威脅分析與響應升級 - Security Center

威脅分析與響應CTDR（Cloud Threat Detection and Response）2.0升級架構實現了第三方雲廠商、IDC線下安全廠商日誌標準化快速接入，升級架構後日誌欄位有所變更。

升級影響帳號

2025年4月3日（含）前開通CTDR的阿里雲帳號。

警告

多帳號情況下若成員帳號無訂單，升級後成員帳號將不能再使用CTDR，若成員帳號需要使用，需要單獨購買。
委派管理員（DA）可通過“接入中心-多帳號接入”功能，接入成員帳號的產品日誌，且不依賴成員帳號是否購買CTDR。
由於CTDR功能在中國站和全球站的資料與任務相互獨立，需要分別為這兩個網站執行升級操作。

升級時間

系統將於2025年10月15日（含）為所有賬戶自動升級。
您也可在2025年6月30日（含）至2025年10月15日期間，登入Security Center控制台，根據升級指引完成升級評估後，單擊立即升級，完成自主升級。

說明

若您因特殊情境（如業務相容性測試、裝置維護等）需延長升級切換時間，您可以提交工單，隨時與我們取得聯絡。

老訂單功能使用配額的影響

老訂單範圍：2024年04月26日（包含）前僅購威脅分析日誌儲存容量的訂用帳戶訂單。
CTDR新版功能啟用需開通日誌接入流量或日誌儲存容量。老訂單升級後會自動設定日誌接入流量，保證老訂單業務正常運行，無需額外付費。但接入流量有規格限制，接入流量額度計算公式如下：
日誌接入流量=威脅分析日誌儲存容量/30*1.2（相容係數），計算結果向上取最接近10的整數倍。
說明
例如：老訂單日誌儲存容量（GB/月）=3000（GB/月）。
升級後：日誌儲存容量（GB/月）=3000（GB/月），日誌接入量（GB/天）=3000/30*1.2=120（GB/天）。
2024年04月26日後的訂單費用不受影響，訂單對應開通的日誌接入流量和日誌儲存容量配額也不變。

升級功能影響

升級版本後，產品功能和日誌、警示欄位將升級至2.0版本，欄位變化參見日誌標準化欄位變更。已投遞的日誌庫歷史資料不會刪除，仍為1.0結構。產品功能差異對比如下：

產品功能	CTDR 1.0	CTDR 2.0
產品接入	圍繞阿里雲雲原生產品接入設計，服務對服務接入方案。支援第三方雲廠商、IDC下安全產生日誌接入，對接入日誌有嚴格的結構化要求。	升級為接入中心，通過配置標準化規則實現日誌通用化接入，包括阿里雲雲原生產品、第三方雲和安全廠商產品。提供“即時消費”和“掃描查詢”兩種日誌標準化接入方式。重要 CTDR 1.0已接入的產品資料不會刪除。
規則管理	圖形互動配置自訂規則	升級為SQL文法自訂規則，通過批處理方式進行威脅檢測，並且可對歷史資料進行威脅分析。支援劇本自訂規則。
日誌管理	單Logstore寬表格儲存體方式，全部日誌儲存在專案（cloud_siem-data-阿里雲帳號-RegionID）日誌庫（cloud_siem）中。不支援Security Center原生日誌的投遞，必須通過產品接入後進行投遞。基於廠商、產品接入維度控制投遞開關。	存在多個標準化結構Logstore。重要升級後增量日誌不再寫入原V1.0專案日誌庫（cloud_siem）中，但仍可查詢歷史日誌，增量日誌會根據產品接入原則設定寫入對應新的日誌庫中。 Security Center原生日誌，從業務中心側直接投遞到日誌管理中，不依賴產品接入策略，支援投遞開關的啟停操作。 “即時消費”接入的日誌若購買了日志存储容量會自動投遞，不支援投遞開關的啟停操作。 CTDR2.0更新了日誌標準化欄位，欄位變化請參見日誌標準化欄位變更。
多帳號管理	DA綁定為全域帳號管理員 DA帳號可切換“全域帳號視圖”和“當前帳號視圖”	威脅分析多帳號管理設定融合入Security Center多帳號管理設定，通過Security Center多帳號管理統一設定DA委派管理員。 CTDR的多帳號管理情境，通過接入中心“多帳號接入設定”功能實現成員帳號警示日誌的接入，不再支援視圖切換。

不再支援的日誌

升級至CTDR2.0後，以下7種阿里雲雲產品日誌將不再支援：

產品名稱	日誌名稱	下線原因
Security Center	連接埠快照日誌	資料來源重複，接入“網路快照日誌”資料來源即可。
DDoS防護	DDoS高防流日誌（老高防）	老高防產品下線。
DDoS防護	DDoS原生防護日誌	產品日誌規划下線。
Cloud Firewall	Cloud Firewall警示日誌	資料來源重複，下線原自訂Log Service的資料來源，將由基於預定義Log Service的新資料來源代替。說明新資料來源名稱仍為“Cloud Firewall警示日誌”，新資料來源欄位可參見Cloud Firewall警示日誌、Cloud Firewall即時警示日誌。
Web Application Firewall	WAF CDN流日誌	CDN暫停規劃，將由新的DCDN WAF攔截日誌代替，欄位說明參見DCDN WAF攔截日誌。
內容分發網路CDN	CDN WAF流日誌	CDN暫停規劃，將由新的DCDN WAF攔截日誌代替。
Security Center	檔案讀寫日誌	能力最佳化升級迭代，不再需要此資料來源支撐。

日誌標準化欄位變更

Security Center

賬戶快照

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
host_uuid	uuid	主機ID
is_root	perm	是否擁有root許可權。 0：沒有root許可權。 1：有root許可權。
group_name	groups	使用者組
account_expire_time	account_expire	帳號到期時間
log_time	log_time	日誌時間戳記，單位秒
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
last_login_time	last_logon	最後一次登入帳號的日期和時間。N/A表示從未登入過。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
無	username	帳號名
無	domain	網域名稱
無	home_dir	home地址
無	status	使用者帳號的狀態。 0：帳號已被禁止登入。 1：帳號可正常登入。
無	login_ip	最後一次登入帳號的遠程IP地址。N/A表示從未登入過。
無	host_name	主機名稱
無	host_ip	主機IP
無	category	活動目錄
無	schema	活動分類
無	log_uuid	日誌標誌
無	product_code	產品code
無	extend_content	擴充欄位內容
snapshot_id	無	下線
asset_type	無	下線
asset_id	無	下線
log_name	無	下線
gmt_create	無	下線
gmt_modified	無	下線
account_id	無	下線
password_expire_time	無	下線
src_ip	無	下線

暴力破解日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
host_uuid	uuid	主機ID
dst_ip	dst_ip	目的IP
login_count	login_count	登入次數
src_ip	src_ip	源IP
u_name	username	登入賬戶名稱
無	invalid_user	是否有效使用者invalid_user
無	login_type	登入類型
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	dst_port	用戶端主機連接埠
host_name	無	下線
net_connect_dir	無	下線
log_name	無	下線
src_port	無	下線
occur_time	無	下線
time_zone	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
ecs_instance_id	無	下線
vpc_instance_id	無	下線
resource_group_name	無	下線
connect_count	無	下線
protocol_name	無	下線
transport_protocol_name	無	下線
login_status	無	下線
ip_version	無	下線
asset_ip	無	下線
class_name	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線
raw_data	無	下線
remote_ip	無	下線

雲安全態勢管理日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
log_time	log_time	日誌時間戳記，單位秒
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
instance_id	instance_id	檢查對象執行個體ID
instance_name	instance_name	檢查對象執行個體名稱
instance_sub_type	instance_sub_type	產品子類型
instance_type	instance_type	產品類型
region_id	region_id	地區
risk_level	risk_level	風險層級：1、2、3、4、5。
status	status	檢測狀態： 1：unfixed 2：fixfailed 3：fixed 4：ignored
vendor	vendor	被檢測的執行個體歸屬的廠商
無	risk_detail	檢查項詳細資料
無	risk_criterion	風險標準
無	risk_name	風險名稱
無	risk_type	風險類型
無	category	活動目錄
無	schema	活動分類
無	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
無	product_code	產品code
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
check_id	無	下線
check_item_code	無	下線
check_item_name	無	下線
log_name	無	下線
occur_time	無	下線
instance_result	無	下線
requirement_id	無	下線
requirement_name	無	下線
section_id	無	下線
section_name	無	下線
standard_id	無	下線
standard_name	無	下線
requirement_code	無	下線
section_code	無	下線

DNS請求日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
host_uuid	uuid	主機ID
proc_id	pid	進程ID
proc_path	proc_path	進程路徑
cmd_line	cmdline	命令列
cmd_chain	cmd_chain	進程命令列
domain	domain	進程請求DNS
parent_proc_id	ppid	父進程ID
ip	host_ip	主機IP
log_time	log_time	日誌時間戳記，單位秒
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
product_code	product_code	產品code
category_name	category	活動目錄
activity_name	schema	活動分類
host_name	host_name	主機名稱
無	uid	帳號ID
無	username	帳號名
無	parent_proc_path	父進程路徑
無	pcmdline	父命令列
無	pstime	父進程啟動時間
無	stime	進程啟動時間
無	container_hostname	容器內伺服器名稱
無	container_id	容器ID
無	container_image_id	鏡像ID
無	container_image_name	鏡像名稱
無	container_name	容器名稱
無	container_pid	容器內進程ID
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
file_path	無	下線
sls_capacity	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
asset_list	無	下線
time_zone	無	下線
ecs_instance_id	無	下線
vpc_instance_id	無	下線
proc_name	無	下線
occur_time	無	下線
scan_time	無	下線
log_protocol_action	無	下線
log_protocol_type	無	下線
app	無	下線
trace_id	無	下線
bind	無	下線
version	無	下線
client_mode	無	下線
app_version	無	下線
safe_mode	無	下線
type	無	下線
seq	無	下線
dns_query_name	無	下線
dns_query_time	無	下線
file_name	無	下線
class_name	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線
raw_data	無	下線

檔案讀寫日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
log_code	log_code	日誌code，具體接入資料來源
category_name	category	活動目錄
activity_name	schema	活動分類
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
host_uuid	uuid	主機ID
host_name	host_name	主機名稱
cmd_line	cmdline	命令列
parent_file_path	parent_proc_path	父進程路徑
proc_id	pid	進程ID
parent_proc_id	ppid	父進程ID
proc_path	proc_path	進程路徑
proc_start_time	stime	進程啟動時間
parent_proc_start_time	pstime	父進程啟動時間
file_path	file_path	進程寫入檔案路徑
container_id	container_id	容器ID
container_name	container_name	容器名稱
container_image_id	container_image_id	鏡像ID
container_image_name	container_image_name	鏡像名稱
cmd_chain	cmd_chain	進程命令列
無	host_ip	主機IP
無	uid	帳號ID
無	pcmdline	父命令列
無	username	帳號名
無	container_hostname	容器內伺服器名稱
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	container_pid	容器內進程ID
log_name	無	下線
time_zone	無	下線
occur_time	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
ecs_instance_id	無	下線
vpc_instance_id	無	下線
parent_file_name	無	下線
container_file_path	無	下線
k8s_pod_name	無	下線
k8s_name_space	無	下線
k8s_node_id	無	下線
k8s_node_name	無	下線
k8s_cluster_id	無	下線
cmd_chain_index	無	下線
proc_name	無	下線
file_name	無	下線
sid	無	下線
srv_cmd_line	無	下線
class_name	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線
raw_data	無	下線

基準日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
category_name	category	活動目錄
activity_name	schema	活動分類
host_uuid	uuid	主機ID
host_name	host_name	主機名稱
risk_level	risk_level	風險層級：1、2、3、4、5。
risk_name	risk_name	風險名
status	status	檢測狀態： 1：unfixed 2：fixfailed 3：fixed 4：ignored
無	instance_id	主機執行個體ID
無	risk_type	主機基準風險類型
無	risk_detail	風險詳情
無	risk_criterion	風險標準
無	host_ip	主機IP
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
check_item	無	下線
check_level	無	下線
check_type	無	下線
level	無	下線
operation	無	下線
sub_type_alias	無	下線
sub_type_name	無	下線
type_alias	無	下線
type_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
asset_list	無	下線
time_zone	無	下線
ecs_instance_id	無	下線
vpc_instance_id	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線
raw_data	無	下線

登入流水日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
log_code	log_code	日誌code，具體接入資料來源
category_name	category	活動目錄
activity_name	schema	活動分類
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
host_uuid	uuid	主機ID
dst_ip	dst_ip	登入主機的ip
dst_port	dst_port	用戶端主機連接埠
src_ip	src_ip	源IP
u_name	username	登入賬戶名稱
login_type	login_type	登入類型
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
host_name	無	下線
ip	無	下線
client_ip	無	下線
is_login_success	無	下線
log_count	無	下線
proc_id	無	下線
proto	無	下線
invalid_user	無	下線
client_mode	無	下線
occur_time	無	下線
asset_id	無	下線
asset_type	無	下線
asset_name	無	下線
asset_list	無	下線
time_zone	無	下線
vpc_instance_id	無	下線
ecs_instance_id	無	下線
transport_protocol_name	無	下線
ip_version	無	下線
login_status	無	下線
login_count	無	下線
os_name	無	下線
os_type	無	下線
raw_data	無	下線
asset_ip	無	下線
class_name	無	下線
log_name	無	下線
remote_ip	無	下線

網路連接日誌

V1.0欄位	V2.0欄位	描述
main_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
sub_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
host_uuid	uuid	主機ID
host_name	host_name	主機名稱
src_ip	src_ip	源IP
src_port	src_port	源連接埠
dst_ip	dst_ip	目的IP
dst_port	dst_port	目的連接埠
parent_proc_id	進程ID
proc_path	proc_path	進程路徑
proc_start_time	stime	進程啟動時間
proc_id	pid	進程ID
parent_proc_path	parent_proc_path	父進程路徑
parent_proc_start_time	pstime	父進程啟動時間
status	status	網路連接狀態： 1：TCP_STATE_CLOSED（串連關閉/未開啟） 2：TCP_STATE_LISTEN（監聽中） 3：TCP_STATE_SYN_SENT（發送SYN包） 4：TCP_STATE_SYN_RCVD（SYN包已接收） 5：TCP_STATE_ESTABLISHED（已建立串連） 6：TCP_STATE_CLOSE_WAIT（等待關閉） 7：TCP_STATE_CLOSING（雙方都在關閉串連） 8：TCP_STATE_FIN_WAIT1（主動關閉方發送FIN等待ACK） 9：TCP_STATE_FIN_WAIT2（主動關閉方收到ACK） 10：TCP_STATE_LAST_ACK（被動關閉方等待ACK） 11：TCP_STATE_TIME_WAIT（主動關閉方收到FIN並發送ACK）
cmd_line	cmdline	命令列
net_connect_dir	net_connect_dir	網路連接方向
container_id	container_id	容器ID
container_image_id	container_image_id	鏡像ID
container_image_name	container_image_name	鏡像名稱
container_name	container_name	容器名稱
container_host_name	container_hostname	容器內伺服器名稱
cmd_chain	cmd_chain	進程命令列
uid	uid	帳號ID
u_name	username	帳號名
無	container_pid	容器內進程ID
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
cwd	無	下線
tty	無	下線
scan_time	無	下線
log_name	無	下線
proc_name	無	下線
file_path	無	下線
file_name	無	下線
parent_proc_name	無	下線
parent_file_name	無	下線
parent_file_path	無	下線
proto	無	下線
docker_proc_path	無	下線
k8s_cluster_id	無	下線
k8s_name_space	無	下線
k8s_node_id	無	下線
k8s_node_name	無	下線
k8s_pod_name	無	下線
cmd_chain_index	無	下線
container_mip	無	下線
ccp	無	下線
client_mode	無	下線
log_match	無	下線
raw_ts	無	下線
raw_cpu	無	下線
srv_comm	無	下線
asset_id	無	下線
asset_type	無	下線
asset_name	無	下線
asset_list	無	下線
asset_port	無	下線
container_machine_ip	無	下線
ecs_instance_id	無	下線
vpc_instance_id	無	下線
occur_time	無	下線
time_zone	無	下線
cmd_line_format	無	下線
transport_protocol_name	無	下線
transport_protocol_status	無	下線
ip_version	無	下線
asset_ip	無	下線
class_name	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線
remote_ip	無	下線
remote_port	無	下線

連接埠快照日誌

V1.0欄位	V2.0欄位	描述
main_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
sub_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
host_name	host_name	主機名稱
proc_id	pid	進程ID
proc_path	proc_path	進程路徑
net_connect_dir	net_connect_dir	網路連結方向
src_ip	src_ip	源IP
src_port	src_port	源連接埠
dst_ip	dst_ip	目的IP
dst_port	dst_port	目的連接埠
proto	l4_protocol	協議
cmd_line	cmdline	命令列
proc_name	proc_name	進程名
status	status	網路連接狀態 1：TCP_STATE_CLOSED（串連關閉/未開啟） 2：TCP_STATE_LISTEN（監聽中） 3：TCP_STATE_SYN_SENT（發送SYN包） 4：TCP_STATE_SYN_RCVD（SYN包已接收） 5：TCP_STATE_ESTABLISHED（已建立串連） 6：TCP_STATE_CLOSE_WAIT（等待關閉） 7：TCP_STATE_CLOSING（雙方都在關閉串連） 8：TCP_STATE_FIN_WAIT1（主動關閉方發送FIN等待ACK） 9：TCP_STATE_FIN_WAIT2（主動關閉方收到ACK） 10：TCP_STATE_LAST_ACK（被動關閉方等待ACK） 11：TCP_STATE_TIME_WAIT（主動關閉方收到FIN並發送ACK））
host_uuid	uuid	主機ID
無	host_ip	主機IP
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
type	無	下線
file_name	無	下線
parent_cmd_line	無	下線
parent_proc_id	無	下線
parent_file_path	無	下線
parent_proc_path	無	下線
err_msg	無	下線
ime	無	下線
client_mode	無	下線
occur_time	無	下線
asset_id	無	下線
asset_type	無	下線
asset_list	無	下線
ecs_instance_id	無	下線
vpc_instance_id	無	下線
transport_protocol_name	無	下線
transport_protocol_status	無	下線
time_zone	無	下線
ip_version	無	下線
asset_ip	無	下線
asset_type	無	下線
class_name	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線
raw_data	無	下線
remote_ip	無	下線
remote_port	無	下線
time	無	下線

進程開機記錄

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	雲帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	帳號ID/阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
host_uuid	uuid	主機ID
uid	uid	帳號ID
u_name	username	帳號名
host_name	host_name	主機名稱
proc_id	pid	進程ID
cmd_line	cmdline	命令列
proc_path	proc_path	進程路徑
file_path	file_path	進程寫入檔案
parent_proc_id	ppid	父進程ID
parent_cmd_line	pcmdline	父命令列
parent_proc_path	parent_proc_path	父進程路徑
proc_start_time	stime	進程啟動時間
cmd_chain	cmd_chain	進程命令列
pstime	pstime	父進程啟動時間
container_host_name	container_hostname	容器內伺服器名稱
container_id	container_id	容器ID
container_image_id	container_image_id	鏡像ID
container_image_name	container_image_name	鏡像名稱
container_name	container_name	容器名稱
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	container_pid	容器內進程ID
無	host_ip	主機IP
log_name	無	下線
scan_time	無	下線
euid	無	下線
euid_name	無	下線
gid	無	下線
gid_name	無	下線
egroup_id	無	下線
egroup_name	無	下線
sid	無	下線
tty	無	下線
cwd	無	下線
parent_file_name	無	下線
parent_proc_name	無	下線
file_name	無	下線
proc_name	無	下線
parent_file_path	無	下線
perm	無	下線
index	無	下線
file_gid	無	下線
file_uid	無	下線
file_uid_name	無	下線
file_gid_name	無	下線
docker_file_path	無	下線
docker_container_id	無	下線
docker_image_id	無	下線
docker_image_name	無	下線
k8s_pod_name	無	下線
k8s_name_space	無	下線
k8s_node_id	無	下線
k8s_node_name	無	下線
k8s_cluster_id	無	下線
cmd_chain_index	無	下線
host_instance_id	無	下線
occur_time	無	下線
vpc_instance_id	無	下線
ecs_instance_id	無	下線
asset_id	無	下線
asset_type	無	下線
asset_name	無	下線
asset_list	無	下線
comm	無	下線
pcomm	無	下線
srv_cmd_line	無	下線
cmd_line_format	無	下線
container_machine_ip	無	下線
container_file_path	無	下線
container_type	無	下線
client_mode	無	下線
time_zone	無	下線
class_name	無	下線
inter_ip	無	下線
intra_ip	無	下線
os_name	無	下線
os_type	無	下線

安全警示日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
log_time	log_time	日誌時間戳記，單位秒
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
main_user_id	user_id	阿里雲日誌所屬帳號ID
sub_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
category_name	category	活動目錄
activity_name	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	rule_id	規則ID，Security Center為空白
無	confidence_score	警示的置信分數（0-100）
無	att_ck	ATT&CK欄位
無	alert_name	警示名
無	alert_type	警示類型
無	alert_level	警示等級： 1-資訊 2-低 3-中 4-高 5-嚴重
無	alert_description	警示描述
無	action	警示動作：pass、alert、drop。
無	relate_alert_uuids	關聯警示
無	alert_uuid	警示標誌
無	payload	攻擊載荷
log_name	無	下線
client_mode	無	下線
cmd_line	無	下線
cwd	無	下線
docker_container_id	無	下線
err_msg	無	下線
euid	無	下線
md5	無	下線
file_name	無	下線
proc_name	無	下線
parent_cmd_line	無	下線
file_path	無	下線
proc_path	無	下線
proc_id	無	下線
parent_proc_name	無	下線
parent_file_name	無	下線
parent_proc_path	無	下線
parent_file_path	無	下線
parent_proc_id	無	下線
sid	無	下線
srv_cmd	無	下線
type	無	下線
uid	無	下線
user	無	下線
uuid	無	下線
asset_id	無	下線
asset_type	無	下線
occur_time	無	下線
class_name	無	下線
asset_name	無	下線
raw_data	無	下線
asset_list	無	下線
time_zone	無	下線
proc_start_time	無	下線
parent_proc_start_time	無	下線
container_id	無	下線
srv_cmd_line	無	下線
u_name	無	下線
host_uuid	無	下線
os_type	無	下線
os_name	無	下線
vpc_instance_id	無	下線
ecs_instance_id	無	下線
inter_ip	無	下線
intra_ip	無	下線
host_name	無	下線

漏洞日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
vul_alias	vul_alias_name	漏洞別名
vul_code	vul_code	漏洞編號；AVD或者CVE號
status	status	檢測狀態： 1：unfixed 2：fixfailed 3：fixed 4：ignored
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
host_uuid	uuid	主機ID
vul_detail	vul_detail	漏洞詳情
main_user_id	user_id	阿里雲日誌所屬帳號ID
sub_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
end_time	end_time	結束時間戳記，單位秒
asset_id	asset_ip	遠程掃描，被掃的資產IP
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
product_code	product_code	產品code
vul_level	vul_level	漏洞等級：1、2、3、4、5。
vul_type	vul_type	漏洞類型
無	cwe_id	CWE漏洞類型；https：//avd.aliyun.com/detail/AVD-2023-1678778
無	cvss	CVSS分數
無	asset_url	遠程掃描，被掃的URL
無	asset_port	遠程掃描，被掃的資產連接埠
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	vul_name	漏洞名稱
log_name	無	下線
necessity	無	下線
operation	無	下線
tag	無	下線
type	無	下線
asset_type	無	下線
time_zone	無	下線
raw_data	無	下線
asset_list	無	下線
vpc_instance_id	無	下線
sas_group_name	無	下線
ecs_instance_id	無	下線
inter_ip	無	下線
intra_ip	無	下線
host_name	無	下線
risk_level	無	下線

WAF

WAF警示日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	user_id	阿里雲日誌所屬帳號ID
sub_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
scheme	schema	活動分類
domain	host	被攻擊的網域名稱
waf_rule_id	rule_id	用戶端請求命中的基礎防護規則的ID。說明該規則ID對應您在安全報表頁面的基礎防護規則頁簽下，通過規則命中記錄列表，查看到的規則ID。更多資訊，請參見安全報表。
request_uri	request_uri	請求全路徑+參數
request_path	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
request_body	request_body	訪問請求體
request_method	request_method	用戶端請求的方法。
request_params	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_cookie	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
log_uuid	log_uuid	日誌標誌
final_action	action	警示動作：pass、alert、drop。
src_ip	src_ip	攻擊源ip
attack_ip	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
alert_name	alert_name	警示名稱
alert_type	alert_type	警示類型
alert_level	alert_level	警示等級：1、2、3、4、5。
無	product_code	產品code
無	category	活動目錄
無	extend_content	擴充欄位內容
無	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
無	alert_description	警示描述
無	att_ck	att&ck欄位
無	confidence_score	置信分數
無	content_type	http請求體格式。
無	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP
無	dst_port	具體網路裝置的連接埠號碼，比如waf就是waf引擎的ip，slb就是網關port
無	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
無	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
無	payload	攻擊載荷
無	relate_alert_uuids	關聯警示
無	response_info	響應body
無	response_set_cookie	響應的cookie
無	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
log_name	無	下線
waf_agent_key	無	下線
matched_host	無	下線
src_country_id	無	下線
final_disable_log	無	下線
waf_disable_log	無	下線
final_rule_id	無	下線
final_plugin	無	下線
waf_rule_type	無	下線
final_rule_type	無	下線
src_prov_id	無	下線
cluster_name	無	下線
prod_source	無	下線
alert_uuid	無	下線
method	無	下線
waf_agent_ip	無	下線
waf_test	無	下線
defense_action	無	下線
final_test	無	下線
attack_time	無	下線
region_code	無	下線
cluster	無	下線
plugins	無	下線
waf_reserved2	無	下線
waf_host_name	無	下線
request_time	無	下線
remote_ip	無	下線
waf_reserved	無	下線
asset_id	無	下線
asset_type	無	下線
occur_time	無	下線
alert_name_cn	無	下線
alert_type_cn	無	下線
alert_desc	無	下線
alert_desc_cn	無	下線
alert_desc_en	無	下線
alert_name_code	無	下線
alert_type_code	無	下線
alert_name_en	無	下線
alert_type_en	無	下線
alert_title	無	下線
alert_title_cn	無	下線
alert_title_en	無	下線
region_name	無	下線
src_country_name	無	下線
src_prov_name	無	下線
is_new	無	下線

WAF CDN流日誌、WAF流日誌、WAF3.0流日誌

V1.0欄位	V2.0欄位	欄位描述
log_code	log_code	日誌code，具體接入資料來源
content_type	content_type	http請求體格式。
final_action	final_action	WAF對用戶端請求最終執行的防護動作。取值： block：表示攔截。 captcha_strict：表示嚴格滑塊驗證。 captcha：表示普通滑塊驗證。 sigchl：表示動態令牌驗證。 js：表示JavaScript驗證。
final_plugin	final_plugin	WAF對用戶端請求最終執行的防護動作（final_action）對應的防護模組。取值： waf：表示基礎防護規則。 acl：表示IP黑名單、自訂規則（存取控制）。 cc：表示CC安全防護、自訂防護策略（CC攻擊防護）。 antiscan：表示掃描防護。 dlp：表示防敏感資訊泄露。 scene：表示情境化配置（APP也包括在內） intelligence：表示爬蟲威脅情報。 wxbb：表示App防護。 sema：語義防護。 scc_gdrl：洪峰限流。 major_protection：重保情境防護。 compliance：協議違背（協議合規）。如果一個請求未觸發任何防護模組（包括命中了允許存取類規則、用戶端完成滑塊或JS校正後觸發允許存取的情況），則不會記錄該欄位。如果一個請求同時觸發了多個防護模組，則僅記錄最終執行的防護動作（final_action）對應的防護模組。
final_rule_id	final_rule_id	WAF對用戶端請求最終應用的防護規則的ID，即final_action對應的防護規則的ID。
final_rule_type	final_rule_type	WAF對用戶端請求最終應用的防護規則（final_rule_id）的子類型。例如，在`final_plugin：waf`類型下有`final_rule_type：sqli`、`final_rule_type：xss`等細分的規則類型。
domain	host	http請求中的主機欄位。
http_cookie	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
http_referer	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forwarded_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
request_params	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
src_ip	src_ip	與WAF建立串連的IP。如果WAF與用戶端直接連接，該欄位等同於用戶端IP；如果WAF前面還有其他七層代理（例如CDN），該欄位表示WAF的上一級代理的IP。
request_length	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
request_method	request_method	用戶端請求的方法。
request_path	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
request_time_msec	duration	處理用戶端請求所用的時間。單位：毫秒。
status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間。
main_user_id	cloud_user_id	其他云云帳號ID。或阿里雲
sub_user_id	user_id	阿里雲日誌所屬帳號ID
request_body	request_body	訪問請求體
dst_ip	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP。
dst_port	dst_port	具體網路裝置的連接埠號碼，比如waf就是waf引擎的ip，slb就是網關port。
end_time	end_time	結束時間戳記，單位秒
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
無	product_code	產品code
無	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
無	response_content_type	響應的content_type
無	response_content_length	響應體長度，單位：位元組
無	response_set_cookie	響應的cookie
無	response_info	響應body
無	request_uri	請求全路徑+參數
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	request_content_length	訪問請求體長度，單位：位元組
ali_uid	無	下線
log_name	無	下線
acl_rule_type	無	下線
bypass_matched_ids	無	下線
cc_rule_type	無	下線
http_scheme	無	下線
matched_host	無	下線
remote_ip	無	下線
remote_port	無	下線
request_traceid	無	下線
server_port	無	下線
server_protocol	無	下線
upstream_addr	無	下線
upstream_response_time	無	下線
upstream_status	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線

Cloud Firewall

Cloud Firewall警示日誌、Cloud Firewall即時警示日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
rule_id	rule_id	規則id
net_connect_dir	net_connect_dir	方向（in/out）
src_ip	src_ip	源IP
dst_ip	dst_ip	目的IP
log_uuid	log_uuid	日誌標誌
alert_level	alert_level	警示等級 1-資訊 2-低 3-中 4-高 5-嚴重
dst_port	dst_port	目的連接埠
src_port	src_port	源連接埠
log_time	log_time	日誌時間戳記，單位秒
defense_action	action	警示動作：pass、alert、drop。
alert_name	alert_name	警示名稱
alert_type	alert_type	警示類型
alert_desc	alert_description	警示描述
payload	payload	攻擊載荷
att_ck	att_ck	att&ck欄位
uuid	alert_uuid	警示標誌
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	l4_protocol	網路通訊協定（tcp、udp、icmp）
無	l7_protocol	七層協議（Https、Http）
無	traffic_type	採集方式 0-未知 1-包採集 2-流採集
無	confidence_score	置信分數
無	file_name	檔案名稱
無	md5	檔案Md5
無	relate_alert_uuids	關聯警示
attack_ip	無	下線
ioc_ip	無	下線
log_name	無	下線
rule_result	無	下線
op_level	無	下線
rule_source	無	下線
alert_json	無	下線
asset_ip	無	下線
asset_port	無	下線
vul_level	無	下線
alert_cnt	無	下線
total_cnt	無	下線
src_ip_region	無	下線
dst_ip_region	無	下線
occur_time	無	下線
alert_name_code	無	下線
alert_type_code	無	下線
app_proto_type	無	下線
domain	無	下線
url	無	下線
ip_proto_type	無	下線
alert_name_cn	無	下線
alert_name_en	無	下線
alert_type_cn	無	下線
alert_type_en	無	下線
enable_status	無	下線
alert_desc_cn	無	下線
alert_desc_en	無	下線
region_name	無	下線
malware_type	無	下線
alert_src_prod	無	下線
alert_src_prod_module	無	下線
mode	無	下線

Cloud Firewall流日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
net_connect_dir	net_connect_dir	方向（in/out）
dst_ip	dst_ip	目的IP
dst_port	dst_port	目的連接埠
ip_proto_type	l3_protocol	ipv4,ipv6
rule_result	action	流量命中存取控制策略後的執行動作。取值： pass：允許存取。 alert：觀察。 drop：拒絕。流量命中入侵防禦事件的執行動作。取值： alert：警示提示。 drop：攔截。
src_ip	src_ip	源IP
src_port	src_port	源連接埠
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	l4_protocol	網路通訊協定（tcp、udp、icmp）
無	l7_protocol	七層協議（Https、Http）
無	traffic_type	採集方式 0-未知 1-包採集 2-流採集
log_name	無	下線
acl_rule_id	無	下線
app_proto_type	無	下線
attack_name	無	下線
attack_type	無	下線
country_id	無	下線
domain	無	下線
in_bps	無	下線
in_packet_bytes	無	下線
in_packet_count	無	下線
in_pps	無	下線
ips_ai_rule_id	無	下線
ips_rule_id	無	下線
ips_rule_name	無	下線
ips_rule_name_en	無	下線
log_type	無	下線
out_bps	無	下線
out_packet_bytes	無	下線
out_packet_count	無	下線
out_pps	無	下線
proxy_acl_rule_id	無	下線
region_code	無	下線
src_private_ip	無	下線
start_time_min	無	下線
tcp_seq	無	下線
total_bps	無	下線
total_packet_bytes	無	下線
total_packet_count	無	下線
total_pps	無	下線
url	無	下線
vul_level	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
rule_source	無	下線

DDoS高防流日誌

V1.0欄位	V2.0欄位	欄位描述
log_code	log_code	日誌code，具體接入資料來源
log_time	log_time	日誌時間戳記，單位秒
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
http_content_type	content_type	http請求體格式。
http_host	host	http請求中的主機欄位。
http_cookie	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
http_referer	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forward_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
http_x_real_ip	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
request_length	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
request_method	request_method	用戶端請求的方法。
request_path	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
response_code	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
request_paramters	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
src_ip	src_ip	建立連結的IP
dst_ip	dst_ip	具體網路裝置IP
dst_port	dst_port	具體網路裝置的連接埠號碼
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	request_body	訪問請求體
無	duration	處理用戶端請求所用的時間。單位：毫秒。
無	request_content_length	訪問請求體長度，單位：位元組
無	response_content_type	響應的content_type
無	response_content_length	響應體長度，單位：位元組
無	response_set_cookie	響應的cookie
無	response_info	響應body
無	request_uri	請求全路徑+參數
無	final_action	裝置最終動作
無	final_plugin	裝置最終防護模組
無	final_rule_id	裝置最終命中規則ID
無	final_rule_type	裝置最終命中規則類型
log_name	無	下線
request_time_msec	無	下線
domain	無	下線
log_topic	無	下線
request_body_size	無	下線
http_scheme	無	下線
matched_host	無	下線
isp_line	無	下線
remote_ip	無	下線
remote_port	無	下線
remote_addr	無	下線
request_time	無	下線
cc_action	無	下線
cc_blocks	無	下線
last_result	無	下線
cc_phase	無	下線
defense_action	無	下線
defense_rule	無	下線
ua_browser	無	下線
ua_browser_family	無	下線
ua_browser_type	無	下線
ua_browser_version	無	下線
ua_device_type	無	下線
ua_os	無	下線
ua_os_family	無	下線
upstream_addr	無	下線
upstream_ip	無	下線
upstream_port	無	下線
upstream_response_time_msec	無	下線
upstream_response_code	無	下線
request_id	無	下線
log_id	無	下線
occur_time	無	下線
src_port	無	下線
src_addr	無	下線
dst_addr	無	下線
app_protocol	無	下線
net_connect_dir	無	下線
asset_type	無	下線
asset_id	無	下線
asset_name	無	下線
asset_ip	無	下線
asset_port	無	下線
asset_addr	無	下線
attack_ip	無	下線
attack_port	無	下線
attack_addr	無	下線

Bastionhost

V1.0欄位	V2.0欄位	欄位描述
log_code	log_code	日誌code，具體接入資料來源
content	event_detail	事件詳情
event	event_type	事件類型： cmd.Command：命令字元 cmd.Command.policy：被控制策略處理過的命令 graph.Text：圖形文字 graph.Keyboard：圖形鍵盤事件 file.Upload：上傳檔案 file.Download：下載檔案 file.Rename：重新命名檔案 file.Delete：刪除檔案 file.DeleteDir：刪除目錄 file.CreateDir：建立目錄 login.CSLogin：使用者CS登入 Session.session：一個會話
bst_instance_id	instance_id	Bastionhost執行個體ID
resource_name	resource_name	資產名
result	event_result	事件結果
session_id	session_id	會話ID
client_ip	src_ip	建連IP
uid	uid	Bastionhost使用者id
u_name	user_name	Bastionhost使用者名稱稱
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	resource_ip	資產IP
log_name	無	下線
ali_uid	無	下線
log_level	無	下線
log_version	無	下線
dst_ip	無	下線
asset_id	無	下線
asset_type	無	下線
file_event_file_size	無	下線
file_event_speed	無	下線
file_event_status	無	下線
file_event_take	無	下線

CDN流日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
domain	host	http請求中的主機欄位。
http_method	request_method	用戶端請求的方法。
request_path	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
request_parameters	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
request_url	request_uri	請求全路徑+參數
src_ip	src_ip	建立連結的IP
request_length	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
http_status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
dst_ip	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP
dst_port	dst_port	具體網路裝置的連接埠號碼，比如 waf就是waf引擎的ip，slb就是網關port
http_conent_type	content_type	http請求體格式。
user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forworded_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
無	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
無	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
無	duration	處理用戶端請求所用的時間。單位：毫秒。
無	request_body	訪問請求體
無	request_content_length	訪問請求體長度，單位：位元組
無	final_action	裝置最終動作
無	final_plugin	裝置最終防護模組
無	final_rule_id	裝置最終命中規則ID
無	final_rule_type	裝置最終命中規則類型
無	response_content_length	響應體長度，單位：位元組
無	response_content_type	響應的content_type
無	response_info	響應body
無	response_set_cookie	響應的cookie
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
reqeust_time	無	下線
time_zone	無	下線
class_name	無	下線
http_scheme	無	下線
proxy_ip	無	下線
remote_ip	無	下線
remote_port	無	下線
request_id	無	下線
response_body_size	無	下線
net_connect_dir	無	下線
raw_data	無	下線

全站加速DCDN

DCDN使用者訪問日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
category_name	category	活動目錄
activity_class_name	schema	活動分類
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_time	log_time	日誌時間戳記，單位秒
real_client_ip	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
content_type	content_type	http請求體格式。
host	host	http請求中的主機欄位。
request_method	request_method	用戶端請求的方法。
request_length	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
src_ip	src_ip	建立連結的IP
status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
dst_ip	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP
dst_port	dst_port	具體網路裝置的連接埠號碼，比如waf就是waf引擎的ip，slb就是網關port
request_uri	request_uri	請求全路徑+參數
querystring	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forwarded_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
無	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
無	end_time	結束時間戳記，單位秒
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	final_action	裝置最終動作
無	final_plugin	裝置最終防護模組
無	final_rule_id	裝置最終命中規則ID
無	final_rule_type	裝置最終命中規則類型
無	response_content_type	響應的content_type
無	response_content_length	響應體長度，單位：位元組
無	response_set_cookie	響應的cookie
無	response_info	響應body
無	duration	處理用戶端請求所用的時間。單位：毫秒。
無	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
無	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
無	request_body	訪問請求體
無	request_content_length	訪問請求體長度，單位：位元組
無	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
request_body_size	無	下線
hit_info	無	下線
http_range	無	下線
proxy_ip	無	下線
refer_domain	無	下線
refer_param	無	下線
refer_protocol	無	下線
refer_uri	無	下線
src_port	無	下線
request_time	無	下線
response_size	無	下線
http_scheme	無	下線
sent_http_content_range	無	下線
unix_time	無	下線
user_info	無	下線
uuid	無	下線
via_info	無	下線

DCDN WAF攔截日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
category_name	category	活動目錄
activity_class_name	schema	活動分類
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_time	log_time	日誌時間戳記，單位秒
real_client_ip	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
content_type	content_type	http請求體格式。
http_cookie	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
host	host	http請求中的主機欄位。
final_action	final_action	裝置最終動作
final_plugin	final_plugin	裝置最終防護模組
final_rule_id	final_rule_id	裝置最終命中規則ID
final_rule_type	final_rule_type	裝置最終命中規則類型
request_method	request_method	用戶端請求的方法。
http_referer	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
src_ip	src_ip	建立連結的IP
status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
request_uri	request_uri	請求全路徑+參數
querystring	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forwarded_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
無	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
無	end_time	結束時間戳記，單位秒
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	response_content_type	響應的content_type
無	response_content_length	響應體長度，單位：位元組
無	response_set_cookie	響應的cookie
無	response_info	響應body
無	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP
無	dst_port	具體網路裝置的連接埠號碼，比如waf就是waf引擎的ip，slb就是網關port
無	duration	處理用戶端請求所用的時間。單位：毫秒。
無	request_body	訪問請求體
無	request_content_length	訪問請求體長度，單位：位元組
無	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
無	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
log_name	無	下線
client_id	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
final_test	無	下線
matched_host	無	下線
request_id	無	下線
http_scheme	無	下線
tls_hash	無	下線
unix_time	無	下線

DCDN邊緣函數日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
category_name	category	活動目錄
activity_class_name	schema	活動分類
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_time	log_time	日誌時間戳記，單位秒
無	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
無	end_time	結束時間戳記，單位秒
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
code_ver	無	下線
console_alert	無	下線
error_code	無	下線
error_message	無	下線
fetch_status	無	下線
fetch_uuid	無	下線
http_2xx	無	下線
http_3xx	無	下線
http_4xx	無	下線
http_5xx	無	下線
http_status_other	無	下線
in_authority	無	下線
in_method	無	下線
in_path	無	下線
out_size	無	下線
out_status	無	下線
routine_spec	無	下線
total_cpu_time	無	下線
total_real_time	無	下線
unique_id	無	下線
unix_time	無	下線

API Gateway訪問日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
request_path	request_path	請求路徑
domain	host	網域名稱
http_status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
response_message	response_info	響應資訊
src_ip	src_ip	請求ip
request_id	request_id	請求id
request_paramters	querystring	請求參數
reqeust_body	request_body	請求體
無	instance_id	網關執行個體id
無	api_name	api名稱
無	api_id	api標誌
無	app_id	調用者id
無	app_key	請求appkey
無	app_name	調用者名
無	error_code	錯誤碼
無	error_message	錯誤詳情
無	api_user_id	API提供者賬戶id
無	region_code	地區
無	request_method	要求方法
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
reqeust_time	無	下線
time_zone	無	下線
class_name	無	下線
net_connect_dir	無	下線
raw_data	無	下線
http_method	無	下線
request_length	無	下線
response_body_size	無	下線
reqeust_headers	無	下線
response_headers	無	下線
response_body	無	下線

K8s審計日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
audit_id	audit_id	為每個請求所產生的唯一審計ID。
level	level	建置事件所對應的審計層級。
kind	kind	Event
reqeust_path	request_uri	requestURI是用戶端發送到伺服器端的請求URI。
response_status	response_status	響應的狀態，當responseObject不是Status類型時被賦值。對於成功的請求，此欄位僅包含code和statusSuccess。對於非Status類型的錯誤響應，此欄位會被自動賦值為出錯資訊。
api_version	api_version	audit.k8s.io/v1
stage	stage	產生此事件時請求的處理階段。
log_time	log_time	日誌時間戳記，單位秒
user	username	關於認證使用者的資訊。
object_ref	object_ref	此請求所指向的對象引用。對於List類型的請求或者非資源請求，此欄位可忽略。
user_agent	user_agent	userAgent中記錄用戶端所報告的使用者代理程式（UserAgent）字串。注意userAgent資訊是由用戶端提供的，一定不要信任。
request_object	request_object	來自請求的API對象，以JSON格式呈現。requestObject在請求中按原樣記錄（可能會採用JSON重新編碼），之後會進入版本轉換、預設值填充、准入控制以及配置資訊合并等階段。此對象為外部版本化的物件類型，甚至其自身可能並不是一個合法的對象。對於非資源請求，此欄位被忽略。只有當審計層級為Request或更高的時候才會記錄。
response_object	response_object	響應中包含的API對象，以JSON格式呈現。responseObject是在被轉換為外部類型並序列化為JSON格式之後才被記錄的。對於非資源請求，此欄位會被忽略。只有審計層級為Response時才會記錄。
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	impersonated_user	關於所偽裝（impersonated）的使用者的資訊。
無	source_ip_list	發起請求和中間代理的源IP地址。源IP從以下（按順序）列出： X-Forwarded-For請求標題IP X-Real-Ip標題，如果X-Forwarded-For列表中不存在串連的遠程地址，如果它無法與此處列表中的最後一個IP（X-Forwarded-For或X-Real-Ip）匹配。注意：除最後一個IP外的所有IP均可由用戶端任意設定。
無	verb	verb是與請求對應的 Kubernetes動詞。對於非資源請求，此欄位為HTTP方法的小寫形式。
ori_topic	無	下線
trail_detail	無	下線
log_name	無	下線
instance_id	無	下線
verb	無	下線
stage_time_stamp	無	下線
src_ip_list	無	下線
ori_source	無	下線
ori_path	無	下線
file_path	無	下線
project	無	下線
log_store	無	下線

雲原生關係型資料庫PolarDB

PolarDB-X1.0審計日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_type	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
sql_stmt_type	sql_type	審計行為的類型
table_name	table_name	表名列表
sql_stmt	sql	審計行為
src_ip	src_ip	操作者IP
fetched_rows	check_rows	掃描的行數
affect_rows	effect_row	影響的行數
db_name	db	資料庫名
u_name	user	操作者帳號名
domain	domain	資料庫對應的網域名稱
無	log_time	日誌時間戳記，單位秒
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	product_code	產品code
無	schema_name	中繼資料名
log_name	無	下線
sql_stmt_hash	無	下線
spm_plan_id	無	下線
phy_affected_rows	無	下線
spm_baseline_id	無	下線
total_physical_conn_time	無	下線
src_port	無	下線
temp_table_memory	無	下線
total_physical_exec_time	無	下線
trace_id	無	下線
total_physical_read_time	無	下線
memory_reject	無	下線
sql_stmt_type_detail	無	下線
memory_used	無	下線
logical_opt_cpu_time	無	下線
is_failed	無	下線
shared_plan_memory	無	下線
plan_memory	無	下線
memory_pct	無	下線
sql_hint	無	下線
physical_sql_count	無	下線
logical_cpu_time	無	下線
instance_id	無	下線
logical_exec_cpu_time	無	下線
parameters	無	下線
total_physical_time	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
dst_ip	無	下線
dst_port	無	下線
dst_intra_ip	無	下線
occur_time	無	下線

PolarDB-X2.0審計日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_type	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
src_ip	src_ip	操作者IP
db_name	db	資料庫名
affect_rows	effect_row	影響的行數
fetched_rows	check_rows	掃描的行數
sql_stmt	sql	審計行為
sql_type	sql_type	審計行為的類型
db_user_name	user	操作者帳號名
domain	domain	資料庫對應的網域名稱
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	table_name	表名列表
無	schema_name	中繼資料名
無	db_type	資料庫類型
log_name	無	下線
is_auto_commit	無	下線
ccl_hit_cache	無	下線
ccl_status	無	下線
ccl_wait_time	無	下線
src_port	無	下線
is_failed	無	下線
polardb_instance_id	無	下線
sql_hint	無	下線
is_prepare_stmt	無	下線
matched_ccl_rule	無	下線
parameters	無	下線
prepare_stmt_id	無	下線
response_time	無	下線
sql_stmt_hash	無	下線
sql_exec_time	無	下線
trace_id	無	下線
transaction_id	無	下線
transaction_policy	無	下線
workload_type	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
dst_ip	無	下線
dst_port	無	下線
dst_intra_ip	無	下線
occur_time	無	下線

ApsaraDB for MongoDB

MongoDB審計日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
audited_action_type	sql_type	審計行為的類型
audited_action	sql	審計行為
operator_user_ip	user	操作者帳號名
src_ip	src_ip	操作者IP
database_name	db	資料庫名
table_name	table_name	表名列表
無	affect_rows	影響的資料條目數
無	schema_name	中繼資料名
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
request_time	無	下線
time_zone	無	下線
class_name	無	下線
audited_object	無	下線
operator_user_name	無	下線
domain	無	下線
raw_data	無	下線

MongoDB慢日誌和作業記錄

說明

CTDR2.0不再承接MongoDB慢日誌和作業記錄

V1.0欄位	V2.0欄位	描述
main_user_id	無	下線
sub_user_id	無	下線
log_code	無	下線
cloud_code	無	下線
start_time	無	下線
end_time	無	下線
log_time	無	下線
category_name	無	下線
activity_name	無	下線
src_ip	無	下線
database_name	無	下線
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
request_time	無	下線
time_zone	無	下線
class_name	無	下線
src_port	無	下線
dst_ip	無	下線
dst_port	無	下線
domain	無	下線
connection_status_message	無	下線
connection_status	無	下線
connection_type	無	下線
connection_name	無	下線
mongodb_instance_id	無	下線
instance_id	無	下線
level	無	下線
raw_data	無	下線

雲資料庫RDS審計日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
product_code	product_code	產品code
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
audited_action_type	sql_type	審計行為的類型
audited_action	sql	審計行為
operator_user_name	user	操作者帳號名
src_ip	src_ip	操作者IP
database_name	db	資料庫名
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	affect_rows	影響的資料條目數
無	table_name	表名列表
無	schema_name	中繼資料名
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
request_time	無	下線
time_zone	無	下線
class_name	無	下線
raw_data	無	下線
audited_object	無	下線
audited_action_status	無	下線
operator_user_ip	無	下線
domain	無	下線
asset_list	無	下線
	無
	無
	無
	無

Virtual Private Cloud

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
src_ip	src_ip	源IP
src_port	src_port	源連接埠
dst_ip	dst_ip	目的IP
dst_port	dst_port	目的連接埠
proto	l4_protocol	網路通訊協定（tcp、udp、icmp）
net_connect_dir	net_connect_dir	方向（in/out）
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
action	action	警示裝置動作
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_time	log_time	日誌時間戳記，單位秒
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	l3_protocol	ipv4,ipv6
無	l7_protocol	七層協議（Https、Http）
無	traffic_type	採集方式 0-未知 1-包採集 2-流採集
log_name	無	下線
version	無	下線
vswitch_id	無	下線
vm_id	無	下線
vpc_id	無	下線
account_id	無	下線
eni_id	無	下線
log_status	無	下線
occur_time	無	下線
packet_cnt	無	下線
bytes	無	下線
asset_type	無	下線
asset_name	無	下線
asset_id	無	下線

Elastic IP Address日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_type	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
無	log_code	日誌code，具體接入資料來源
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
type	無	下線
tid	無	下線
time	無	下線
gw_ip	無	下線
eip	無	下線
ip	無	下線
in_Bps	無	下線
out_Bps	無	下線
in_pps	無	下線
out_pps	無	下線
in_syn_speed	無	下線
out_syn_speed	無	下線
in_syn_ack_speed	無	下線
out_syn_ack_speed	無	下線
in_fin_speed	無	下線
out_fin_speed	無	下線
in_rst_speed	無	下線
out_rst_speed	無	下線
out_ratelimit_drop_speed	無	下線
in_ratelimit_drop_speed	無	下線
out_drop_speed	無	下線
in_drop_speed	無	下線
timestamp	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線

SLB負載平衡

ALB訪問日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
src_ip	src_ip	建立連結的IP
http_host	host	http請求中的主機欄位。
http_referer	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forwarded_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
http_x_real_ip	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
request_length	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
request_method	request_method	用戶端請求的方法。
request_path	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
dst_ip	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP
dst_port	dst_port	具體網路裝置的連接埠號碼，比如 waf就是waf引擎的ip，slb就是網關port
http_status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	content_type	http請求體格式。
無	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
無	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
無	duration	處理用戶端請求所用的時間。單位：毫秒。
無	request_body	訪問請求體
無	request_content_length	訪問請求體長度，單位：位元組
無	response_content_type	響應的content_type
無	response_content_length	響應體長度，單位：位元組
無	response_set_cookie	響應的cookie
無	response_info	響應body
無	request_uri	請求全路徑+參數
無	final_action	裝置最終動作
無	final_plugin	裝置最終防護模組
無	final_rule_id	裝置最終命中規則ID
無	final_rule_type	裝置最終命中規則類型
log_name	無	下線
src_port	無	下線
domain	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
request_time	無	下線
time_zone	無	下線
class_name	無	下線
alb_instance_id	無	下線
instance_id	無	下線
response_body_size	無	下線
http_scheme	無	下線
http_version	無	下線
ssl_cipher	無	下線
ssl_protocol	無	下線
upstream_ip	無	下線
upstream_port	無	下線
upstream_status	無	下線
net_connect_dir	無	下線

CLB訪問日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
src_ip	src_ip	建立連結的IP
http_host	host	http請求中的主機欄位。
http_referer	http_referer	http要求標頭部的Referer欄位，表示請求的來源URL資訊。
http_user_agent	http_user_agent	http要求標頭部的User-Agent欄位，包含請求來源的用戶端瀏覽器標識、作業系統標識等資訊。
http_x_forwarded_for	http_x_forwarded_for	用戶端要求標頭部的X-Forwarded-For（XFF）欄位，用於識別通過HTTP代理或負載平衡方式串連到Web伺服器的用戶端最原始的IP地址。
http_x_real_ip	real_client_ip	http要求標頭中自訂欄位，主要用於儲存發起的真實請求ip，一般對應x_forword_for第一個，如果沒有該欄位，可以建立連結IP欄位
request_length	request_length	用戶端請求的位元組數，包含請求行、要求標頭和請求體。單位：Byte。
request_method	request_method	用戶端請求的方法。
request_time	duration	處理用戶端請求所用的時間。單位：毫秒。
request_uri	request_uri	請求全路徑+參數
dst_port	dst_port	具體網路裝置的連接埠號碼，比如 waf就是waf引擎的ip，slb就是網關port
status	status	用戶端接收到的HTTP狀態代碼。例如，200（表示請求成功）。
dst_ip	dst_ip	具體網路裝置IP，比如waf就是waf引擎的ip，slb就是網關IP
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	content_type	http請求體格式。
無	http_cookie	http要求標頭部的Cookie欄位，表示訪問來源用戶端的Cookie資訊。
無	querystring	用戶端請求中的查詢字串，具體指被請求URL中問號（?）後面的部分。
無	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
無	request_body	訪問請求體
無	request_content_length	訪問請求體長度，單位：位元組
無	response_content_type	響應的content_type
無	response_content_length	響應體長度，單位：位元組
無	response_set_cookie	響應的cookie
無	response_info	響應body
無	final_action	裝置最終動作
無	final_plugin	裝置最終防護模組
無	final_rule_id	裝置最終命中規則ID
無	final_rule_type	裝置最終命中規則類型
log_name	無	下線
src_port	無	下線
body_bytes_sent	無	下線
read_request_time	無	下線
domain	無	下線
scheme	無	下線
server_proto	無	下線
slb_port	無	下線
slb_id	無	下線
ssl_cipher	無	下線
ssl_protocol	無	下線
tcpinfo_rtt	無	下線
occur_time	無	下線
upstream_addr	無	下線
upstream_response_time	無	下線
upstream_status	無	下線
vip_addr	無	下線
write_response_time	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線

Object Storage Service

OSS每小時計量日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
request_time	無	下線
time_zone	無	下線
class_name	無	下線
audited_action_type	無	下線
audited_action	無	下線
audited_object	無	下線
domain	無	下線
bucket_name	無	下線
raw_data	無	下線

OSS訪問日誌

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
cloud_type	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
request_id	request_id	請求ID
user_agent	http_user_agent	使用者代理程式
error_code	error_code	失敗code
extend_information	extend_content	擴充欄位內容
access_id	access_id	存取金鑰
bucket	bucket	Object Storage Service桶
host	host	http請求中的主機欄位。
http_method	request_method	用戶端請求的方法。
object	object	對象
operation	operation	操作類型
owner_id	owner_id	Object Storage Service歸屬者
request_uri	request_uri	請求URI
sign_type	sign_type	登入狀態
無	product_code	產品code
無	category	活動目錄
無	schema	活動分類
無	log_uuid	日誌標誌
無	src_ip	請求IP
無	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
log_name	無	下線
acc_access_region	無	下線
bucket_location	無	下線
bucket_storage_type	無	下線
client_ip	無	下線
content_length_in	無	下線
content_length_out	無	下線
delta_data_size	無	下線
http_status	無	下線
http_type	無	下線
logging_flag	無	下線
object_size	無	下線
referer	無	下線
request_length	無	下線
response_body_length	無	下線
response_time	無	下線
restore_priority	無	下線
server_cost_time	無	下線
sync_request	無	下線
time	無	下線
vpc_addr	無	下線
vpc_id	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線

OSS大量刪除日誌

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
src_ip	src_ip	源IP，同操作者IP
http_user_agent	http_user_agent	使用者代理程式
request_id	request_id	請求ID
domain	host	http請求中的主機欄位。
bucket_name	bucket	Object Storage Service桶
object_name	object	對象
request_method	request_method	用戶端請求的方法。
request_url	request_uri	請求URI
request_path	request_path	被請求的相對路徑，具體指被請求URL中網域名稱後面且問號（?）前面的部分（不包含查詢字串）。
asset_id	access_id	存取金鑰
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	owner_id	Object Storage Service歸屬者
無	operation	操作類型
無	sign_type	登入狀態
無	error_code	錯誤碼
log_name	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
time_zone	無	下線
class_name	無	下線
audited_action_type	無	下線
audited_action	無	下線
audited_object	無	下線
operator_user_id	無	下線
operator_user_name	無	下線
operator_user_ip	無	下線
raw_data	無	下線
request_time	無	下線
request_paramters	無	下線
request_length	無	下線
response_body_size	無	下線
http_referer	無	下線
http_status	無	下線
net_connect_dir	無	下線
asset_list	無	下線

Apsara File Storage NAS

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
occur_time	無	下線
class_name	無	下線
inode	無	下線
auth_code	無	下線
status_code	無	下線
application_protocol_name	無	下線
nfs_protocol_procedures	無	下線
total_bytes	無	下線
request_id	無	下線
remote_inode	無	下線
src_ip	無	下線
application_protocol_version	無	下線
dst_ip	無	下線
nfs_instance_id	無	下線
instance_id	無	下線
time_zone	無	下線
asset_list	無	下線
raw_data	無	下線

Function ComputeFC

V1.0欄位	V2.0欄位	描述
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
start_time	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
end_time	end_time	結束時間戳記，單位秒
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
activity_name	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
log_name	無	下線
occur_time	無	下線
time_zone	無	下線
class_name	無	下線
api_name	無	下線
asset_id	無	下線
asset_name	無	下線
asset_type	無	下線
raw_data	無	下線

Action Trail

V1.0欄位	V2.0欄位	描述
log_code	log_code	日誌code，具體接入資料來源
main_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
sub_user_id	user_id	阿里雲日誌所屬帳號ID
log_time	log_time	日誌時間戳記，單位秒
end_time	end_time	結束時間戳記，單位秒
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
event_id	event_id	事件ID
event_name	event_name	事件名
region_code	region_id	地區ID
request_id	request_id	請求ID
resource_name	account_name	帳號名稱
resource_type	account_type	審計帳號類型 RAM/Main/STS
service_name	service_name	服務名
version	event_version	事件版本
error_code	error_code	失敗code
error_message	error_message	失敗詳情
event_source	event_source	事件來源
request_parameters	request_paramters	請求參數
src_ip	src_ip	源IP，同操作者IP
user_agent	user_agent	請求代理
access_key_id	access_id	access_key
principal_id	principal_id	當前要求者ID
無	product_code	產品code
無	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
無	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	service_domain	服務網域名稱
無	account_id	審計帳號ID
無	response_detail	響應結果
stamp	無	下線
time	無	下線
to	無	下線
user	無	下線
trail_detail	無	下線
rw_parser	無	下線
source_ip_address	無	下線
user_name	無	下線
dm	無	下線
rw	無	下線
log_name	無	下線
api_name	無	下線
event_type	無	下線
from	無	下線
extra_encode	無	下線
model	無	下線
r0	無	下線
r1	無	下線
r2	無	下線
r3	無	下線
ak	無	下線

配置審計

V1.0欄位	V2.0欄位	描述
cloud_user_id	cloud_user_id	其他云云帳號ID，若為阿里雲帳號，則同aliuid，若為其他雲帳號，則為綁定的帳號ID。
aliuid	user_id	阿里雲日誌所屬帳號ID
log_code	log_code	日誌code，具體接入資料來源
product_code	product_code	產品code
cloud_code	cloud_code	雲code，枚舉值： alibaba_cloud huawei_cloud tencent_cloud
log_time	log_time	日誌時間戳記，單位秒
category_name	category	活動目錄
無	schema	活動分類
無	extend_content	擴充欄位內容
無	log_uuid	日誌標誌
無	start_time	開始時間戳，單位秒，也用於表示事件發生的時間
無	end_time	結束時間戳記，單位秒
log_name	無	下線
resource_arn	無	下線
region_code	無	下線
availability_zone_code	無	下線
resource_config	無	下線
data_type	無	下線
request_id	無	下線
resource_create_time	無	下線
resource_group_id	無	下線
resource_id	無	下線
resource_name	無	下線
resource_type	無	下線
raw_data	無	下線
occur_time	無	下線
time_zone	無	下線