本文介绍云安全中心网络日志、安全日志和主机日志的字段详情。

网络日志

  • DNS日志
    日志字段说明
    __topic__日志主题,固定为sas-log-dns。
    owner_id阿里云账号ID
    additionaladditional字段,各个值之间以竖线(|)分隔。
    additional_numadditional字段数量
    answerDNS回答信息,各个值之间以竖线(|)分隔。
    answer_numDNS回答信息数量
    authorityauthority字段
    authority_numauthority字段数量
    client_subnet客户端子网
    dst_ip目标IP地址
    dst_port目标端口
    in_out数据的传输方向,包括:
    • in:入方式
    • out:出方向
    qid查询ID
    qname查询域名
    qtype查询类型
    query_datetime查询时间戳,单位:毫秒。
    rcode返回代码
    region来源地域ID,包括:
    • 1:北京
    • 2:青岛
    • 3:杭州
    • 4:上海
    • 5:深圳
    • 6:其它
    response_datetime返回时间
    src_ip源IP地址
    src_port源端口
  • 本地DNS日志
    字段名说明
    __topic__日志主题,固定为local-dns。
    owner_id阿里云账号ID
    answer_rdataDNS回答信息,各个值之间以竖线(|)分隔。
    answer_ttlDNS回答的时间周期,各个值之间以竖线(|)分隔。
    answer_typeDNS回答的类型,各个值之间以竖线(|)分隔。
    anwser_nameDNS回答的名称,各个值之间以竖线(|)分隔。
    dest_ip目标IP地址
    dest_port目标端口
    group_id分组ID
    hostname主机名
    id查询ID
    instance_id实例ID
    internet_ip互联网IP地址
    ip_ttlIP地址的周期
    query_name查询域名
    query_type查询类型
    src_ip源IP地址
    src_port源端口
    time查询时间戳,单位:秒。
    time_usecond响应耗时,单位:微秒。
    tunnel_id通道ID
  • 网络会话日志
    日志字段说明
    __topic__日志主题,固定为sas-log-session。
    owner_id阿里云账号ID
    asset_type关联的资产类型,例如ECS、SLB、RDS等。
    dst_ip目标IP地址
    dst_port目标端口
    proto协议类型,例如tcp、udp。
    session_timeSession时间
    src_ip源IP地址
    src_port源端口
  • Web日志
    日志字段说明
    __topic__日志主题,固定为sas-log-http。
    owner_id阿里云账号ID
    content_length内容长度
    dst_ip目标IP地址
    dst_port目标端口
    host访问主机名
    jump_location重定向地址
    methodHTTP访问
    referer客户端向服务器发送请求时的HTTP referer
    request_datetime请求时间
    ret_code返回状态值
    rqs_content_type请求内容类型
    rsp_content_type响应内容类型
    src_ip源IP地址
    src_port源端口
    uri请求URI
    user_agent向客户端发起的请求
    x_forward_for路由跳转信息

安全日志

  • 漏洞日志
    日志字段说明
    __topic__日志主题,固定为sas-vul-log。
    owner_id阿里云账号ID
    name漏洞名称
    alias_name漏洞别名
    op操作信息,包括:
    • new:新增
    • verify:验证
    • fix:修复
    status状态。更多信息,请参见安全日志状态码
    tag漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。
    type漏洞类型,包括:
    • sys:windows漏洞
    • cve:Linux漏洞
    • cms:Web CMS漏洞
    • EMG:紧急漏洞
    uuid客户端号
  • 基线日志
    日志字段说明
    __topic__日志主题,固定为sas-hc-log。
    owner_id阿里云账号ID
    level风险级别
    op操作信息,包括:
    • new:新增
    • verify:验证
    risk_name风险名称
    status状态。更多信息,请参见安全日志状态码
    sub_type_alias子类型别名
    sub_type_name子类型名称
    type_name类型名称。更多信息,请参见基线type-sub-type列表
    type_alias类型别名
    uuid客户端号
    check_item检查项名称
    check_level检查项级别
    check_type检查项类型
    表 1. 基线type-sub-type列表
    type_namesub_type_name
    systembaseline
    weak_passwordpostsql_weak_password
    databaseredis_check
    accountsystem_account_security
    accountsystem_account_security
    weak_passwordmysq_weak_password
    weak_passwordftp_anonymous
    weak_passwordrdp_weak_password
    systemgroup_policy
    systemregister
    accountsystem_account_security
    weak_passwordsqlserver_weak_password
    systemregister
    weak_passwordssh_weak_password
    weak_passwordftp_weak_password
    ciscentos7
    cistomcat7
    cismemcached-check
    cismongodb-check
    cisubuntu14
    ciswin2008_r2
    systemfile_integrity_mon
    cislinux-httpd-2.2-cis
    cislinux-docker-1.6-cis
    cisSUSE11
    cisredhat6
    cisbind9.9
    ciscentos6
    cisdebain8
    cisredhat7
    cisSUSE12
    cisubuntu16
    表 2. 安全日志状态码
    状态值说明
    1未修复
    2修复失败
    3回滚失败
    4修复中
    5回滚中
    6验证中
    7修复成功
    8修复成功待重启
    9回滚成功
    10忽略
    11回滚成功待重启
    12已不存在
    20已失效
  • 安全告警日志
    日志字段说明
    __topic__日志主题,固定为sas-security-log。
    data_source数据源。更多信息,请参见安全告警data_source列表
    level告警级别
    name名称
    op操作信息,包括:
    • new:新增
    • dealing:处理
    status状态。更多信息,请参见安全日志状态码
    uuid客户端号
    detail告警详情
    unique_info告警的唯一标识
    表 3. 安全告警data_source列表
    描述
    aegis_suspicious_event主机异常
    aegis_suspicious_file_v2Webshell
    aegis_login_log异常登录
    security_event安全中心异常事件

主机日志

  • 进程启动日志
    日志字段说明
    __topic__日志主题,固定为aegis-log-process。
    uuid客户端号
    ip客户端主机的IP地址
    cmdline用户启动完整命令行
    username用户名
    uid用户ID
    pid进程ID
    filename进程文件名
    filepath进程文件完整路径
    groupname用户组
    ppid父进程ID
    pfilename父进程文件名
    pfilepath父进程文件完整路径
    cmd_chain进程链
    containerhostname容器主机名
    containerpid容器PID
    containerimageid镜像ID
    containerimagename镜像名称
    containername容器名称
    containerid容器ID
    cwd进程运行目录
  • 进程快照日志
    日志字段说明
    __topic__日志主题,固定为aegis-snapshot-process。
    owner_id阿里云账号ID
    uuid客户端号
    ip客户端主机的IP地址
    cmdline用户启动完整命令行
    pid进程ID
    name进程文件名
    path进程文件完整路径
    md5进程文件进行MD5计算,超过1 MB的进程文件不进行计算。
    pname父进程文件名
    start_time进程启动时间,内置字段
    user用户名
    uid用户ID
  • 登录日志
    1分钟内重复登录会被合并为1条日志。
    日志字段说明
    __topic__日志主题,固定为aegis-log-login。
    owner_id阿里云账号ID
    uuid客户端号
    ip客户端主机的IP地址
    warn_ip登录来源IP地址
    warn_port登录端口
    warn_type登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
    warn_user登录用户名
    warn_count登录次数,例如3次表示这次登录前1分钟内还发送了2次。
  • 暴力破解日志
    字段名说明
    __topic__日志主题,固定为aegis-log-crack。
    owner_id阿里云账号ID
    uuid客户端号
    ip客户端主机的IP地址
    warn_ip登录来源IP地址
    warn_port登录端口
    warn_type登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。
    warn_user登录用户名
    warn_count失败登录次数
  • 主机网络连接日志
    主机上每隔10秒到1分钟会收集变化的网络连接。
    日志字段说明
    __topic__日志主题,固定为aegis-log-network。
    owner_id阿里云账号ID
    uuid客户端号
    ip客户端主机的IP地址
    src_ip源IP地址
    src_port源端口
    dst_ip目标IP地址
    dst_port目标端口
    proc_name进程名
    proc_path进程路径
    proto连接协议
    status连接状态。更多信息,请参见网络连接状态描述列表
    表 4. 网络连接状态描述列表
    状态值描述
    1closed
    2listen
    3syn send
    4syn recv
    5establisted
    6close wait
    7closing
    8fin_wait1
    9fin_wait2
    10time_wait
    11delete_tcb
  • 端口监听快照
    日志字段说明
    __topic__日志主题,固定为aegis-snapshot-port。
    owner_id阿里云账号ID
    uuid客户端号
    ip客户端IP地址
    proto监听协议
    src_ip监听IP地址
    src_port监听端口
    pid进程ID
    proc_name进程名
  • 账户快照
    日志字段说明
    __topic__日志主题,固定为aegis-snapshot-host。
    owner_id阿里云账号ID
    name漏洞名称
    alias_name漏洞别名
    op操作信息,包括:
    • new:新增
    • verify:验证
    • fix:修复
    status连接状态。更多信息,请参见网络连接状态描述列表
    tag漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。
    type漏洞类型,包括:
    • sys:windows漏洞
    • cve:Linux漏洞
    • cms:Web CMS漏洞
    • EMG:紧急漏洞
    uuid客户端号
  • DNS请求日志
    日志字段说明
    __topic__日志主题,固定为aegis-log-dns-query。
    ali_uid阿里云账号ID
    uuid客户端号
    ip客户端机器IP地址
    pidDNS请求发起者进程ID
    ppidDNS请求发起者的父进程ID
    timeDNS请求发生时间
    domainDNS请求对应域名
    proc_pathDNS请求发起进程路径
    proc_cmdlineDNS请求发起进程命令行
    proc_cmd_chainDNS请求发起者进程链
    sas_group_name云安全中心分组名称
    instance_id实例ID