全部产品
Search
文档中心

云安全中心:【通知】日志分析字典升级

更新时间:Aug 19, 2024

尊敬的阿里云用户:

为了提升云安全产品日志数据分析体验的一致性,阿里云云安全中心计划于2024年08月01日将日志字典从V1.0版本升级至V2.0。日志分析字典定义了日志分析功能支持采集和存储的字段的结构、含义和规范。V2.0版本的字典支持在多款阿里云安全产品(例如:云安全中心和云防火墙)中查询数据做联合分析,可以使用同一字段在不同产品中检索日志,为您提供更高效的检索服务。

日志字典V1.0和V2.0区别

  • V1.0为云安全中心日志分析在2024年08月01日前支持的日志数据采集方案,支持的具体字段及字段说明,请参见日志类别及字段说明V1.0

  • V2.0为云安全中心在2024年08月01日发布的新版本日志数据采集方案,该方案在V1.0版本的基础上,优化了部分字段的名称(字段实质含义保持不变),新增了部分采集字段。使用V2.0字典,您可以采集到更完整的数据,且该版本可以被多个阿里云安全产品使用。V2.0版本字典支持的具体字段及字段说明,请参见日志类别及字段说明V2.0

以下是V1和V2版本字典的具体差异,未在以下列表中的字段在V1和V2版本无变更。

  • 网络日志

    V1.0和V2.0版本字典区别

    日志类型

    变更类型

    字段名V1.0

    字段名V2.0

    Web访问日志

    修改字段名

    content_length

    response_content_length

    method

    request_method

    referer

    http_referer

    ret_code

    status

    rqs_content_type

    content_type

    rsp_content_type

    response_content_type

    uri

    request_uri

    user_agent

    http_user_agent

    x_forward_for

    http_x_forward_for

    DNS解析日志

    修改字段名

    in_out

    net_connect_dir

    qname

    query_name

    qtype

    query_type

    网络会话日志

    修改字段名

    in_out

    net_connect_dir

    proto

    l4_proto

    本地DNS日志

    修改字段名

    dest_ip

    dst_ip

    dest_port

    dst_port

    hostname

    host

    time

    start_time

  • 主机日志

    V1.0和V2.0版本字典区别

    日志类型

    变更类型

    字段名V1.0

    字段名V2.0

    登录流水日志

    修改字段名

    ip

    host_ip

    warn_ip

    src_ip

    warn_port

    dst_port

    warn_type

    login_type

    warn_user

    username

    warn_count

    login_count

    新增字段

    start_time

    网络连接日志

    修改字段名

    dir

    net_connect_dir

    ip

    host_ip

    parent_proc_file_name

    parent_proc_name

    proc_stime

    proc_start_time

    proto

    connection_type

    新增字段

    start_time

    进程启动日志

    修改字段名

    containerhostname

    container_hostname

    containerid

    container_id

    containerimageid

    container_image_id

    containerimagename

    container_image_name

    containername

    container_name

    containerpid

    container_pid

    filename

    proc_name

    filepath

    proc_path

    ip

    host_ip

    pfilename

    parent_proc_name

    pfilepath

    parent_proc_path

    stime

    proc_start_time

    pstime

    parent_proc_start_time

    新增字段

    start_time

    暴力破解日志

    修改字段名

    ip

    host_ip

    warn_count

    login_count

    warn_ip

    src_ip

    warn_type

    login_type

    warn_port

    dst_port

    warn_user

    username

    新增字段

    start_time

    账号快照日志

    修改字段名

    ip

    host_ip

    user

    username

    新增字段

    start_time

    网络快照日志

    修改字段名

    dir

    net_connect_dir

    ip

    host_ip

    proto

    connection_type

    新增字段

    start_time

    进程快照日志

    修改字段名

    ip

    host_ip

    name

    proc_name

    path

    proc_path

    start_time

    proc_start_time

    新增字段

    start_time

    DNS请求日志

    修改字段名

    ip

    host_ip

    proc_cmdline

    cmdline

    proc_cmd_chain

    cmd_chain

    新增字段

    start_time

    客户端事件日志

    修改字段名

    client_ip

    host_ip

    新增字段

    start_time

  • 安全日志

    V1.0和V2.0版本字典区别

    日志类型

    变更类型

    字段名V1.0

    字段名V2.0

    漏洞日志

    修改字段名

    alias_name

    vul_alias_name

    necessity

    risk_level

    machine_name

    instance_name

    name

    vul_name

    op

    operation

    新增字段

    start_time

    基线日志

    修改字段名

    check_item

    check_item_name

    check_level

    check_item_level

    level

    risk_level

    op

    operation

    sub_type_alias

    sub_type_alias_name

    type_alias

    type_alias_name

    新增字段

    start_time

    安全告警日志

    修改字段名

    op

    operation

    新增字段

    start_time

    云平台配置检查日志

    修改字段名

    check_show_name

    check_item_name

    新增字段

    start_time

    网络防御日志

    修改字段名

    dest_ip

    dst_ip

    dest_port

    dst_port

    model

    final_action

    新增字段

    start_time

    应用防护日志

    修改字段名

    confidence

    confidence_level

    content

    request_body

    content_length

    request_content_length

    ip

    host_ip

    jdk

    jdk_version

    method

    request_method

    os

    platform

    os_arch

    arch

    os_version

    kernel_version

    remote

    src_ip

    result

    final_action

    rule_result

    rule_action

    severity

    risk_level

    新增字段

    start_time

自动升级时间

  • 自2024年08月01日起,所有通过购买云安全中心日志分析服务新创建的日志分析Logstore将直接采用V2.0版本字典。

  • 对于在2024年08月01日前已创建的Logstore,云安全中心计划于2024年10月30日将新投递的数据字段自动升级至V2.0版本字典。在2024年10月30日前您可以继续使用V1.0版本字典,也可以手动将字典升级到V2.0版本字典升级不会影响已投递的日志数据,历史数据仍然完整可用。

如果在升级过程中遇到任何问题或需要进一步的帮助,您可以通过提交工单或随时与我们取得联系。

升级影响

  • 如果您的阿里云账号未购买云安全中心增值服务日志分析,则您不会受到此次升级的影响。

  • 如果您在2024年08月01日前已购买云安全中心日志分析服务,且存在下述消费日志或自定义告警的场景,您需要关注此变更,对消费日志分析数据的应用进行调整,并手动将日志字典版本升级到V2.0。

    说明

    如果您无法2024年10月30日前完成改造工作,可前往云安全中心控制台申请延期三个月。延期后,云安全中心将会在2025年01月30日自动升级,您需要在此日期之前完成改造。改造完成后,您可在自动升级前手动将字典版本升级为V2.0。

    场景

    处理方案

    通过SLS进行数据查询

    升级字典版本后,您需要参考V2.0版本字典中的字段进行查询操作。

    将SLS数据向外投递至其他数据库进行联合分析

    1. 修改SLS数据投递到其他数据库的日志投递字段映射关系。具体操作,请参见管理日志投递任务

      针对修改名称和新增的字段,建议您直接在字段映射关系中增加修改名称和新增字段的映射关系,以确保V2版本日志可以正常投递,并兼容V1版本已投递的数据。

    2. 手动将字典版本升级到V2.0。具体操作,请参见手动将字典版本升级到V2.0

    3. 观察日志投递任务的状态是否正常,投递到数据库中的数据内容是否符合预期。

    根据SLS字段设置了自定义告警

    1. 在2024年10月30日前调整自定义告警规则,使其可以与 V2.0版本字典相匹配。具体操作,请参见管理告警监控规则

    2. 手动将字典版本升级到V2.0。具体操作,请参见手动将字典版本升级到V2.0

    将SLS数据投递至其他存储空间进行二次开发绘制统计报表

    1. 在2024年10月30日前完成相关应用适配V2.0版本字典的改造。

    2. 手动将字典版本升级到V2.0。具体操作,请参见手动将字典版本升级到V2.0

    3. 观察日志投递状态是否正常,投递到数据库中的数据内容是否符合预期。

手动将字典版本升级到V2.0

  1. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  2. 在左侧导航栏,选择风险治理 > 日志分析

  3. 将鼠标指针移动至日志分析页面右上角字典版本:V1.0处,并单击立即升级

  4. 升级提示对话框,单击立即升级