セキュリティセンターによって収集されたネットワークログ、セキュリティログ、ホストログのログフィールドリファレンスです。
ネットワークログ
-
DNS ログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-log-dns に固定されています。
owner_id
Alibaba Cloud アカウント ID。
additional
追加フィールド。値は縦棒 (|) で区切られます。
additional_num
追加フィールドの数。
answer
DNS 応答。値は縦棒 (|) で区切られます。
answer_num
DNS 応答の数。
authority
authority フィールド。
authority_num
authority フィールドの数。
client_subnet
クライアントサブネット。
dst_ip
宛先 IP アドレス。
dst_port
宛先ポート。
net_connect_dir
データ転送方向には以下が含まれます:
-
in: インバウンド
-
out: アウトバウンド
qid
クエリ ID。
query_name
クエリされたドメイン名。
query_type
クエリタイプ。
query_datetime
クエリのタイムスタンプ。単位:ミリ秒。
rcode
リターンコード。
region
送信元リージョンの ID。有効な値:
-
1: 北京
-
2: 青島
-
3: 杭州
-
4: 上海
-
5: 深セン
-
6: その他
response_datetime
戻り時間。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
start_time
開始タイムスタンプ。単位:秒。
-
-
ローカル DNS ログ
フィールド名
説明
__topic__
ログのトピック。値は local-dns に固定されています。
owner_id
Alibaba Cloud アカウント ID。
answer_rdata
DNS 応答。値は縦棒 (|) で区切られます。
answer_ttl
DNS 応答の生存時間 (TTL)。値は縦棒 (|) で区切られます。
answer_type
DNS 応答のタイプ。値は縦棒 (|) で区切られます。DNS 応答タイプの一般的な値は次のとおりです:
-
1: A レコード。
-
2: NS レコード。
-
5: CNAME レコード。
-
6: SOA レコード。
-
10: NULL レコード。
-
12: PTR レコード。
-
15: MX レコード。
-
16: TXT レコード。
-
25: KEY レコード。
-
28: AAAA レコード。
-
33: SRV レコード。
-
41: OPT レコード。
-
43: DS レコード。
-
44: SSHFP レコード。
-
45: IPSECKEY レコード。
-
46: RRSIG レコード。
-
47: NSEC レコード。
answer_name
DNS 応答の名前。値は縦棒 (|) で区切られます。
dst_ip
宛先 IP アドレス。
dst_port
宛先ポート。
group_id
グループ ID。
host
ホスト名。
id
クエリ ID。
instance_id
インスタンス ID。
internet_ip
パブリック IP アドレス。
ip_ttl
IP アドレスの TTL。
query_name
クエリされたドメイン名。
query_type
クエリタイプ。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
start_time
クエリのタイムスタンプ。単位:秒。
time_usecond
応答時間。単位:マイクロ秒。
tunnel_id
チャネル ID。
-
-
ネットワークセッションログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-log-session に固定されています。
owner_id
Alibaba Cloud アカウント ID。
asset_type
Elastic Compute Service (ECS)、Server Load Balancer (SLB)、RDS などの関連アセットのタイプ。
net_connect_dir
ネットワーク接続の方向。
dst_ip
宛先 IP アドレス。
dst_port
宛先ポート。
l4_proto
TCP や UDP などのプロトコルタイプ。
session_time
セッション時間。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
start_time
開始タイムスタンプ。単位:秒。
-
Web ログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-log-http に固定されています。
owner_id
Alibaba Cloud アカウント ID。
response_content_length
コンテンツの長さ。
dst_ip
宛先 IP アドレス。
dst_port
宛先ポート。
host
ホスト名。
jump_location
リダイレクトアドレス。
request_method
HTTP アクセスメソッド。
request_datetime
リクエスト時間。
status
HTTP ステータスコード。
content_type
リクエストのコンテンツタイプ。
response_content_type
レスポンスのコンテンツタイプ。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
request_uri
リクエスト URI。
http_user_agent
クライアントリクエストの User-Agent ヘッダー。
http_x_forward_for
ルーティングおよびリダイレクト情報。
セキュリティログ
-
脆弱性ログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-vul-log に固定されています。
owner_id
Alibaba Cloud アカウント ID。
vul_name
脆弱性の名前。
vul_alias_name
脆弱性のエイリアス。
risk_level
リスクレベル。
vul_primary_id
脆弱性識別子。
instance_name
マシンの名前。
operation
操作情報には以下が含まれます:
-
new: 新規作成。
-
Validation
-
Bug fix
status
ステータス。詳細については、「セキュリティログのステータスコード」をご参照ください。
tag
oval、system、cms などの脆弱性のタグ。このパラメーターは、緊急の脆弱性を識別するために使用されます。
type
脆弱性タイプは次のとおりです:
-
sys: Windows の脆弱性
-
cve: Linux の脆弱性
-
cms: Web CMS の脆弱性
-
emg: 緊急の脆弱性
uuid
クライアント ID。
extend_content
脆弱性に関する拡張情報。
instance_id
インスタンス ID。
internet_ip
アセットのパブリック IP アドレス。
intranet_ip
アセットのプライベート IP アドレス。
start_time
開始タイムスタンプ。単位:秒。
-
-
ベースラインログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-hc-log に固定されています。
owner_id
Alibaba Cloud アカウント ID。
risk_level
リスクレベル。
operation
操作情報には以下が含まれます:
-
Add
-
verify: リスクが検証されます。
risk_name
リスクの名前。
status
ステータス。詳細については、「セキュリティログのステータスコード」をご参照ください。
sub_type_alias_name
サブタイプのエイリアス
sub_type_name
サブタイプの名前。
type_name
タイプ名。詳細については、「ベースラインのタイプとサブタイプのペアのリスト」をご参照ください。
type_alias_name
タイプのエイリアス
uuid
クライアント ID。
check_item_name
確認項目の名前。
check_item_level
確認項目のレベル。
check_type
確認項目のタイプ。
instance_id
インスタンス ID。
start_time
開始タイムスタンプ。単位:秒。
表 1. ベースラインのタイプとサブタイプのペア
type_name
sub_type_name
system
baseline
weak_password
postsql_weak_password
database
redis_check
account
system_account_security
account
system_account_security
weak_password
mysq_weak_password
weak_password
ftp_anonymous
weak_password
rdp_weak_password
system
group_policy
system
register
account
system_account_security
weak_password
sqlserver_weak_password
system
register
weak_password
ssh_weak_password
weak_password
ftp_weak_password
cis
centos7
cis
tomcat7
cis
memcached-check
cis
mongodb-check
cis
ubuntu14
cis
win2008_r2
system
file_integrity_mon
cis
linux-httpd-2.2-cis
cis
linux-docker-1.6-cis
cis
SUSE11
cis
redhat6
cis
bind9.9
cis
centos6
cis
debain8
cis
redhat7
cis
SUSE12
cis
ubuntu16
表 2. セキュリティログのステータスコード
ステータスコード
説明
1
未修正
2
修正失敗
3
ロールバック失敗
4
修正中
5
ロールバック中
6
検証中
7
修正済み
8
修正済み、再起動待ち
9
ロールバック済み
10
無視
11
ロールバック済み、再起動待ち
12
存在しない
20
期限切れ
-
-
セキュリティアラートログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-security-log に固定されています。
data_source
データソース。詳細については、「セキュリティアラートの data_source 値のリスト」をご参照ください。
level
アラートレベル。
name
名前。
operation
操作情報。有効な値:
-
Add New
-
Processing
status
ステータス。詳細については、「セキュリティログのステータスコード」をご参照ください。
uuid
クライアント ID。
detail
アラートの詳細。
unique_info
アラートの一意の識別子。
instance_id
インスタンス ID。
internet_ip
アセットのパブリック IP アドレス。
intranet_ip
アセットのプライベート IP アドレス。
start_time
開始タイムスタンプ。単位:秒。
表 3. セキュリティアラートの data_source 値
値
説明
aegis_suspicious_event
ホストの異常。
aegis_suspicious_file_v2
Webshell。
aegis_login_log
異常ログイン。
security_event
セキュリティセンターでの異常イベント。
-
-
クラウドプラットフォーム設定チェックログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-cspm-log に固定されています。
check_id
確認項目の ID。ListCheckResult 操作を呼び出して ID を取得します。
check_item_name
確認項目の名前。
instance_id
インスタンス ID。
instance_name
インスタンス名。
instance_result
リスクの影響。値は JSON 文字列です。
instance_sub_type
インスタンスのサブタイプ。有効な値:
-
インスタンスタイプが ECS の場合、サブタイプの有効な値は次のとおりです:
-
INSTANCE。
-
DISK。
-
SECURITY_GROUP。
-
-
インスタンスタイプが ACR の場合、サブタイプの有効な値は次のとおりです:
-
REPOSITORY_ENTERPRISE。
-
REPOSITORY_PERSON。
-
-
インスタンスタイプが RAM の場合、サブタイプの有効な値は次のとおりです:
-
ALIAS。
-
USER。
-
POLICY。
-
GROUP。
-
-
インスタンスタイプが WAF の場合、サブタイプの有効な値は DOMAIN です。
-
インスタンスタイプが異なる値の場合、サブタイプの有効な値は INSTANCE です。
instance_type
インスタンスタイプ。有効な値:
-
ECS: Elastic Compute Service。
-
SLB: Server Load Balancer。
-
RDS database
-
MONGODB: MongoDB データベース。
-
KVSTORE: Redis データベース。
-
ACR: Container Registry (ACR)。
-
CSK: CSK。
-
VPC: VPC (仮想プライベートクラウド)。
-
ACTIONTRAIL: ActionTrail。
-
CDN: コンテンツ配信ネットワーク (CDN)。
-
CAS: Certificate Management Service.
-
RDC: Alibaba Cloud DevOps (RDC)。
-
RAM: Resource Access Management (RAM)。
-
DDoS: Anti-DDoS。
-
WAF: Web Application Firewall (WAF)。
-
OSS: Object Storage Service (OSS)。
-
PolarDB: PolarDB データベース。
-
POSTGRESQL: PostgreSQL データベース。
-
MSE: Microservices Engine (MSE)。
-
NAS: ファイルストレージ (NAS)。
-
SDDP: Sensitive Data Discovery and Protection (SDDP)。
-
EIP: Elastic IP Address (EIP)。
region_id
インスタンスが存在するリージョンの ID。
requirement_id
要件の ID。ListCheckStandard 操作を呼び出して ID を取得します。
risk_level
リスクレベル。有効な値:
-
LOW。
-
MEDIUM。
-
HIGH。
section_id
セクションの ID。ListCheckResult 操作を呼び出して ID を取得します。
standard_id
標準の ID。ListCheckStandard 操作を呼び出して ID を取得します。
status
確認項目のステータス。有効な値:
-
NOT_CHECK: 項目はチェックされていません。
-
CHECKING: 項目はチェック中です。
-
PASS: チェックに合格しました。
-
NOT_PASS: チェックに合格しませんでした。
-
WHITELIST: 項目はホワイトリストに追加されました。
vendor
クラウドプロバイダー。値は ALIYUN に固定されています。
start_time
開始タイムスタンプ。単位:秒。
-
-
ネットワーク保護ログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-net-block に固定されています。
cmd
攻撃されたプロセスのコマンドライン。
cur_time
攻撃イベントが発生した時間。
decode_payload
16 進数形式から変換された文字形式のペイロード。
dst_ip
攻撃されたアセットの IP アドレス。
dst_port
攻撃されたアセットのポート。
func
インターセプトされたイベントのタイプ。有効な値:
-
payload: 悪意のあるデータまたは命令が検出されたため、攻撃イベントがインターセプトされたことを示します。
-
tuple: 悪意のある IP アドレスが検出されたため、攻撃イベントがインターセプトされたことを示します。
rule_type
インターセプトされたイベントの特定のルールタイプ。有効な値:
-
alinet_payload: セキュリティセンターによって指定されたペイロードベースの保護ルール。
-
alinet_tuple: セキュリティセンターによって指定されたタプルベースの保護ルール。
instance_id
攻撃されたアセットの ID。
internet_ip
攻撃されたアセットのパブリック IP アドレス。
intranet_ip
攻撃されたアセットのプライベート IP アドレス。
final_action
保護モード。値は block (インターセプト) です。
payload
16 進数形式のペイロード。
pid
攻撃されたプロセスの ID。
platform
攻撃されたアセットのオペレーティングシステム。有効な値:
-
win。
-
linux。
proc_path
攻撃されたプロセスのパス。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
src_ip
攻撃が開始された送信元 IP アドレス。
src_port
攻撃が開始された送信元ポート。
uuid
サーバーの UUID。
owner_id
Alibaba Cloud アカウント ID。
start_time
開始タイムスタンプ。単位:秒。
-
-
アプリケーション保護ログ
ログフィールド
説明
__topic__
ログのトピック。値は sas-rasp-log に固定されています。
app_dir
アプリケーションが存在するディレクトリ。
app_id
アプリケーション ID。
app_name
アプリケーション名。
confidence_level
検出アルゴリズムの信頼度。有効な値:
-
high。
-
medium。
-
low。
request_body
リクエストボディ。
request_content_length
リクエストボディの長さ。
data
フックポイントのパラメーター。
headers
リクエストヘッダー。
hostname
ホストまたはネットワークデバイスの名前。
host_ip
ホストのプライベート IP アドレス。
is_clipped
ログが長すぎるために切り捨てられたかどうかを示します。有効な値:
-
true: コンテンツは切り捨てられています。
-
false: コンテンツは切り捨てられていません。
jdk_version
JDK バージョン。
message
アラートの説明。
request_method
リクエストメソッド。
platform
オペレーティングシステムのタイプ。
arch
オペレーティングシステムのアーキテクチャ。
kernel_version
オペレーティングシステムのカーネルバージョン。
param
リクエストパラメーター。一般的な形式には以下が含まれます:
-
GET パラメーター。
-
application/x-www-form-urlencoded。
payload
攻撃ペイロード。
payload_length
攻撃ペイロードの長さ。
rasp_id
アプリケーション保護エージェントの一意の ID。
rasp_version
アプリケーション保護エージェントのバージョン。
src_ip
リクエスターの IP アドレス。
final_action
アラートの処理結果。有効な値:
-
block: リクエストはブロックされます。
-
Monitor: モニタリング。
rule_action
ルールによって指定された処理方法。有効な値:
-
block。
-
monitor。
risk_level
リスクレベル。有効な値:
-
high。
-
medium。
-
low。
stacktrace
スタック情報。
time
アラートがトリガーされた時間。
timestamp
アラートがトリガーされたタイムスタンプ。単位:ミリ秒。
type
脆弱性タイプ。有効な値:
-
attach: 悪意のあるアタッチ。
-
beans: 悪意のある beans バインディング。
-
classloader: 悪意のあるクラスローディング。
-
dangerous_protocol: 危険なプロトコルの使用。
-
dns: 悪意のある DNS クエリ。
-
engine: エンジンインジェクション。
-
expression: 式インジェクション。
-
file: 悪意のあるファイルの読み書き。
-
file_delete: 任意のファイル削除。
-
file_list: ディレクトリトラバーサル。
-
file_read: 任意のファイル読み取り。
-
file_upload: 悪意のあるファイルアップロード。
-
jndi: JNDI インジェクション。
-
jni: JNI インジェクション。
-
jstl: JSTL 任意ファイルインクルード。
-
memory_shell: インメモリ Web シェルインジェクション。
-
rce: コマンド実行。
-
read_object: デシリアライゼーション攻撃。
-
reflect: 悪意のあるリフレクション呼び出し。
-
sql: SQL インジェクション。
-
ssrf: 悪意のあるアウトバウンド接続。
-
thread_inject: スレッドインジェクション。
-
xxe: XXE 攻撃。
url
リクエスト URL。
rasp_attack_uuid
脆弱性の UUID。
uuid
ホストの UUID。
internet_ip
ホストのパブリック IP アドレス。
intranet_ip
ホストのプライベート IP アドレス。
sas_group_name
セキュリティセンターのサーバーグループ名。
instance_id
ホストインスタンスの ID。
owner_id
Alibaba Cloud アカウント ID。
start_time
開始タイムスタンプ。単位:秒。
-
-
ファイル検出ログ
フィールド名
説明
__topic__
ログのトピック。値は sas-filedetect-log に固定されています。
bucket_name
バケットの名前。
event_id
アラート ID。
event_name
アラート名。
md5
ファイルの MD5 ハッシュ。
sha256
ファイルの SHA-256 ハッシュ。
result
検出結果。
-
0: ファイルは安全です。
-
1: 悪意のあるファイルが検出されました。
file_path
ファイルパス。
etag
OSS オブジェクトの ETag。
risk_level
リスクレベル。
-
Serious: 緊急の問題を示します。
-
suspicions: 中
-
Reminder
source
検出シナリオ。
-
OSS: Alibaba Cloud OSS バケット内のファイルがセキュリティセンターコンソールで検出されます。
-
API: 悪意のあるファイルが SDK を使用して検出されます。Java または Python SDK を使用できます。
parent_md5
親ファイルまたは圧縮ファイルの MD5 ハッシュ。
parent_sha256
親ファイルまたは圧縮ファイルの SHA-256 ハッシュ。
parent_file_path
親ファイルまたは圧縮ファイルの名前。
owner_id
Alibaba Cloud アカウント ID。
start_time
検出が開始されたタイムスタンプ。単位:秒。
-
ホストログ
-
プロセス起動ログ
ログフィールド
説明
__topic__
ログのトピック。値は aegis-log-process に固定されています。
uuid
クライアント ID。
host_ip
クライアントホストの IP アドレス。
cmdline
ユーザーが起動したコマンドライン。
username
ユーザー名。
uid
ユーザー ID。
pid
プロセス ID。
proc_name
プロセスのファイル名。
proc_path
プロセスファイルの完全なパス。
proc_start_time
プロセスの起動時間。
parent_proc_start_time
親プロセスの起動時間。
groupname
ユーザーグループ。
ppid
親プロセス ID。
parent_proc_name
親プロセスのファイル名。
parent_proc_path
親プロセスファイルの完全なパス。
cmd_chain
プロセスチェーン。
container_hostname
コンテナのホスト名。
container_pid
コンテナ PID。
container_image_id
イメージ ID。
container_image_name
イメージ名。
container_name
コンテナ名。
container_id
コンテナ ID。
cwd
プロセスの実行ディレクトリ。
owner_id
Alibaba Cloud アカウント ID。
start_time
開始タイムスタンプ。単位:秒。
cmd_chain_index
プロセスチェーンのインデックス。インデックスを使用して、対応するプロセスチェーンを見つけます。
cmd_index
コマンドライン内の各パラメーターのインデックス。2 つのインデックスが 1 つのグループを形成し、パラメーターの開始と終了を識別します。
comm
プロセスに関連付けられたコマンド名。
gid
プロセスグループの ID。
instance_id
インスタンス ID。
parent_cmd_line
親プロセスのコマンドライン。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
srv_cmd
祖先プロセスのコマンドライン。
tty
ログインターミナル。N/A は、アカウントが一度もターミナルにログインしたことがないことを示します。
uid
ユーザー ID。
start_time
開始タイムスタンプ。単位:秒。
-
プロセススナップショットログ
ログフィールド
説明
__topic__
ログのトピック。値は aegis-snapshot-process に固定されています。
owner_id
Alibaba Cloud アカウント ID。
uuid
クライアント ID。
host_ip
クライアントホストの IP アドレス。
cmdline
ユーザーが起動したコマンドライン。
pid
プロセス ID。
proc_name
プロセスのファイル名。
proc_path
プロセスファイルの完全なパス。
md5
プロセスファイルの MD5 ハッシュ。1 MB を超えるプロセスファイルの MD5 ハッシュは計算されません。
parent_proc_name
親プロセスのファイル名。
proc_start_time
プロセスの起動時間。これは組み込みフィールドです。
user
ユーザー名。
uid
ユーザー ID。
start_time
開始タイムスタンプ。単位:秒。
instance_id
インスタンス ID。
pname
親プロセスのファイル名。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
-
ログインログ
1 分以内に発生した繰り返しのログインは、1 つのログエントリにマージされます。
ログフィールド
説明
__topic__
ログのトピック。値は aegis-log-login に固定されています。
owner_id
Alibaba Cloud アカウント ID。
uuid
クライアント ID。
host_ip
クライアントホストの IP アドレス。
src_ip
ログインの送信元 IP アドレス。
dst_port
ログインポート。
login_type
SSHLOGIN、RDPLOGIN、IPCLOGIN などのログインタイプ。
username
ログインユーザー名。
login_count
ログイン試行回数。たとえば、値が 3 の場合、このログインの 1 分前に他に 2 回のログイン試行があったことを示します。
instance_id
インスタンス ID。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
start_time
開始タイムスタンプ。単位:秒。
-
ブルートフォース攻撃ログ
フィールド名
説明
__topic__
ログのトピック。値は aegis-log-crack に固定されています。
owner_id
Alibaba Cloud アカウント ID。
uuid
クライアント ID。
host_ip
クライアントホストの IP アドレス。
src_ip
ログインの送信元 IP アドレス。
dst_port
ログインポート。
login_type
SSHLOGIN、RDPLOGIN、IPCLOGIN などのログインタイプ。
username
ログインユーザー名。
login_count
失敗したログイン試行の回数。
instance_id
インスタンス ID。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
start_time
開始タイムスタンプ。単位:秒。
-
ホストネットワーク接続ログ
ホスト上のネットワーク接続の変更は、10 秒から 1 分ごとに収集されます。
ログフィールド
説明
__topic__
ログのトピック。値は aegis-log-network に固定されています。
owner_id
Alibaba Cloud アカウント ID。
uuid
クライアント ID。
host_ip
クライアントホストの IP アドレス。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
dst_ip
宛先 IP アドレス。
dst_port
宛先ポート。
proc_name
プロセス名。
proc_path
プロセスパス。
connection_type
接続プロトコル。
status
接続ステータス。詳細については、「ネットワーク接続ステータスの説明のリスト」をご参照ください。
net_connect_dir
ネットワーク接続の方向。
parent_proc_name
親プロセスの実行可能ファイル名。
cmd_chain
プロセスチェーン。
cmd_chain_index
プロセスチェーンのインデックス。インデックスを使用して、対応するプロセスチェーンを見つけます。
container_hostname
コンテナ内のサーバー名。
container_id
コンテナ ID。
container_image_id
イメージ ID。
container_image_name
イメージ名。
container_name
コンテナ名。
container_pid
コンテナ内のプロセス ID。
instance_id
インスタンス ID。
pid
プロセス ID。
ppid
親プロセス ID。
proc_start_time
プロセスの起動時間。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
srv_comm
親プロセスの親プロセスに関連付けられたコマンド名。
type
リアルタイムネットワーク接続のタイプ。有効な値:
-
connect: TCP 接続が開始されます。
-
accept: TCP 接続が受信されます。
-
listen: ポートはリッスンしています。
uid
プロセスを実行するユーザーの ID。
username
プロセスを実行するユーザーのユーザー名。
start_time
開始タイムスタンプ。単位:秒。
表 4. ネットワーク接続ステータスの説明
ステータス値
説明
1
CLOSED
2
LISTEN
3
SYN_SENT
4
SYN_RECV
5
ESTABLISHED
6
CLOSE_WAIT
7
CLOSING
8
FIN_WAIT_1
9
FIN_WAIT_2
10
TIME_WAIT
11
DELETE_TCB
-
-
リッスンポートスナップショット
ログフィールド
説明
__topic__
ログのトピック。値は aegis-snapshot-port に固定されています。
owner_id
Alibaba Cloud アカウント ID。
uuid
クライアント ID。
host_ip
クライアント IP アドレス。
connection_type
リスナープロトコル。
src_ip
リスナー IP アドレス。
src_port
リッスンポート。
pid
プロセス ID。
proc_name
プロセス名。
net_connect_dir
ネットワーク接続の方向。
dst_ip
ネットワーク接続の受信者の IP アドレス。
-
dir が out の場合、このパラメーターはピアホストを示します。
-
dir が in の場合、このパラメーターはローカルホストを示します。
dst_port
ネットワーク接続の受信者のポート。
instance_id
インスタンス ID。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
status
ネットワーク接続ステータス。有効な値:
-
1: 接続が閉じられています (CLOSED)。
-
2: ポートが接続要求を待っています (LISTEN)。
-
3: SYN リクエストが送信されました (SYN_SENT)。
-
4: SYN リクエストが受信されました (SYN_RECV)。
-
5: 接続が確立されました (ESTABLISHED)。
-
6: ポートが接続を閉じるのを待っています (CLOSE_WAIT)。
-
7: 接続が閉じられています (CLOSING)。
-
8: ポートがピアからのクローズリクエストを待っています (FIN_WAIT_1)。
-
9: ポートがピアからのクローズリクエストと確認応答を待っています (FIN_WAIT_2)。
-
10: ポートは、ピアがクローズリクエストの確認応答を受信したことを確認するのに十分な時間を待っています (TIME_WAIT)。
-
11: 伝送制御ブロック (TCB) が削除されました (DELETE_TCB)。
start_time
開始タイムスタンプ。単位:秒。
-
-
アカウントスナップショット
ログフィールド
説明
__topic__
ログのトピック。値は aegis-snapshot-host に固定されています。
owner_id
Alibaba Cloud アカウント ID。
name
脆弱性名。
alias_name
脆弱性のエイリアス。
op
操作情報には以下が含まれます:
-
Add
-
Verification
-
Bug fix
status
接続ステータス。詳細については、「ネットワーク接続ステータスの説明のリスト」をご参照ください。
tag
oval、system、cms などの脆弱性タグは、主に EMG 緊急脆弱性を識別するために使用されます。
type
脆弱性タイプ。有効な値には以下が含まれます:
-
sys: Windows の脆弱性
-
cve: Linux の脆弱性
-
cms: Web CMS の脆弱性
-
EMG: 緊急の脆弱性
uuid
クライアント ID。
username
ログインユーザー名。
host_ip
サーバーの IP アドレス。
account_expire
アカウントの有効期限。値 never は、アカウントが期限切れにならないことを示します。
domain
アカウントが属するドメインまたはディレクトリサービス。N/A は、アカウントがどのドメインにも属していないことを示します。
groups
アカウントが属するグループ。N/A は、アカウントがどのグループにも属していないことを示します。
home_dir
ホームディレクトリ。これは、システム内でファイルを保存および管理するためのデフォルトの場所です。
instance_id
インスタンス ID。
last_chg
パスワードが最後に変更された日付。
last_logon
最後のログインの日時。N/A は、アカウントがログインに使用されたことがないことを示します。
login_ip
最後のログインに使用されたリモート IP アドレス。N/A は、アカウントがログインに使用されたことがないことを示します。
passwd_expire
パスワードの有効期限。値 never は、パスワードが期限切れにならないことを示します。
perm
アカウントに root 権限があるかどうかを示します。有効な値:
-
0: root 権限は付与されていません。
-
1: root 権限が付与されています。
sas_group_name
サーバーが属するセキュリティセンターのアセットグループ。
shell
Linux シェルコマンド。
tty
ログインターミナル。N/A は、アカウントが一度もターミナルにログインしたことがないことを示します。
warn_time
パスワードの有効期限のリマインダーが送信される日付。値 never は、リマインダーが送信されないことを示します。
start_time
開始タイムスタンプ。単位:秒。
-
-
DNS クエリログ
ログフィールド
説明
__topic__
ログのトピック。値は aegis-log-dns-query に固定されています。
owner_id
Alibaba Cloud アカウント ID。
uuid
クライアント ID。
host_ip
クライアントマシンの IP アドレス。
pid
DNS クエリを開始したプロセスの ID。
ppid
DNS クエリを開始したプロセスの親プロセスの ID。
time
DNS クエリが開始された時間。
domain
DNS クエリのドメイン名。
proc_path
DNS クエリを開始したプロセスのパス。
cmdline
DNS クエリを開始したプロセスのコマンドライン。
cmd_chain
DNS クエリを開始したプロセスのプロセスチェーン。
sas_group_name
セキュリティセンターのグループ名。
instance_id
インスタンス ID。
start_time
開始タイムスタンプ。単位:秒。
-
クライアントイベントログ
フィールド名
説明
__topic__
ログのトピック。値は aegis-log-client に固定されています。
uuid
サーバーの UUID。
host_ip
サーバーの IP アドレス。
agent_version
クライアントのバージョン。
last_login
最後のログインのタイムスタンプ。単位:ミリ秒。
platform
オペレーティングシステムのタイプ。有効な値:
-
windows
-
linux
region_id
サーバーが存在するリージョンの ID。
status
クライアントのステータス。有効な値:
-
online
-
offline
owner_id
Alibaba Cloud アカウント ID。
start_time
開始タイムスタンプ。単位:秒。
-