本文介绍云安全中心支持的14种日志的字段详情。
网络日志
- DNS日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为sas-log-dns additional additional字段,多个值之间用竖线(|)分隔 additional_num additional数量 answer DNS回答信息,多个值之间用竖线(|)分隔 answer_num DNS回答信息数量 authority authority字段,多个值之间用竖线(|)分隔 authority_num authority数量 client_subnet 客户端子网 dst_ip 目标IP地址 dst_port 目标端口 in_out 数据的传输方向 - in表示流入
- out表示流出
qid 查询ID qname 查询域名 qtype 查询类型 query_datetime 查询时间戳,单位:毫秒 rcode 返回代码 region 地域ID - 1:北京
- 2:青岛
- 3:杭州
- 4:上海
- 5:深圳
- 6:其它
response_datetime 返回时间,例如:2018-09-25 09:59:16 src_ip 源IP地址 src_port 源端口 - 本地DNS日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为local-dns answer_rda DNS回答信息,多个值之间用竖线(|)分隔 answer_ttl DNS回答的时间周期,多个值之间用竖线(|)分隔 answer_type DNS回答的类型,多个值之间用竖线(|)分隔 anwser_name DNS回答的名称,多个值之间用竖线(|)分隔 dest_ip 目标IP地址 dest_port 目标端口 group_id 分组ID hostname 主机名 id 主机IP地址 instance_id 实例ID internet_ip 互联网IP地址 ip_ttl IP周期 query_name 查询域名 query_type 查询类型 src_ip 源IP地址 src_port 源端口 time 查询的时间戳,单位:秒 time_usecond 响应耗时,单位:微秒 tunnel_id 通道ID - 网络会话日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为sas-log-session asset_type 关联的资产类型,例如:ECS dst_ip 目标IP地址 dst_port 目标端口 proto 协议类型,例如:tcp、udp session_time 会话时间,例如:2018-09-25 09:59:49 src_ip 源IP地址 src_port 源端口 - Web访问日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为sas-log-http content_length 内容长度 dst_ip 目标IP地址 dst_port 目标端口 host 访问的主机名 jump_location 重定向地址 method HTTP请求方法,例如:GET referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接 request_datetime 请求时间 ret_code 返回状态值 rqs_content_type 请求内容类型 rsp_content_type 响应内容类型 src_ip 源IP地址 src_port 源端口 uri 请求URI user_agent 向客户端发起的请求 x_forward_for 路由跳转信息
安全日志
- 漏洞日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为sas-vul-log name 漏洞名称 alias_name 漏洞别名 op 操作信息 - new:新增
- verify:验证
- fix:修复
status 状态信息,详情请参见表 2。 tag 漏洞标签,例如:oval、system、cms type 漏洞类型,例如: - sys:windows漏洞
- cve:Linux漏洞
- cms:Web CMS漏洞
- EMG: 紧急漏洞
uuid 客户端号 - 基线日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为sas-hc-log level 日志级别,例如:ow、mediam、high op 操作信息,例如: - new:新增
- verify:验证
- fix:修复
risk_name 风险名称 status 状态信息,详情请参见表 2。 sub_type_alias 子类型别名,中文格式 sub_type_name 子类型名称 type_name 类型名称 type_alias 类型别名,中文格式 uuid 客户端号 表 1. 基线type-sub-type列表 type_name sub_type_name system baseline weak_password postsql_weak_password database redis_check account system_account_security account system_account_security weak_password mysq_weak_password weak_password ftp_anonymous weak_password rdp_weak_password system group_policy system register account system_account_security weak_password sqlserver_weak_password system register weak_password ssh_weak_password weak_password ftp_weak_password cis centos7 cis tomcat7 cis memcached-check cis mongodb-check cis ubuntu14 cis win2008_r2 system file_integrity_mon cis linux-httpd-2.2-cis cis linux-docker-1.6-cis cis SUSE11 cis redhat6 cis bind9.9 cis centos6 cis debain8 cis redhat7 cis SUSE12 cis ubuntu16 表 2. 安全日志状态码 状态值 说明 1 未修复 2 修复失败 3 回滚失败 4 修复中 5 回滚中 6 验证中 7 修复成功 8 修复成功待重启 9 回滚成功 10 忽略 11 回滚成功待重启 12 已不存在 20 已失效 - 安全告警日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为sas-security-log data_source 数据源 - aegis_suspicious_event:主机异常
- aegis_suspicious_file_v2:Webshell
- aegis_login_log:异常登录
- security_event:安全中心异常事件
level 告警级别,例如:suspicious、serious、remind name 名称 op 操作信息,例如: - new:新增
- dealing:处理
status 状态信息,详情请参见表 2。 uuid 客户端号
主机日志
- 进程启动日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为aegis-log-process uuid 客户端号 ip 客户端主机的IP地址 cmdline 启动进程的完整命令行 username 用户名 uid 用户ID pid 进程ID filename 进程文件名 filepath 进程文件所在的完整路径 groupname 用户组 ppid 父进程ID pfilename 父进程文件名 pfilepath 父进程文件所在的完整路径 - 进程快照日志
字段名称 说明 __time__ 获取数据的时间 __topic__ 日志主题,固定为aegis-snapshot-process uuid 客户端号 ip 客户端主机的IP地址 cmdline 启动进程的完整命令行 pid 进程ID name 进程文件名 path 进程文件所在的完整路径 md5 进程文件MD5,超过1MB的进程文件不进行计算。 pname 父进程文件名 start_time 进程启动时间 user 用户名 uid 用户ID - 登录日志
说明 1分钟内的重复登录会被合并为1条日志,warn_count字段表示次数。
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为aegis-log-login uuid 客户端号 ip 客户端主机的IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如: - SSHLOGIN:SSH登录
- RDPLOGIN:远程桌面登录
- IPCLOGIN:IPC登录
warn_user 登录用户名 warn_count 登录次数,例如:值为3,表示这次登录前1分钟内还发送了2次。 - 暴力破解日志
字段名 名称 __time__ 连接时间 __topic__ 日志主题,固定为aegis-log-crack uuid 客户端号 ip 客户端机器IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如: - SSHLOGIN:SSH登录
- RDPLOGIN:远程桌面登录
- IPCLOGIN:IPC登录
warn_user 登录用户名 warn_count 失败登录次数 - 网络连接日志
说明 主机上每隔10秒到1分钟采集一次变化的网络连接日志,而一个网络连接的状态从建立到结束的过程中部分状态会被采集到。
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为aegis-log-network uuid 客户端号 ip 客户端机器IP地址 src_ip 源IP地址 src_port 源端口 dst_ip 目标IP地址 dst_port 目标端口 proc_name 进程名 proc_path 进程路径 proto 协议,例如:udp、raw status 连接状态,详情请参见表 3。 表 3. 网络连接状态 状态值 描述 1 closed 2 listen 3 syn send 4 syn recv 5 establisted 6 close wait 7 closing 8 fin_wait1 9 fin_wait2 10 time_wait 11 delete_tcb - 端口快照日志
字段名称 说明 __time__ 获取数据的时间 __topic__ 日志主题,固定为aegis-snapshot-port uuid 客户端号 ip 客户端机器IP地址 proto 协议,例如:tcp、udp、raw src_ip 监听的IP地址 src_port 监听的端口 pid 进程ID proc_name 进程名 - 账户快照日志
字段名称 说明 __time__ 连接时间 __topic__ 日志主题,固定为aegis-snapshot-host uuid 客户端号 ip 客户端机器IP地址 user 用户 perm 是否拥有root权限 - 0:没有
- 1:有
home_dir home目录 groups 用户属于的组 last_chg 密码最后修改日期 shell Shell命令 domain Windows域 tty 登录的终端 warn_time 密码到期提醒日期 account_expire 账号超期日期 passwd_expire 密码超期日期 login_ip 最后一次登录的远程IP地址 last_logon 最后一次登录的日期和时间 status 用户状态 - 0:禁用
- 1:正常