本文档提供了云安全中心日志的字段说明。

实时数据

字段名说明示例
dir网络连接方向。取值:
  • in:入方向
  • out:出方向
in
src_ip网络连接发起者的IP。
  • dir为out时表示本机
  • dir为in时表示对端主机
10.240.XX.XX
src_port网络连接发起者的端口。24680
dst_ip网络连接接收者的IP。
  • dir为out时表示对端主机
  • dir为in时表示本机
10.240.XX.XX
dst_port网络连接接收者端口。22
status网络连接状态。
说明 实时日志中该参数的取值为随机赋予,取值无任何意义,您无需关注。
2
type实时网络连接的类型。取值:
  • connect:主动发起TCP connect连接
  • accept:收到TCP连接
  • listen:端口监听
listen

快照数据(资产指纹)

字段名说明示例
proc_path进程路径。"/usr/sbin/sshd"
proc_cmdline进程命令行。"/usr/sbin/sshd -D"
pid进程ID。1158
ppid父进程ID。1
dir网络连接方向。取值:
  • in:入方向
  • out:出方向
in
src_ip网络连接发起者的IP。
  • dir为out时表示本机
  • dir为in时表示对端主机
10.240.XX.XX
src_port网络连接发起者的端口。24680
dst_ip网络连接接收者的IP。
  • dir为out时表示对端主机
  • dir为in时表示本机
10.240.XX.XX
dst_port网络连接接收者端口。22
status网络连接状态。取值:
  • 1:TCP_STATE_CLOSED(连接关闭/未打开)
  • 2:TCP_STATE_LISTEN(监听中)
  • 3:TCP_STATE_SYN_SENT(发送SYN包)
  • 4:TCP_STATE_SYN_RCVD(SYN包已接收)
  • 5:TCP_STATE_ESTABLISHED(已建立连接)
  • 6:TCP_STATE_CLOSE_WAIT(等待关闭)
  • 7:TCP_STATE_CLOSING(双方都在关闭连接)
  • 8:TCP_STATE_FIN_WAIT1(主动关闭方发送FIN等待ACK)
  • 9:TCP_STATE_FIN_WAIT2(主动关闭方收到ACK)
  • 10:TCP_STATE_LAST_ACK(被动关闭方等待ACK)
  • 11:TCP_STATE_TIME_WAIT(主动关闭方收到FIN并发送ACK)
2

网络日志

DNS解析日志

字段名说明示例
additionaladditional字段,竖线分隔。
additional_numadditional字段数量。0
answerDNS回答信息,竖线分隔。example.com A IN 52 1.2.XX.XX
answer_numDNS回答信息数量。1
authorityauthority字段。NS IN 17597
authority_numauthority字段数量。1
client_subnet客户端子网。172.168.XX.XX
dst_ip目标IP。1.2.XX.XX
dst_port目标端口。53
in_out数据的传输方向,取值:
  • in:流入
  • out:流出
out
qid查询ID。12345
qname查询域名。example.com
qtype查询类型。A
query_datetime查询时间戳(毫秒)。1537840756263
rcode返回代码。0
region来源区域ID。取值:
  • 1:北京
  • 2:青岛
  • 3:杭州
  • 4:上海
  • 5:深圳
  • 6:其他
1
response_datetime返回时间。2018-09-25 09:59:16
src_ip源IP地址。1.2.XX.XX
src_port源端口。22

本地DNS日志

字段名说明示例
answer_rdaDNS回答信息,竖线分隔。example.com
answer_ttlDNS回答的时间周期,竖线分隔。100
answer_typeDNS回答的类型,竖线分隔。1
anwser_nameDNS回答的名称,竖线分隔。example.com
dest_ip目标IP地址。1.2.XX.XX
dest_port目标端口。53
group_id分组ID。3
hostname主机名。hostname
id查询的ID。64588
instance_id实例ID。i-2zeg4zldn8zypsfg****
internet_ip公网IP地址。1.2.XX.XX
ip_ttlIP的周期。64
query_name查询的域名。example.com
query_type查询的类型。取值:
  • 1:A记录
  • 2:NS记录
  • 3:NXDOMAIN记录
  • 5:CNAME记录
  • 10:NULL记录
  • 15:MX记录
  • 16:TXT记录
  • 25:KEY记录
  • 28:AAAA记录
  • 33:SRV记录
1
src_ip源IP地址。1.2.XX.XX
src_port源端口。1234
time查询时间戳(秒)。1537840756
time_usecond响应耗时(微秒)。49069
tunnel_id通道ID。514763

网络会话日志

字段名说明示例
asset_type产生日志的资产。取值:
  • ECS
  • SLB
  • RDS
ECS
dst_ip目标IP地址。1.2.XX.XX
dst_port目标端口。53
proto协议类型。取值:
  • tcp
  • udp
tcp
session_time会话开始时间。2018-09-25 09:59:49
src_ip源IP地址。1.2.XX.XX
src_port源端口。54

Web访问日志

字段名说明示例
content_length消息实体的传输长度。单位为:字节。123
dst_ip目的IP地址。1.2.XX.XX
dst_port目的端口。54
host访问的主机。47.XX.XX.158:8080
jump_location重定向地址。123
methodHTTP请求方式。GET
referer客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP连接。www.example.com
request_datetime请求时间。2018-09-25 09:58:37
ret_code返回状态值。200
rqs_content_type请求内容类型。text/plain;charset=utf-8
rsp_content_type响应内容类型。text/plain; charset=utf-8
src_ip源IP地址。1.2.XX.XX
src_port源端口。54
uri请求URI。/report
user_agent向用户客户端发起的请求。okhttp/3.2.0
x_forward_for路由跳转信息。1.2.XX.XX

安全日志

漏洞日志

字段名说明示例
name漏洞名称。oval:com.redhat.rhsa:def:20182390
alias_name漏洞别名。RHSA-2018:2390: kernel security and bug fix update
op漏洞的处理动作。取值:
  • new:新增
  • verify:验证
  • fix:修复
new
status漏洞状态信息。1
tag漏洞的标签。取值:
  • oval:Linux软件漏洞
  • system:Windows系统漏洞
  • cms:Web-CMS漏洞
    说明 其他类型的漏洞的标签为随机字符串。
oval
type漏洞类型。取值:
  • sys:windows系统漏洞
  • cve:Linux软件漏洞
  • cms:Web-CMS漏洞
  • emg:紧急漏洞
sys
uuid服务器UUID。1234-b7ca-4a0a-9267-12****

基线日志

字段名说明示例
level风险项级别。取值:
  • high:高
  • mediam:中
  • low:低
low
op操作信息。取值:
  • new:新增
  • verity:验证
new
risk_name风险项名称。密码策略合规检测
status状态信息。更多信息,请参见安全日志状态码1
sub_type_alias子类型别名(中文)。系统账户安全
sub_type_name子类型名称。system_account_security
type_name检测类型名称。account
type_alias类型别名(中文)。cis
uuid检测出当前风险项的服务器UUID。12345-b7ca-4a0a-9267-123456

基线类型及子类型列表

类型名称子类型名称描述
hc_exploithc_exploit_redis高危风险利用-Redis未授权访问高危风险
hc_exploithc_exploit_activemq高危风险利用-ActiveMQ未授权访问高危风险
hc_exploithc_exploit_couchdb高危风险利用-CouchDB未授权访问高危风险
hc_exploithc_exploit_docker高危风险利用-Docker未授权访问高危风险
hc_exploithc_exploit_es高危风险利用-Elasticsearch未授权访问高危风险
hc_exploithc_exploit_hadoop高危风险利用-Hadoop未授权访问高危风险
hc_exploithc_exploit_jboss高危风险利用-Jboss未授权访问高危风险
hc_exploithc_exploit_jenkins高危风险利用-Jenkins未授权访问高危风险
hc_exploithc_exploit_k8s_api高危风险利用Kubernetes-Apiserver未授权访问高危风险
hc_exploithc_exploit_ldap高危风险利用-LDAP未授权访问高危风险(Windows环境)
hc_exploithc_exploit_ldap_linux高危风险利用-openLDAP未授权访问高危风险(Linux环境)
hc_exploithc_exploit_memcache高危风险利用-Memcached未授权访问高危风险
hc_exploithc_exploit_mongo高危风险利用-Mongodb未授权访问高危风险
hc_exploithc_exploit_pgsql高危风险利用-Postgresql未授权访问高危风险基线
hc_exploithc_exploit_rabbitmq高危风险利用-RabbitMQ未授权访问高危风险
hc_exploithc_exploit_rsync高危风险利用-rsync未授权访问高危风险
hc_exploithc_exploit_tomcat高危风险利用-Apache Tomcat AJP文件包含漏洞风险
hc_exploithc_exploit_zookeeper高危风险利用-ZooKeeper未授权访问高危风险
hc_containerhc_docker阿里云标准-Docker安全基线检查
hc_containerhc_middleware_ack_masterCIS标准-Kubernetes(ACK) Master节点安全基线检查
hc_containerhc_middleware_ack_nodeCIS标准-Kubernetes(ACK) Node节点安全基线检查
hc_containerhc_middleware_k8s阿里云标准-Kubernetes-Master安全基线检查
hc_containerhc_middleware_k8s_node阿里云标准-Kubernetes-Node安全基线检查
cishc_suse 15_djbh等保三级-SUSE 15合规基线检查
cishc_aliyun_linux3_djbh_l3等保三级-Alibaba Cloud Linux 3合规基线检查
cishc_aliyun_linux_djbh_l3等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查
cishc_bind_djbh等保三级-Bind合规基线检查
cishc_centos 6_djbh_l3等保三级-CentOS Linux 6合规基线检查
cishc_centos 7_djbh_l3等保三级-CentOS Linux 7合规基线检查
cishc_centos 8_djbh_l3等保三级-CentOS Linux 8合规基线检查
cishc_debian_djbh_l3等保三级-Debian Linux 8/9/10合规基线检查
cishc_iis_djbh等保三级-IIS合规基线检查
cishc_informix_djbh等保三级-Informix合规基线检查
cishc_jboss_djbh等保三级-Jboss合规基线检查
cishc_mongo_djbh等保三级-MongoDB合规基线检查
cishc_mssql_djbh等保三级-SQL Server合规基线检查
cishc_mysql_djbh等保三级-MySql合规基线检查
cishc_nginx_djbh等保三级-Nginx合规基线检查
cishc_oracle_djbh等保三级-Oracle合规基线检查
cishc_pgsql_djbh等保三级-PostgreSql合规基线检查
cishc_redhat 6_djbh_l3等保三级-Redhat Linux 6合规基线检查
cishc_redhat_djbh_l3等保三级-Redhat Linux 7合规基线检查
cishc_redis_djbh等保三级-Redis合规基线检查
cishc_suse 10_djbh_l3等保三级-SUSE 10合规基线检查
cishc_suse 12_djbh_l3等保三级-SUSE 12合规基线检查
cishc_suse_djbh_l3等保三级-SUSE 11合规基线检查
cishc_ubuntu 14_djbh_l3等保三级-Ubuntu 14合规基线检查
cishc_ubuntu_djbh_l3等保三级-Ubuntu 16/18/20合规基线检查
cishc_was_djbh等保三级-Websphere Application Server合规基线检查
cishc_weblogic_djbh等保三级-Weblogic合规基线检查
cishc_win 2008_djbh_l3等保三级-Windows 2008 R2合规基线检查
cishc_win 2012_djbh_l3等保三级-Windows 2012 R2合规基线检查
cishc_win 2016_djbh_l3等保三级-Windows 2016/2019 合规基线检查
cishc_aliyun_linux_djbh_l2等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查
cishc_centos 6_djbh_l2等保二级-CentOS Linux 6合规基线检查
cishc_centos 7_djbh_l2等保二级-CentOS Linux 7合规基线检查
cishc_debian_djbh_l2等保二级-Debian Linux 8合规基线检查
cishc_redhat 7_djbh_l2等保二级-Redhat Linux 7合规基线检查
cishc_ubuntu_djbh_l2等保二级-Ubuntu16/18合规基线检查
cishc_win 2008_djbh_l2等保二级-Windows 2008 R2合规基线检查
cishc_win 2012_djbh_l2等保二级-Windows 2012 R2合规基线检查
cishc_win 2016_djbh_l2等保二级-Windows 2016/2019 合规基线检查
cishc_aliyun_linux_cisCIS标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查
cishc_centos 6_cis_rulesCIS标准-CentOS Linux 6安全基线检查
cishc_centos 7_cis_rulesCIS标准-CentOS Linux 7安全基线检查
cishc_centos 8_cis_rulesCIS标准-CentOS Linux 8安全基线检查
cishc_debian 8_cis_rulesCIS标准-Debian Linux 8安全基线检查
cishc_ubuntu 14_cis_rulesCIS标准-Ubuntu 14安全基线检查
cishc_ubuntu 16_cis_rulesCIS标准-Ubuntu 16/18/20安全基线检查
cishc_win 2008_cis_rulesCIS标准-Windows Server 2008 R2安全基线检查
cishc_win 2012_cis_rulesCIS标准-Windows Server 2012 R2安全基线检查
cishc_win 2016_cis_rulesCIS标准-Windows Server 2016/2019 R2安全基线检查
cishc_kylin_djbh_l3等保三级-麒麟合规基线检查
cishc_uos_djbh_l3等保三级-Uos合规基线检查
hc_best_securityhc_aliyun_linux阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查
hc_best_securityhc_centos 6阿里云标准-CentOS Linux 6安全基线检查
hc_best_securityhc_centos 7阿里云标准-CentOS Linux 7/8安全基线检查
hc_best_securityhc_debian阿里云标准-Debian Linux 8/9/10安全基线检查
hc_best_securityhc_redhat 6阿里云标准-Redhat Linux 6安全基线检查
hc_best_securityhc_redhat 7阿里云标准-Redhat Linux 7/8安全基线检查
hc_best_securityhc_ubuntu阿里云标准-Ubuntu安全基线检查
hc_best_securityhc_windows_2008阿里云标准-Windows 2008 R2安全基线检查
hc_best_securityhc_windows_2012阿里云标准-Windows 2012 R2安全基线检查
hc_best_securityhc_windows_2016阿里云标准-Windows 2016/2019 安全基线检查
hc_best_securityhc_db_mssql阿里云标准-SQL server安全基线检查
hc_best_securityhc_memcached_ali阿里云标准-Memcached安全基线检查
hc_best_securityhc_mongodb阿里云标准-MongoDB 3.x版本安全基线检查
hc_best_securityhc_mysql_ali阿里云标准-Mysql安全基线检查
hc_best_securityhc_oracle阿里云标准-Oracle 11g安全基线检查
hc_best_securityhc_pgsql_ali阿里云标准-PostgreSql安全基线检查
hc_best_securityhc_redis_ali阿里云标准-Redis安全基线检查
hc_best_securityhc_apache阿里云标准-Apache安全基线检查
hc_best_securityhc_iis_8阿里云标准-IIS 8安全基线检查
hc_best_securityhc_nginx_linux阿里云标准-Nginx安全基线检查
hc_best_securityhc_suse 15阿里云标准-SUSE Linux 15安全基线检查
hc_best_securitytomcat 7阿里云标准-Apache Tomcat 安全基线检查
weak_passwordhc_mongodb_pwd弱口令-MongoDB登录弱口令检测(支持2.x版本)
weak_passwordhc_weakpwd_ftp_linux弱口令-FTP登录弱口令检查
weak_passwordhc_weakpwd_linux_sys弱口令-Linux系统登录弱口令检查
weak_passwordhc_weakpwd_mongodb 3弱口令-MongoDB登录弱口令检测
weak_passwordhc_weakpwd_mssql弱口令-SQL Server数据库登录弱口令检查
weak_passwordhc_weakpwd_mysql_linux弱口令-Mysql数据库登录弱口令检查
weak_passwordhc_weakpwd_mysql_win弱口令-Mysql数据库登录弱口令检查(Windows版)
weak_passwordhc_weakpwd_openldap弱口令-Openldap登录弱口令检查
weak_passwordhc_weakpwd_oracle弱口令-Oracle登录弱口令检测
weak_passwordhc_weakpwd_pgsql弱口令-PostgreSQL数据库登录弱口令检查
weak_passwordhc_weakpwd_pptp弱口令-pptpd服务登录弱口令检查
weak_passwordhc_weakpwd_redis_linux弱口令-Redis数据库登录弱口令检查
weak_passwordhc_weakpwd_rsync弱口令-rsync服务登录弱口令检查
weak_passwordhc_weakpwd_svn弱口令-svn服务登录弱口令检查
weak_passwordhc_weakpwd_tomcat_linux弱口令-Apache Tomcat控制台弱口令检查
weak_passwordhc_weakpwd_vnc弱口令-VncServer弱口令检查
weak_passwordhc_weakpwd_weblogic弱口令-Weblogic 12c登录弱口令检测
weak_passwordhc_weakpwd_win_sys弱口令-Windows系统登录弱口令检查

安全日志状态码

状态值描述
1未修复
2修复失败
3回滚失败
4修复中
5回滚中
6验证中
7修复成功
8修复成功待重启
9回滚成功
10忽略
11回滚成功待重启
12已不存在
20已失效

安全告警状态码

状态值描述
1待处理
2已忽略
4已确认
8已标记误报
16处理中
32处理完毕
64已经过期
128已经删除
512自动拦截中
513自动拦截完毕

基线日志状态码

状态值描述
1未通过
2验证中
3已通过
5已经失效
6已经忽略
7修复中

安全告警日志

字段名说明示例
data_source数据源。更多信息,请参见安全告警data_source列表aegis_login_log
level告警事件的危险等级。取值(以下等级排序按照严重等级递减):
  • serious:紧急
  • suspicious:可疑
  • remind:提醒
suspicious
name告警名称。Suspicious Process-SSH-based Remote Execution of Non-interactive Commands
op操作信息。取值:
  • new:新增
  • dealing:处理
  • update:更新
new
status状态信息。更多信息,请参见安全日志状态码1
uuid产生告警的服务器UUID。12345-b7ca-4a0a-9267-123456
detail告警详细信息。
说明 告警类型不同,日志中的detail字段包含的内容也不同。如果您在查看告警日志时,对detail字段中的参数有疑问,您可以通过提交工单联系技术支持人员
由于detail字段内容较长,以下示例截取了非常用登录地登录服务器的告警日志中,detail字段的部分内容:{"loginSourceIp":"120.27.XX.XX","loginTimes":1,"type":"login_common_location","loginDestinationPort":22,"loginUser":"aike","protocol":2,"protocolName":"SSH","location":"青岛市"}
unique_info告警的唯一标识。2536dd765f804916a1fa3b9516b5****

安全告警data_source列表

描述
aegis_suspicious_event主机异常
aegis_suspicious_file_v2WebShell
aegis_login_log异常登录
security_event云安全中心异常事件

主机日志

进程启动日志

字段名说明示例
uuid进程所在服务器的UUID。5d83b26b-b7ca-4a0a-9267-12****
ip客户端主机的IP地址。1.2.XX.XX
cmdline进程启动的完整命令行。cmd.exe /C "netstat -ano“
username用户名。administrator
uid用户ID。123
pid进程ID。7100
filename进程文件名。cmd.exe
filepath进程文件完整路径。C:/Windows/SysWOW64/cmd.exe
groupname用户组。group1
ppid父进程ID。2296
pfilename父进程文件名。client.exe
pfilepath父进程文件完整路径。D:/client/client.exe
cmd_chain进程链。
[
    {
        "9883":"bash -c kill -0 -- -'6274'"
    },
    {
        "19617":"/opt/java8/bin/java -Dproc_nodemanager -Xmx8192m -Dhdp.version=2.6.XX.XX-292 -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir= -Dyarn.id.str=yarn -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -Dyarn.policy.file=hadoop-policy.xml -Djava.io.tmpdir=/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -server -Dnm.audit.logger=INFO,NMAUDIT -Dnm.audit.logger=INFO,NMAUDIT -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir=/usr/hdp/2.6.XX.XX-292/hadoop-yarn -Dhadoop.home.dir=/usr/hdp/2.6.XX.XX-292/hadoop -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -classpath /usr/hdp/2.6.XX.XX-292/hadoop/conf:/usr/hdp/2.6.XX.XX-292/hadoop/conf:/usr/hdp/2.6.XX.XX-292/hadoop/conf:/usr/hdp/2.6.XX.XX-292/hadoop/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-hdfs/./:/usr/hdp/2.6.XX.XX-292/hadoop-hdfs/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop-hdfs/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-mapreduce/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop-mapreduce/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop/conf/nm-config/log4j.properties org.apache.hadoop.yarn.server.nodemanager.NodeManager"
    }
]
containerhostname容器内服务器名称。gamify-answer-bol-5-6876d5dc78-vf****
containerpid容器内进程ID。0
containerimageid镜像ID。sha256:7fee4a991f7c41c5511234dfea37a2a5c70c894fa7b4ca5c08d9fad74077****
containerimagename镜像名称。registry-vpc.cn-north-2-gov-1.aliyuncs.com/lippi-dingtalk/gamify-answer-bol-start:2020111714****
containername容器名称。k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e010b62_0****
containerid容器ID。b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86****
cmd_chain_index进程链索引,可以通过相同索引查找进程链。P253
cmd_index命令行每个参数的索引,每两个为一组,标识一个参数的起止索引。0,3,5,8
comm进程关联的命令名。N/A
gid进程组的ID。0
parent_cmd_line父进程的命令行。/bin/sh -c ip a |grep inet|grep -v inet6|grep -v 127.0.0.1|grep -v 'inet 192.168.'|grep -v 'inet 10.'|awk '{print $2}'|sed 's#/[0-9]*##g'
pid_start_time父进程的启动时间。2022-01-12 15:27:46
srv_cmd祖进程的命令行。/www/server/panel/pyenv/bin/python /www/server/panel/BT-Task
stime进程的启动时间。2022-01-12 15:27:46

进程快照日志

字段名说明示例
uuid进程所在服务器的UUID。5d83b26b-b7ca-4a0a-9267-12****
ip客户端主机的IP地址。1.2.XX.XX
cmdline进程启动的完整命令行。cmd.exe /C "netstat -ano"
pid进程ID。7100
name进程文件名。cmd.exe
path进程文件所在的完整路径。C:/Windows/SysWOW64/cmd.exe
md5进程文件名MD5。
说明 超过1 MB的进程文件不进行MD5计算。
d0424c22dfa03f6e4d5289f7f5934dd4
pname父进程文件名。client.exe
start_time进程启动时间。内置字段。2018-01-18 20:00:12
user用户名。administrator
uid用户ID。123

登录日志

说明 1分钟内的重复登录会被合并为1条日志,字段warn_count表示次数。
字段名说明示例
uuid被登录的服务器的UUID。5d83b26b-b7ca-4a0a-9267-12****
ip客户端主机的IP地址。1.2.XX.XX
warn_ip登录来源IP地址。1.2.XX.XX
warn_port登录端口。22
warn_type登录类型。取值:
  • SSHLOGIN:SSH登录
  • RDPLOGIN:远程桌面登录
  • IPCLOGIN:IPC连接登录
SSHLOGIN
warn_user登录用户名。admin
warn_count登录次数。1分钟内重复登录会被合并为1条日志。例如warn_count值为3表示这次登录前1分钟内还登录了2次。3

暴力破解日志

字段名说明示例
uuid被暴力破解的服务器UUID。5d83b26b-b7ca-4a0a-9267-12*****
ip服务器IP地址。1.2.XX.XX
warn_ip登录来源IP地址。1.2..XX.XX
warn_port登录端口。22
warn_type登录类型。取值:
  • SSHLOGIN:SSH登录
  • RDPLOGIN:远程桌面登录
  • IPCLOGIN:IPC连接登录
SSHLOGIN
warn_user登录用户名。admin
warn_count失败登录次数。3

网络连接日志

说明 服务器每隔10秒到1分钟会收集变化的网络连接,服务器只收集网络连接从建立到结束过程中的部分状态。
字段名说明示例
uuid服务器的UUID。5d83b26b-b7ca-4a0a-9267-12****
ip服务器IP地址。1.2.XX.XX
src_ip源IP地址。1.2.XX.XX
src_port源端口。41897
dst_ip目标IP地址。1.2.XX.XX
dst_port目标端口。22
proc_name进程名。java
proc_path进程路径。/hsdata/jdk1.7.0_79/bin/java
proto协议。取值:
  • tcp
  • udp
  • raw(表示raw socket)
tcp
status连接状态。更多信息请参见网络连接状态描述列表5
cmd_chain进程链。
[
    {
        "9883":"bash -c kill -0 -- -'6274'"
    },
    {
        "19617":"/opt/java8/bin/java -Dproc_nodemanager -Xmx8192m -Dhdp.version=2.6.XX.XX-292 -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir= -Dyarn.id.str=yarn -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -Dyarn.policy.file=hadoop-policy.xml -Djava.io.tmpdir=/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -server -Dnm.audit.logger=INFO,NMAUDIT -Dnm.audit.logger=INFO,NMAUDIT -Dhadoop.log.dir=/var/log/hadoop-yarn/yarn -Dyarn.log.dir=/var/log/hadoop-yarn/yarn -Dhadoop.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.log.file=yarn-yarn-nodemanager-s-tencentyun-10-54-42-64.hx.log -Dyarn.home.dir=/usr/hdp/2.6.XX.XX-292/hadoop-yarn -Dhadoop.home.dir=/usr/hdp/2.6.XX.XX-292/hadoop -Dhadoop.root.logger=INFO,EWMA,RFA -Dyarn.root.logger=INFO,EWMA,RFA -Djava.library.path=:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native/Linux-amd64-64:/usr/hdp/2.6.XX.XX-292/hadoop/lib/native:/var/lib/ambari-agent/tmp/hadoop_java_io_tmpdir -classpath /usr/hdp/2.6.XX.XX-292/hadoop/conf:/usr/hdp/2.6.XX.XX-292/hadoop/conf:/usr/hdp/2.6.XX.XX-292/hadoop/conf:/usr/hdp/2.6.XX.XX-292/hadoop/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-hdfs/./:/usr/hdp/2.6.XX.XX-292/hadoop-hdfs/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop-hdfs/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-mapreduce/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop-mapreduce/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/.//*:/usr/hdp/2.6.XX.XX-292/hadoop-yarn/lib/*:/usr/hdp/2.6.XX.XX-292/hadoop/conf/nm-config/log4j.properties org.apache.hadoop.yarn.server.nodemanager.NodeManager"
    }
]
pid进程ID。123
ppid父进程ID。1
container_hostname容器内服务器名称。gamify-answer-bol-5-6876d5dc78-v****
container_pid容器内进程ID。0
container_image_id镜像ID。sha256:7fee4a991f7c41c5511234dfea37a2a5c70c894fa7b4ca5c08d9fad74077****
container_image_name镜像名称。registry-vpc.cn-north-2-gov-1.aliyuncs.com/lippi-dingtalk/gamify-answer-bol-start:2020111714****
container_name容器名称。k8s_gamify-answer-bol_gamify-answer-bol-5-6876d5dc78-vf6rb_study-gamify-answer-bol_483a1ed1-28b7-11eb-bc35-00163e010b62_0****
container_id容器ID。b564567427272d46f9b1cc4ade06a85fdf55075c06fdb870818d5925fa86****
cmd_chain_index进程链索引,可以通过相同索引查找进程链。P3285
parent_proc_file_name父进程的文件名。/usr/bin/bash
proc_start_time进程的启动时间。N/A
srv_comm祖进程关联的命令名。python
uid进程用户的ID。-1
username进程的用户名。N/A

网络连接状态描述列表

状态值描述
1closed
2listen
3syn send
4syn recv
5establisted
6close wait
7closing
8fin_wait1
9fin_wait2
10time_wait
11delete_tcb

端口监听快照

字段名说明示例
uuid服务器的UUID。5d83b26b-b7ca-4a0a-9267-12****
ip服务器的IP地址。1.2.XX.XX
proto通信使用的协议。取值:
  • tcp
  • udp
  • raw(表示raw socket)
tcp
src_ip监听的IP地址。1.2.XX.XX
src_port监听端口。41897
pid进程ID。7100
proc_name进程名。kubelet

账号快照

说明 账号快照展示了在您资产中检测到的账号信息。
字段名说明示例
uuid服务器的UUID。5d83b26b-b7ca-4a0a-9267-12****
ip服务器IP地址。1.2.XX.XX
user用户名称。nscd
perm是否拥有登录服务器root权限。取值:
  • 0:没有root权限。
  • 1:有root权限。
0
home_dirhome目录。/Users/abc
groups用户所在的分组。不属于任何组时为N/A["users", "root"]
last_chg密码最后的修改日期。2017-08-24
shellLinux的Shell命令。/sbin/nologin
domainWindows域。不属于任何域为N/Aadministrator
tty登录的终端。账号从未登录过终端时为N/Apts/3
warn_time密码到期提醒日期。永不提醒时为never2017-08-24
account_expire账号过期日期。永不过期时为never2017-08-24
passwd_expire密码过期日期。永不过期时为never2017-08-24
login_ip最后一次登录的远程IP地址。账号从未登录时为N/A1.2.XX.XX
last_logon最后一次登录的日期和时间。账号从未登录时为N/A2017-08-21 09:21:21
status用户账号状态,取值:
  • 0:账号已被禁止登录
  • 1:账号可正常登录
0