このトピックでは、Security Centerログのフィールドについて説明します。 Security Centerログには、ネットワークログ、セキュリティログ、およびホストログが含まれます。
ネットワークログ
ドメインネームシステム (DNS) ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-log-dnsとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
追加
追加のセクションのフィールド。 複数のフィールドは垂直バー (|) で区切られています。
additional_num
追加フィールドの数。
答え
DNS応答。 複数の応答は、垂直バー (|) によって分離される。
answer_num
DNS応答の数。
権限
権限セクションのフィールド。
authority_num
権限セクションのフィールド数。
client_subnet
クライアントが存在するサブネット。
dst_ip
送信先 IP アドレス。
dst_port
宛先ポート。
net_connect_dir
データフローの方向。 有効な値:
in: インバウンド
アウト: アウトバウンド
qid
クエリのID。
query_name
照会されるドメイン名。
query_type
クエリのタイプです。
query_datetime
クエリのタイムスタンプ。 単位:ミリ秒。
rcode
返されたコード。
region
ソースリージョンのID。 有効な値:
1: 中国 (北京)
2: 中国 (チンタオ)
3: 中国 (杭州)
4: 中国 (上海)
5: 中国 (深セン)
6: その他のリージョン
response_datetime
レスポンスが返された時刻。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
start_time
開始タイムスタンプ。 単位は秒です。
ローカルDNSログ
ログフィールド
説明
__topic__
ログのトピックです。 値はlocal-dnsとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
answer_rdata
DNS応答。 複数の応答は、垂直バー (|) によって分離される。
answer_ttl
DNS応答のリソースレコードの有効期限 (TTL) 値。 複数の値は縦棒 (|) で区切られています。
answer_type
DNS応答のリソースレコードのタイプ。 複数のタイプは縦棒 (|) で区切られています。 有効な値:
1: レコード
2: NSレコード
5: CNAMEレコード
6: SOAレコード
10: NULLレコード
12: PTRレコード
15: MXレコード
16: TXTレコード
25: キーレコード
28: AAAAレコード
33: SRVレコード
41: OPTレコード
43: DSレコード
44: SSHFPレコード
45: IPSECKEYレコード
46: RRSIGレコード
47: NSECレコード
answer_name
DNS応答のドメイン名。 複数の名前は縦棒 (|) で区切られています。
dst_ip
送信先 IP アドレス。
dst_port
宛先ポート。
group_id
ホストが属するグループのID。
host
ホスト名。
id
クエリのID。
instance_id
ECS インスタンス ID
internet_ip
インスタンスのパブリック IP アドレスです。
ip_ttl
ホストから送信されるデータパケットのTTL。
query_name
照会されるドメイン名。
query_type
クエリのタイプです。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
start_time
クエリのタイムスタンプ。 単位は秒です。
time_usecond
応答時間。 単位:マイクロ秒。
tunnel_id
トンネルID。
ネットワークセッションログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-log-sessionとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
asset_type
関連するAlibaba Cloudサービスのタイプ (ECS (Elastic Compute service) 、SLB (Server Load Balancer) 、ApsaraDB RDSなど) 。
net_connect_dir
ネットワーク接続の方向。
dst_ip
送信先 IP アドレス。
dst_port
宛先ポート。
l4_proto
TCPやUDPなどのプロトコルタイプ。
session_time
セッションの期間。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
start_time
開始タイムスタンプ。 単位は秒です。
Webログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-log-httpに固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
response_content_length
HTTPリクエストのコンテンツの長さ。
dst_ip
送信先 IP アドレス。
dst_port
宛先ポート。
host
webサーバーのホスト名。
jump_location
HTTPリダイレクトのIPアドレス。
request_method
HTTP リクエストの方式。
request_datetime
リクエストが送信される時刻。
status
HTTP ステータスコード。
content_type
HTTPリクエストのコンテンツタイプ。
response_content_type
HTTPレスポンスのコンテンツタイプ。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
request_uri
リクエストのURI。
http_user_agent
User-Agent HTTPヘッダー。 このフィールドは、要求を送信するクライアントを記録します。
http_x_forward_for
X-Forwarded-For (XFF) HTTPヘッダー。
セキュリティログ
脆弱性ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-vul-logとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
vul_name
脆弱性の名前。
vul_alias_name
脆弱性のエイリアス。
risk_level
脆弱性のリスクレベル。
vul_primary_id
脆弱性の識別子。
instance_name
インスタンス名。
operation
実行されるアクション。 有効な値:
new
検証
修正
status
ステータス 詳細については、表2を参照してください。 このトピックのセキュリティログのステータスコードのセクション。
tag
脆弱性のタグ (oval、system、cmsなど) 。 このフィールドは、緊急の脆弱性を区別するために使用されます。
type
脆弱性のタイプ。 有効な値:
sys: Windowsの脆弱性
cve: Linuxの脆弱性
cms: Web-CMSの脆弱性
emg: 緊急の脆弱性
uuid
クライアントのUUID。
extend_content
脆弱性に関する拡張情報。
instance_id
ECS インスタンス ID
internet_ip
アセットのパブリックIPアドレス。
intranet_ip
アセットのプライベートIPアドレス。
start_time
開始タイムスタンプ。 単位は秒です。
ベースラインログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-hc-logとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
risk_level
リスクレベル。
operation
実行されるアクション。 有効な値:
new
検証
risk_name
リスクの名前。
status
ステータス 詳細については、表2を参照してください。 このトピックのセキュリティログのステータスコードのセクション。
sub_type_alias_name
ベースラインのサブタイプエイリアス。
sub_type_name
ベースラインのサブタイプ。
type_name
ベースラインのタイプ。 詳細については、表1を参照してください。 このトピックのベースラインのタイプとサブタイプのセクション。
type_alias_name
ベースラインの型エイリアス。
uuid
クライアントのUUID。
check_item_name
チェックアイテムの名前。
check_item_level
チェックアイテムのレベル。
check_type
チェックアイテムのタイプ。
instance_id
インスタンス ID 。
start_time
開始タイムスタンプ。 単位は秒です。
表 1. タイプとサブタイプのベースライン
タイプ名
サブタイプ名
system
ベースライン
weak_password
postsql_weak_password
削除
redis_check
作成
system_account_security
作成
system_account_security
weak_password
mysq_weak_password
weak_password
ftp_anonymous
weak_password
rdp_weak_password
system
group_policy
system
登録
作成
system_account_security
weak_password
sqlserver_weak_password
system
登録
weak_password
ssh_weak_password
weak_password
ftp_weak_password
シス
centos7
シス
tomcat7
シス
memcached-check
シス
mongodb-チェック
シス
ubuntu14
シス
win2008_r2
system
file_integrity_mon
シス
linux-httpd-2.2-cis
シス
linux-docker-1.6-cis
シス
SUSE11
シス
redhat6
シス
bind9.9
シス
centos6
シス
debain8
シス
redhat7
シス
SUSE12
シス
ubuntu16
表 2. セキュリティログのステータスコード
ステータスコード
説明
1
固定されていません。
2
修正に失敗しました。
3
ロールバックに失敗しました。
4
固定します。
5
ロールバック。
6
確認中だ
7
固定。
8
修正して再起動します。
9
ロールバックしました。
10
無視する
11
ロールバックして再起動します。
12
もう存在しません。
20
期限切れだ
セキュリティアラートログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-security-logとして固定されています。
data_source
データソース。 詳細については、表3を参照してください。 このトピックのセキュリティアラートログのセクションのdata_sourceフィールドの有効な値。
level
アラートの重大度。
name
アラートの名前。
operation
実行されるアクション。 有効な値:
new
取引
status
ステータス 詳細については、表2を参照してください。 このトピックのセキュリティログのステータスコードのセクション。
uuid
クライアントのUUID。
詳細
アラートの詳細。
unique_info
アラートの一意の識別子。
instance_id
インスタンス ID 。
internet_ip
アセットのパブリックIPアドレス。
intranet_ip
アセットのプライベートIPアドレス。
start_time
開始タイムスタンプ。 単位は秒です。
表 3. セキュリティアラートログのdata_sourceフィールドの有効な値
値
説明
aegis_sublious_event
サーバー例外
aegis_sublious_file_v2
ウェブシェル
aegis_login_log
疑わしいログオン
security_event
セキュリティセンターの例外
設定評価ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-cspm-logとして固定されています。
check_id
チェックアイテムのID。 ListCheckResult操作を呼び出して、チェック項目のIDを照会できます。 この操作は、クラウドサービスの設定チェックで検出されたリスク項目の詳細を照会するために使用されます。
check_item_name
チェックアイテムの名前。
instance_id
インスタンスID。
instance_name
インスタンス名。
instance_result
リスクの影響。 値はJSON文字列です。
instance_sub_type
インスタンスのサブタイプ。
インスタンスのタイプがECSの場合、次の有効な値がサポートされます。
INSTANCE
ディスク
SECURITY_GROUP
インスタンスのタイプがACRの場合、次の有効な値がサポートされます。
REPOSITORY_ENTERPRISE
REPOSITORY_PERSON
インスタンスのタイプがRAMの場合、次の有効な値がサポートされます。
アリアス
USER
ポリシー
グループ
インスタンスのタイプがWAFの場合、値はDOMAINに固定されます。
インスタンスが別のタイプの場合、値はinstanceとして固定されます。
instance_type
インスタンスのタイプ。 有効な値:
ECS
SLB
RDS: ApsaraDB RDS
MONGODB: ApsaraDB for MongoDB
KVSTORE: ApsaraDB for Redis
ACR: コンテナレジストリ
CSK: Container Service for Kubernetes (ACK)
VPC: 仮想プライベートクラウド (VPC)
ACTIONTRAIL: ActionTrail
CDN: コンテンツ配信ネットワーク (CDN)
CAS: 証明書管理サービス (旧SSL証明書サービス)
RDC: Apsara Devops
RAM: リソースアクセス管理 (RAM)
DDoS: Anti-DDoS
WAF: Webアプリケーションファイアウォール (WAF)
OSS: Object Storage Service (OSS)
POLARDB: PolarDB
POSTGRESQL: ApsaraDB RDS for PostgreSQL
MSE: マイクロサービスエンジン (MSE)
NAS: ファイルストレージNAS (NAS)
SDDP: データセキュリティセンター (DSC)
EIP: Elastic IPアドレス (EIP)
region_id
インスタンスのリージョン ID です。
requirement_id
要件アイテムID。 ListCheckStandard操作を呼び出して、要件項目のIDを照会できます。 この操作は、構成チェックの標準を照会するために使用される。
risk_level
リスクレベル。 有効な値:
ロー
ミディアム
高い
section_id
セクションID。 ListCheckResult操作を呼び出して、セクションIDを照会できます。 この操作は、クラウドサービスの設定チェックで検出されたリスク項目の詳細を照会するために使用されます。
standard_id
標準ID。 ListCheckStandard操作を呼び出して、標準IDを照会できます。 この操作は、構成チェックの標準を照会するために使用される。
status
チェックアイテムのステータス。 有効な値:
NOT_CHECK: チェックされていません
チェック: チェック中
パス: 渡される
NOT_PASS: 失敗
ホワイトリスト: ホワイトリストに追加
ベンダー
クラウドサービスプロバイダー。 値はALIYUNとして固定されます。
start_time
開始タイムスタンプ。 単位は秒です。
ネットワーク防御ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-net-blockとして固定されています。
cmd
攻撃されたプロセスのコマンドライン。
cur_time
攻撃イベントが発生した時刻。
decode_payload
デコードされた16進ペイロード。
dst_ip
攻撃されたアセットのIPアドレス。
dst_port
攻撃された資産のポート。
func
ブロックされたイベントのタイプ。 有効な値:
payload: 悪意のあるデータや命令が検出されたときにイベントがブロックされることを示します。
tuple: 悪意のあるIPアドレスが検出されたときにイベントがブロックされることを示します。
rule_type
ブロックされたイベントで使用されるルールのタイプ。 有効な値:
alinet_payload: Security Centerで指定されたペイロード防御ルールを示します。
alinet_tuple: Security Centerで指定されたタプル防御ルールを示します。
instance_id
攻撃されたアセットのインスタンスID。
internet_ip
攻撃されたアセットのパブリックIPアドレス。
intranet_ip
攻撃されたアセットのプライベートIPアドレス。
final_action
防衛アクション。 値はブロックとして固定されます。 値は、攻撃がブロックされていることを示します。
payload
16進ペイロード。
ピッド
攻撃されたプロセスのID。
platform
攻撃されたアセットのオペレーティングシステムのタイプ。 有効な値:
win
linux
proc_path
攻撃されたプロセスへのパス。
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
src_ip
攻撃の送信元IPアドレス。
src_port
攻撃の送信元ポート。
uuid
サーバーのUUID。
owner_id
Alibaba Cloud アカウントの ID です。
start_time
開始タイムスタンプ。 単位は秒です。
アプリケーション保護ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-rasp-logとして固定されています。
app_dir
アプリケーションが保存されているディレクトリ。
app_id
登録申請 ID。
app_name
アプリケーション名。
コンフィデンスレベル
検出アルゴリズムの信頼レベル。 有効な値:
high
medium
low
request_body
リクエストボディに関する情報。
request_content_length
リクエスト本文の長さ。
data
フック。
headers
リクエストヘッダーに関する情報。
hostname
ホストまたはネットワークデバイスの名前。
host_ip
ホストのプライベート IP アドレス。
is_clipped
長すぎるためにログが切り捨てられるかどうかを示します。 有効な値:
true
false
jdk_version
JDKのバージョン。
message
アラートの説明。
request_method
リクエストのメソッド。
platform
オペレーティングシステムのタイプ。
アーチ
オペレーティングシステムのアーキテクチャ。
kernel_version
オペレーティングシステムのカーネルバージョン。
param
リクエストパラメーター。 ほとんどの場合、パラメーターは次のいずれかの形式になります。
GETパラメーター
application/x-www-form-urlencoded
payload
攻撃ペイロード。
payload_length
攻撃ペイロードの長さ。
rasp_id
Runtime Application Self Protection (RASP) エージェントのID。
rasp_version
RASPエージェントのバージョン。
src_ip
リクエストが開始されたIPアドレス。
final_action
アラートの処理結果。 有効な値:
block
モニター
rule_action
アプリケーション保護ルールで指定されているアラート処理アクション。 有効な値:
block
モニター
risk_level
リスクレベル。 有効な値:
high
medium
low
stacktrace
スタック情報。
time
アラートが生成された時刻。
timestamp
アラートが生成されたときのタイムスタンプ。 単位:ミリ秒。
type
脆弱性のタイプ。 有効な値:
attach: 悪意のあるAttach API
beans: 悪意のある豆バインディング
clasloader: 悪意のあるクラスの読み込み
dangerous_protocol: 脆弱なプロトコルの使用
dns: 悪意のあるDNSクエリ
エンジン: エンジンの注入
式: 式インジェクション
file: 悪意のあるファイルの読み取りと書き込み
file_delete: 任意のファイル削除
file_list: ディレクトリトラバーサル
file_read: 任意のファイル読み取り
file_upload: 悪意のあるファイルのアップロード
jndi: Java Naming and Directory Interface (JNDI) インジェクション
jni: Java Native Interface (JNI) インジェクション
jstl: JavaServer Pages標準タグライブラリ (JSTL) の任意のファイル包含
memory_shell: インメモリwebshellインジェクション
rce: コマンド実行
read_object: 逆シリアル化攻撃
反映: 悪意のある反射呼び出し
sql: SQLインジェクション
ssrf: 悪意のある外部接続
thread_inject: スレッド注入
xxe: XML外部エンティティ (XXE) 攻撃
url
リクエストのURL。
rasp_attack_uuid
脆弱性のUUID。
uuid
ホストのUUID。
internet_ip
インスタンスのパブリック IP アドレスです。
intranet_ip
ホストのプライベート IP アドレス。
sas_group_name
セキュリティセンター内のサーバーが属するグループ。
instance_id
ホストのインスタンスID。
owner_id
Alibaba Cloud アカウントの ID です。
start_time
開始タイムスタンプ。 単位は秒です。
ファイル検出ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はsas-filedetect-logとして固定されています。
bucket_name
OSS バケットの名前。
event_id
アラートの ID。
event_name
アラートの名前。
md5
ファイルのMD5ハッシュ値。
sha256
ファイルのSHA-256ハッシュ値。
result
検出結果。 有効な値:
0: 通常ファイル
1: 悪意のあるファイル
file_path
ファイルへのパス。
etag
ファイルのタグ。
risk_level
リスクレベル。
深刻な
疑惑
思い出させる
source
検出に使用されるメソッド。 有効な値:
OSS: Security Centerコンソールは、OSSバケット内の悪意のあるファイルを検出するために使用されます。
API: JavaまたはPython用のSDKを使用して、悪意のあるファイルを検出します。
parent_md5
親ファイルまたは圧縮パッケージファイルのMD5ハッシュ値。
parent_sha256
親ファイルまたは圧縮パッケージファイルのSHA-256ハッシュ値。
parent_file_path
親ファイルまたは圧縮パッケージファイルの名前。
owner_id
Alibaba Cloud アカウントの ID です。
start_time
検出が開始されたときのタイムスタンプ。 単位は秒です。
ホストログ
プロセス起動ログ
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-log-processとして固定されています。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
cmdline
プロセスを開始する完全なコマンドライン。
username
ユーザー名
uid
ユーザー ID。
ピッド
プロセスのID。
proc_name
プロセスファイルの名前。
proc_path
プロセスファイルへのフルパス。
proc_start_time
プロセスが開始された時刻。
parent_proc_start_time
親プロセスが開始された時刻。
グループ名
ユーザーグループの名を指定します。
ppid
親プロセスのID。
parent_proc_name
親プロセスファイルの名前。
parent_proc_path
親プロセスファイルのフルパス。
cmd_chain
プロセスチェーン。
container_hostname
コンテナーのホスト名。
container_pid
コンテナのプロセスID。
container_image_id
イメージ ID。
container_image_name
The image name.
container_name
コンテナ名。
container_id
コンテナID。
cwd
プロセスの現在の作業ディレクトリ (CWD) 。
owner_id
Alibaba Cloud アカウントの ID です。
start_time
開始タイムスタンプ。 単位は秒です。
cmd_chain_index
プロセスチェーンのインデックス。 インデックスを使用して、プロセスチェーンを検索できます。
cmd_index
コマンドラインのパラメータのインデックス。 各2つのインデックスは、パラメータの開始とパラメータの終了を識別するためにグループ化される。
comm
プロセスに関连するコマンド名。
gid
プロセスグループのID。
instance_id
ECS インスタンス ID
parent_cmd_line
親プロセスのコマンドライン。
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
srv_cmd
先祖プロセスのコマンドライン。
tty
ログオンしているターミナル。 N/Aの値は、アカウントが端末ログオンに使用されていないことを示します。
uid
ユーザー ID。
start_time
開始タイムスタンプ。 単位は秒です。
スナップショットログの処理
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-snapshot-processとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
cmdline
プロセスを開始する完全なコマンドライン。
ピッド
プロセスのID。
proc_name
プロセスファイルの名前。
proc_path
プロセスファイルへのフルパス。
md5
プロセスファイルのMD5ハッシュ値。 プロセスファイルのサイズが1 MBを超える場合、MD5ハッシュ値は計算されません。
parent_proc_name
親プロセスファイルの名前。
proc_start_time
プロセスが開始される時刻。 このフィールドは組み込みフィールドです。
user
ユーザー名
uid
ユーザー ID。
start_time
開始タイムスタンプ。 単位は秒です。
instance_id
ECS インスタンス ID
pname
親プロセスファイルの名前。
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
ログオンログ
1分以内に繰り返されるログオン試行は、1つのログに記録されます。
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-log-loginとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
src_ip
送信元 IP アドレス。
dst_port
ログインポート。
login_type
ログオンのタイプ。 有効な値: SSHLOGIN、RDPLOGIN、およびIPCLOGIN。
username
ログインユーザー名
login_count
ログオン試行回数。 値が3の場合、現在のログオンの1分前に2つのログオン要求が送信されます。
instance_id
ECS インスタンス ID
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
start_time
クエリの開始タイムスタンプ。 単位は秒です。
ブルートフォースのクラッキングログ
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-log-crackとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
src_ip
送信元 IP アドレス。
dst_port
ログインポート。
login_type
ログオンのタイプ。 有効な値: SSHLOGIN、RDPLOGIN、およびIPCLOGIN。
username
ログインユーザー名
login_count
失敗したログオン試行の回数。
instance_id
ECS インスタンス ID
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
start_time
開始タイムスタンプ。 単位は秒です。
ネットワーク接続ログ
ネットワーク接続の変更は、10秒から1分ごとにホストから収集されます。
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-log-networkとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
dst_ip
送信先 IP アドレス。
dst_port
宛先ポート。
proc_name
プロセスの名前。
proc_path
プロセスへのパス。
connection_type
ネットワーク接続を確立するために使用されるプロトコル。
status
接続ステータス。 詳細については、表4を参照してください。 このトピックのネットワーク接続のステータスコードのセクション。
net_connect_dir
ネットワーク接続の方向。
parent_proc_name
親プロセスファイルの名前。
cmd_chain
プロセスチェーン。
cmd_chain_index
プロセスチェーンのインデックス。 インデックスを使用して、プロセスチェーンを検索できます。
container_hostname
コンテナー内のサーバーの名前。
container_id
コンテナID。
container_image_id
イメージ ID。
container_image_name
The image name.
container_name
コンテナ名。
container_pid
コンテナ内のプロセスのID。
instance_id
ECS インスタンス ID
ピッド
プロセスのID。
ppid
親プロセスのID。
proc_start_time
プロセスが開始された時刻。
src_ip
送信元 IP アドレス。
src_port
送信元ポート。
srv_comm
親プロセスの親プロセスに関連付けられているコマンド名。
type
リアルタイムネットワーク接続のタイプ。 有効な値:
connect: TCP接続開始
accept: 受信したTCP接続
listen: ポートリスニング
uid
プロセスを開始したユーザーのID。
username
プロセスを開始したユーザーの名前。
start_time
開始タイムスタンプ。 単位は秒です。
表 4. ネットワーク接続のステータスコード
ステータスコード
説明
1
クローズ
2
聞く
3
syn send
4
syn recv
5
establisted
6
クローズ待ち
7
閉じる
8
fin_wait1
9
fin_wait2
10
time_wait
11
delete_tcb
ポートリスニングスナップショットログ
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-snapshot-portとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
connection_type
リスナープロトコル。
src_ip
リスナーのIPアドレス。
src_port
リスニングポートです。
ピッド
プロセスのID。
proc_name
プロセスの名前。
net_connect_dir
ネットワーク接続の方向。
dst_ip
送信先 IP アドレス。
dirの値がoutの場合、このフィールドの値はピアホストのIPアドレスです。
dirの値が [in] の場合、このフィールドの値はホストのIPアドレスです。
dst_port
宛先ポート。
instance_id
ECS インスタンス ID
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
status
ネットワーク接続のステータス。 有効な値:
1: 接続が閉じられています。
2: 接続を確立します。
3: SYNパケットが送信される。
4: SYNパケットを受信する。
5: 接続が確立されました。
6: 接続が閉じられるのを待っています。
7: 接続が閉じられています。
8: ローカルエンドポイントは、ピアエンドポイントからの接続終了要求の確認応答を待機しています。
9: ローカルエンドポイントは、ピアエンドポイントから確認応答を受信した後、ピアエンドポイントからの接続終了要求を待機しています。
10: ローカルエンドポイントは、ピアエンドポイントがローカルエンドポイントから確認応答を受信するのに十分な時間が経過するのを待っています。
11: 接続のTCBが削除されます。
start_time
開始タイムスタンプ。 単位は秒です。
アカウントのスナップショットログ
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-snapshot-hostとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
name
脆弱性の名前。
alias_name
脆弱性のエイリアス。
op
実行されるアクション。 有効な値:
new
検証
修正
status
接続ステータス。 詳細については、表4を参照してください。 このトピックのネットワーク接続のステータスコードのセクション。
tag
脆弱性のタグ (oval、system、cmsなど) 。 このフィールドは、緊急の脆弱性を区別するために使用されます。
type
脆弱性のタイプ。 有効な値:
sys: Windowsの脆弱性
cve: Linuxの脆弱性
cms: Web-CMSの脆弱性
EMG: 緊急の脆弱性
uuid
クライアントのUUID。
username
ログインユーザー名
host_ip
サーバーの IP アドレス。
account_expire
アカウントの有効期限が切れる日付。 値はnever、アカウントの有効期限が切れないことを示します。
domain
アカウントが属するドメインまたはディレクトリ。 値N/Aは、アカウントがドメインに属していないことを示します。
グループ
アカウントが属するグループ。 値N/Aは、アカウントがグループに属していないことを示します。
home_dir
ホームディレクトリ。システム内のファイルを保存および管理するためのデフォルトのディレクトリです。
instance_id
ECS インスタンス ID
last_chg
パスワードが最後に変更された日付。
last_logon
アカウントが最後にログインに使用された日時。 値N/Aは、アカウントがログオンに使用されていないことを示します。
login_ip
アカウントが最後にログオンに使用されたIPアドレス。 値N/Aは、アカウントがログオンに使用されていないことを示します。
passwd_expire
パスワードの有効期限が切れた日付。 never値は、パスワードの有効期限が切れないことを示します。
パーマ
アカウントにroot権限があるかどうかを示します。 有効な値:
0: アカウントにはroot権限がありません。
1: アカウントにはroot権限があります。
sas_group_name
セキュリティセンター内のサーバーが属するアセットグループ。
shell
Linuxシェルコマンド。
tty
ログオンしているターミナル。 N/Aの値は、アカウントが端末ログオンに使用されていないことを示します。
warn_time
パスワードの有効期限が通知された日付。 この値は、通知が送信されないことを示しません。
start_time
開始タイムスタンプ。 単位は秒です。
DNSリクエストログ
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-log-dns-queryとして固定されています。
owner_id
Alibaba Cloud アカウントの ID です。
uuid
クライアントのUUID。
host_ip
クライアントの IP アドレス。
ピッド
DNSリクエスタのプロセスID。
ppid
DNSリクエスタの親プロセスID。
time
DNSリクエストが開始された時刻。
domain
DNSリクエストに含まれるドメイン名。
proc_path
DNS要求を開始するプロセスへのパス。
cmdline
DNS要求を開始するプロセスのコマンドライン。
cmd_chain
DNSリクエスタのプロセスチェーン。
sas_group_name
セキュリティセンター内のサーバーが属するグループ。
instance_id
ECS インスタンス ID
start_time
開始タイムスタンプ。 単位は秒です。
クライアントイベントログ
ログフィールド
説明
__topic__
ログのトピックです。 値はaegis-log-clientとして固定されています。
uuid
サーバーのUUID。
host_ip
サーバーの IP アドレス。
agent_version
クライアントのバージョン。
last_login
アカウントへの最後のログインのタイムスタンプ。 単位:ミリ秒。
platform
オペレーティングシステムのタイプ。 有効な値:
windows
linux
region_id
サーバーのリージョンID。
status
クライアントのステータス。 有効な値:
online
オフライン
owner_id
Alibaba Cloud アカウントの ID です。
start_time
開始タイムスタンプ。 単位は秒です。