本文介绍云安全中心支持的14种日志的字段详情。
网络日志
- DNS日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为sas-log-dns additional additional字段,多个值之间用竖线(|)分隔 additional_num additional数量 answer DNS回答信息,多个值之间用竖线(|)分隔 answer_num DNS回答信息数量 authority authority字段,多个值之间用竖线(|)分隔 authority_num authority数量 client_subnet 客户端子网 dst_ip 目标IP地址 dst_port 目标端口 in_out 数据的传输方向 - in表示流入
- out表示流出
qid 查询ID qname 查询域名 qtype 查询类型 query_datetime 查询时间戳,单位:毫秒 rcode 返回代码 region 地域ID - 1:北京
- 2:青岛
- 3:杭州
- 4:上海
- 5:深圳
- 6:其它
response_datetime 返回时间,例如:2018-09-25 09:59:16 src_ip 源IP地址 src_port 源端口 - 本地DNS日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为local-dns answer_rda DNS回答信息,多个值之间用竖线(|)分隔 answer_ttl DNS回答的时间周期,多个值之间用竖线(|)分隔 answer_type DNS回答的类型,多个值之间用竖线(|)分隔 anwser_name DNS回答的名称,多个值之间用竖线(|)分隔 dest_ip 目标IP地址 dest_port 目标端口 group_id 分组ID hostname 主机名 id 主机IP地址 instance_id 实例ID internet_ip 互联网IP地址 ip_ttl IP周期 query_name 查询域名 query_type 查询类型 src_ip 源IP地址 src_port 源端口 time 查询的时间戳,单位:秒 time_usecond 响应耗时,单位:微秒 tunnel_id 通道ID - 网络会话日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为sas-log-session asset_type 关联的资产类型,例如:ECS dst_ip 目标IP地址 dst_port 目标端口 proto 协议类型,例如:tcp、udp session_time 会话时间,例如:2018-09-25 09:59:49 src_ip 源IP地址 src_port 源端口 - Web访问日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为sas-log-http content_length 内容长度 dst_ip 目标IP地址 dst_port 目标端口 host 访问的主机名 jump_location 重定向地址 method HTTP请求方法,例如:GET referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接 request_datetime 请求时间 ret_code 返回状态值 rqs_content_type 请求内容类型 rsp_content_type 响应内容类型 src_ip 源IP地址 src_port 源端口 uri 请求URI user_agent 向客户端发起的请求 x_forward_for 路由跳转信息
安全日志
- 漏洞日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为sas-vul-log name 漏洞名称 alias_name 漏洞别名 op 操作信息 - new:新增
- verify:验证
- fix:修复
status 状态信息,详情请参见表 2。 tag 漏洞标签,例如:oval、system、cms type 漏洞类型,例如: - sys:windows漏洞
- cve:Linux漏洞
- cms:Web CMS漏洞
- EMG: 紧急漏洞
uuid 客户端号 - 基线日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为sas-hc-log level 日志级别,例如:ow、mediam、high op 操作信息,例如: - new:新增
- verify:验证
- fix:修复
risk_name 风险名称 status 状态信息,详情请参见表 2。 sub_type_alias 子类型别名,中文格式 sub_type_name 子类型名称 type_name 类型名称 type_alias 类型别名,中文格式 uuid 客户端号 表 1. 基线type-sub-type列表 type_name sub_type_name system baseline weak_password postsql_weak_password database redis_check account system_account_security account system_account_security weak_password mysq_weak_password weak_password ftp_anonymous weak_password rdp_weak_password system group_policy system register account system_account_security weak_password sqlserver_weak_password system register weak_password ssh_weak_password weak_password ftp_weak_password cis centos7 cis tomcat7 cis memcached-check cis mongodb-check cis ubuntu14 cis win2008_r2 system file_integrity_mon cis linux-httpd-2.2-cis cis linux-docker-1.6-cis cis SUSE11 cis redhat6 cis bind9.9 cis centos6 cis debain8 cis redhat7 cis SUSE12 cis ubuntu16 表 2. 安全日志状态码 状态值 说明 1 未修复 2 修复失败 3 回滚失败 4 修复中 5 回滚中 6 验证中 7 修复成功 8 修复成功待重启 9 回滚成功 10 忽略 11 回滚成功待重启 12 已不存在 20 已失效 - 安全告警日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为sas-security-log data_source 数据源 - aegis_suspicious_event:主机异常
- aegis_suspicious_file_v2:Webshell
- aegis_login_log:异常登录
- security_event:安全中心异常事件
level 告警级别,例如:suspicious、serious、remind name 名称 op 操作信息,例如: - new:新增
- dealing:处理
status 状态信息,详情请参见表 2。 uuid 客户端号
主机日志
- 进程启动日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-log-process uuid 客户端号 ip 客户端主机的IP地址 cmdline 启动进程的完整命令行 username 用户名 uid 用户ID pid 进程ID filename 进程文件名 filepath 进程文件所在的完整路径 groupname 用户组 ppid 父进程ID pfilename 父进程文件名 pfilepath 父进程文件所在的完整路径 containerhostname 容器主机名 containerpid 容器PID containerimageid 镜像ID containerimagename 镜像名称 containername 容器名称 containerid 容器ID cwd 进程运行目录 - 进程快照日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-snapshot-process uuid 客户端号 ip 客户端主机的IP地址 cmdline 启动进程的完整命令行 pid 进程ID name 进程文件名 path 进程文件所在的完整路径 md5 进程文件MD5,超过1MB的进程文件不进行计算。 pname 父进程文件名 start_time 进程启动时间 user 用户名 uid 用户ID - 登录日志
说明 1分钟内的重复登录会被合并为1条日志,warn_count字段表示次数。
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-log-login uuid 客户端号 ip 客户端主机的IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如: - SSHLOGIN:SSH登录
- RDPLOGIN:远程桌面登录
- IPCLOGIN:IPC登录
warn_user 登录用户名 warn_count 登录次数,例如:值为3,表示这次登录前1分钟内还发送了2次。 - 暴力破解日志
字段名 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-log-crack uuid 客户端号 ip 客户端机器IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如: - SSHLOGIN:SSH登录
- RDPLOGIN:远程桌面登录
- IPCLOGIN:IPC登录
warn_user 登录用户名 warn_count 失败登录次数 - 网络连接日志
说明 主机上每隔10秒到1分钟采集一次变化的网络连接日志,而一个网络连接的状态从建立到结束的过程中部分状态会被采集到。
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-log-network uuid 客户端号 ip 客户端机器IP地址 src_ip 源IP地址 src_port 源端口 dst_ip 目标IP地址 dst_port 目标端口 proc_name 进程名 proc_path 进程路径 proto 协议,例如:udp、raw status 连接状态,详情请参见表 3。 表 3. 网络连接状态 状态值 描述 1 closed 2 listen 3 syn send 4 syn recv 5 establisted 6 close wait 7 closing 8 fin_wait1 9 fin_wait2 10 time_wait 11 delete_tcb - 端口快照日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-snapshot-port uuid 客户端号 ip 客户端机器IP地址 proto 协议,例如:tcp、udp、raw src_ip 监听的IP地址 src_port 监听的端口 pid 进程ID proc_name 进程名 - 账户快照日志
字段名称 说明 __time__ 日志时间 __topic__ 日志主题,固定为aegis-snapshot-host uuid 客户端号 ip 客户端机器IP地址 user 用户 perm 是否拥有root权限 - 0:没有
- 1:有
home_dir home目录 groups 用户属于的组 last_chg 密码最后修改日期 shell Shell命令 domain Windows域 tty 登录的终端 warn_time 密码到期提醒日期 account_expire 账号超期日期 passwd_expire 密码超期日期 login_ip 最后一次登录的远程IP地址 last_logon 最后一次登录的日期和时间 status 用户状态 - 0:禁用
- 1:正常