すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:セキュリティセンター

最終更新日:Jun 18, 2026

セキュリティセンターによって収集されたネットワークログ、セキュリティログ、ホストログのログフィールドリファレンスです。

ネットワークログ

  • DNS ログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-log-dns に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    additional

    追加フィールド。値は縦棒 (|) で区切られます。

    additional_num

    追加フィールドの数。

    answer

    DNS 応答。値は縦棒 (|) で区切られます。

    answer_num

    DNS 応答の数。

    authority

    authority フィールド。

    authority_num

    authority フィールドの数。

    client_subnet

    クライアントサブネット。

    dst_ip

    宛先 IP アドレス。

    dst_port

    宛先ポート。

    net_connect_dir

    データ転送方向には以下が含まれます:

    • in: インバウンド

    • out: アウトバウンド

    qid

    クエリ ID。

    query_name

    クエリされたドメイン名。

    query_type

    クエリタイプ。

    query_datetime

    クエリのタイムスタンプ。単位:ミリ秒。

    rcode

    リターンコード。

    region

    送信元リージョンの ID。有効な値:

    • 1: 北京

    • 2: 青島

    • 3: 杭州

    • 4: 上海

    • 5: 深セン

    • 6: その他

    response_datetime

    戻り時間。

    src_ip

    送信元 IP アドレス。

    src_port

    送信元ポート。

    start_time

    開始タイムスタンプ。単位:秒。

  • ローカル DNS ログ

    フィールド名

    説明

    __topic__

    ログのトピック。値は local-dns に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    answer_rdata

    DNS 応答。値は縦棒 (|) で区切られます。

    answer_ttl

    DNS 応答の生存時間 (TTL)。値は縦棒 (|) で区切られます。

    answer_type

    DNS 応答のタイプ。値は縦棒 (|) で区切られます。DNS 応答タイプの一般的な値は次のとおりです:

    • 1: A レコード。

    • 2: NS レコード。

    • 5: CNAME レコード。

    • 6: SOA レコード。

    • 10: NULL レコード。

    • 12: PTR レコード。

    • 15: MX レコード。

    • 16: TXT レコード。

    • 25: KEY レコード。

    • 28: AAAA レコード。

    • 33: SRV レコード。

    • 41: OPT レコード。

    • 43: DS レコード。

    • 44: SSHFP レコード。

    • 45: IPSECKEY レコード。

    • 46: RRSIG レコード。

    • 47: NSEC レコード。

    answer_name

    DNS 応答の名前。値は縦棒 (|) で区切られます。

    dst_ip

    宛先 IP アドレス。

    dst_port

    宛先ポート。

    group_id

    グループ ID。

    host

    ホスト名。

    id

    クエリ ID。

    instance_id

    インスタンス ID。

    internet_ip

    パブリック IP アドレス。

    ip_ttl

    IP アドレスの TTL。

    query_name

    クエリされたドメイン名。

    query_type

    クエリタイプ。

    src_ip

    送信元 IP アドレス。

    src_port

    送信元ポート。

    start_time

    クエリのタイムスタンプ。単位:秒。

    time_usecond

    応答時間。単位:マイクロ秒。

    tunnel_id

    チャネル ID。

  • ネットワークセッションログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-log-session に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    asset_type

    Elastic Compute Service (ECS)、Server Load Balancer (SLB)、RDS などの関連アセットのタイプ。

    net_connect_dir

    ネットワーク接続の方向。

    dst_ip

    宛先 IP アドレス。

    dst_port

    宛先ポート。

    l4_proto

    TCP や UDP などのプロトコルタイプ。

    session_time

    セッション時間。

    src_ip

    送信元 IP アドレス。

    src_port

    送信元ポート。

    start_time

    開始タイムスタンプ。単位:秒。

  • Web ログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-log-http に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    response_content_length

    コンテンツの長さ。

    dst_ip

    宛先 IP アドレス。

    dst_port

    宛先ポート。

    host

    ホスト名。

    jump_location

    リダイレクトアドレス。

    request_method

    HTTP アクセスメソッド。

    request_datetime

    リクエスト時間。

    status

    HTTP ステータスコード。

    content_type

    リクエストのコンテンツタイプ。

    response_content_type

    レスポンスのコンテンツタイプ。

    src_ip

    送信元 IP アドレス。

    src_port

    送信元ポート。

    request_uri

    リクエスト URI。

    http_user_agent

    クライアントリクエストの User-Agent ヘッダー。

    http_x_forward_for

    ルーティングおよびリダイレクト情報。

セキュリティログ

  • 脆弱性ログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-vul-log に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    vul_name

    脆弱性の名前。

    vul_alias_name

    脆弱性のエイリアス。

    risk_level

    リスクレベル。

    vul_primary_id

    脆弱性識別子。

    instance_name

    マシンの名前。

    operation

    操作情報には以下が含まれます:

    • new: 新規作成。

    • Validation

    • Bug fix

    status

    ステータス。詳細については、「セキュリティログのステータスコード」をご参照ください。

    tag

    oval、system、cms などの脆弱性のタグ。このパラメーターは、緊急の脆弱性を識別するために使用されます。

    type

    脆弱性タイプは次のとおりです:

    • sys: Windows の脆弱性

    • cve: Linux の脆弱性

    • cms: Web CMS の脆弱性

    • emg: 緊急の脆弱性

    uuid

    クライアント ID。

    extend_content

    脆弱性に関する拡張情報。

    instance_id

    インスタンス ID。

    internet_ip

    アセットのパブリック IP アドレス。

    intranet_ip

    アセットのプライベート IP アドレス。

    start_time

    開始タイムスタンプ。単位:秒。

  • ベースラインログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-hc-log に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    risk_level

    リスクレベル。

    operation

    操作情報には以下が含まれます:

    • Add

    • verify: リスクが検証されます。

    risk_name

    リスクの名前。

    status

    ステータス。詳細については、「セキュリティログのステータスコード」をご参照ください。

    sub_type_alias_name

    サブタイプのエイリアス

    sub_type_name

    サブタイプの名前。

    type_name

    タイプ名。詳細については、「ベースラインのタイプとサブタイプのペアのリスト」をご参照ください。

    type_alias_name

    タイプのエイリアス

    uuid

    クライアント ID。

    check_item_name

    確認項目の名前。

    check_item_level

    確認項目のレベル。

    check_type

    確認項目のタイプ。

    instance_id

    インスタンス ID。

    start_time

    開始タイムスタンプ。単位:秒。

    表 1. ベースラインのタイプとサブタイプのペア

    type_name

    sub_type_name

    system

    baseline

    weak_password

    postsql_weak_password

    database

    redis_check

    account

    system_account_security

    account

    system_account_security

    weak_password

    mysq_weak_password

    weak_password

    ftp_anonymous

    weak_password

    rdp_weak_password

    system

    group_policy

    system

    register

    account

    system_account_security

    weak_password

    sqlserver_weak_password

    system

    register

    weak_password

    ssh_weak_password

    weak_password

    ftp_weak_password

    cis

    centos7

    cis

    tomcat7

    cis

    memcached-check

    cis

    mongodb-check

    cis

    ubuntu14

    cis

    win2008_r2

    system

    file_integrity_mon

    cis

    linux-httpd-2.2-cis

    cis

    linux-docker-1.6-cis

    cis

    SUSE11

    cis

    redhat6

    cis

    bind9.9

    cis

    centos6

    cis

    debain8

    cis

    redhat7

    cis

    SUSE12

    cis

    ubuntu16

    表 2. セキュリティログのステータスコード

    ステータスコード

    説明

    1

    未修正

    2

    修正失敗

    3

    ロールバック失敗

    4

    修正中

    5

    ロールバック中

    6

    検証中

    7

    修正済み

    8

    修正済み、再起動待ち

    9

    ロールバック済み

    10

    無視

    11

    ロールバック済み、再起動待ち

    12

    存在しない

    20

    期限切れ

  • セキュリティアラートログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-security-log に固定されています。

    data_source

    データソース。詳細については、「セキュリティアラートの data_source 値のリスト」をご参照ください。

    level

    アラートレベル。

    name

    名前。

    operation

    操作情報。有効な値:

    • Add New

    • Processing

    status

    ステータス。詳細については、「セキュリティログのステータスコード」をご参照ください。

    uuid

    クライアント ID。

    detail

    アラートの詳細。

    unique_info

    アラートの一意の識別子。

    instance_id

    インスタンス ID。

    internet_ip

    アセットのパブリック IP アドレス。

    intranet_ip

    アセットのプライベート IP アドレス。

    start_time

    開始タイムスタンプ。単位:秒。

    表 3. セキュリティアラートの data_source 値

    説明

    aegis_suspicious_event

    ホストの異常。

    aegis_suspicious_file_v2

    Webshell。

    aegis_login_log

    異常ログイン。

    security_event

    セキュリティセンターでの異常イベント。

  • クラウドプラットフォーム設定チェックログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-cspm-log に固定されています。

    check_id

    確認項目の ID。ListCheckResult 操作を呼び出して ID を取得します。

    check_item_name

    確認項目の名前。

    instance_id

    インスタンス ID。

    instance_name

    インスタンス名。

    instance_result

    リスクの影響。値は JSON 文字列です。

    instance_sub_type

    インスタンスのサブタイプ。有効な値:

    • インスタンスタイプが ECS の場合、サブタイプの有効な値は次のとおりです:

      • INSTANCE。

      • DISK。

      • SECURITY_GROUP。

    • インスタンスタイプが ACR の場合、サブタイプの有効な値は次のとおりです:

      • REPOSITORY_ENTERPRISE。

      • REPOSITORY_PERSON。

    • インスタンスタイプが RAM の場合、サブタイプの有効な値は次のとおりです:

      • ALIAS。

      • USER。

      • POLICY。

      • GROUP。

    • インスタンスタイプが WAF の場合、サブタイプの有効な値は DOMAIN です。

    • インスタンスタイプが異なる値の場合、サブタイプの有効な値は INSTANCE です。

    instance_type

    インスタンスタイプ。有効な値:

    • ECS: Elastic Compute Service。

    • SLB: Server Load Balancer。

    • RDS database

    • MONGODB: MongoDB データベース。

    • KVSTORE: Redis データベース。

    • ACR: Container Registry (ACR)。

    • CSK: CSK。

    • VPC: VPC (仮想プライベートクラウド)。

    • ACTIONTRAIL: ActionTrail。

    • CDN: コンテンツ配信ネットワーク (CDN)。

    • CAS: Certificate Management Service.

    • RDC: Alibaba Cloud DevOps (RDC)。

    • RAM: Resource Access Management (RAM)。

    • DDoS: Anti-DDoS。

    • WAF: Web Application Firewall (WAF)。

    • OSS: Object Storage Service (OSS)。

    • PolarDB: PolarDB データベース。

    • POSTGRESQL: PostgreSQL データベース。

    • MSE: Microservices Engine (MSE)。

    • NAS: ファイルストレージ (NAS)。

    • SDDP: Sensitive Data Discovery and Protection (SDDP)。

    • EIP: Elastic IP Address (EIP)。

    region_id

    インスタンスが存在するリージョンの ID。

    requirement_id

    要件の ID。ListCheckStandard 操作を呼び出して ID を取得します。

    risk_level

    リスクレベル。有効な値:

    • LOW。

    • MEDIUM。

    • HIGH。

    section_id

    セクションの ID。ListCheckResult 操作を呼び出して ID を取得します。

    standard_id

    標準の ID。ListCheckStandard 操作を呼び出して ID を取得します。

    status

    確認項目のステータス。有効な値:

    • NOT_CHECK: 項目はチェックされていません。

    • CHECKING: 項目はチェック中です。

    • PASS: チェックに合格しました。

    • NOT_PASS: チェックに合格しませんでした。

    • WHITELIST: 項目はホワイトリストに追加されました。

    vendor

    クラウドプロバイダー。値は ALIYUN に固定されています。

    start_time

    開始タイムスタンプ。単位:秒。

  • ネットワーク保護ログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-net-block に固定されています。

    cmd

    攻撃されたプロセスのコマンドライン。

    cur_time

    攻撃イベントが発生した時間。

    decode_payload

    16 進数形式から変換された文字形式のペイロード。

    dst_ip

    攻撃されたアセットの IP アドレス。

    dst_port

    攻撃されたアセットのポート。

    func

    インターセプトされたイベントのタイプ。有効な値:

    • payload: 悪意のあるデータまたは命令が検出されたため、攻撃イベントがインターセプトされたことを示します。

    • tuple: 悪意のある IP アドレスが検出されたため、攻撃イベントがインターセプトされたことを示します。

    rule_type

    インターセプトされたイベントの特定のルールタイプ。有効な値:

    • alinet_payload: セキュリティセンターによって指定されたペイロードベースの保護ルール。

    • alinet_tuple: セキュリティセンターによって指定されたタプルベースの保護ルール。

    instance_id

    攻撃されたアセットの ID。

    internet_ip

    攻撃されたアセットのパブリック IP アドレス。

    intranet_ip

    攻撃されたアセットのプライベート IP アドレス。

    final_action

    保護モード。値は block (インターセプト) です。

    payload

    16 進数形式のペイロード。

    pid

    攻撃されたプロセスの ID。

    platform

    攻撃されたアセットのオペレーティングシステム。有効な値:

    • win。

    • linux。

    proc_path

    攻撃されたプロセスのパス。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

    src_ip

    攻撃が開始された送信元 IP アドレス。

    src_port

    攻撃が開始された送信元ポート。

    uuid

    サーバーの UUID。

    owner_id

    Alibaba Cloud アカウント ID。

    start_time

    開始タイムスタンプ。単位:秒。

  • アプリケーション保護ログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は sas-rasp-log に固定されています。

    app_dir

    アプリケーションが存在するディレクトリ。

    app_id

    アプリケーション ID。

    app_name

    アプリケーション名。

    confidence_level

    検出アルゴリズムの信頼度。有効な値:

    • high。

    • medium。

    • low。

    request_body

    リクエストボディ。

    request_content_length

    リクエストボディの長さ。

    data

    フックポイントのパラメーター。

    headers

    リクエストヘッダー。

    hostname

    ホストまたはネットワークデバイスの名前。

    host_ip

    ホストのプライベート IP アドレス。

    is_clipped

    ログが長すぎるために切り捨てられたかどうかを示します。有効な値:

    • true: コンテンツは切り捨てられています。

    • false: コンテンツは切り捨てられていません。

    jdk_version

    JDK バージョン。

    message

    アラートの説明。

    request_method

    リクエストメソッド。

    platform

    オペレーティングシステムのタイプ。

    arch

    オペレーティングシステムのアーキテクチャ。

    kernel_version

    オペレーティングシステムのカーネルバージョン。

    param

    リクエストパラメーター。一般的な形式には以下が含まれます:

    • GET パラメーター。

    • application/x-www-form-urlencoded。

    payload

    攻撃ペイロード。

    payload_length

    攻撃ペイロードの長さ。

    rasp_id

    アプリケーション保護エージェントの一意の ID。

    rasp_version

    アプリケーション保護エージェントのバージョン。

    src_ip

    リクエスターの IP アドレス。

    final_action

    アラートの処理結果。有効な値:

    • block: リクエストはブロックされます。

    • Monitor: モニタリング。

    rule_action

    ルールによって指定された処理方法。有効な値:

    • block。

    • monitor。

    risk_level

    リスクレベル。有効な値:

    • high。

    • medium。

    • low。

    stacktrace

    スタック情報。

    time

    アラートがトリガーされた時間。

    timestamp

    アラートがトリガーされたタイムスタンプ。単位:ミリ秒。

    type

    脆弱性タイプ。有効な値:

    • attach: 悪意のあるアタッチ。

    • beans: 悪意のある beans バインディング。

    • classloader: 悪意のあるクラスローディング。

    • dangerous_protocol: 危険なプロトコルの使用。

    • dns: 悪意のある DNS クエリ。

    • engine: エンジンインジェクション。

    • expression: 式インジェクション。

    • file: 悪意のあるファイルの読み書き。

    • file_delete: 任意のファイル削除。

    • file_list: ディレクトリトラバーサル。

    • file_read: 任意のファイル読み取り。

    • file_upload: 悪意のあるファイルアップロード。

    • jndi: JNDI インジェクション。

    • jni: JNI インジェクション。

    • jstl: JSTL 任意ファイルインクルード。

    • memory_shell: インメモリ Web シェルインジェクション。

    • rce: コマンド実行。

    • read_object: デシリアライゼーション攻撃。

    • reflect: 悪意のあるリフレクション呼び出し。

    • sql: SQL インジェクション。

    • ssrf: 悪意のあるアウトバウンド接続。

    • thread_inject: スレッドインジェクション。

    • xxe: XXE 攻撃。

    url

    リクエスト URL。

    rasp_attack_uuid

    脆弱性の UUID。

    uuid

    ホストの UUID。

    internet_ip

    ホストのパブリック IP アドレス。

    intranet_ip

    ホストのプライベート IP アドレス。

    sas_group_name

    セキュリティセンターのサーバーグループ名。

    instance_id

    ホストインスタンスの ID。

    owner_id

    Alibaba Cloud アカウント ID。

    start_time

    開始タイムスタンプ。単位:秒。

  • ファイル検出ログ

    フィールド名

    説明

    __topic__

    ログのトピック。値は sas-filedetect-log に固定されています。

    bucket_name

    バケットの名前。

    event_id

    アラート ID。

    event_name

    アラート名。

    md5

    ファイルの MD5 ハッシュ。

    sha256

    ファイルの SHA-256 ハッシュ。

    result

    検出結果。

    • 0: ファイルは安全です。

    • 1: 悪意のあるファイルが検出されました。

    file_path

    ファイルパス。

    etag

    OSS オブジェクトの ETag。

    risk_level

    リスクレベル。

    • Serious: 緊急の問題を示します。

    • suspicions: 中

    • Reminder

    source

    検出シナリオ。

    • OSS: Alibaba Cloud OSS バケット内のファイルがセキュリティセンターコンソールで検出されます。

    • API: 悪意のあるファイルが SDK を使用して検出されます。Java または Python SDK を使用できます。

    parent_md5

    親ファイルまたは圧縮ファイルの MD5 ハッシュ。

    parent_sha256

    親ファイルまたは圧縮ファイルの SHA-256 ハッシュ。

    parent_file_path

    親ファイルまたは圧縮ファイルの名前。

    owner_id

    Alibaba Cloud アカウント ID。

    start_time

    検出が開始されたタイムスタンプ。単位:秒。

ホストログ

  • プロセス起動ログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-log-process に固定されています。

    uuid

    クライアント ID。

    host_ip

    クライアントホストの IP アドレス。

    cmdline

    ユーザーが起動したコマンドライン。

    username

    ユーザー名。

    uid

    ユーザー ID。

    pid

    プロセス ID。

    proc_name

    プロセスのファイル名。

    proc_path

    プロセスファイルの完全なパス。

    proc_start_time

    プロセスの起動時間。

    parent_proc_start_time

    親プロセスの起動時間。

    groupname

    ユーザーグループ。

    ppid

    親プロセス ID。

    parent_proc_name

    親プロセスのファイル名。

    parent_proc_path

    親プロセスファイルの完全なパス。

    cmd_chain

    プロセスチェーン。

    container_hostname

    コンテナのホスト名。

    container_pid

    コンテナ PID。

    container_image_id

    イメージ ID。

    container_image_name

    イメージ名。

    container_name

    コンテナ名。

    container_id

    コンテナ ID。

    cwd

    プロセスの実行ディレクトリ。

    owner_id

    Alibaba Cloud アカウント ID。

    start_time

    開始タイムスタンプ。単位:秒。

    cmd_chain_index

    プロセスチェーンのインデックス。インデックスを使用して、対応するプロセスチェーンを見つけます。

    cmd_index

    コマンドライン内の各パラメーターのインデックス。2 つのインデックスが 1 つのグループを形成し、パラメーターの開始と終了を識別します。

    comm

    プロセスに関連付けられたコマンド名。

    gid

    プロセスグループの ID。

    instance_id

    インスタンス ID。

    parent_cmd_line

    親プロセスのコマンドライン。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

    srv_cmd

    祖先プロセスのコマンドライン。

    tty

    ログインターミナル。N/A は、アカウントが一度もターミナルにログインしたことがないことを示します。

    uid

    ユーザー ID。

    start_time

    開始タイムスタンプ。単位:秒。

  • プロセススナップショットログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-snapshot-process に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    uuid

    クライアント ID。

    host_ip

    クライアントホストの IP アドレス。

    cmdline

    ユーザーが起動したコマンドライン。

    pid

    プロセス ID。

    proc_name

    プロセスのファイル名。

    proc_path

    プロセスファイルの完全なパス。

    md5

    プロセスファイルの MD5 ハッシュ。1 MB を超えるプロセスファイルの MD5 ハッシュは計算されません。

    parent_proc_name

    親プロセスのファイル名。

    proc_start_time

    プロセスの起動時間。これは組み込みフィールドです。

    user

    ユーザー名。

    uid

    ユーザー ID。

    start_time

    開始タイムスタンプ。単位:秒。

    instance_id

    インスタンス ID。

    pname

    親プロセスのファイル名。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

  • ログインログ

    1 分以内に発生した繰り返しのログインは、1 つのログエントリにマージされます。

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-log-login に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    uuid

    クライアント ID。

    host_ip

    クライアントホストの IP アドレス。

    src_ip

    ログインの送信元 IP アドレス。

    dst_port

    ログインポート。

    login_type

    SSHLOGIN、RDPLOGIN、IPCLOGIN などのログインタイプ。

    username

    ログインユーザー名。

    login_count

    ログイン試行回数。たとえば、値が 3 の場合、このログインの 1 分前に他に 2 回のログイン試行があったことを示します。

    instance_id

    インスタンス ID。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

    start_time

    開始タイムスタンプ。単位:秒。

  • ブルートフォース攻撃ログ

    フィールド名

    説明

    __topic__

    ログのトピック。値は aegis-log-crack に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    uuid

    クライアント ID。

    host_ip

    クライアントホストの IP アドレス。

    src_ip

    ログインの送信元 IP アドレス。

    dst_port

    ログインポート。

    login_type

    SSHLOGIN、RDPLOGIN、IPCLOGIN などのログインタイプ。

    username

    ログインユーザー名。

    login_count

    失敗したログイン試行の回数。

    instance_id

    インスタンス ID。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

    start_time

    開始タイムスタンプ。単位:秒。

  • ホストネットワーク接続ログ

    ホスト上のネットワーク接続の変更は、10 秒から 1 分ごとに収集されます。

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-log-network に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    uuid

    クライアント ID。

    host_ip

    クライアントホストの IP アドレス。

    src_ip

    送信元 IP アドレス。

    src_port

    送信元ポート。

    dst_ip

    宛先 IP アドレス。

    dst_port

    宛先ポート。

    proc_name

    プロセス名。

    proc_path

    プロセスパス。

    connection_type

    接続プロトコル。

    status

    接続ステータス。詳細については、「ネットワーク接続ステータスの説明のリスト」をご参照ください。

    net_connect_dir

    ネットワーク接続の方向。

    parent_proc_name

    親プロセスの実行可能ファイル名。

    cmd_chain

    プロセスチェーン。

    cmd_chain_index

    プロセスチェーンのインデックス。インデックスを使用して、対応するプロセスチェーンを見つけます。

    container_hostname

    コンテナ内のサーバー名。

    container_id

    コンテナ ID。

    container_image_id

    イメージ ID。

    container_image_name

    イメージ名。

    container_name

    コンテナ名。

    container_pid

    コンテナ内のプロセス ID。

    instance_id

    インスタンス ID。

    pid

    プロセス ID。

    ppid

    親プロセス ID。

    proc_start_time

    プロセスの起動時間。

    src_ip

    送信元 IP アドレス。

    src_port

    送信元ポート。

    srv_comm

    親プロセスの親プロセスに関連付けられたコマンド名。

    type

    リアルタイムネットワーク接続のタイプ。有効な値:

    • connect: TCP 接続が開始されます。

    • accept: TCP 接続が受信されます。

    • listen: ポートはリッスンしています。

    uid

    プロセスを実行するユーザーの ID。

    username

    プロセスを実行するユーザーのユーザー名。

    start_time

    開始タイムスタンプ。単位:秒。

    表 4. ネットワーク接続ステータスの説明

    ステータス値

    説明

    1

    CLOSED

    2

    LISTEN

    3

    SYN_SENT

    4

    SYN_RECV

    5

    ESTABLISHED

    6

    CLOSE_WAIT

    7

    CLOSING

    8

    FIN_WAIT_1

    9

    FIN_WAIT_2

    10

    TIME_WAIT

    11

    DELETE_TCB

  • リッスンポートスナップショット

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-snapshot-port に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    uuid

    クライアント ID。

    host_ip

    クライアント IP アドレス。

    connection_type

    リスナープロトコル。

    src_ip

    リスナー IP アドレス。

    src_port

    リッスンポート。

    pid

    プロセス ID。

    proc_name

    プロセス名。

    net_connect_dir

    ネットワーク接続の方向。

    dst_ip

    ネットワーク接続の受信者の IP アドレス。

    • dirout の場合、このパラメーターはピアホストを示します。

    • dirin の場合、このパラメーターはローカルホストを示します。

    dst_port

    ネットワーク接続の受信者のポート。

    instance_id

    インスタンス ID。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

    status

    ネットワーク接続ステータス。有効な値:

    • 1: 接続が閉じられています (CLOSED)。

    • 2: ポートが接続要求を待っています (LISTEN)。

    • 3: SYN リクエストが送信されました (SYN_SENT)。

    • 4: SYN リクエストが受信されました (SYN_RECV)。

    • 5: 接続が確立されました (ESTABLISHED)。

    • 6: ポートが接続を閉じるのを待っています (CLOSE_WAIT)。

    • 7: 接続が閉じられています (CLOSING)。

    • 8: ポートがピアからのクローズリクエストを待っています (FIN_WAIT_1)。

    • 9: ポートがピアからのクローズリクエストと確認応答を待っています (FIN_WAIT_2)。

    • 10: ポートは、ピアがクローズリクエストの確認応答を受信したことを確認するのに十分な時間を待っています (TIME_WAIT)。

    • 11: 伝送制御ブロック (TCB) が削除されました (DELETE_TCB)。

    start_time

    開始タイムスタンプ。単位:秒。

  • アカウントスナップショット

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-snapshot-host に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    name

    脆弱性名。

    alias_name

    脆弱性のエイリアス。

    op

    操作情報には以下が含まれます:

    • Add

    • Verification

    • Bug fix

    status

    接続ステータス。詳細については、「ネットワーク接続ステータスの説明のリスト」をご参照ください。

    tag

    oval、system、cms などの脆弱性タグは、主に EMG 緊急脆弱性を識別するために使用されます。

    type

    脆弱性タイプ。有効な値には以下が含まれます:

    • sys: Windows の脆弱性

    • cve: Linux の脆弱性

    • cms: Web CMS の脆弱性

    • EMG: 緊急の脆弱性

    uuid

    クライアント ID。

    username

    ログインユーザー名。

    host_ip

    サーバーの IP アドレス。

    account_expire

    アカウントの有効期限。値 never は、アカウントが期限切れにならないことを示します。

    domain

    アカウントが属するドメインまたはディレクトリサービス。N/A は、アカウントがどのドメインにも属していないことを示します。

    groups

    アカウントが属するグループ。N/A は、アカウントがどのグループにも属していないことを示します。

    home_dir

    ホームディレクトリ。これは、システム内でファイルを保存および管理するためのデフォルトの場所です。

    instance_id

    インスタンス ID。

    last_chg

    パスワードが最後に変更された日付。

    last_logon

    最後のログインの日時。N/A は、アカウントがログインに使用されたことがないことを示します。

    login_ip

    最後のログインに使用されたリモート IP アドレス。N/A は、アカウントがログインに使用されたことがないことを示します。

    passwd_expire

    パスワードの有効期限。値 never は、パスワードが期限切れにならないことを示します。

    perm

    アカウントに root 権限があるかどうかを示します。有効な値:

    • 0: root 権限は付与されていません。

    • 1: root 権限が付与されています。

    sas_group_name

    サーバーが属するセキュリティセンターのアセットグループ。

    shell

    Linux シェルコマンド。

    tty

    ログインターミナル。N/A は、アカウントが一度もターミナルにログインしたことがないことを示します。

    warn_time

    パスワードの有効期限のリマインダーが送信される日付。値 never は、リマインダーが送信されないことを示します。

    start_time

    開始タイムスタンプ。単位:秒。

  • DNS クエリログ

    ログフィールド

    説明

    __topic__

    ログのトピック。値は aegis-log-dns-query に固定されています。

    owner_id

    Alibaba Cloud アカウント ID。

    uuid

    クライアント ID。

    host_ip

    クライアントマシンの IP アドレス。

    pid

    DNS クエリを開始したプロセスの ID。

    ppid

    DNS クエリを開始したプロセスの親プロセスの ID。

    time

    DNS クエリが開始された時間。

    domain

    DNS クエリのドメイン名。

    proc_path

    DNS クエリを開始したプロセスのパス。

    cmdline

    DNS クエリを開始したプロセスのコマンドライン。

    cmd_chain

    DNS クエリを開始したプロセスのプロセスチェーン。

    sas_group_name

    セキュリティセンターのグループ名。

    instance_id

    インスタンス ID。

    start_time

    開始タイムスタンプ。単位:秒。

  • クライアントイベントログ

    フィールド名

    説明

    __topic__

    ログのトピック。値は aegis-log-client に固定されています。

    uuid

    サーバーの UUID。

    host_ip

    サーバーの IP アドレス。

    agent_version

    クライアントのバージョン。

    last_login

    最後のログインのタイムスタンプ。単位:ミリ秒。

    platform

    オペレーティングシステムのタイプ。有効な値:

    • windows

    • linux

    region_id

    サーバーが存在するリージョンの ID。

    status

    クライアントのステータス。有効な値:

    • online

    • offline

    owner_id

    Alibaba Cloud アカウント ID。

    start_time

    開始タイムスタンプ。単位:秒。