日志字段含義
更新時間 2025-09-25 14:08:34
最近更新時間: 2025-09-25 14:08:34
分享文章
本節將介紹各字段的含義。
通用字段
| 字段名 | 字段類型 | 字段含義 |
|---|---|---|
| __time | Date | 日志產生的時間 |
| __raw | String | 原始日志 |
| ops.source | String | 數據源名稱 |
| ops.rgn | String | 所屬局點 |
| ops.csvc | String | 數據源(云服務) |
| ops.ver | String | 數倉版本號 |
| ops.hash | String | extend hash value of original 數據完整性驗證 |
| [src_/dest_]asset.domain.id | String | 租戶id |
| [src_/dest_]asset.domain.name | String | 租戶名 |
| [src_/dest_]asset.id | String | 資產id |
| [src_/dest_]asset.name | String | 資產名稱 |
| [src_/dest_]asset.type | String | 資產類型 |
| [src./dest.]asset.region | String | 資產局點 |
| [src_/dest_]geo.ip | String | ip地址 |
| [src_/dest_]geo.country | String | 國家(中文) |
| [src_/dest_]geo.prov | String | 省份(中文) |
| [src_/dest_]geo.city | String | 城市名稱(中文) |
| [src_/dest_]geo.org | String | 注冊IP的組織 |
| [src_/dest_]geo.isp | String | 運營商 |
| [src_/dest_]geo.loc.lat | Float | 緯度 |
| [src_/dest_]geo.loc.lon | Float | 經度 |
| [src_/dest_]geo.tz | Integer | 時區 |
| [src_/dest_]geo.utc_off | Integer | 時區 |
| [src_/dest_]geo.cac | String | 時區 |
| [src_/dest_]geo.iddc | String | 國際電話前綴碼 |
| [src_/dest_]geo.cc | String | 國家編碼ISO |
| [src_/dest_]geo.contc | String | 大洲編碼ISO |
| [src_/dest_]geo.idc | String | 數據中心,機房 |
| [src_/dest_]geo.bs | String | 移動基站 |
| [src_/dest_]geo.cc3 | String | 國家代碼3位 |
| [src_/dest_]geo.euro | String | 歐盟成員國 |
sec-waf-attack
WAF攻擊日志字段含義如下所示:
| 字段 | 類型 | 字段含義 | |
|---|---|---|---|
| category | String | 分類,此處值為“attack”。 | |
| time | Date | 標識日志時間。 | |
| time_iso8601 | Date | 標識日志的ISO 8601 格式時間。 | |
| policy_id | String | 標識防護策略ID。 | |
| level | Integer | 標識防護策略層級(1為寬松,2為中等,3為嚴格)。 | |
| attack | String | 標識攻擊類型。攻擊類型的解釋為:
| |
| action | String | 標識處理動作。處理動作的解釋為:
| |
| rule | String | 標識觸發的規則ID或者自定義的策略類型描述。 | |
| sub_type | String | 當attack為robot時,該字段不為空。標識爬蟲的子類型。
| |
| location | String | 標識觸發的payload的位置。 | |
| resp_headers | String | 標識響應頭。 | |
| resp_body | String | 標識響應體。 | |
| hit_data | String | 標識觸發的payload字符串。 | |
| status | String | 標識請求的響應狀態碼。 | |
| reqid | String | 隨機ID標識。 | |
| id | String | 攻擊ID。 | |
| method | String | 標識請求方法。 | |
| sip | String | 標識客戶端請求IP。 | |
| sport | String | 標識客戶端請求端口。 | |
| host | String | 標識請求的服務器域名。 | |
| http_host | String | 標識請求的服務器端口。 | |
| uri | String | 標識請求URL。 | |
| header | String | 標識請求header信息。 | |
| mutipart | String | 標識請求multipart header(文件上傳場景)。 | |
| cookie | String | 標識請求cookie信息。 | |
| params | String | 標識請求URI后的參數信息。 | |
| body_bytes_sent | String | 標識發送給客戶端的響應體字節數。 | |
| upstream_response_time | String | 標識后端服務器響應時間。 | |
| process_time | String | 標識引擎的檢測用時。 | |
| engine_id | String | 標識引擎的唯一標識。 | |
| group_id | String | 用于對接LTS服務的日志組ID。 | |
| attack_stream_id | String | 與group_id相關,是日志組下用戶的access_stream的ID。 | |
| hostid | String | 標識防護域名ID。 | |
| tenantid | String | 標識防護域名的租戶ID。 | |
| projectid | String | 標識防護域名的項目ID。 | |
| backend | Object | 標識請求轉發的后端服務器地址。 | |
| backend | type | String | 標識當前后端Host 類型(IP或域名)。 |
| alive | String | 標識當前后端狀態。 | |
| host | String | 標識當前后端Host 值。 | |
| protocol | String | 標識當前后端協議。 | |
| port | Integer | 標識當前后端端口。 | |
sec-waf-access
WAF訪問日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| requestid | String | 隨機ID標識。 |
| time | Date | 標識日志時間。 |
| eng_ip | String | 標識引擎IP。 |
| hostid | String | 標識防護域名ID。 |
| tenantid | String | 標識防護域名的租戶ID。 |
| projectid | String | 標識防護域名的項目ID。 |
| remote_ip | String | 標識請求的客戶端IP。 |
| scheme | String | 標識請求協議類型。 |
| response_code | String | 標識請求響應碼。 |
| method | String | 標識請求方法。 |
| http_host | String | 標識請求的服務器域名。 |
| url | String | 標識請求URL。 |
| request_length | String | 標識請求長度。 |
| bytes_send | String | 標識發送給客戶端的總字節數。 |
| body_bytes_sent | String | 標識發送給客戶端的響應體字節數。 |
| upstream_addr | String | 標識選擇的后端服務器地址。 |
| request_time | String | 標識請求處理時間,從讀取客戶端的第一個字節開始計時。 |
| upstream_response_time | String | 標識后端服務器響應時間。 |
| upstream_status | String | 標識后端服務器的響應碼。 |
| upstream_connect_time | String | 標識后端服務器連接用時。 |
| upstream_header_time | String | 標識后端服務器接收到第一個響應頭字節的用時。 |
| bind_ip | String | 標識引擎回源IP。 |
| engine_id | String | 標識引擎的唯一標識。 |
| time_iso8601 | Date | 標識日志的ISO 8601 格式時間。 |
| sni | String | 標識通過SNI 請求的域名。 |
| tls_version | String | 標識建立SSL 連接的協議版本。 |
| ssl_curves | String | 標識客戶端支持的曲線列表。 |
| ssl_session_reused | String | 標識SSL 會話是否被重用。
|
| process_time | String | 標識引擎的檢測用時。 |
| x_forwarded_for | String | 標識請求頭中X-Forwarded-For 的內容。 |
| cdn_src_ip | String | 標識請求頭中Cdn-Src-Ip 的內容。 |
| x_real_ip | String | 標識請求頭中X-Real-Ip 的內容。 |
sec-obs-access
對象存儲服務訪問日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| srcip | String | 訪問obs的源ip。 |
| srcport | String | 訪問obs的源端口。 |
| logtime | Date | 日志記錄時間。 |
| ces_log_version | String | 內部請求為V0,V0不記錄CES審計日志,V1記錄CES審計日志。 |
| request_start_time | String | 請求開始時間。 |
| ctx_request_id | String | 請求ID,請求跟蹤的唯一標識。 |
| request_method | String | 請求方法(get/post)。 |
| remote_ip | String | 客戶端IP:端口。 |
| operation | String | 操作類型,如GET.OBJECT。 |
| bucket_name | String | 桶名。 |
| object_name | String | 對象名(文件名)。 |
| query_string | String | 請求query。 |
| http_status | String | http請求狀態碼,如200。 |
| content_length | String | 請求內容長度。 |
| user_agent | String | 客戶端agent。 |
| storage_class | String | 對象存儲類型。 |
| user_name | String | 請求者用戶名稱。 |
| user_id | String | 請求者用戶ID。 |
| domain_name | String | 請求者賬號名稱。 |
| domain_id | String | 請求者賬號ID。 |
| project_id | String | 請求者項目ID。 |
| owner_domain_name | String | 桶owner租戶名稱。 |
| owner_domain_id | String | 桶owner租戶ID。 |
| owner_project_id | String | 桶owner項目ID。 |
| transmission_type | String | 網絡類型:
|
| scheme | String | 網絡協議。 |
| http_version | String | http版本。 |
| host | String | 服務obs域名。 |
| port | String | 端口。 |
| auth_v2_v4 | String | 鑒權方式。 |
| host_type | String | 訪問方式。 |
| x_forwarded_for | String | 代理客戶端IP。 |
| pub_bkt | String | 是否為匿名訪問桶。 |
| pub_obj | String | 是否為匿名訪問對象。 |
| website_req | String | 是否為website請求。 |
| crr_req | String | 是否為crr請求。 |
| batch_delete_success_count | String | 批刪成功個數。 |
| ctc_log_urn | String | 委托。 |
| requester | String | 委托賬號。 |
| is_over_write | String | 是否為覆蓋寫。 |
| error_code | String | 錯誤原因。 |
| detail_error_code | String | 詳細錯誤原因。 |
| request_content_type | String | 請求對象類型。 |
| request_content_md5 | String | 請求對象md5。 |
| total_bytes_received | String | 接收到內容總數。 |
| response_content_type | String | 響應對象類型。 |
| total_bytes_sent | String | 發送內容總數響應頭+響應BODY體。 |
| referrer | String | 引用頁。 |
| index_read_count | String | 查詢元數據表時延。 |
| persistence_read_count | String | 讀數據的次數。 |
| vpc_id | String | 標識請求客戶端所屬的VPCID。 |
| access_with_security_token | String | 使用sts token。 |
| copy_size | String | copy_size。 |
| vpcep_traffic | String | 走EP |
| access_key | String | ak。 |
sec-nip-attack
IPS攻擊日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| SyslogId | String | 日志序號。 |
| Vsys | String | 虛擬系統名稱。 |
| Policy | String | 安全策略名稱。 |
| SrcIp | String | 報文的源IP地址 |
| DstIp | String | 報文的目的IP地址 |
| SrcPort | String | 報文的源端口(對于ICMP報文,該字段為0)。 |
| DstPort | String | 報文的目的端口(對于ICMP報文,該字段為0)。 |
| SrcZone | String | 報文的源安全域。 |
| DstZone | String | 報文的目的安全域。 |
| User | String | 用戶名。 |
| Protocol | String | 簽名檢測到的報文所屬協議。 |
| Application | String | 簽名檢測到的報文所屬應用。 |
| Profile | String | 配置文件的名稱。 |
| SignName | String | 簽名的名稱。 |
| SignId | String | 簽名的ID。 |
| EventNum | String | 日志歸并引入字段,是否歸并需根據歸并頻率及日志歸并條件來確定,不發生歸并則為1。 |
| Target | String | 簽名所檢測的報文所攻擊的對象。具體情況如下:
|
| Severity | String | 簽名所檢測的報文所造成攻擊的嚴重性。具體情況如下:
|
| Os | String | 簽名所檢測的報文所攻擊的操作系統。具體情況如下:
|
| Category | String | 簽名檢測到的報文攻擊特征所屬的威脅分類。 |
| Action | String | 簽名動作。
|
| Reference | String | 簽名的參考信息。 |
| Extend | String | 增強模式下的取證字段。 |
sec-iam-audit
統一身份認證審計日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| uid | String | 用戶id。 |
| un | String | 用戶名。 |
| did | String | 租戶id。 |
| dn | String | 租戶名。 |
| src | String | 請求域名。 |
| opl | String | 操作級別。 |
| op | String | 操作類型。 |
| res | String | IAM服務調用結果。 |
| ter | String | 源ip。 |
| dtl | String | iam認證詳情。 |
| tn | Date | 發生時間。 |
| ts | Long | iam服務調用的發生時間戳。 |
| tid | String | traceid。 |
| evnt | String | 事件。 |
| tobj | String | 操作服務。 |
sec-hss-vul
主機漏洞掃描結果字段含義如下所示:
| 字段 | 類型 | 字段含義 | |
|---|---|---|---|
| agentUuid | String | agent的UUID。 | |
| alarmCsn | String | 告警UUID,master生成告警時隨機生成。 | |
| alarmKey | String | 告警關鍵字。對于告警,當前透傳agent上報的信息msg_id;對于漏洞,由master生成。 | |
| alarmVersion | String | agent版本號。 | |
| occurTime | Int64 | 漏洞檢測時間(ms)。 | |
| severity | Int32 | HSS定義的漏洞等級。 | |
| hostUuid | String | 受影響主機UUID。 | |
| hostName | String | 受影響主機名。 | |
| hostIp | String | 受影響主機通信IP。 | |
| ipList | String | 受影響主機IP列表。 | |
| cloudId | String | cloudagent sn。 | |
| region | String | 受影響主機所在區域。 | |
| projectId | String | 項目ID。 | |
| enterpriseProjectId | String | 企業項目ID。 | |
| appendInfo | Object | 漏洞詳情。 | |
| appendInfo | vulId | String | 漏洞官方ID。 |
| type | Int32 | 漏洞類型。
| |
| repairNecessity | Int32 | 漏洞修復必要性級別。
| |
| status | Int32 | 保留字段。 | |
| cve_ids | String | CVE ID列表,通過英文逗號連接。 | |
| url | String | 漏洞詳情官網鏈接。 | |
| vulNameEn | String | 漏洞英文名。 | |
| vulNameCn | String | 漏洞中文名。 | |
| severityLevel | String | 漏洞危害級別,分為如下等級:
| |
| descriptionEn | String | 漏洞英文描述。 | |
| descriptionCn | String | 漏洞中文描述。 | |
| solutionEn | String | 解決方案英文描述。 | |
| solutionCn | String | 解決方案中文描述。 | |
| repairCmd | String | 修復命令。 | |
| needBoot | Int32 | 是否需要重啟;當前默認1,暫時不用。 | |
| errorInfo | String | 修復失敗原因。 | |
| appName | String | 存在漏洞的軟件名(linux漏洞特有)。 | |
| version | String | 存在漏洞的軟件版本(linux漏洞特有)。 | |
| createTime | Int64 | 首次檢測時間(ms)。 | |
| updateTime | Int64 | 漏洞修復時間(ms);初始值同createTime。 | |
| agentId | String | 關聯主機agent的UUID。 | |
| projectId | String | 受影響租戶ID。 | |
sec-hss-alarm
主機安全告警日志字段含義如下所示:
| 字段 | 類型 | 字段含義 | ||
|---|---|---|---|---|
| agentUuid | String | agent的UUID。 | ||
| alarmCsn | String | 告警UUID。 | ||
| alarmKey | String | 告警關鍵字。對于告警,當前透傳agent上報的信息msg_id;對于漏洞,由master生成。 | ||
| alarmVersion | String | agent版本號。 | ||
| occurTime | Long | 事件發生時間(ms)。 | ||
| severity | Long | 風險等級。 | ||
| hostUuid | String | 受影響主機UUID。 | ||
| hostName | String | 受影響主機名。 | ||
| hostIp | String | 受影響主機通信IP。 | ||
| ipList | String | 受影響主機IP列表。 | ||
| cloudId | String | cloudagent sn。 | ||
| region | String | 受影響主機所在區域。 | ||
| projectId | String | 項目ID。 | ||
| enterpriseProjectId | String | 企業項目ID。 | ||
| appendInfo | Object | 告警詳情。 | ||
| appendInfo | agent_id | String | AGENT ID。 | |
| version | String | 事件版本。 | ||
| container_name | String | 容器ID(容器安全場景)。 | ||
| image_name | String | 鏡像名稱(容器安全場景)。 | ||
| event_id | String | 事件ID,GUID。 | ||
| event_name | String | 事件名稱。 | ||
| event_classid | String | 事件唯一標識。 | ||
| occur_time | Long | 發生時間(秒)。 | ||
| recent_time | Long | 最近一次發生時間(秒)。 | ||
| event_category | Integer | 事件大類。 | ||
| event_type | Integer | 事件類型。 | ||
| event_count | Integer | 事件次數。 | ||
| severity | Integer | 嚴重級別。 | ||
| attack_phase | Integer | 攻擊階段。 | ||
| attack_tag | Integer | 攻擊標識。 | ||
| confidence | Integer | 置信度。 | ||
| action | Integer | 動作類型。 | ||
| detect_module | String | 檢測模塊。 | ||
| report_source | String | 上報源。 | ||
| related_events | String | 相關事件ID。 | ||
| resource_info | Object | 資源信息。 | ||
| network_info | Object | 網絡信息。 | ||
| app_info | Object | 應用信息。 | ||
| system_info | Object | 系統信息。 | ||
| process_info | list | 進程信息。 | ||
| user_info | list | 用戶信息。 | ||
| file_info | list | 文件信息。 | ||
| geo_info | Object | 地理信息。 | ||
| malware_info | Object | 惡意軟件信息。 | ||
| forensic_info | String | 取證字段。 | ||
| recommendation | String | 處置建議。 | ||
| extend_info | String | 事件擴展信息。 | ||
| resource_info | project_id | String | 項目ID。 | |
| region_name | String | Region名稱。 | ||
| vpc_id | String | VPC ID。 | ||
| host_name | String | 主機名稱。 | ||
| host_ip | String | 主機IP。 | ||
| host_id | String | 主機ID(ECS對應ID)。 | ||
| cloud_id | String | CloudAgent SN。 | ||
| vm_name | String | 虛擬機名稱。 | ||
| vm_uuid | String | 虛擬機UUID。 | ||
| container_id | String | 容器id。 | ||
| image_id | String | 鏡像id。 | ||
| sys_arch | String | 系統CPU架構。 | ||
| os_bit | String | 操作系統位數。 | ||
| os_type | String | 操作系統類型。 | ||
| os_name | String | 操作系統名稱。 | ||
| os_version | String | 操作系統版本。 | ||
| network_info | local_address | String | 本地地址。 | |
| local_port | Integer | 本地端口。 | ||
| remote_address | String | 遠程地址。 | ||
| remote_port | Integer | 遠程端口。 | ||
| src_ip | String | 源IP。 | ||
| src_port | Integer | 源端口。 | ||
| src_domain | String | 源域。 | ||
| dest_ip | String | 目的IP。 | ||
| dest_port | Integer | 目的端口。 | ||
| dest_domain | String | 目的域。 | ||
| protocol | String | 協議。 | ||
| app_protocol | String | 應用層協議。 | ||
| flow_direction | String | 流量方向。 | ||
| app_info | sql | String | 執行的sql語句。 | |
| domain_name | String | DNS域名。 | ||
| url_path | String | URL路徑。 | ||
| url_method | String | URL方法。 | ||
| req_refer | String | URL請求refer信息。 | ||
| email_subject | String | 郵件主題。 | ||
| email_sender | String | 郵件發送者。 | ||
| email_receiver | String | 郵件接收者。 | ||
| email_keyword | String | 郵件關鍵字。 | ||
| process_info | process_name | String | 進程名稱。 | |
| process_path | String | 進程文件路徑。 | ||
| process_pid | Integer | 進程id。 | ||
| process_uid | Integer | 進程用戶id。 | ||
| process_username | String | 運行進程的用戶名。 | ||
| process_cmdline | String | 進程文件命令行。 | ||
| process_filename | String | 進程文件名。 | ||
| process_start_time | Long | 進程啟動時間。 | ||
| process_gid | Integer | 進程組ID。 | ||
| process_egid | Integer | 進程有效組ID。 | ||
| process_euid | Integer | 進程有效用戶ID。 | ||
| parent_process_name | String | 父進程名稱。 | ||
| parent_process_path | String | 父進程文件路徑。 | ||
| parent_process_pid | Integer | 父進程id。 | ||
| parent_process_uid | Integer | 父進程用戶id。 | ||
| parent_process_cmdline | String | 父進程文件命令行。 | ||
| parent_process_filename | String | 父進程文件名。 | ||
| parent_process_start_time | Long | 父進程啟動時間。 | ||
| parent_process_gid | Integer | 父進程組ID。 | ||
| parent_process_egid | Integer | 父進程有效組ID。 | ||
| parent_process_euid | Integer | 父進程有效用戶ID。 | ||
| child_process_name | String | 子進程名稱。 | ||
| child_process_path | String | 子進程文件路徑。 | ||
| child_process_pid | Integer | 子進程id。 | ||
| child_process_uid | Integer | 子進程用戶id。 | ||
| child_process_cmdline | String | 子進程文件命令行。 | ||
| child_process_filename | String | 子進程文件名。 | ||
| child_process_start_time | Long | 子進程啟動時間。 | ||
| child_process_gid | Integer | 子進程組ID。 | ||
| child_process_egid | Integer | 子進程有效組ID。 | ||
| child_process_euid | Integer | 子進程有效用戶ID。 | ||
| virt_cmd | String | 虛擬化命令。 | ||
| virt_process_name | String | 虛擬化進程名稱。 | ||
| escape mode | String | 逃逸方式。 | ||
| escape cmd | String | 逃逸后執行的命令。 | ||
| user_info | user_id | Integer | 用戶uid。 | |
| user_gid | Integer | 用戶gid。 | ||
| user_name | String | 用戶名稱。 | ||
| user_group_name | String | 用戶組名稱。 | ||
| user_home_dir | String | 用戶home目錄。 | ||
| login_ip | String | 用戶登錄ip。 | ||
| service_type | String | 登錄的服務類型。 | ||
| service_port | Integer | 登錄服務端口。 | ||
| login_mode | String | 登錄方式。 | ||
| login_lasttime | Long | 用戶最后一次登錄時間。 | ||
| login_fail_count | Integer | 用戶登錄失敗次數。 | ||
| pwd_hash | String | 口令hash。 | ||
| pwd_with_fuzzing | String | 匿名化處理后的口令。 | ||
| pwd_used_days | Integer | 密碼使用的天數。 | ||
| pwd_min_days | Integer | 口令的最短有效期限。 | ||
| pwd_max_days | Integer | 口令的最長有效期限。 | ||
| pwd_warn_left_days | Integer | 口令無效時提前告警天數。 | ||
| file_info | file_path | String | 文件路徑/名稱。 | |
| file_alias | String | 文件別名。 | ||
| file_size | Integer | 文件大小。 | ||
| file_mtime | Long | 文件最后一次修改時間。 | ||
| file_atime | Long | 文件最后一次訪問時間。 | ||
| file_ctime | Long | 文件最后一次狀態改變時間。 | ||
| file_hash | String | 文件hash。 | ||
| file_md5 | String | 文件md5。 | ||
| file_sha256 | String | 文件sha256。 | ||
| file_type | String | 文件類型。 | ||
| file_content | String | 文件內容。 | ||
| file_attr | String | 文件屬性。 | ||
| file_operation | String | 文件操作類型。 | ||
| file_change_attr | String | 變更前后的屬性。 | ||
| file_new_path | String | 新文件路徑。 | ||
| file_desc | String | 文件描述。 | ||
| file_key_word | String | 文件關鍵字。 | ||
| is_dir | Boolean | 是否目錄。 | ||
| fd_info | String | 文件句柄信息。 | ||
| fd_count | Integer | 文件句柄數量。 | ||
| forensic_info | monitor_process | String | 監控進程。 | |
| escape_mode | String | 逃逸方式。 | ||
| abnormal_port | String | 異常端口。 | ||
| geo_info | src_country | String | 源國家。 | |
| src_city | String | 源城市。 | ||
| src_latitude | Long | 源緯度。 | ||
| src_longitude | Long | 源經度。 | ||
| dest_country | String | 目的國家。 | ||
| dest_city | String | 目的城市。 | ||
| dest_latitude | Long | 目的緯度。 | ||
| dest_longitude | Long | 目的經度。 | ||
| malware_info | malware_family | String | 惡意家族。 | |
| malware_class | String | 惡意軟件分類。 | ||
| system_info | pwd_valid | Boolean | 口令結果是否有效。 | |
| pwd_min_len | Integer | 口令長度。 | ||
| pwd_digit_credit | Integer | 口令中數字要求。 | ||
| pwd_uppercase_letter | Integer | 口令中大寫字母。 | ||
| pwd_lowercase_letter | Integer | 口令中小寫字母。 | ||
| pwd_special_characters | Integer | 口令中特殊字符。 | ||
| extend_info | hit_rule | String | 特征規則。 | |
| rule_name | String | 規則名稱。 | ||
| rulesetname | String | 規則集名稱。 | ||
| report_type | String | 上報數據類型。 | ||
| ti_info | ti_source | String | 情報來源。 | |
| ti_class | String | 情報分類。 | ||
| ti_threat_type | String | 情報威脅類型。 | ||
| ti_first_time | Long | 第一次發現時間。 | ||
| ti_last_time | Long | 最近一次發現時間。 | ||
sec-hss-log
主機安全日志字段含義如下所示:
| 字段 | 類型 | 字段含義 | ||
|---|---|---|---|---|
| agentUuid | String | agent的UUID。 | ||
| alarmCsn | String | 告警UUID。 | ||
| alarmKey | String | 告警關鍵字。對于告警,當前透傳agent上報的信息msg_id;對于漏洞,由master生成。 | ||
| alarmVersion | String | agent版本號。 | ||
| occurTime | Long | 事件發生時間(ms)。 | ||
| severity | Long | 風險等級。 | ||
| hostUuid | String | 受影響主機UUID。 | ||
| hostName | String | 受影響主機名。 | ||
| hostIp | String | 受影響主機通信IP。 | ||
| ipList | String | 受影響主機IP列表。 | ||
| cloudId | String | cloudagent sn。 | ||
| region | String | 受影響主機所在區域。 | ||
| projectId | String | 項目ID。 | ||
| enterpriseProjectId | String | 企業項目ID。 | ||
| appendInfo | Object | 告警詳情。 | ||
| appendInfo | agent_id | String | AGENT ID。 | |
| version | String | 事件版本。 | ||
| container_name | String | 容器ID(容器安全場景)。 | ||
| image_name | String | 鏡像名稱(容器安全場景)。 | ||
| event_id | String | 事件ID,GUID。 | ||
| event_name | String | 事件名稱。 | ||
| event_classid | String | 事件唯一標識。 | ||
| occur_time | Long | 發生時間(秒)。 | ||
| recent_time | Long | 最近一次發生時間(秒)。 | ||
| event_category | Integer | 事件大類。 | ||
| event_type | Integer | 事件類型。 | ||
| event_count | Integer | 事件次數。 | ||
| severity | Integer | 嚴重級別。 | ||
| attack_phase | Integer | 攻擊階段。 | ||
| attack_tag | Integer | 攻擊標識。 | ||
| confidence | Integer | 置信度。 | ||
| action | Integer | 動作類型。 | ||
| detect_module | String | 檢測模塊。 | ||
| report_source | String | 上報源。 | ||
| related_events | String | 相關事件ID。 | ||
| resource_info | Object | 資源信息。 | ||
| network_info | Object | 網絡信息。 | ||
| app_info | Object | 應用信息。 | ||
| system_info | Object | 系統信息。 | ||
| process_info | list | 進程信息。 | ||
| user_info | list | 用戶信息。 | ||
| file_info | list | 文件信息。 | ||
| geo_info | Object | 地理信息。 | ||
| malware_info | Object | 惡意軟件信息。 | ||
| forensic_info | String | 取證字段。 | ||
| recommendation | String | 處置建議。 | ||
| extend_info | String | 事件擴展信息。 | ||
| resource_info | project_id | String | 項目ID。 | |
| region_name | String | Region名稱。 | ||
| vpc_id | String | VPC ID。 | ||
| host_name | String | 主機名稱。 | ||
| host_ip | String | 主機IP。 | ||
| host_id | String | 主機ID(ECS對應ID)。 | ||
| cloud_id | String | CloudAgent SN。 | ||
| vm_name | String | 虛擬機名稱。 | ||
| vm_uuid | String | 虛擬機UUID。 | ||
| container_id | String | 容器id。 | ||
| image_id | String | 鏡像id。 | ||
| sys_arch | String | 系統CPU架構。 | ||
| os_bit | String | 操作系統位數。 | ||
| os_type | String | 操作系統類型。 | ||
| os_name | String | 操作系統名稱。 | ||
| os_version | String | 操作系統版本。 | ||
| network_info | local_address | String | 本地地址。 | |
| local_port | Integer | 本地端口。 | ||
| remote_address | String | 遠程地址。 | ||
| remote_port | Integer | 遠程端口。 | ||
| src_ip | String | 源IP。 | ||
| src_port | Integer | 源端口。 | ||
| src_domain | String | 源域。 | ||
| dest_ip | String | 目的IP。 | ||
| dest_port | Integer | 目的端口。 | ||
| dest_domain | String | 目的域。 | ||
| protocol | String | 協議。 | ||
| app_protocol | String | 應用層協議。 | ||
| flow_direction | String | 流量方向。 | ||
| app_info | sql | String | 執行的sql語句。 | |
| domain_name | String | DNS域名。 | ||
| url_path | String | URL路徑。 | ||
| url_method | String | URL方法。 | ||
| req_refer | String | URL請求refer信息。 | ||
| email_subject | String | 郵件主題。 | ||
| email_sender | String | 郵件發送者。 | ||
| email_receiver | String | 郵件接收者。 | ||
| email_keyword | String | 郵件關鍵字。 | ||
| process_info | process_name | String | 進程名稱。 | |
| process_path | String | 進程文件路徑。 | ||
| process_pid | Integer | 進程id。 | ||
| process_uid | Integer | 進程用戶id。 | ||
| process_username | String | 運行進程的用戶名。 | ||
| process_cmdline | String | 進程文件命令行。 | ||
| process_filename | String | 進程文件名。 | ||
| process_start_time | Long | 進程啟動時間。 | ||
| process_gid | Integer | 進程組ID。 | ||
| process_egid | Integer | 進程有效組ID。 | ||
| process_euid | Integer | 進程有效用戶ID。 | ||
| parent_process_name | String | 父進程名稱。 | ||
| parent_process_path | String | 父進程文件路徑。 | ||
| parent_process_pid | Integer | 父進程id。 | ||
| parent_process_uid | Integer | 父進程用戶id。 | ||
| parent_process_cmdline | String | 父進程文件命令行。 | ||
| parent_process_filename | String | 父進程文件名。 | ||
| parent_process_start_time | Long | 父進程啟動時間。 | ||
| parent_process_gid | Integer | 父進程組ID。 | ||
| parent_process_egid | Integer | 父進程有效組ID。 | ||
| parent_process_euid | Integer | 父進程有效用戶ID。 | ||
| child_process_name | String | 子進程名稱。 | ||
| child_process_path | String | 子進程文件路徑。 | ||
| child_process_pid | Integer | 子進程id。 | ||
| child_process_uid | Integer | 子進程用戶id。 | ||
| child_process_cmdline | String | 子進程文件命令行。 | ||
| child_process_filename | String | 子進程文件名。 | ||
| child_process_start_time | Long | 子進程啟動時間。 | ||
| child_process_gid | Integer | 子進程組ID。 | ||
| child_process_egid | Integer | 子進程有效組ID。 | ||
| child_process_euid | Integer | 子進程有效用戶ID。 | ||
| virt_cmd | String | 虛擬化命令。 | ||
| virt_process_name | String | 虛擬化進程名稱。 | ||
| escape mode | String | 逃逸方式。 | ||
| escape cmd | String | 逃逸后執行的命令。 | ||
| user_info | user_id | Integer | 用戶uid。 | |
| user_gid | Integer | 用戶gid。 | ||
| user_name | String | 用戶名稱。 | ||
| user_group_name | String | 用戶組名稱。 | ||
| user_home_dir | String | 用戶home目錄。 | ||
| login_ip | String | 用戶登錄ip。 | ||
| service_type | String | 登錄的服務類型。 | ||
| service_port | Integer | 登錄服務端口。 | ||
| login_mode | String | 登錄方式。 | ||
| login_lasttime | Long | 用戶最后一次登錄時間。 | ||
| login_fail_count | Integer | 用戶登錄失敗次數。 | ||
| pwd_hash | String | 口令hash。 | ||
| pwd_with_fuzzing | String | 匿名化處理后的口令。 | ||
| pwd_used_days | Integer | 密碼使用的天數。 | ||
| pwd_min_days | Integer | 口令的最短有效期限。 | ||
| pwd_max_days | Integer | 口令的最長有效期限。 | ||
| pwd_warn_left_days | Integer | 口令無效時提前告警天數。 | ||
| file_info | file_path | String | 文件路徑/名稱。 | |
| file_alias | String | 文件別名。 | ||
| file_size | Integer | 文件大小。 | ||
| file_mtime | Long | 文件最后一次修改時間。 | ||
| file_atime | Long | 文件最后一次訪問時間。 | ||
| file_ctime | Long | 文件最后一次狀態改變時間。 | ||
| file_hash | String | 文件hash。 | ||
| file_md5 | String | 文件md5。 | ||
| file_sha256 | String | 文件sha256。 | ||
| file_type | String | 文件類型。 | ||
| file_content | String | 文件內容。 | ||
| file_attr | String | 文件屬性。 | ||
| file_operation | String | 文件操作類型。 | ||
| file_change_attr | String | 變更前后的屬性。 | ||
| file_new_path | String | 新文件路徑。 | ||
| file_desc | String | 文件描述。 | ||
| file_key_word | String | 文件關鍵字。 | ||
| is_dir | Boolean | 是否目錄。 | ||
| fd_info | String | 文件句柄信息。 | ||
| fd_count | Integer | 文件句柄數量。 | ||
| forensic_info | monitor_process | String | 監控進程。 | |
| escape_mode | String | 逃逸方式。 | ||
| abnormal_port | String | 異常端口。 | ||
| geo_info | src_country | String | 源國家。 | |
| src_city | String | 源城市。 | ||
| src_latitude | Long | 源緯度。 | ||
| src_longitude | Long | 源經度。 | ||
| dest_country | String | 目的國家。 | ||
| dest_city | String | 目的城市。 | ||
| dest_latitude | Long | 目的緯度。 | ||
| dest_longitude | Long | 目的經度。 | ||
| malware_info | malware_family | String | 惡意家族。 | |
| malware_class | String | 惡意軟件分類。 | ||
| system_info | pwd_valid | Boolean | 口令結果是否有效。 | |
| pwd_min_len | Integer | 口令長度。 | ||
| pwd_digit_credit | Integer | 口令中數字要求。 | ||
| pwd_uppercase_letter | Integer | 口令中大寫字母。 | ||
| pwd_lowercase_letter | Integer | 口令中小寫字母。 | ||
| pwd_special_characters | Integer | 口令中特殊字符。 | ||
| extend_info | hit_rule | String | 特征規則。 | |
| rule_name | String | 規則名稱。 | ||
| rulesetname | String | 規則集名稱。 | ||
| report_type | String | 上報數據類型。 | ||
| ti_info | ti_source | String | 情報來源。 | |
| ti_class | String | 情報分類。 | ||
| ti_threat_type | String | 情報威脅類型。 | ||
| ti_first_time | Long | 第一次發現時間。 | ||
| ti_last_time | Long | 最近一次發現時間。 | ||
sec-ddos-attack
DDoS攻擊日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| log_type | String | 日志類型。 |
| time | Date | 本地時間。 |
| device_ip | String | 設備IP。 |
| device_type | String | 設備類型(清洗:CLEAN;檢測:DETECT)。 |
| direction | String | 日志方向(inbound,outbound)。 |
| zone_id | String | 防護對象ID。 |
| zone_name | String | 防護對象名稱。 |
| zone_ip | String | IP。 |
| biz_id | String | 業務ID。 |
| is_deszone | String | 是否網段流量(是:true;否:false)。 |
| is_ipLocation | String | 是否地址位置流量(是:true,否:false)。 |
| ipLocation_id | String | 地理位置ID。 |
| total_pps | String | 總pps。 |
| total_kbps | String | 總Kbps。 |
| tcp_pps | String | 到目標的TCP總包速率pps。 |
| tcp_kbps | String | 到目標的TCP總流量Kbps。 |
| tcpfrag_pps | String | 到目標的TCP碎片包速率pps。 |
| tcpfrag_kbps | String | 到目標的TCP碎片流量Kbps。 |
| udp_pps | String | 到目標的UDP總包速率pps。 |
| udp_kbps | String | 到目標的UDP總流量Kbps。 |
| udpfrag_pps | String | 到目標的UDP碎片包速率pps。 |
| udpfrag_kbps | String | 到目標的UDP碎片流量Kbps。 |
| icmp_pps | String | 到目標的ICMP總包速率pps。 |
| icmp_kbps | String | 到目標的ICMP總流量Kbps。 |
| other_pps | String | 到目標的Other總包速率pps。 |
| other_kbps | String | 到目標的Other總流量Kbps。 |
| syn_pps | String | 到目標的SYN報文數。 |
| synack_pps | String | 到目標的SYN/ACK報文數pps。 |
| ack_pps | String | 到目標的ACK報文數pps。 |
| finrst_pps | String | 到目標的FIN/Rst報文數pps。 |
| http_pps | String | 到目標的HTTP總包速率pps。 |
| http_kbps | String | 到目標的HTTP總流量Kbps。 |
| http_get_pps | String | 到目標的HTTP請求總包速率pps。 |
| https_pps | String | 到目標的HTTPS總包速率pps。 |
| https_kbps | String | 到目標的HTTPS總流量Kbps。 |
| dns_request_pps | String | 到目標業務DNS Query包速率pps。 |
| dns_request_kbps | String | 到目標業務DNS Query總流量Kbps。 |
| dns_reply_pps | String | 到目標業務DNS Reply包速率pps。 |
| dns_reply_kbps | String | 到目標業務DNS Reply總流量Kbps。 |
| sip_invite_pps | String | 到目標業務SIP包速率pps。 |
| sip_invite_kbps | String | 到目標業務SIP總流量Kbps。 |
| tcp_increase_con | String | 到目標的tcp每秒新建連接數統計。 |
| udp_increase_con | String | 到目標的udp每秒新建連接數統計。 |
| icmp_increase_con | String | 到目標的icmp每秒新建連接數統計。 |
| other_increase_con | String | 到目標的other協議每秒新建連接數統計。 |
| tcp_concur_con | String | 到目標的tcp并發連接數統計。 |
| udp_concur_con | String | 到目標的udp并發連接數統計。 |
| icmp_concur_con | String | 到目標的icmp并發連接數統計。 |
| other_concur_con | String | 到目標的other協議并發連接數統計。 |
| total_average_pps | String | 到目標的所有流量的平均pps。 |
| total_average_kbps | String | 到目標的所有流量的平均Kbps。 |
sec-cts-audit
云審計服務日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| time | Date | 事件發生時間。以當地標準時間(采用格林威治時間加當地時區形式)進行展示,例如:2022/11/08 11:24:04 GMT+08:00。 |
| user | Object | 發起操作的云賬戶信息。 |
| request | Object | 操作的請求內容。 |
| response | Object | 操作的響應內容。 |
| service_type | String | 操作來源。 |
| resource_type | String | 資源類型。 |
| resource_name | String | 資源名稱。 |
| resource_id | String | 資源的唯一標識。 |
| source_ip | String | 發起本次操作的用戶的IP,如果為系統內調用,則為空。 |
| trace_name | String | 操作名稱。 |
| trace_rating | String | 操作事件等級,分為以下等級:
|
| trace_type | String | 操作類型,分為以下幾種:
|
| api_version | String | 作為操作來源的云服務的API版本號。 |
| message | Object | 備注信息。 |
| record_time | Long | 記錄操作的時間,表示方式為時間戳。 |
| trace_id | String | 操作的唯一標識。 |
| code | Integer | 事件http返回碼,例如200,400。 |
| request_id | String | 記錄本次請求的request id。 |
| location_info | String | 記錄本次請求出錯后,問題定位所需要的輔助信息。 |
| endpoint | String | 該操作涉及云資源的詳情頁面的endpoint。 |
| resource_url | String | 該操作涉及云資源的詳情頁面的訪問鏈接(不含endpoint)。 |
| user_agent | String | OBS桶相關操作中非ObsSDK方式調用時的操作類型。 |
| content_length | Long | OBS桶相關操作中請求消息體的長度。 |
| total_time | Long | OBS桶相關操作中請求的響應時間。 |
sec-cfw-risk
云防火墻攻擊事件日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| event_time | Date | 檢測到的攻擊時間。 |
| action | String | 云防火墻當前的響應動作。
|
| app | String | 應用類型。 |
| attack_rule | String | 檢測到攻擊的防御規則。 |
| attack_rule_id | String | 檢測到攻擊的防御規則ID號。 |
| attack_type | String | 發生攻擊的類型:
|
| dst_ip | String | 目的IP地址。 |
| dst_port | String | 目的端口號。 |
| packet | String | 攻擊日志的原始數據包。 |
| protocol | String | 協議類型。 |
| level | String | 表示檢測到威脅的等級:
|
| source | String | 檢測到攻擊的防御模式:
|
| src_ip | String | 源IP地址。 |
| src_port | String | 源端口號。 |
| direction | String | 流量方向:
|
sec-cfw-flow
云防火墻流量日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| app | String | 應用類型。 |
| dst_ip | String | 目的IP地址。 |
| dst_port | String | 目的端口號。 |
| end_time | Date | 流結束時間。 |
| protocol | String | 協議類型。 |
| to_c_bytes | String | 服務端向客戶端發送的字節數。 |
| to_c_pkts | String | 服務端向客戶端發送的報文數。 |
| to_s_bytes | String | 客戶端向服務端發送的字節數。 |
| to_s_pkts | String | 服務端向客戶端發送的報文數。 |
| src_ip | String | 源IP地址。 |
| src_port | String | 源端口號。 |
| start_time | Date | 流開始時間。 |
sec-cfw-block
云防火墻訪問控制日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| hit_time | Date | 訪問發生的時間。 |
| action | String | 云防火墻當前的響應動作:
|
| app | String | 應用類型。 |
| dst_ip | String | 目的IP地址。 |
| dst_port | String | 目的端口號。 |
| protocol | String | 協議類型。 |
| rule_id | String | 觸發規則的ID。 |
| src_ip | String | 源IP地址。 |
| src_port | String | 源端口號。 |
sec-apig-access
API網關訪問日志字段含義如下所示:
| 字段 | 類型 | 字段含義 |
|---|---|---|
| region_id | String | 局點。 |
| api_id | String | API ID。 |
| body_bytes_sent | String | 返回Body大小。 |
| bytes_sent | String | 整個返回大小。 |
| domain | String | 公網域名。 |
| errorType | String | 是否被流控(1:被流控)。 |
| http_user_agent | String | 用戶代理標識。 |
| http_x_forwarded_for | String | X-Forwarded-For頭。 |
| opsuba_api_url | String | 請求的URI。 |
| out_times | String | 網關內部與周邊組件交互耗時。 |
| remote_addr | String | 遠端ip。 |
| request_id | String | 請求id。 |
| request_length | String | 整個請求大小。 |
| request_method | String | HTTP請求方法。 |
| request_time | String | 訪問耗時。 |
| scheme | String | 協議。 |
| server_protocol | String | 請求協議。 |
| status | String | 狀態。 |
| time_local | Date | 時間。 |
| upstream_addr | String | 遠端ip。 |
| upstream_connect_time | String | 遠端連接耗時。 |
| upstream_header_time | String | 遠端頭耗時。 |
| upstream_response_time | String | 遠端返回耗時。 |
| upstream_status | String | 遠端狀態。 |
| upstream_uri | String | 請求后端的URI。 |
| user_name | String | 用戶projectid或appid。 |
sec-dbss-alarm
DBSS告警日志字段含義如下所示:
| 字段 | 類型 | 字段含義 | |
|---|---|---|---|
| domain_id | String | 賬號ID。 | |
| project_id | String | 項目ID。 | |
| region | String | region | |
| tenant_vpc_id | String | 租戶的VPC ID。 | |
| tenant_subnet_id | String | 租戶的子網ID。 | |
| instance_id | String | 實例ID。 | |
| instance_name | String | 實例名。 | |
| alarm | Object | 告警對象。 | |
| source_type | String | dbss。 | |
| alarm | alarm_risk | String | 告警等級。 |
| client_ip | String | 連接IP。 | |
| database_ip | String | 數據庫訪問IP。 | |
| count | Long | 告警次數。 | |
| user_name | String | 數據庫用戶名。 | |
| schema | String | oracle schema。 | |
| rule_name | String | 規則名稱。 | |
| rule_id | String | 規則ID。 | |
| sql_type | String | SQL執行類型。 | |
| sql_result | String | SQL執行結果。 | |
| db_type | String | 數據庫類型。 | |
sec-dsc-alarm
DSC告警日志的保留字段根據日志類型有所不同,具體如下:
AK SK泄露(aksk_leakage):
| 字段 | 類型 | 字段含義 |
|---|---|---|
| log_type | String | 告警類型。 |
| region_id | String | region。 |
| domain_id | String | 賬號ID。 |
| project_id | String | 項目id。 |
| leakage_ak | String | AK。 |
| source | String | 泄漏源。 |
| find_time | String | 發現時間。 |
| account | String | 賬號名。 |
| file_name | String | 文件名。 |
| file_suffix | String | 文件后綴。 |
| leakage_user_id | String | 泄露子用戶ID。 |
| leakage_user_name | String | 泄露子用戶名。 |
| leakage_domain_id | String | 泄露主賬號ID。 |
| leakage_domain_name | String | 泄露主賬號名。 |
| url | String | 泄露網址。 |
風險OBS桶文件(obs_risk):
| 字段 | 類型 | 字段含義 |
|---|---|---|
| log_type | String | 告警類型。 |
| region_id | String | region。 |
| domain_id | String | 賬號ID。 |
| project_id | String | 項目id。 |
| bucket_policy | String | 公開桶/私有桶。 |
| bucket_domain_id | String | 桶所屬賬號ID。 |
| bucket_project_id | String | 桶所屬項目ID。 |
| bucket_name | String | 桶名稱。 |
| file_name | String | 文件名稱。 |
| file_path | String | 文件路徑。 |
| risk_level | Integer | 敏感風險等級。 |
| sensitive_data_type | String[] | 敏感數據類型。 |
| privacy_detail | String | 個人隱私數據明細。 |
| file_type | String | 文件類型。 |
| mimetypes | String | 文件類型。 |
| rule_list | List<Map<String,String>> | 匹配規則列表。 |
| keyword | String | 匹配敏感數據規則關鍵字。 |
| available_zone | String | 可用區。 |
| encrypted | String | 是否加密。 |
數據敏感字段信息(db_risk):
| 字段 | 類型 | 字段含義 |
|---|---|---|
| log_type | String | 告警類型。 |
| region_id | String | region。 |
| domain_id | String | 賬號ID。 |
| project_id | String | 項目id。 |
| vpc_id | String | VPC ID。 |
| db_instance_type | String | RDS PUB。 |
| db_instance_id | String | 數據庫實例ID。 |
| db_instance_type | String | 數據庫實例類型。 |
| db_instance_ip | String | 數據庫實例IP。 |
| db_instance_domain_id | String | 數據庫實例所屬賬號ID。 |
| db_instance_project_id | String | 數據庫實例所屬項目ID。 |
| db_instance_name | String | 數據庫實例名稱。 |
| db_name | String | 數據庫名稱。 |
| table_name | String | 表名稱。 |
| field_name | String | 字段名稱。 |
| data_type | String | 字段數據類型。 |
| risk_level | Integer | 敏感風險等級。 |
| sensitive_data_type | String[] | 敏感數據類型。 |
| privacy_detail | String | 個人隱私數據明細。 |
| rule_list | List<Map<String,String>> | 匹配規則列表。 |
| keyword | String | 匹配敏感數據規則關鍵字。 |
