全部產品
Search
文件中心

Security Center:DescribeAlarmEventDetail - 擷取警示事件詳細資料

更新時間:Mar 21, 2026

擷取警示事件的詳細資料。警示事件分為警示與異常兩個維度,一個警示事件包含多個例外狀況事件。

調試

您可以在OpenAPI Explorer中直接運行該介面,免去您計算簽名的困擾。運行成功後,OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊,可以在RAM權限原則語句的Action元素中使用,用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下:

  • 操作:是指具體的許可權點。

  • 存取層級:是指每個操作的存取層級,取值為寫入(Write)、讀取(Read)或列出(List)。

  • 資源類型:是指操作中支援授權的資源類型。具體說明如下:

    • 對於必選的資源類型,用前面加 * 表示。

    • 對於不支援資源級授權的操作,用全部資源表示。

  • 條件關鍵字:是指雲產品自身定義的條件關鍵字。

  • 關聯操作:是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權,操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

yundun-sas:DescribeAlarmEventDetail

get

*全部資源

*

請求參數

名稱

類型

必填

描述

樣本值

SourceIp

string

訪問源 IP 位址。

192.168.XX.XX

Lang

string

佈建要求和接收訊息的語言類型,預設為 zh。取值:

  • zh:中文

  • en:英文

zh

AlarmUniqueInfo

string

警示事件的唯一標識。

說明

查詢警事件的詳細資料,需要提供警示事件的唯一標識資訊,該標識資訊可調用 DescribeSuspEvents 介面擷取。

9f62555666f177aa84ee1eaf465a****

From

string

請求來源標識,固定為 sas

sas

返回參數

名稱

類型

描述

樣本值

object

RequestId

string

本次調用請求的 ID,是由阿里雲為該請求產生的唯一識別碼,可用於排查和定位問題。

7EA50837-2F0B-5BCC-AB61-4968D88D75AD

Data

object

警示事件的詳情。

Type

string

警示類型。取值:

  • 進程異常行為

  • 網站後門

  • 異常登入

  • 例外狀況事件

  • 敏感檔案篡改

  • 惡意進程(雲查殺)

  • 異常網路連接

  • 其他

  • 異常帳號

  • 應用入侵事件

  • 雲產品威脅檢測

  • 精準防禦

  • 應用白名單

  • 持久化後門

  • Web 應用程式威脅檢測

  • 惡意指令碼

  • 威脅情報

  • 惡意網路行為

  • 容器叢集異常

  • 網站後門(本地查殺)

  • 漏洞利用

  • 惡意進程(本地查殺)

  • 可信異常

  • Suspicious Process

  • Webshell

  • Unusual Logon

  • Malicious Software

  • Sensitive File Tampering

  • Unusual Network Connection

  • Other

  • Suspicious Account

  • Cloud threat detection

  • Precision defense

  • Application Whitelist

  • Persistence

  • Web Application Threat Detection

  • Malicious scripts

  • Malicious Network Activity

  • K8s Abnormal Behavior

  • Website backdoor (local engine)

  • Exploit

  • Image Scan

  • Trusted exception

Webshell

InternetIp

string

關聯執行個體的公網 IP。

172.16.XX.XX

K8sClusterName

string

k8s 叢集名稱。

TestK8sCluser

ContainerImageId

string

容器鏡像 ID。

cadb7a725641

AlarmEventDesc

string

警示事件描述。

The detection model finds that self-mutation is running on your server. A self-mutation Trojan is a Trojan horse program with self-mutation function. It will change its hash or copy a large number of itself to different paths, and run in the background to avoid cleaning.

AlarmUniqueInfo

string

警示事件的唯一標識。

說明

查詢警事件的詳細資料,需要提供警示事件的唯一標識資訊,該標識資訊可調用 DescribeSuspEvents 介面擷取。

9f62555666f177aa84ee1eaf465a****

CanCancelFault

boolean

能否取消警示。取值:

  • true:可以取消標幟為誤判。

  • false:不能取消標幟為誤判。

false

AppName

string

容器應用程式名稱。

app:msdp-uat-service

CanBeDealOnLine

boolean

能否線上處理。取值:

  • true:可以取消標幟為誤判。

  • false:不能取消標幟為誤判。

false

ContainerImageName

string

容器鏡像名稱。

jenkins/jenkins:latest

K8sClusterId

string

K8s 叢集 ID。

c562cf0d68e9749ee9fe544a7ab2f****

ContainHwMode

boolean

是否是重大活動安全保障模式。

true

InstanceName

string

執行個體名稱。

i-wz92q7m5hsbgfhdss***

K8sNodeId

string

k8s 節點 ID。

i-bp14a1ay8e0aa9t0l***

Solution

string

警示事件的處理方法。

An invalid logon source IP has been detected. If you recognize this logon attempt, we recommend that you add the current logon source IP to the valid logon source IP list to avoid future alerts. If you do not recognize this logon attempt, we recommend that you modify the password.

DataSource

string

警示事件的資料來源。

aegis_***

IntranetIp

string

關聯執行個體的私網 IP。

172.25.30.**

AlarmEventAliasName

string

警示事件名稱。

Login with unusual location

EndTime

integer

警示事件結束的時間戳記,單位為毫秒。

1542366542000

Uuid

string

資產執行個體的 UUID。

6690a46c-0edb-4663-a641-3629d1a9****

StartTime

integer

警示事件的開始的時間戳記,單位為毫秒。

1542378601000

ContainerId

string

容器應用 ID。

container_1606995441910_394868_01_000***

K8sPodName

string

k8sPod 名稱。

myapp-pod

K8sNamespace

string

K8s 命名空間。

sit-saic-trip

K8sNodeName

string

k8s 節點名稱。

cn-hangzhou.10.188.139.**

Level

string

警示事件的危險等級。取值:

  • serious:緊急。

  • suspicious:可疑。

  • remind:提醒。

serious

CauseDetails

array<object>

警示事件發生的原因(溯源資訊)。

array<object>

Key

string

警示事件溯源的 key。

842e314e69b1a2c45d5c1a2f88a16***

Value

array<object>

警示事件溯源的 value。

object

溯源展示資訊。

Type

string

溯源資訊欄位的展示類型。取值:

  • text:文本方式。

  • html:富文本方式。

html

Value

string

溯源資訊欄位的值。

under a certain small probability, yundun may mistakenly judge the repeated attempts caused by the administrator forgetting or entering the wrong password as successful blasting. Please check according to the account number and time shown in the alarm details. Once it is confirmed that it is not the initiative of the administrator, it is recommended to immediately block the IP, and you can open it at the same timePAM, hosting host login password, improving remote connection efficiency and security control ability, and according tobest practice of ECS account security protectionModify login password and convergence asset.

Name

string

溯源資訊欄位的名稱。

sshd

樣本

正常返回樣本

JSON格式

{
  "RequestId": "7EA50837-2F0B-5BCC-AB61-4968D88D75AD",
  "Data": {
    "Type": "Webshell",
    "InternetIp": "172.16.XX.XX",
    "K8sClusterName": "TestK8sCluser",
    "ContainerImageId": "cadb7a725641",
    "AlarmEventDesc": "The detection model finds that self-mutation is running on your server. A self-mutation Trojan is a Trojan horse program with self-mutation function. It will change its hash or copy a large number of itself to different paths, and run in the background to avoid cleaning.",
    "AlarmUniqueInfo": "9f62555666f177aa84ee1eaf465a****",
    "CanCancelFault": false,
    "AppName": "app:msdp-uat-service",
    "CanBeDealOnLine": false,
    "ContainerImageName": "jenkins/jenkins:latest",
    "K8sClusterId": "c562cf0d68e9749ee9fe544a7ab2f****",
    "ContainHwMode": true,
    "InstanceName": "i-wz92q7m5hsbgfhdss***",
    "K8sNodeId": "i-bp14a1ay8e0aa9t0l***",
    "Solution": "An invalid logon source IP has been detected. If you recognize this logon attempt, we recommend that you add the current logon source IP to the valid logon source IP list to avoid future alerts. If you do not recognize this logon attempt, we recommend that you modify the password.",
    "DataSource": "aegis_***",
    "IntranetIp": "172.25.30.**",
    "AlarmEventAliasName": "Login with unusual location",
    "EndTime": 1542366542000,
    "Uuid": "6690a46c-0edb-4663-a641-3629d1a9****",
    "StartTime": 1542378601000,
    "ContainerId": "container_1606995441910_394868_01_000***",
    "K8sPodName": "myapp-pod",
    "K8sNamespace": "sit-saic-trip",
    "K8sNodeName": "cn-hangzhou.10.188.139.**",
    "Level": "serious",
    "CauseDetails": [
      {
        "Key": "842e314e69b1a2c45d5c1a2f88a16***",
        "Value": [
          {
            "Type": "html",
            "Value": "
under a certain small probability, yundun may mistakenly judge the repeated attempts caused by the administrator forgetting or entering the wrong password as successful blasting. Please check according to the account number and time shown in the alarm details. Once it is confirmed that it is not the initiative of the administrator, it is recommended to immediately block the IP, and you can open it at the same timePAM, hosting host login password, improving remote connection efficiency and security control ability, and according tobest practice of ECS account security protectionModify login password and convergence asset.↵",
            "Name": "sshd"
          }
        ]
      }
    ]
  }
}

錯誤碼

HTTP status code

錯誤碼

錯誤資訊

描述

500 ServerError ServerError 服務故障,請稍後重試!
403 NoPermission caller has no permission 當前操作未被授權,請聯絡主帳號在RAM控制台進行授權後再執行操作。

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊,參考變更詳情