日誌字典版本升級到V2.0。

  說明

  如果您無法2024年10月30日前完成改造工作，可前往Security Center控制台申請延期三個月。延期後，Security Center將會在2025年01月30日自動升級，您需要在此日期之前完成改造。改造完成後，您可在自動升級前手動將字典版本升級為V2.0。

  情境	處理方案
  通過SLS進行資料查詢	升級字典版本後，您需要參考V2.0版本字典中的欄位進行查詢操作。
  將SLS資料向外投遞至其他資料庫進行聯合分析	修改SLS資料投遞到其他資料庫的日誌投遞欄位對應關係。具體操作，請參見管理日誌投遞任務。 針對修改名稱和新增的欄位，建議您直接在欄位對應關係中增加修改名稱和新增欄位的映射關係，以確保V2版本日誌可以正常投遞，併兼容V1版本已投遞的資料。 手動將字典版本升級到V2.0。具體操作，請參見手動將字典版本升級到V2.0。 觀察日誌投遞任務的狀態是否正常，投遞到資料庫中的資料內容是否符合預期。
  根據SLS欄位設定了自訂警示	在2024年10月30日前調整自訂警示規則，使其可以與 V2.0版本字典相匹配。具體操作，請參見管理警示監控規則。 手動將字典版本升級到V2.0。具體操作，請參見手動將字典版本升級到V2.0。
  將SLS資料投遞至其他儲存空間進行二次開發繪製統計報表	在2024年10月30日前完成相關應用適配V2.0版本字典的改造。 手動將字典版本升級到V2.0。具體操作，請參見手動將字典版本升級到V2.0。 觀察日誌投遞狀態是否正常，投遞到資料庫中的資料內容是否符合預期。

手動將字典版本升級到V2.0

1. 登入Security Center控制台。在控制台左上方，選擇需防護資產所在的地區：中國或全球（不含中國）。

2. 在左側導覽列，選擇風險治理 > 日誌分析。

3. 將滑鼠指標移動至日誌分析頁面右上方字典版本：V1.0處，並單擊立即升級。

4. 在升級提示對話方塊，單擊立即升級。