Tema ini menjelaskan bidang-bidang log dalam Security Center. Log mencakup tiga kategori utama: log jaringan, log keamanan, dan log host.
Log jaringan
Log Domain Name System (DNS)
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-log-dns.
owner_id
ID akun Alibaba Cloud.
additional
Bidang dalam bagian tambahan. Beberapa bidang dipisahkan oleh tanda vertikal (|).
additional_num
Jumlah bidang tambahan.
answer
Respon DNS. Beberapa respon dipisahkan oleh tanda vertikal (|).
answer_num
Jumlah respon DNS.
authority
Bidang dalam bagian otoritas.
authority_num
Jumlah bidang dalam bagian otoritas.
client_subnet
Subnet tempat klien berada.
dst_ip
Alamat IP tujuan.
dst_port
Port tujuan.
net_connect_dir
Arah aliran data. Nilai yang valid:
in: arah masuk
out: arah keluar
qid
ID dari query.
query_name
Nama domain yang di-query.
query_type
Tipe dari query.
query_datetime
Timestamp dari query. Unit: milidetik.
rcode
Kode balasan.
region
ID wilayah sumber. Nilai yang valid:
1: China (Beijing)
2: China (Qingdao)
3: China (Hangzhou)
4: China (Shanghai)
5: China (Shenzhen)
6: Wilayah lainnya
response_datetime
Waktu ketika balasan dikembalikan.
src_ip
Alamat IP sumber.
src_port
Port sumber.
start_time
Timestamp awal. Unit: detik.
Log DNS Lokal
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai local-dns.
owner_id
ID akun Alibaba Cloud.
answer_rdata
Respon DNS. Beberapa respon dipisahkan oleh tanda vertikal (|).
answer_ttl
Nilai TTL dari catatan sumber daya dalam respon DNS. Beberapa nilai dipisahkan oleh tanda vertikal (|).
answer_type
Tipe dari catatan sumber daya dalam respon DNS. Beberapa tipe dipisahkan oleh tanda vertikal (|). Nilai yang valid:
1: Rekaman A
2: Rekaman NS
5: Rekaman CNAME
6: Rekaman SOA
10: Rekaman NULL
12: Rekaman PTR
15: Rekaman MX
16: Rekaman TXT
25: Rekaman KEY
28: Rekaman AAAA
33: Rekaman SRV
41: Rekaman OPT
43: Record DS
44: Rekaman SSHFP
45: Rekaman IPSECKEY
46: Rekaman RRSIG
47: Rekaman NSEC
answer_name
Nama domain dalam respon DNS. Beberapa nama dipisahkan oleh tanda vertikal (|).
dst_ip
Alamat IP tujuan.
dst_port
Port tujuan.
group_id
ID grup tempat host termasuk.
host
Nama host.
id
ID dari query.
instance_id
ID instance.
internet_ip
Alamat IP publik dari host.
ip_ttl
TTL dari paket data yang dikirim oleh host.
query_name
Nama domain yang di-query.
query_type
Tipe dari query.
src_ip
Alamat IP sumber.
src_port
Port sumber.
start_time
Timestamp dari query. Unit: detik.
time_usecond
Durasi respon. Unit: mikrodetik.
tunnel_id
ID tunnel.
Log Sesi Jaringan
Bidang log
Deskripsi
__topic__
Tema log. Nilainya tetap sebagai sas-log-session.
owner_id
ID akun Alibaba Cloud.
jenis_aset
Jenis layanan Alibaba Cloud yang terkait, seperti Elastic Compute Service (ECS), Server Load Balancer (SLB), atau ApsaraDB RDS.
net_connect_dir
Arah koneksi jaringan.
dst_ip
Alamat IP tujuan.
dst_port
Port tujuan.
l4_proto
Tipe protokol, seperti TCP atau UDP.
session_time
Durasi sesi.
src_ip
Alamat IP sumber.
src_port
Port sumber.
start_time
Timestamp awal. Unit: detik.
Log Web
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-log-http.
owner_id
ID akun Alibaba Cloud.
response_content_length
Panjang konten permintaan HTTP.
dst_ip
Alamat IP tujuan.
dst_port
Port tujuan.
host
Nama host server web.
jump_location
Alamat IP pengalihan HTTP.
request_method
Metode permintaan HTTP.
request_datetime
Waktu ketika permintaan dikirim.
status
Kode status HTTP.
content_type
Tipe konten dari permintaan HTTP.
response_content_type
Tipe konten dari respon HTTP.
src_ip
Alamat IP sumber.
src_port
Port sumber.
request_uri
URI permintaan.
http_user_agent
Header HTTP User-Agent. Bidang ini mencatat klien yang mengirimkan permintaan.
http_x_forward_for
Header HTTP X-Forwarded-For (XFF).
Log keamanan
Log Kerentanan
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-vul-log.
owner_id
ID akun Alibaba Cloud.
vul_name
Nama kerentanan.
vul_alias_name
Alias kerentanan.
risk_level
Tingkat risiko kerentanan.
vul_primary_id
Pengenal kerentanan.
instance_name
Nama instance.
operation
Aksi yang dilakukan. Nilai yang valid:
new
verify
fix
status
Status. Untuk informasi lebih lanjut, lihat bagian Tabel 2. Kode status log keamanan dari topik ini.
tag
Tag kerentanan, seperti oval, system, atau cms. Bidang ini digunakan untuk membedakan kerentanan mendesak.
type
Tipe kerentanan. Nilai yang valid:
sys: Kerentanan Windows
cve: Kerentanan Linux
cms: Kerentanan Web-CMS
emg: Kerentanan mendesak
uuid
UUID klien.
extend_content
Informasi tambahan tentang kerentanan.
instance_id
ID instance.
internet_ip
Alamat IP publik dari aset.
intranet_ip
Alamat IP pribadi dari aset.
start_time
Timestamp awal. Unit: detik.
Log Baseline
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-hc-log.
owner_id
ID akun Alibaba Cloud.
risk_level
Tingkat risiko.
operation
Aksi yang dilakukan. Nilai yang valid:
new
verify
risk_name
Nama risiko.
status
Status. Untuk informasi lebih lanjut, lihat bagian Tabel 2. Kode status log keamanan dari topik ini.
sub_type_alias_name
Alias subtipe dari baseline.
sub_type_name
Subtipe dari baseline.
type_name
Tipe dari baseline. Untuk informasi lebih lanjut, lihat bagian Tabel 1. Tipe dan subtipe baseline dari topik ini.
type_alias_name
Alias tipe dari baseline.
uuid
UUID klien.
check_item_name
Nama item pemeriksaan.
check_item_level
Tingkat item pemeriksaan.
check_type
Tipe item pemeriksaan.
instance_id
ID instance.
start_time
Timestamp awal. Unit: detik.
Tabel 1. Tipe dan Subtipe Baseline
Nama tipe
Nama subtipe
system
baseline
weak_password
postsql_weak_password
database
redis_check
account
system_account_security
account
system_account_security
weak_password
mysq_weak_password
weak_password
ftp_anonymous
weak_password
rdp_weak_password
system
group_policy
system
register
account
system_account_security
weak_password
sqlserver_weak_password
system
register
weak_password
ssh_weak_password
weak_password
ftp_weak_password
cis
centos7
cis
tomcat7
cis
memcached-check
cis
mongodb-check
cis
ubuntu14
cis
win2008_r2
system
file_integrity_mon
cis
linux-httpd-2.2-cis
cis
linux-docker-1.6-cis
cis
SUSE11
cis
redhat6
cis
bind9.9
cis
centos6
cis
debain8
cis
redhat7
cis
SUSE12
cis
ubuntu16
Tabel 2. Kode Status Log Keamanan
Kode status
Deskripsi
1
Belum diperbaiki.
2
Gagal diperbaiki.
3
Gagal dikembalikan.
4
Memperbaiki.
5
Mengembalikan.
6
Memverifikasi.
7
Diperbaiki.
8
Diperbaiki dan perlu di-restart.
9
Dikembalikan.
10
Mengabaikan
11
Dikembalikan dan perlu di-restart.
12
Tidak ada lagi.
20
Kedaluwarsa.
Log Peringatan Keamanan
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-security-log.
data_source
Sumber data. Untuk informasi lebih lanjut, lihat bagian Tabel 3. Nilai valid dari bidang data_source dalam log peringatan keamanan dari topik ini.
level
Tingkat keparahan peringatan.
name
Nama peringatan.
operation
Aksi yang dilakukan. Nilai yang valid:
new
dealing
status
Status. Untuk informasi lebih lanjut, lihat bagian Tabel 2. Kode status log keamanan dari topik ini.
uuid
UUID klien.
detail
Detail peringatan.
unique_info
Pengenal unik peringatan.
instance_id
ID instance.
internet_ip
Alamat IP publik dari aset.
intranet_ip
Alamat IP pribadi dari aset.
start_time
Timestamp awal. Unit: detik.
Tabel 3. Nilai Valid dari Bidang data_source dalam Log Peringatan Keamanan
Nilai
Deskripsi
aegis_suspicious_event
Penyimpangan server
aegis_suspicious_file_v2
Webshell
aegis_login_log
Log masuk mencurigakan
security_event
Penyimpangan Security Center
Log Penilaian Konfigurasi
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-cspm-log.
check_id
ID item pemeriksaan. Anda dapat memanggil operasi ListCheckResult untuk menanyakan ID item pemeriksaan. Operasi ini digunakan untuk menanyakan detail item risiko yang terdeteksi dalam pemeriksaan konfigurasi pada layanan cloud.
check_item_name
Nama item pemeriksaan.
instance_id
ID instance.
instance_name
Nama instance.
instance_result
Dampak risiko. Nilainya adalah string JSON.
instance_sub_type
Subtipe dari instance.
Jika tipe instance adalah ECS, nilai yang valid didukung:
INSTANCE
DISK
SECURITY_GROUP
Jika tipe instance adalah ACR, nilai yang valid didukung:
REPOSITORY_ENTERPRISE
REPOSITORY_PERSON
Jika tipe instance adalah RAM, nilai yang valid didukung:
ALIAS
USER
POLICY
GROUP
Jika tipe instance adalah WAF, nilainya tetap sebagai DOMAIN.
Jika instance adalah tipe lainnya, nilainya tetap sebagai INSTANCE.
instance_type
Tipe instance. Nilai yang valid:
ECS
SLB
RDS: ApsaraDB RDS
MONGODB: ApsaraDB for MongoDB
KVSTORE: ApsaraDB for Redis
ACR: Container Registry
CSK: Container Service for Kubernetes (ACK)
VPC: Virtual Private Cloud (VPC)
ACTIONTRAIL: ActionTrail
CDN: Content Delivery Network (CDN)
CAS: Certificate Management Service (sebelumnya SSL Certificates Service)
RDC: Alibaba Cloud DevOps
RAM: Resource Access Management (RAM)
DDoS: Anti-DDoS
WAF: Web Application Firewall (WAF)
OSS: Object Storage Service (OSS)
POLARDB: PolarDB
POSTGRESQL: ApsaraDB RDS for PostgreSQL
MSE: Microservices Engine (MSE)
NAS: File Storage NAS (NAS)
SDDP: Data Security Center (DSC)
EIP: Elastic IP Address (EIP)
region_id
ID wilayah instance.
requirement_id
ID item persyaratan. Anda dapat memanggil operasi ListCheckStandard untuk menanyakan ID item persyaratan. Operasi ini digunakan untuk menanyakan standar pemeriksaan konfigurasi.
tingkat_risiko
Tingkat risiko. Nilai yang valid:
RENDAH
SEDANG
TINGGI
section_id
ID bagian. Anda dapat memanggil operasi ListCheckResult untuk menanyakan ID bagian. Operasi ini digunakan untuk menanyakan detail item risiko yang terdeteksi dalam pemeriksaan konfigurasi pada layanan cloud.
standard_id
ID standar. Anda dapat memanggil operasi ListCheckStandard untuk menanyakan ID standar. Operasi ini digunakan untuk menanyakan standar pemeriksaan konfigurasi.
status
Status item pemeriksaan. Nilai yang valid:
NOT_CHECK: belum diperiksa
CHECKING: sedang diperiksa
PASS: lulus
NOT_PASS: tidak lulus
WHITELIST: ditambahkan ke daftar putih
vendor
Penyedia layanan cloud. Nilainya tetap sebagai ALIYUN.
start_time
Timestamp awal. Unit: detik.
Log Pertahanan Jaringan
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-net-block.
cmd
Baris perintah proses yang diserang.
cur_time
Waktu ketika peristiwa serangan terjadi.
decode_payload
Payload heksadesimal yang didekodekan.
dst_ip
Alamat IP aset yang diserang.
dst_port
Port dari aset yang diserang.
func
Tipe peristiwa yang diblokir. Nilai yang valid:
payload: menunjukkan bahwa sebuah peristiwa diblokir saat data atau instruksi berbahaya terdeteksi.
tuple: menunjukkan bahwa sebuah peristiwa diblokir saat alamat IP berbahaya terdeteksi.
rule_type
Tipe aturan yang digunakan dalam peristiwa yang diblokir. Nilai yang valid:
alinet_payload: menunjukkan aturan pertahanan payload yang ditentukan di Security Center.
alinet_tuple: menunjukkan aturan pertahanan tuple yang ditentukan di Security Center.
instance_id
ID instance dari aset yang diserang.
internet_ip
Alamat IP publik dari aset yang diserang.
intranet_ip
Alamat IP pribadi dari aset yang diserang.
final_action
Tindakan pertahanan. Nilainya tetap sebagai block. Nilai tersebut menunjukkan bahwa serangan telah diblokir.
payload
Payload heksadesimal.
pid
ID dari proses yang diserang.
platform
Tipe sistem operasi dari aset yang diserang. Nilai yang valid:
win
linux
proc_path
Path ke proses yang diserang.
sas_group_name
Grup aset tempat server termasuk di Security Center.
src_ip
Alamat IP sumber dari serangan.
src_port
Port sumber dari serangan.
uuid
UUID server.
owner_id
ID akun Alibaba Cloud.
start_time
Timestamp awal. Unit: detik.
Log Perlindungan Aplikasi
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-rasp-log.
app_dir
Direktori tempat aplikasi disimpan.
app_id
ID aplikasi.
app_name
Nama aplikasi.
confidence_level
Tingkat kepercayaan algoritma deteksi. Nilai yang valid:
high
medium
low
request_body
Informasi tentang badan permintaan.
request_content_length
Panjang badan permintaan.
data
Panggilan balik.
headers
Informasi tentang header permintaan.
hostname
Nama host atau perangkat jaringan.
host_ip
Alamat IP pribadi dari host.
is_clipped
Menunjukkan apakah log dipotong karena panjang berlebih. Nilai yang valid:
true
false
jdk_version
Versi JDK.
message
Deskripsi peringatan.
request_method
Metode permintaan.
platform
Tipe sistem operasi.
arch
Arsitektur sistem operasi.
kernel_version
Versi kernel sistem operasi.
param
Parameter permintaan. Dalam banyak kasus, parameter berada dalam salah satu format berikut:
Parameter GET
application/x-www-form-urlencoded
payload
Payload serangan.
payload_length
Panjang payload serangan.
rasp_id
ID agen Runtime Application Self Protection (RASP).
rasp_version
Versi agen RASP.
src_ip
Alamat IP dari mana permintaan diinisiasi.
final_action
Hasil penanganan peringatan. Nilai yang valid:
block
monitor
rule_action
Aksi penanganan peringatan yang ditentukan dalam aturan perlindungan aplikasi. Nilai yang valid:
block
monitor
risk_level
Tingkat risiko. Nilai yang valid:
HIGH
MEDIUM
LOW
stacktrace
Informasi stack.
time
Waktu ketika peringatan dihasilkan.
timestamp
Timestamp ketika peringatan dihasilkan. Unit: milidetik.
type
Tipe kerentanan. Nilai yang valid:
attach: API Attach berbahaya
beans: binding beans berbahaya
classloader: pemuatan kelas berbahaya
dangerous_protocol: penggunaan protokol rentan
dns: query DNS berbahaya
engine: injeksi engine
expression: injeksi ekspresi
file: baca dan tulis file berbahaya
file_delete: penghapusan file sewenang-wenang
file_list: penelusuran direktori
file_read: pembacaan file sewenang-wenang
file_upload: unggah file berbahaya
jndi: Java Naming and Directory Interface (JNDI) injection
jni: Java Native Interface (JNI) injection
jstl: JavaServer Pages Standard Tag Library (JSTL) inklusi file sewenang-wenang
memory_shell: injeksi webshell dalam memori
rce: eksekusi perintah
read_object: serangan deserialisasi
reflect: panggilan refleksi berbahaya
sql: injeksi SQL
ssrf: koneksi eksternal berbahaya
thread_inject: injeksi thread
xxe: serangan entitas eksternal XML (XXE)
url
URL permintaan.
rasp_attack_uuid
UUID kerentanan.
uuid
UUID host.
internet_ip
Alamat IP publik dari host.
intranet_ip
Alamat IP pribadi dari host.
sas_group_name
Grup tempat server termasuk di Security Center.
instance_id
ID instance dari host.
owner_id
ID akun Alibaba Cloud.
start_time
Timestamp awal. Unit: detik.
Log Deteksi File
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai sas-filedetect-log.
bucket_name
Nama Bucket OSS.
event_id
ID peringatan.
event_name
Nama peringatan.
md5
Nilai hash MD5 dari file.
sha256
Nilai hash SHA-256 dari file.
result
Hasil deteksi. Nilai yang valid:
0: file normal
1: file berbahaya
file_path
Path ke file.
etag
Tag dari file.
risk_level
Tingkat risiko.
serious
suspicions
remind
source
Metode yang digunakan untuk deteksi. Nilai yang valid:
OSS: Konsol Security Center digunakan untuk mendeteksi file berbahaya di Bucket OSS.
API: SDK untuk Java atau Python digunakan untuk mendeteksi file berbahaya.
parent_md5
Nilai hash MD5 dari file induk atau file paket terkompresi.
parent_sha256
Nilai hash SHA-256 dari file induk atau file paket terkompresi.
parent_file_path
Nama file induk atau file paket terkompresi.
owner_id
ID akun Alibaba Cloud.
start_time
Timestamp ketika deteksi dimulai. Unit: detik.
Log host
Log Startup Proses
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-log-process.
uuid
UUID klien.
host_ip
Alamat IP klien.
cmdline
Baris perintah lengkap yang memulai proses.
username
Nama pengguna.
uid
ID pengguna.
pid
ID proses.
proc_name
Nama file proses.
proc_path
Path lengkap ke file proses.
proc_start_time
Waktu ketika proses dimulai.
parent_proc_start_time
Waktu ketika proses induk dimulai.
nama grup
Nama grup pengguna.
ppid
ID dari proses induk.
nama_proc_induk
Nama file proses induk.
parent_proc_path
Path lengkap dari file proses induk.
cmd_chain
Rantai proses.
nama_host_kontainer
Nama host dari kontainer.
container_pid
ID proses dari kontainer.
container_image_id
ID gambar.
nama_gambar_kontainer
Nama gambar.
nama_kontainer
Nama kontainer.
container_id
ID kontainer.
cwd
Direktori kerja saat ini (CWD) dari proses tersebut.
owner_id
ID akun Alibaba Cloud.
start_time
Timestamp awal. Unit: detik.
cmd_chain_index
Indeks rantai proses. Anda dapat menggunakan indeks untuk mencari rantai proses.
cmd_index
Indeks parameter dalam baris perintah. Setiap dua indeks dikelompokkan untuk mengidentifikasi awal dan akhir parameter.
comm
Nama perintah terkait dengan proses.
gid
ID grup proses.
instance_id
ID instance.
parent_cmd_line
Baris perintah proses induk.
sas_group_name
Grup aset tempat server termasuk di Security Center.
srv_cmd
Baris perintah proses leluhur.
tty
Terminal yang masuk. Nilai N/A menunjukkan bahwa akun belum digunakan untuk login terminal.
uid
ID pengguna.
start_time
Timestamp awal. Unit: detik.
Log Snapshot Proses
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-snapshot-process.
owner_id
ID akun Alibaba Cloud.
uuid
UUID klien.
host_ip
Alamat IP klien.
cmdline
Baris perintah lengkap yang memulai proses.
pid
ID proses.
proc_name
Nama file proses.
proc_path
Path lengkap ke file proses.
md5
Nilai hash MD5 dari file proses. Jika ukuran file proses melebihi 1 MB, nilai hash MD5 tidak dihitung.
parent_proc_name
Nama file proses induk.
proc_start_time
Waktu ketika proses dimulai. Bidang ini merupakan bidang bawaan.
pengguna
Nama pengguna.
uid
ID pengguna.
start_time
Timestamp awal. Unit: detik.
instance_id
ID instance.
pname
Nama file proses induk.
sas_group_name
Grup aset tempat server termasuk di Security Center.
Log Masuk
Percobaan masuk berulang dalam 1 menit dicatat dalam satu log.
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-log-login.
owner_id
ID akun Alibaba Cloud.
uuid
UUID klien.
host_ip
Alamat IP klien.
src_ip
Alamat IP sumber.
dst_port
Port masuk.
login_type
Tipe masuk. Nilai yang valid: SSHLOGIN, RDPLOGIN, dan IPCLOGIN.
username
Nama pengguna masuk.
login_count
Jumlah percobaan masuk. Jika nilainya adalah 3, dua permintaan masuk dikirim 1 menit sebelum masuk saat ini.
instance_id
ID instance.
sas_group_name
Grup aset tempat server termasuk di Security Center.
start_time
Timestamp awal dari query. Unit: detik.
Log Serangan Brute-Force
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-log-crack.
owner_id
ID akun Alibaba Cloud.
uuid
UUID klien.
host_ip
Alamat IP klien.
src_ip
Alamat IP sumber.
dst_port
Port masuk.
login_type
Tipe masuk. Nilai yang valid: SSHLOGIN, RDPLOGIN, dan IPCLOGIN.
username
Nama pengguna masuk.
login_count
Jumlah percobaan masuk gagal.
instance_id
ID instance.
sas_group_name
Grup aset tempat server termasuk di Security Center.
start_time
Timestamp awal. Unit: detik.
Log Koneksi Jaringan
Perubahan dalam koneksi jaringan dikumpulkan dari host setiap 10 detik hingga 1 menit.
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-log-network.
owner_id
ID akun Alibaba Cloud.
uuid
UUID klien.
host_ip
Alamat IP klien.
src_ip
Alamat IP sumber.
src_port
Port sumber.
dst_ip
Alamat IP tujuan.
dst_port
Port tujuan.
proc_name
Nama proses.
proc_path
Path ke proses.
connection_type
Protokol yang digunakan untuk membangun koneksi jaringan.
status
Status koneksi. Untuk informasi lebih lanjut, lihat bagian Tabel 4. Kode status koneksi jaringan dari topik ini.
net_connect_dir
Arah koneksi jaringan.
parent_proc_name
Nama file proses induk.
cmd_chain
Rantai proses.
cmd_chain_index
Indeks rantai proses. Anda dapat menggunakan indeks untuk mencari rantai proses.
container_hostname
Nama server dalam kontainer.
container_id
ID kontainer.
container_image_id
ID gambar.
container_image_name
Nama gambar.
container_name
Nama kontainer.
container_pid
ID proses dalam kontainer.
instance_id
ID instance.
pid
ID proses.
ppid
ID proses induk.
proc_start_time
Waktu ketika proses dimulai.
src_ip
Alamat IP sumber.
src_port
Port sumber.
srv_comm
Nama perintah terkait dengan proses induk dari proses induk.
type
Tipe koneksi jaringan real-time. Nilai yang valid:
connect: koneksi TCP dimulai
accept: koneksi TCP diterima
listen: pemantauan port
uid
ID pengguna yang memulai proses.
username
Nama pengguna yang memulai proses.
start_time
Timestamp awal. Unit: detik.
Tabel 4. Kode Status Koneksi Jaringan
Kode status
Deskripsi
1
closed
2
listen
3
syn send
4
syn recv
5
established
6
close wait
7
closing
8
fin_wait1
9
fin_wait2
10
time_wait
11
delete_tcb
Log Snapshot Port Mendengarkan
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-snapshot-port.
owner_id
ID akun Alibaba Cloud.
uuid
UUID klien.
host_ip
Alamat IP klien.
connection_type
Protokol listener.
src_ip
Alamat IP listener.
src_port
Port mendengarkan.
pid
ID proses.
proc_name
Nama proses.
net_connect_dir
Arah koneksi jaringan.
dst_ip
Alamat IP tujuan.
Jika nilai dir adalah out, nilai bidang ini adalah alamat IP host peer.
Jika nilai dir adalah in, nilai bidang ini adalah alamat IP host Anda.
dst_port
Port tujuan.
instance_id
ID instance.
sas_group_name
Grup aset tempat server termasuk di Security Center.
status
Status koneksi jaringan. Nilai yang valid:
1: Koneksi ditutup.
2: Koneksi akan dibangun.
3: Paket SYN dikirim.
4: Paket SYN diterima.
5: Koneksi dibangun.
6: Koneksi menunggu untuk ditutup.
7: Koneksi sedang ditutup.
8: Titik akhir lokal menunggu pengakuan permintaan penutupan koneksi dari titik akhir peer.
9: Titik akhir lokal menunggu permintaan penutupan koneksi dari titik akhir peer setelah menerima pengakuan dari titik akhir peer.
10: Titik akhir lokal menunggu waktu cukup lama untuk memastikan bahwa titik akhir peer menerima pengakuan dari titik akhir lokal.
11: TCB untuk koneksi dihapus.
start_time
Timestamp awal. Unit: detik.
Log Snapshot Akun
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-snapshot-host.
owner_id
ID akun Alibaba Cloud.
name
Nama kerentanan.
alias_name
Alias kerentanan.
op
Aksi yang dilakukan. Nilai yang valid:
new
verify
fix
status
Status koneksi. Untuk informasi lebih lanjut, lihat bagian Tabel 4. Kode status koneksi jaringan dari topik ini.
tag
Tag kerentanan, seperti oval, system, atau cms. Bidang ini digunakan untuk membedakan kerentanan mendesak.
type
Tipe kerentanan. Nilai yang valid:
sys: Kerentanan Windows
cve: Kerentanan Linux
cms: Kerentanan Web-CMS
EMG: Kerentanan mendesak
uuid
UUID klien.
username
Nama pengguna masuk.
host_ip
Alamat IP server.
account_expire
Tanggal kedaluwarsa akun. Nilai never menunjukkan bahwa akun tidak pernah kedaluwarsa.
domain
Domain atau direktori tempat akun termasuk. Nilai N/A menunjukkan bahwa akun tidak termasuk dalam domain.
groups
Grup tempat akun termasuk. Nilai N/A menunjukkan bahwa akun tidak termasuk dalam grup.
home_dir
Direktori home, yaitu direktori default untuk menyimpan dan mengelola file dalam sistem.
instance_id
ID instance.
last_chg
Tanggal ketika kata sandi terakhir kali diubah.
last_logon
Tanggal dan waktu ketika akun terakhir digunakan untuk masuk. Nilai N/A menunjukkan bahwa akun belum pernah digunakan untuk masuk.
login_ip
Alamat IP dari mana akun terakhir digunakan untuk masuk. Nilai N/A menunjukkan bahwa akun belum pernah digunakan untuk masuk.
passwd_expire
Tanggal kedaluwarsa kata sandi. Nilai never menunjukkan bahwa kata sandi tidak pernah kedaluwarsa.
perm
Menunjukkan apakah akun memiliki izin root. Nilai yang valid:
0: Akun tidak memiliki izin root.
1: Akun memiliki izin root.
sas_group_name
Grup aset tempat server termasuk di Security Center.
shell
Perintah shell Linux.
tty
Terminal yang masuk. Nilai N/A menunjukkan bahwa akun belum digunakan untuk login terminal.
warn_time
Tanggal ketika Anda diberitahu tentang kedaluwarsa kata sandi. Nilai never menunjukkan bahwa tidak ada pemberitahuan yang dikirim.
start_time
Timestamp awal. Unit: detik.
Log Permintaan DNS
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-log-dns-query.
owner_id
ID akun Alibaba Cloud.
uuid
UUID klien.
host_ip
Alamat IP klien.
pid
ID proses dari peminta DNS.
ppid
ID proses induk dari peminta DNS.
time
Waktu ketika permintaan DNS dimulai.
domain
Nama domain yang terdapat dalam permintaan DNS.
proc_path
Path ke proses yang memulai permintaan DNS.
cmdline
Baris perintah dari proses yang memulai permintaan DNS.
cmd_chain
Rantai proses dari peminta DNS.
sas_group_name
Grup tempat server termasuk di Security Center.
instance_id
ID instance.
start_time
Timestamp awal. Unit: detik.
Log Acara Klien
Bidang log
Deskripsi
__topic__
Tema dari log. Nilainya tetap sebagai aegis-log-client.
uuid
UUID server.
host_ip
Alamat IP server.
agent_version
Versi klien.
last_login
Timestamp terakhir masuk ke akun. Unit: milidetik.
platform
Tipe sistem operasi. Nilai yang valid:
windows
linux
region_id
ID wilayah server.
status
Status klien. Nilai yang valid:
online
offline
owner_id
ID akun Alibaba Cloud.
start_time
Timestamp awal. Unit: detik.