本文介绍云安全中心网络日志、安全日志和主机日志的字段详情。
网络日志
- DNS日志
日志字段 说明 __topic__ 日志主题,固定为sas-log-dns。 owner_id 阿里云账号ID additional additional字段,各个值之间以竖线(|)分隔。 additional_num additional字段数量 answer DNS回答信息,各个值之间以竖线(|)分隔。 answer_num DNS回答信息数量 authority authority字段 authority_num authority字段数量 client_subnet 客户端子网 dst_ip 目标IP地址 dst_port 目标端口 in_out 数据的传输方向,包括: - in:入方式
- out:出方向
qid 查询ID qname 查询域名 qtype 查询类型 query_datetime 查询时间戳,单位:毫秒。 rcode 返回代码 region 来源地域ID,包括: - 1:北京
- 2:青岛
- 3:杭州
- 4:上海
- 5:深圳
- 6:其它
response_datetime 返回时间 src_ip 源IP地址 src_port 源端口 - 本地DNS日志
字段名 说明 __topic__ 日志主题,固定为local-dns。 owner_id 阿里云账号ID answer_rdata DNS回答信息,各个值之间以竖线(|)分隔。 answer_ttl DNS回答的时间周期,各个值之间以竖线(|)分隔。 answer_type DNS回答的类型,各个值之间以竖线(|)分隔。 anwser_name DNS回答的名称,各个值之间以竖线(|)分隔。 dest_ip 目标IP地址 dest_port 目标端口 group_id 分组ID hostname 主机名 id 查询ID instance_id 实例ID internet_ip 互联网IP地址 ip_ttl IP地址的周期 query_name 查询域名 query_type 查询类型 src_ip 源IP地址 src_port 源端口 time 查询时间戳,单位:秒。 time_usecond 响应耗时,单位:微秒。 tunnel_id 通道ID - 网络会话日志
日志字段 说明 __topic__ 日志主题,固定为sas-log-session。 owner_id 阿里云账号ID asset_type 关联的资产类型,例如ECS、SLB、RDS等。 dst_ip 目标IP地址 dst_port 目标端口 proto 协议类型,例如tcp、udp。 session_time Session时间 src_ip 源IP地址 src_port 源端口 - Web日志
日志字段 说明 __topic__ 日志主题,固定为sas-log-http。 owner_id 阿里云账号ID content_length 内容长度 dst_ip 目标IP地址 dst_port 目标端口 host 访问主机名 jump_location 重定向地址 method HTTP访问 referer 客户端向服务器发送请求时的HTTP referer request_datetime 请求时间 ret_code 返回状态值 rqs_content_type 请求内容类型 rsp_content_type 响应内容类型 src_ip 源IP地址 src_port 源端口 uri 请求URI user_agent 向客户端发起的请求 x_forward_for 路由跳转信息
安全日志
- 漏洞日志
日志字段 说明 __topic__ 日志主题,固定为sas-vul-log。 owner_id 阿里云账号ID name 漏洞名称 alias_name 漏洞别名 op 操作信息,包括: - new:新增
- verify:验证
- fix:修复
status 状态。更多信息,请参见表 2。 tag 漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。 type 漏洞类型,包括: - sys:windows漏洞
- cve:Linux漏洞
- cms:Web CMS漏洞
- EMG:紧急漏洞
uuid 客户端号 - 基线日志
日志字段 说明 __topic__ 日志主题,固定为sas-hc-log。 owner_id 阿里云账号ID level 风险级别 op 操作信息,包括: - new:新增
- verify:验证
risk_name 风险名称 status 状态。更多信息,请参见表 2。 sub_type_alias 子类型别名 sub_type_name 子类型名称 type_name 类型名称。更多信息,请参见表 1。 type_alias 类型别名 uuid 客户端号 check_item 检查项名称 check_level 检查项级别 check_type 检查项类型 表 1. 基线type-sub-type列表 type_name sub_type_name system baseline weak_password postsql_weak_password database redis_check account system_account_security account system_account_security weak_password mysq_weak_password weak_password ftp_anonymous weak_password rdp_weak_password system group_policy system register account system_account_security weak_password sqlserver_weak_password system register weak_password ssh_weak_password weak_password ftp_weak_password cis centos7 cis tomcat7 cis memcached-check cis mongodb-check cis ubuntu14 cis win2008_r2 system file_integrity_mon cis linux-httpd-2.2-cis cis linux-docker-1.6-cis cis SUSE11 cis redhat6 cis bind9.9 cis centos6 cis debain8 cis redhat7 cis SUSE12 cis ubuntu16 表 2. 安全日志状态码 状态值 说明 1 未修复 2 修复失败 3 回滚失败 4 修复中 5 回滚中 6 验证中 7 修复成功 8 修复成功待重启 9 回滚成功 10 忽略 11 回滚成功待重启 12 已不存在 20 已失效 - 安全告警日志
日志字段 说明 __topic__ 日志主题,固定为sas-security-log。 data_source 数据源。更多信息,请参见表 3。 level 告警级别 name 名称 op 操作信息,包括: - new:新增
- dealing:处理
status 状态。更多信息,请参见表 2。 uuid 客户端号 detail 告警详情 unique_info 告警的唯一标识 表 3. 安全告警data_source列表 值 描述 aegis_suspicious_event 主机异常 aegis_suspicious_file_v2 Webshell aegis_login_log 异常登录 security_event 安全中心异常事件
主机日志
- 进程启动日志
日志字段 说明 __topic__ 日志主题,固定为aegis-log-process。 uuid 客户端号 ip 客户端主机的IP地址 cmdline 用户启动完整命令行 username 用户名 uid 用户ID pid 进程ID filename 进程文件名 filepath 进程文件完整路径 groupname 用户组 ppid 父进程ID pfilename 父进程文件名 pfilepath 父进程文件完整路径 cmd_chain 进程链 containerhostname 容器主机名 containerpid 容器PID containerimageid 镜像ID containerimagename 镜像名称 containername 容器名称 containerid 容器ID cwd 进程运行目录 - 进程快照日志
日志字段 说明 __topic__ 日志主题,固定为aegis-snapshot-process。 owner_id 阿里云账号ID uuid 客户端号 ip 客户端主机的IP地址 cmdline 用户启动完整命令行 pid 进程ID name 进程文件名 path 进程文件完整路径 md5 进程文件进行MD5计算,超过1 MB的进程文件不进行计算。 pname 父进程文件名 start_time 进程启动时间,内置字段 user 用户名 uid 用户ID - 登录日志
1分钟内重复登录会被合并为1条日志。
日志字段 说明 __topic__ 日志主题,固定为aegis-log-login。 owner_id 阿里云账号ID uuid 客户端号 ip 客户端主机的IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。 warn_user 登录用户名 warn_count 登录次数,例如3次表示这次登录前1分钟内还发送了2次。 - 暴力破解日志
字段名 说明 __topic__ 日志主题,固定为aegis-log-crack。 owner_id 阿里云账号ID uuid 客户端号 ip 客户端主机的IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN。 warn_user 登录用户名 warn_count 失败登录次数 - 主机网络连接日志
主机上每隔10秒到1分钟会收集变化的网络连接。
日志字段 说明 __topic__ 日志主题,固定为aegis-log-network。 owner_id 阿里云账号ID uuid 客户端号 ip 客户端主机的IP地址 src_ip 源IP地址 src_port 源端口 dst_ip 目标IP地址 dst_port 目标端口 proc_name 进程名 proc_path 进程路径 proto 连接协议 status 连接状态。更多信息,请参见表 4。 表 4. 网络连接状态描述列表 状态值 描述 1 closed 2 listen 3 syn send 4 syn recv 5 establisted 6 close wait 7 closing 8 fin_wait1 9 fin_wait2 10 time_wait 11 delete_tcb - 端口监听快照
日志字段 说明 __topic__ 日志主题,固定为aegis-snapshot-port。 owner_id 阿里云账号ID uuid 客户端号 ip 客户端IP地址 proto 监听协议 src_ip 监听IP地址 src_port 监听端口 pid 进程ID proc_name 进程名 - 账户快照
日志字段 说明 __topic__ 日志主题,固定为aegis-snapshot-host。 owner_id 阿里云账号ID name 漏洞名称 alias_name 漏洞别名 op 操作信息,包括: - new:新增
- verify:验证
- fix:修复
status 连接状态。更多信息,请参见表 4。 tag 漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。 type 漏洞类型,包括: - sys:windows漏洞
- cve:Linux漏洞
- cms:Web CMS漏洞
- EMG:紧急漏洞
uuid 客户端号