本文介紹Security Center部落格、安全日誌和主機日誌的欄位詳情。
部落格
DNS日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-log-dns。
owner_id
阿里雲帳號ID。
additional
additional欄位,各個值之間以豎線(|)分隔。
additional_num
additional欄位數量。
answer
DNS回答資訊,各個值之間以豎線(|)分隔。
answer_num
DNS回答資訊數量。
authority
authority欄位。
authority_num
authority欄位數量。
client_subnet
用戶端子網。
dst_ip
目標IP地址。
dst_port
目標連接埠。
net_connect_dir
資料的傳輸方向,包括:
in:入方式
out:出方向
qid
查詢ID。
query_name
查詢網域名稱。
query_type
查詢類型。
query_datetime
查詢時間戳記,單位:毫秒。
rcode
傳回碼。
region
來源地區ID,包括:
1:北京
2:青島
3:杭州
4:上海
5:深圳
6:其它
response_datetime
返回時間。
src_ip
源IP地址。
src_port
源連接埠。
start_time
開始時間戳,單位秒。
本地DNS日誌
欄位名
說明
__topic__
日誌主題,固定為local-dns。
owner_id
阿里雲帳號ID。
answer_rdata
DNS回答資訊,各個值之間以豎線(|)分隔。
answer_ttl
DNS回答的時間周期,各個值之間以豎線(|)分隔。
answer_type
DNS回答的類型,各個值之間以豎線(|)分隔。以下是常見的DNS響應類型取值:
1:A記錄。
2:NS記錄。
5:CNAME記錄。
6:SOA記錄。
10:NULL記錄。
12:PTR記錄。
15:MX記錄。
16:TXT記錄。
25:KEY記錄。
28:AAAA記錄。
33:SRV記錄。
41:OPT記錄。
43:DS記錄。
44:SSHFP記錄。
45:IPSECKEY記錄。
46:RRSIG記錄。
47:NSEC記錄。
answer_name
DNS回答的名稱,各個值之間以豎線(|)分隔。
dst_ip
目標IP地址。
dst_port
目標連接埠。
group_id
分組ID。
host
主機名稱。
id
查詢ID。
instance_id
執行個體ID。
internet_ip
互連網IP地址。
ip_ttl
IP地址的周期。
query_name
查詢網域名稱。
query_type
查詢類型。
src_ip
源IP地址。
src_port
源連接埠。
start_time
查詢時間戳記,單位:秒。
time_usecond
響應耗時,單位:微秒。
tunnel_id
通道ID。
網路會話日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-log-session。
owner_id
阿里雲帳號ID。
asset_type
關聯的資產類型,例如ECS、SLB、RDS等。
net_connect_dir
網路連接方向。
dst_ip
目標IP地址。
dst_port
目標連接埠。
l4_proto
協議類型,例如TCP、UDP。
session_time
Session時間。
src_ip
源IP地址。
src_port
源連接埠。
start_time
開始時間戳,單位秒。
Web日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-log-http。
owner_id
阿里雲帳號ID。
response_content_length
內容長度。
dst_ip
目標IP地址。
dst_port
目標連接埠。
host
訪問主機名稱。
jump_location
重新導向地址。
request_method
HTTP訪問。
request_datetime
請求時間。
status
返回狀態值。
content_type
請求內容類型。
response_content_type
響應內容類型。
src_ip
源IP地址。
src_port
源連接埠。
request_uri
請求URI。
http_user_agent
向用戶端發起的請求。
http_x_forward_for
路由跳轉資訊。
安全日誌
漏洞日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-vul-log。
owner_id
阿里雲帳號ID。
vul_name
漏洞名稱。
vul_alias_name
漏洞別名。
risk_level
風險等級。
vul_primary_id
漏洞標識符。
instance_name
機器名稱。
operation
操作資訊,包括:
new:新增
verify:驗證
fix:修複
status
狀態。更多資訊,請參見安全日誌狀態代碼。
tag
漏洞標籤,例如oval、system、cms,主要用於區分EMG緊急漏洞。
type
漏洞類型,包括:
sys:windows漏洞
cve:Linux漏洞
cms:Web CMS漏洞
emg:緊急漏洞
uuid
用戶端號。
extend_content
漏洞擴充資訊。
instance_id
執行個體ID。
internet_ip
資產的公網IP。
intranet_ip
資產的私網IP。
start_time
開始時間戳,單位秒。
基準日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-hc-log。
owner_id
阿里雲帳號ID。
risk_level
風險層級。
operation
操作資訊,包括:
new:新增
verify:驗證
risk_name
風險名稱。
status
狀態。更多資訊,請參見安全日誌狀態代碼。
sub_type_alias_name
子類型別名
sub_type_name
子類型名稱。
type_name
類型名稱。更多資訊,請參見基準type-sub-type列表。
type_alias_name
類型別名
uuid
用戶端號。
check_item_name
檢查項名稱。
check_item_level
檢查項層級。
check_type
檢查項類型。
instance_id
樣本ID。
start_time
開始時間戳,單位秒。
表 1. 基準type-sub-type列表
type_name
sub_type_name
system
baseline
weak_password
postsql_weak_password
database
redis_check
account
system_account_security
account
system_account_security
weak_password
mysq_weak_password
weak_password
ftp_anonymous
weak_password
rdp_weak_password
system
group_policy
system
register
account
system_account_security
weak_password
sqlserver_weak_password
system
register
weak_password
ssh_weak_password
weak_password
ftp_weak_password
cis
centos7
cis
tomcat7
cis
memcached-check
cis
mongodb-check
cis
ubuntu14
cis
win2008_r2
system
file_integrity_mon
cis
linux-httpd-2.2-cis
cis
linux-docker-1.6-cis
cis
SUSE11
cis
redhat6
cis
bind9.9
cis
centos6
cis
debain8
cis
redhat7
cis
SUSE12
cis
ubuntu16
表 2. 安全日誌狀態代碼
狀態值
說明
1
未修複
2
修複失敗
3
復原失敗
4
修複中
5
復原中
6
驗證中
7
修複成功
8
修複成功待重啟
9
復原成功
10
忽略
11
復原成功待重啟
12
已不存在
20
已失效
安全警示日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-security-log。
data_source
資料來源。更多資訊,請參見安全警示data_source列表。
level
警示層級。
name
名稱。
operation
操作資訊,包括:
new:新增
dealing:處理
status
狀態。更多資訊,請參見安全日誌狀態代碼。
uuid
用戶端號。
detail
警示詳情。
unique_info
警示的唯一標識。
instance_id
樣本ID。
internet_ip
資產的公網IP。
intranet_ip
資產的私網IP。
start_time
開始時間戳,單位秒。
表 3. 安全警示data_source列表
值
描述
aegis_suspicious_event
主機異常。
aegis_suspicious_file_v2
Webshell。
aegis_login_log
異常登入。
security_event
資訊安全中心例外狀況事件。
雲平台配置檢查日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-cspm-log。
check_id
檢查項ID。您可以調用ListCheckResult - 查看雲產品中雲平台配置檢查風險項結果詳情介面擷取ID值。
check_item_name
檢查項名稱。
instance_id
執行個體ID。
instance_name
執行個體名稱。
instance_result
風險產生的影響。格式為JSON字串。
instance_sub_type
執行個體的子類型。取值:
當執行個體類型為ECS時,子類型的取值:
INSTANCE。
DISK。
SECURITY_GROUP。
當執行個體類型為ACR時,子類型的取值:
REPOSITORY_ENTERPRISE。
REPOSITORY_PERSON。
當執行個體類型為RAM時,子類型的取值:
ALIAS。
USER。
POLICY。
GROUP。
當執行個體類型為WAF時,子類型的取值為DOMAIN。
當執行個體類型為其他值時,子類型的取值為INSTANCE。
instance_type
執行個體類型。取值:
ECS:雲端服務器。
SLB:負載平衡。
RDS:RDS資料庫。
MONGODB:MongoDB資料庫。
KVSTORE:Redis資料庫。
ACR:Container Registry。
CSK:CSK。
VPC:專用網路。
ACTIONTRAIL:Action Trail。
CDN:內容分發網路。
CAS:數位憑證管理服務(原SSL認證)。
RDC:雲效。
RAM:存取控制。
DDoS:DDoS防護。
WAF:Web Application Firewall。
OSS:Object Storage Service。
POLARDB:PolarDB資料庫。
POSTGRESQL:PostgreSQL資料庫。
MSE:微服務引擎。
NAS:檔案儲存體。
SDDP:Sensitive Data Discovery and Protection。
EIP:Elastic IP Address。
region_id
執行個體所在地區ID。
requirement_id
條例ID。您可以通過ListCheckStandard - 雲平台配置檢查擷取標準列表介面擷取該ID。
risk_level
風險層級。取值:
LOW。
MEDIUM。
HIGH。
section_id
章節ID。您可以通過ListCheckResult - 查看雲產品中雲平台配置檢查風險項結果詳情介面擷取ID值。
standard_id
標準ID。您可以通過ListCheckStandard - 雲平台配置檢查擷取標準列表介面擷取該ID。
status
檢查項的狀態。取值:
NOT_CHECK:未檢查。
CHECKING:檢查中。
PASS:檢查通過。
NOT_PASS:檢查未通過。
WHITELIST:已加入白名單。
vendor
所屬雲廠商。固定取值:ALIYUN。
start_time
開始時間戳,單位秒。
網路防禦日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-net-block。
cmd
被攻擊的進程命令列。
cur_time
攻擊事件的發生時間。
decode_payload
HEX格式轉換為字元的payload。
dst_ip
被攻擊資產的IP地址。
dst_port
被攻擊資產的連接埠。
func
攔截事件的類型。取值:
payload:惡意負載類型,表示由於檢測到惡意資料或指令而觸發的攻擊事件攔截。
tuple:惡意IP類型,表示由於檢測到惡意IP訪問而觸發的攻擊事件攔截。
rule_type
攔截事件下的具體規則類型。取值:
alinet_payload:Security Center指定的payload事件防禦規則。
alinet_tuple:Security Center指定的tuple事件防禦規則。
instance_id
被攻擊資產的執行個體ID。
internet_ip
被攻擊資產的公網IP。
intranet_ip
被攻擊資產的私網IP。
final_action
防禦動作模式。取值:block(已攔截)。
payload
HEX格式的payload。
pid
被攻擊的進程ID。
platform
被攻擊資產的系統類別型。取值:
win。
linux。
proc_path
被攻擊的進程路徑。
sas_group_name
伺服器在Security Center的資產分組。
src_ip
發起攻擊的源IP地址。
src_port
發起攻擊的源連接埠。
uuid
伺服器的UUID。
owner_id
阿里雲帳號ID。
start_time
開始時間戳,單位秒。
應用防護日誌
日誌欄位
說明
__topic__
日誌主題,固定為sas-rasp-log。
app_dir
應用所在目錄。
app_id
應用ID。
app_name
應用程式名稱。
confidence_level
檢測演算法的信賴度。取值:
high。
medium。
low。
request_body
請求體資訊。
request_content_length
請求體長度。
data
hook點參數。
headers
要求標頭資訊。
hostname
主機或網路裝置的名稱。
host_ip
主機私網IP地址。
is_clipped
該條日誌是否因為超長被裁剪過。取值:
true:裁剪過。
false:未裁剪過。
jdk_version
JDK版本。
message
警示描述資訊。
request_method
要求方法。
platform
作業系統類型。
arch
作業系統架構。
kernel_version
作業系統核心版本。
param
請求參數,常見格式包括:
GET參數。
application/x-www-form-urlencoded。
payload
有效攻擊載荷。
payload_length
有效攻擊載荷長度。
rasp_id
應用防護探針唯一ID。
rasp_version
應用防護探針版本。
src_ip
要求者IP地址。
final_action
警示處理結果。取值:
block:防護,即阻斷。
monitor:監控。
rule_action
規則指定的警示處理方式。取值:
block。
monitor。
risk_level
風險層級。取值:
high。
medium。
low。
stacktrace
堆棧資訊。
time
觸發警示的時間。
timestamp
觸發警示的時間戳記,單位為毫秒。
type
漏洞類型。取值:
attach:惡意Attach。
beans:惡意beans綁定。
classloader:惡意類載入。
dangerous_protocol:危險協議使用。
dns:惡意DNS查詢。
engine:引擎注入。
expression:運算式注入。
file:惡意檔案讀寫。
file_delete:任意檔案刪除。
file_list:目錄遍曆。
file_read:任意檔案讀取。
file_upload:惡意檔案上傳。
jndi:JNDI注入。
jni:JNI注入。
jstl:JSTL任意檔案包含。
memory_shell:記憶體馬注入。
rce:命令執行。
read_object:還原序列化攻擊。
reflect:惡意反射調用。
sql:SQL注入。
ssrf:惡意外連。
thread_inject:線程注入。
xxe:XXE攻擊。
url
請求URL。
rasp_attack_uuid
漏洞UUID。
uuid
主機UUID。
internet_ip
主機公網IP地址。
intranet_ip
主機私網IP地址。
sas_group_name
Security Center伺服器分組名稱。
instance_id
主機執行個體ID。
owner_id
阿里雲帳號ID。
start_time
開始時間戳,單位秒。
檔案檢測日誌
欄位名
說明
__topic__
日誌主題,固定為sas-filedetect-log。
bucket_name
Bucket名稱。
event_id
警示ID。
event_name
警示名稱。
md5
檔案的MD5值。
sha256
檔案的SHA256值。
result
檢測結果。
0:檔案安全。
1:存在惡意檔案。
file_path
檔案路徑。
etag
OSS檔案標識。
risk_level
風險等級。
serious:緊急。
suspicions:可疑。
remind:提醒。
source
檢測情境。
OSS:在Security Center控制台執行對阿里雲Object Storage ServiceBucket內檔案的檢測。
API:通過SDK接入的方式檢測惡意檔案,支援通過Java或Python接入。
parent_md5
父類檔案或壓縮包檔案的MD5值。
parent_sha256
父類檔案或壓縮包檔案的SHA256值。
parent_file_path
父類檔案或壓縮包檔案的名稱。
owner_id
阿里雲帳號ID。
start_time
開始檢測時間的時間戳記。單位為秒。
主機日誌
進程開機記錄
日誌欄位
說明
__topic__
日誌主題,固定為aegis-log-process。
uuid
用戶端號。
host_ip
用戶端主機的IP地址。
cmdline
使用者啟動完整命令列。
username
使用者名稱。
uid
使用者ID。
pid
進程ID。
proc_name
進程檔案名稱。
proc_path
進程檔案完整路徑。
proc_start_time
進程的啟動時間。
parent_proc_start_time
父進程的啟動時間。
groupname
使用者組。
ppid
父進程ID。
parent_proc_name
父進程檔案名稱。
parent_proc_path
父進程檔案完整路徑。
cmd_chain
進程鏈。
container_hostname
容器主機名稱。
container_pid
容器PID。
container_image_id
鏡像ID。
container_image_name
鏡像名稱。
container_name
容器名稱。
container_id
容器ID。
cwd
進程運行目錄。
owner_id
阿里雲帳號ID。
start_time
開始時間戳,單位秒。
cmd_chain_index
進程鏈索引,可以通過相同索引尋找進程鏈。
cmd_index
命令列每個參數的索引,每兩個為一組,標識一個參數的起止索引。
comm
進程關聯的命令名。
gid
進程組的ID。
instance_id
執行個體ID。
parent_cmd_line
父進程的命令列。
sas_group_name
伺服器在Security Center的資產分組。
srv_cmd
祖進程的命令列。
tty
登入的終端。N/A表示帳號從未登入過終端。
uid
使用者ID。
start_time
開始時間戳,單位秒。
進程快照日誌
日誌欄位
說明
__topic__
日誌主題,固定為aegis-snapshot-process。
owner_id
阿里雲帳號ID。
uuid
用戶端號。
host_ip
用戶端主機的IP地址。
cmdline
使用者啟動完整命令列。
pid
進程ID。
proc_name
進程檔案名稱。
proc_path
進程檔案完整路徑。
md5
進程檔案進行MD5計算,超過1 MB的進程檔案不進行計算。
parent_proc_name
父進程檔案名稱。
proc_start_time
進程啟動時間,內建欄位。
user
使用者名稱。
uid
使用者ID。
start_time
開始時間戳,單位秒。
instance_id
執行個體ID。
pname
父進程檔案名稱。
sas_group_name
伺服器在Security Center的資產分組。
登入日誌
1分鐘內重複登入會被合并為1條日誌。
日誌欄位
說明
__topic__
日誌主題,固定為aegis-log-login。
owner_id
阿里雲帳號ID。
uuid
用戶端號。
host_ip
用戶端主機的IP地址。
src_ip
登入來源IP地址。
dst_port
登入連接埠。
login_type
登入類型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
username
登入使用者名稱。
login_count
登入次數,例如3次表示這次登入前1分鐘內還發送了2次。
instance_id
執行個體ID。
sas_group_name
伺服器在Security Center的資產分組。
start_time
開始時間戳戳,單位秒。
暴力破解日誌
欄位名
說明
__topic__
日誌主題,固定為aegis-log-crack。
owner_id
阿里雲帳號ID。
uuid
用戶端號。
host_ip
用戶端主機的IP地址。
src_ip
登入來源IP地址。
dst_port
登入連接埠。
login_type
登入類型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
username
登入使用者名稱。
login_count
失敗登入次數。
instance_id
執行個體ID。
sas_group_name
伺服器在Security Center的資產分組 。
start_time
開始時間戳,單位秒。
主機網路連接日誌
主機上每隔10秒到1分鐘會收集變化的網路連接。
日誌欄位
說明
__topic__
日誌主題,固定為aegis-log-network。
owner_id
阿里雲帳號ID。
uuid
用戶端號。
host_ip
用戶端主機的IP地址。
src_ip
源IP地址。
src_port
源連接埠。
dst_ip
目標IP地址。
dst_port
目標連接埠。
proc_name
進程名。
proc_path
進程路徑。
connection_type
連線協定。
status
串連狀態。更多資訊,請參見網路連接狀態原因列表。
net_connect_dir
網路連接方向。
parent_proc_name
父進程可執行檔名。
cmd_chain
進程鏈。
cmd_chain_index
進程鏈索引,可以通過相同索引尋找進程鏈。
container_hostname
容器內伺服器名稱。
container_id
容器ID。
container_image_id
鏡像ID。
container_image_name
鏡像名稱。
container_name
容器名稱。
container_pid
容器內進程ID。
instance_id
執行個體ID。
pid
進程ID。
ppid
父進程ID。
proc_start_time
進程的啟動時間。
src_ip
源IP地址。
src_port
源連接埠。
srv_comm
父進程的父進程關聯的命令名。
type
即時網路連接的類型。取值如下:
connect:主動發起TCP connect串連。
accept:收到TCP串連。
listen:連接埠監聽。
uid
進程使用者的ID。
username
進程的使用者名稱。
start_time
開始時間戳,單位秒。
表 4. 網路連接狀態原因列表
狀態值
描述
1
closed
2
listen
3
syn send
4
syn recv
5
establisted
6
close wait
7
closing
8
fin_wait1
9
fin_wait2
10
time_wait
11
delete_tcb
連接埠監聽快照
日誌欄位
說明
__topic__
日誌主題,固定為aegis-snapshot-port。
owner_id
阿里雲帳號ID。
uuid
用戶端號。
host_ip
用戶端IP地址。
connection_type
監聽協議。
src_ip
監聽IP地址。
src_port
監聽連接埠。
pid
進程ID。
proc_name
進程名。
net_connect_dir
網路連接方向。
dst_ip
網路連接接收者的IP。
dir為out時,表示對端主機。
dir為in時,表示本機。
dst_port
網路連接接收者的連接埠。
instance_id
執行個體ID。
sas_group_name
伺服器在Security Center的資產分組。
status
網路連接狀態。取值:
1:串連已關閉(closed)。
2:正在等待串連請求(listen)。
3:已發送SYN請求(syn send)。
4:已接收SYN請求(syn recv)。
5:串連已建立(established)。
6:等待關閉串連(close wait)。
7:正在關閉串連(closing)。
8:等待對方發送關閉請求(fin_wait1)。
9:等待對方發送關閉請求並確認(fin_wait2)。
10:等待足夠的時間以確保對方收到關閉請求的確認(time_wait)。
11:已刪除傳輸控制塊(delete_tcb)。
start_time
開始時間戳,單位秒。
賬戶快照
日誌欄位
說明
__topic__
日誌主題,固定為aegis-snapshot-host。
owner_id
阿里雲帳號ID。
name
漏洞名稱。
alias_name
漏洞別名。
op
操作資訊,包括:
new:新增
verify:驗證
fix:修複
status
串連狀態。更多資訊,請參見網路連接狀態原因列表。
tag
漏洞標籤,例如oval、system、cms等,主要用於區分EMG緊急漏洞。
type
漏洞類型,包括:
sys:windows漏洞
cve:Linux漏洞
cms:Web CMS漏洞
EMG:緊急漏洞
uuid
用戶端號。
username
登入使用者名稱。
host_ip
伺服器IP地址。
account_expire
帳號的到期時間。never表示永不到期。
domain
帳號所在的域或目錄服務。N/A表示不屬於任何域。
groups
帳號所在的分組。N/A表示不屬於任何組。
home_dir
主目錄,是系統中儲存和管理檔案的預設位置。
instance_id
執行個體ID。
last_chg
最後一次修改密碼的日期。
last_logon
最後一次登入帳號的日期和時間。N/A表示從未登入過。
login_ip
最後一次登入帳號的遠程IP地址。N/A表示從未登入過。
passwd_expire
密碼的到期日期。never表示永不到期。
perm
是否擁有root許可權。取值:
0:沒有root許可權。
1:有root許可權。
sas_group_name
伺服器在Security Center的資產分組。
shell
Linux的Shell命令。
tty
登入的終端。N/A表示從未登入過終端。
warn_time
密碼到期提醒日期。never表示永不提醒。
start_time
開始時間戳,單位秒。
DNS請求日誌
日誌欄位
說明
__topic__
日誌主題,固定為aegis-log-dns-query。
owner_id
阿里雲帳號ID。
uuid
用戶端號。
host_ip
用戶端機器IP地址。
pid
DNS請求發起者進程ID。
ppid
DNS請求發起者的父進程ID。
time
DNS請求發生時間。
domain
DNS請求對應網域名稱。
proc_path
DNS請求發起進程路徑。
cmdline
DNS請求發起進程命令列。
cmd_chain
DNS請求發起者進程鏈。
sas_group_name
Security Center分組名稱。
instance_id
執行個體ID。
start_time
開始時間戳,單位秒。
用戶端事件記錄
欄位名
說明
__topic__
日誌主題,固定為aegis-log-client。
uuid
伺服器的UUID。
host_ip
伺服器IP地址。
agent_version
用戶端版本。
last_login
上次登入的時間戳記。單位:毫秒。
platform
作業系統類型。取值:
windows
linux
region_id
伺服器所在地區ID。
status
用戶端狀態。取值:
online
offline
owner_id
阿里雲帳號ID。
start_time
開始時間戳,單位秒。