日志类别及字段说明 - 云安全中心

云安全中心默认开启了安全日志、网络日志、主机日志三大类日志，每种类型日志下包含了多项具体的日志分类。本文介绍云安全中心支持的日志类型以及每种日志类型的字段说明。

日志分类

云安全中心分为安全日志、网络日志和主机日志。云安全中心企业版和旗舰版支持所有日志类型；防病毒版和高级版仅支持主机和安全两大类日志，不支持网络日志。

网络日志类型

日志类型	__topic__	描述	采集周期
Web访问日志	sas-log-http	记录用户请求Web服务器和Web服务器响应的日志，包括HTTP请求的详细信息，例如用户IP地址、请求时间、请求方法、请求URL、HTTP状态码、响应大小等。 Web访问日志通常用于分析Web流量和用户行为、识别访问模式和异常情况、优化网站性能等。	数据延迟采集，延迟时间一般为：1~12小时
DNS解析日志	sas-log-dns	记录DNS解析过程详细信息的日志，包括请求域名、查询类型、客户端IP地址、响应值等信息。通过分析DNS解析日志，您可以了解DNS解析的请求和响应过程，检测异常的解析行为、DNS劫持、DNS污染等问题。
本地DNS日志	local-dns	记录在本地DNS服务器上的DNS查询和响应的日志，包括本地DNS请求和响应的详细信息，包括请求域名、查询类型、客户端IP地址、响应值等。通过本地DNS日志，您可以了解网络中的DNS查询活动，检测异常的查询行为、域名劫持和DNS污染等问题
网络会话日志	sas-log-session	记录网络连接和数据传输的日志，包括网络会话的详细信息，包括会话开始时间、双方IP地址、使用的协议和端口等。网络会话日志通常用于监控网络流量和识别潜在威胁、优化网络性能等。

主机日志类型

日志类型	__topic__	描述	采集周期
登录流水日志	aegis-log-login	记录用户登录服务器的日志，包括登录时间、登录用户、登录方式、登录IP地址等信息。登录流水日志可以帮助您监控用户的活动，及时识别和响应异常行为，从而保障系统的安全性。说明云安全中心不支持Windows Server 2008操作系统的登录流水日志。	实时采集。
网络连接日志	aegis-log-network	记录网络连接活动的日志，包括服务器连接五元组、连接时间、连接状态等信息。网络连接日志可以帮助您发现异常连接行为，识别潜在的网络攻击，优化网络性能等。说明服务器只收集网络连接从建立到结束过程中的部分状态。	实时采集
进程启动日志	aegis-log-process	记录服务器上进程启动相关的日志，包括进程启动时间、启动命令、参数等信息。通过记录和分析进程启动日志，您可以了解系统中进程的启动情况和配置信息，检测异常进程活动、恶意软件入侵和安全威胁等问题。	实时采集，进程启动立刻上报。
暴力破解日志	aegis-log-crack	记录暴力破解行为的日志，包括尝试登录及破解系统、应用程序或账号的信息。通过记录和分析暴力破解日志，您可以了解系统或应用程序受到的暴力破解攻击，检测异常的登录尝试、弱密码和凭证泄露等问题。暴力破解日志还可以用于追踪恶意用户和取证分析，协助安全团队进行事件响应和调查工作。	实时采集。
账号快照日志	aegis-snapshot-host	记录系统或应用程序中用户账号详细信息的日志，包括账号的基本属性，例如用户名、密码策略、登录历史等。通过比较不同时间点的账号快照日志，您可以了解用户账号的变化和演变情况，及时检测潜在的账号安全问题，例如未授权的账号访问、异常的账号状态等。	开启资产指纹自动采集功能时，按照设定的周期自动采集。资产指纹自动采集的更多信息，请参见资产指纹调查。未开启资产指纹自动采集功能时，每台服务器一天非固定时间收集一次。
端口快照日志	aegis-snapshot-port	记录网络端口状态的日志，包括端口开放状态、占用情况、与端口关联的进程等信息。通过记录和分析端口快照日志，您可以了解系统或网络设备上的端口开放情况和占用情况，检测潜在的安全漏洞、异常端口活动和未授权服务等问题。
进程快照日志	aegis-snapshot-process	记录系统重进程活动的日志，包括进程ID、进程名称、进程启动时间等信息。通过记录和分析进程快照日志，您可以了解系统中进程的活动情况、资源占用情况，检测异常进程、CPU占用和内存泄漏等问题。
DNS请求日志	aegis-log-dns-query	记录DNS查询请求的日志，包括服务器发送DNS查询请求的详细信息，例如查询的域名、查询类型、查询来源等信息。通过分析DNS请求日志，您可以了解网络中的DNS查询活动，检测异常的查询行为、域名劫持和DNS污染等问题。	实时采集。

安全日志类型

日志类型	__topic__	描述	采集周期
漏洞日志	sas-vul-log	记录系统或应用程序中发现的漏洞相关信息的日志，包括漏洞名称、漏洞状态、处理动作等信息。通过记录和分析漏洞日志，您可以了解系统中存在的漏洞情况、安全风险和攻击趋势，及时采取相应的补救措施。	实时采集。
基线日志	sas-hc-log	记录基线风险检查结果的日志，包括基线等级、基线类别、风险等级等信息。通过记录和分析基线风险日志，您可以了解系统的基线安全状态和潜在的风险。说明仅记录首次出现且未通过的检查项数据，以及在历史检测中已通过但重新检测后未通过的检查项数据。	实时采集。
安全告警日志	sas-security-log	记录系统或应用程序中发生的安全事件和告警信息的日志，包括告警数据源、告警详情、告警等级等信息。通过记录和分析安全告警日志，您可以了解系统中的安全事件和威胁情况，及时采取相应的响应措施。	实时采集。
云平台配置检查日志	sas-cspm-log	记录云平台配置检查相关的日志，包括云平台配置检查的检查结果、加白操作等信息。通过记录和分析云平台配置检查日志，您可以了解云平台中存在的配置问题和潜在的安全风险。	实时采集。

网络日志字段说明

说明

仅云安全中心企业版、旗舰版支持网络日志。

Web访问日志

字段名	说明	示例
content_length	返回的消息实体的长度。单位为：Byte。	612
dst_ip	目标主机的IP地址。	39.105.XX.XX
dst_port	目标主机的端口。	80
host	访问的主机。	39.105.XX.XX
jump_location	重定向地址。	123
method	HTTP请求方式。	GET
referer	客户端向服务器发送请求时的HTTP referer，告知服务器访问来源的HTTP连接。	www.example.com
request_datetime	请求时间。	2023-08-07 22:42:41
ret_code	服务器对请求的响应状态码。	200
rqs_content_type	请求内容类型。	text/plain;charset=utf-8
rsp_content_type	响应内容类型。	text/plain; charset=utf-8
src_ip	访问源的IP地址。	31.220.XX.XX
src_port	访问源的端口。	59524
uri	请求URI。	/report
user_agent	向客户端发起的请求。	okhttp/3.2.0
x_forward_for	HTTP请求头字段，记录客户端的真实IP地址。	31.220.XX.XX

DNS解析日志

字段名	说明	示例
additional	DNS服务器返回的附加资源记录的信息，例如CNAME记录、MX记录、PTR记录等。	无
additional_num	DNS服务器返回的附加资源记录的数量。	0
answer	DNS服务器返回的回答信息，指示查询主机的具体解析结果。回答信息包含了请求域名对应的IP地址或其他相关信息，例如A记录、AAAA记录等。	example.com A IN 52 1.2.XX.XX
answer_num	DNS服务器返回的回答信息的数量。	1
authority	DNS服务器返回的权威记录信息，指示负责管理和提供该域名解析的DNS服务器。权威记录包含了对请求域名进行授权的DNS服务器的信息，例如NS记录。	NS IN 17597
authority_num	DNS服务器返回的权威记录的数量。	1
client_subnet	DNS客户端的子网掩码信息。	59.152.XX.XX
dst_ip	目的IP。	106.55.XX.XX
dst_port	目的端口。	53
in_out	DNS请求的数据传输方向，取值： in：进入DNS服务器的请求 out：DNS服务器发出的响应	out
qid	查询ID。	13551
qname	DNS解析请求的查询域名。	example.com
qtype	DNS解析请求的查询类型。	A
query_datetime	DNS解析请求的时间。	2023-08-25 09:59:15
rcode	DNS服务器返回的响应代码，指示DNS解析结果。	0
region	来源地域ID。取值： 1：北京 2：青岛 3：杭州 4：上海 5：深圳 6：其他	1
response_datetime	DNS服务器返回响应的时间。	2023-08-25 09:59:16
src_ip	源IP地址。	106.11.XX.XX
src_port	源端口。	22

本地DNS日志

字段名	说明	示例
answer_rda	DNS回答的RDA（Resource Data Area）字段，表示解析结果的具体值。	106.11.XX.XX
answer_ttl	DNS回答的TTL（Time to Live）字段，表示解析结果的生存时间，单位为秒。	600
answer_type	DNS响应的记录类型，以下是常见的DNS响应类型取值： 1：A记录 2：NS记录 5：CNAME记录 6：SOA记录 10：NULL记录 12：PTR记录 15：MX记录 16：TXT记录 25：KEY记录 28：AAAA记录 33：SRV记录 41：OPT记录 43：DS记录 44：SSHFP记录 45：IPSECKEY记录 46：RRSIG记录 47：NSEC记录	1
anwser_name	DNS回答的记录名称，表示与资源记录关联的域名。	example.com
dest_ip	目的IP地址，表示请求发往的IP地址，默认为十进制IP地址格式。	323223****
dest_port	目的端口，表示请求发往的端口号。	53
group_id	分组ID。相同的分组ID表示相同的DNS请求或响应。	3
hostname	主机名。	hostname
id	查询ID，用于唯一标识DNS请求或响应。	64588
instance_id	实例ID。	i-2zeg4zldn8zypsfg****
internet_ip	DNS请求或响应的公网IP地址。	121.40.XX.XX
ip_ttl	DNS请求或响应中IP数据包的TTL值。	64
query_name	查询的域名。	example.com
query_type	DNS解析请求的查询类型。取值： 1：A记录 2：NS记录 5：CNAME记录 6：SOA记录 10：NULL记录 12：PTR记录 15：MX记录 16：TXT记录 25：KEY记录 28：AAAA记录 33：SRV记录	1
src_ip	发起DNS请求或响应的IP地址，默认为十进制IP地址格式。	168427****
src_port	发起DNS请求或响应的端口号。	53
time	DNS请求或响应的时间戳，单位为秒。	1537840756
time_usecond	DNS请求或响应的时间戳，单位为微秒。	49069
tunnel_id	DNS请求或响应所使用的隧道ID，用于唯一标识一个网络隧道。网络隧道是一种通过不同的网络协议来传输数据的方式，可以用于安全访问互联网或跨越不同网络的通信。	514763

网络会话日志

字段名	说明	示例
asset_type	产生日志的资产。取值： ECS：云服务器ECS SLB：负载均衡SLB RDS：云数据库RDS	ECS
dst_ip	目标IP地址。	119.96.XX.XX
dst_port	目标端口。	443
in_out	网络会话的数据传输方向。 in：阿里云内部到阿里云外部的访问。 out：阿里云外部到阿里云内部的访问。	out
proto	协议类型。取值： tcp udp	tcp
session_time	网络会话的开始时间。	2023-08-15 09:59:49
src_ip	源IP地址。	121.40.XX.XX
src_port	源端口。	53602

主机日志字段说明

登录流水日志

字段名	说明	示例
instance_id	实例ID。	i-bp1663b0q3mgj2rk****
ip	服务器的IP地址。	192.168.XX.XX
sas_group_name	服务器在云安全中心的资产分组。	default
uuid	服务器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
warn_ip	登录服务器的IP地址。	221.11.XX.XX
warn_port	登录服务器的端口。	22
warn_type	登录类型。取值： SSHLOGIN、SSH：SSH登录 RDPLOGIN：远程桌面登录 IPCLOGIN：IPC连接登录	SSH
warn_user	登录用户名。	admin
warn_count	登录次数。 1分钟内重复登录会被合并为1条日志，例如`warn_count`值为3，表示在最近1分钟内重复登录了3次。	3

网络连接日志

字段名	说明	示例
cmd_chain	进程链。	[ { "9883":"bash -c kill -0 -- -'6274'" } ...... ]
cmd_chain_index	进程链索引，可以通过相同索引查找进程链。	B184
container_hostname	容器内服务器名称。	nginx-ingress-controller-765f67fd4d-****
container_id	容器ID。	4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****
container_image_id	镜像ID。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****
container_image_name	镜像名称。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****
container_name	容器名称。	nginx-ingress-****
container_pid	容器内进程ID。	0
dir	网络连接方向。取值： in：入方向 out：出方向	in
dst_ip	网络连接接收者的IP。 dir为out时，表示对端主机。 dir为in时，表示本机。	192.168.XX.XX
dst_port	网络连接接收者的端口。	443
instance_id	实例ID	i-2zefcduaxj8iokm****
ip	服务器IP地址。	192.168.XX.XX
parent_proc_file_name	父进程的文件名。	/usr/bin/bash
pid	进程ID。	14275
ppid	父进程ID。	14268
proc_name	进程名。	nginx
proc_path	进程路径。	/usr/local/nginx/sbin/nginx
proc_start_time	进程的启动时间。	N/A
proto	协议。取值： tcp udp raw（表示raw socket）	tcp
sas_group_name	服务器在云安全中心的资产分组。	default
src_ip	源IP地址。	100.127.XX.XX
src_port	源端口。	41897
srv_comm	祖进程关联的命令名。	containerd-shim
status	网络连接状态。取值： 1：连接已关闭（closed） 2：正在等待连接请求（listen） 3：已发送SYN请求（syn send） 4：已接收SYN请求（syn recv） 5：连接已建立（established） 6：等待关闭连接（close wait） 7：正在关闭连接（closing） 8：等待对方发送关闭请求（fin_wait1） 9：等待对方发送关闭请求并确认（fin_wait2） 10：等待足够的时间以确保对方收到关闭请求的确认（time_wait） 11：已删除传输控制块（delete_tcb）	5
type	实时网络连接的类型。取值： connect：主动发起TCP connect连接 accept：收到TCP连接 listen：端口监听	listen
uid	进程用户的ID。	101
username	进程的用户名。	root
uuid	服务器的UUID。	5d83b26b-b7ca-4a0a-9267-12****

进程启动日志

字段名	说明	示例
cmd_chain	进程链。	[ { "9883":"bash -c kill -0 -- -'6274'" } ...... ]
cmd_chain_index	进程链索引，可以通过相同索引查找进程链。	B184
cmd_index	命令行每个参数的索引，每两个为一组，标识一个参数的起止索引。	0,3,5,8
cmdline	进程启动的完整命令行。	ipset list KUBE-6-CLUSTER-IP
comm	进程关联的命令名。	N/A
container_hostname	容器内服务器名称。	nginx-ingress-controller-765f67fd4d-****
container_id	容器ID。	4181de1e2b20c3397f1c409266dbd5631d1bc5be7af85246b0d****
container_image_id	镜像ID。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-controller@sha256:5f281994d9e71a1b1a087365271024991c5b0d0543c48f0****
container_image_name	镜像名称。	registry-cn-beijing-vpc.ack.aliyuncs.com/acs/aliyun-ingress-****
container_name	容器名称。	nginx-ingress-****
containerpid	容器内进程ID。	0
cwd	进程运行目录。	N/A
filename	进程文件名。	ipset
filepath	进程文件完整路径。	/usr/sbin/ipset
gid	进程组的ID。	0
groupname	用户组。	group1
instance_id	实例ID	i-2zefcduaxj8iokm****
ip	服务器IP地址。	192.168.XX.XX
parent_cmd_line	父进程的命令行。	/usr/local/bin/kube-proxy --config=/var/lib/kube-proxy/config.conf --hostname-override=cn-beijing.192.168.XX.XX
pfilename	父进程文件名。	kube-proxy
pfilepath	父进程文件完整路径。	/usr/local/bin/kube-proxy
pid	进程ID。	14275
ppid	父进程ID。	14268
pstime	父进程的启动时间。	2023-08-09 14:19:00
sas_group_name	服务器在云安全中心的资产分组。	default
srv_cmd	祖进程的命令行。	/usr/bin/containerd
tty	登录的终端。N/A表示账号从未登录过终端。	N/A
uid	用户ID。	123
type	实时网络连接的类型。取值： connect：主动发起TCP connect连接 accept：收到TCP连接 listen：端口监听	listen
uid	进程用户的ID。	101
username	进程的用户名。	root
uuid	服务器的UUID。	5d83b26b-b7ca-4a0a-9267-12****

暴力破解日志

字段名	说明	示例
instance_id	实例ID。	i-2zefcduaxj8iokm****
ip	被暴力破解的服务器IP地址。	192.168.XX.XX
sas_group_name	服务器在云安全中心的资产分组。	default
uuid	被暴力破解的服务器UUID。	5d83b26b-b7ca-4a0a-9267-12*****
warn_count	失败登录次数。 1分钟内重复登录会被合并为1条日志，例如`warn_count`值为3，表示在最近1分钟内重复登录了3次。	3
warn_ip	登录来源IP地址。	47.92.XX.XX
warn_port	登录端口。	22
warn_type	登录类型。取值： SSHLOGIN、SSH：SSH登录 RDPLOGIN：远程桌面登录 IPCLOGIN：IPC连接登录	SSH
warn_user	登录用户名。	user

账号快照日志

字段名	说明	示例
account_expire	账号的过期日时间。never表示永不过期。	never
domain	账号所在的域或目录服务。N/A表示不属于任何域。	N/A
groups	账号所在的分组。N/A表示不属于任何组。	["nscd"]
home_dir	主目录，系统中存储和管理文件的默认位置。	/Users/abc
instance_id	实例ID	i-2zefcduaxj8iokm****
ip	服务器IP地址。	192.168.XX.XX
last_chg	最后一次修改密码的日期。	2022-11-29
last_logon	最后一次登录账号的日期和时间。N/A表示从未登录过。	2023-08-18 09:21:21
login_ip	最后一次登录账号的远程IP地址。N/A表示从未登录过。	192.168.XX.XX
passwd_expire	密码的过期日期。never表示永不过期。	2024-08-24
perm	是否拥有root权限。取值： 0：没有root权限。 1：有root权限。	0
sas_group_name	服务器在云安全中心的资产分组。	default
shell	Linux的Shell命令。	/sbin/nologin
status	用户账号的状态，取值： 0：账号已被禁止登录。 1：账号可正常登录。	0
tty	登录的终端。N/A表示账号从未登录过终端。	N/A
user	用户名称。	nscd
uuid	服务器的UUID。	5d83b26b-b7ca-4a0a-9267-12****
warn_time	密码到期提醒日期。never表示永不提醒。	2024-08-20

端口快照日志

字段名	说明	示例
dir	网络连接方向。取值： in：入方向 out：出方向	in
dst_ip	网络连接接收者的IP。 dir为out时，表示对端主机。 dir为in时，表示本机。	192.168.XX.XX
dst_port	网络连接接收者的端口。	443
instance_id	实例ID	i-2zefcduaxj8iokm****
ip	服务器IP地址。	192.168.XX.XX
pid	进程ID。	682
proc_name	进程名。	sshd
sas_group_name	服务器在云安全中心的资产分组。	default
src_ip	源IP地址。	100.127.XX.XX
src_port	源端口。	41897
status	网络连接状态。取值： 1：连接已关闭（closed） 2：正在等待连接请求（listen） 3：已发送SYN请求（syn send） 4：已接收SYN请求（syn recv） 5：连接已建立（established） 6：等待关闭连接（close wait） 7：正在关闭连接（closing） 8：等待对方发送关闭请求（fin_wait1） 9：等待对方发送关闭请求并确认（fin_wait2） 10：等待足够的时间以确保对方收到关闭请求的确认（time_wait） 11：已删除传输控制块（delete_tcb）	5
uuid	服务器的UUID。	5d83b26b-b7ca-4a0a-9267-12****

进程快照日志

字段名	说明	示例
cmdline	进程启动的完整命令行。	/usr/local/share/assist-daemon/assist_daemon
instance_id	实例ID	i-2zefcduaxj8iokm****
ip	服务器IP地址。	192.168.XX.XX
md5	二进制文件的MD5哈希值。说明超过1 MB的进程文件不进行MD5计算。	1086e731640751c9802c19a7f53a64f5
name	进程文件名。	assist_daemon
path	进程文件完整路径。	/usr/local/share/assist-daemon/assist_daemon
pid	进程ID。	1692
pname	父进程文件名。	systemd
sas_group_name	服务器在云安全中心的资产分组。	default
start_time	进程启动时间。内置字段。	2023-08-18 20:00:12
uid	进程用户的ID。	101
username	进程的用户名。	root
uuid	服务器的UUID。	5d83b26b-b7ca-4a0a-9267-12****

DNS请求日志

字段名	说明	示例
domain	DNS请求对应的域名。	example.aliyundoc.com
instance_id	实例ID	i-2zefcduaxj8iokm****
ip	发起DNS请求的服务器IP地址。	192.168.XX.XX
pid	发起DNS请求的进程ID。	3544
ppid	发起DNS请求的父进程ID。	3408
proc_cmd_chain	发起DNS请求的进程链。	"3544":"\"C:\\Program Files (x86)\\Alibaba\\Aegis\\AliDetect\\AliDetect.exe\""
proc_cmdline	发起DNS请求的命令行。	C:\Program Files (x86)\Alibaba\Aegis\AliDetect\AliDetect.exe
proc_path	发起DNS请求的进程路径。	C:/Program Files (x86)/Alibaba/Aegis/AliDetect/AliDetect.exe
sas_group_name	服务器在云安全中心的资产分组。	default
time	捕获DNS请求事件的时间，该时间一般和DNS请求发生时间相同。	2023-08-17 20:05:04
uuid	发起DNS请求的服务器UUID。	5d83b26b-b7ca-4a0a-9267-12****

安全日志字段说明

漏洞日志

字段名	说明	示例
alias_name	漏洞别名。	CESA-2023:1335: openssl Security Update
extend_content	漏洞扩展信息。	{"cveList":["CVE-2023-0286"],"necessity":{"gmt_create":"20230816","connect_cnt":80,"total_score":0.0,"assets_factor":1.0,"enviroment_factor":1.5,"status":"normal"},"os":"centos","osRelease":"7","preCheck":{},"rpmCanUpdate":true,"rpmEntityList":[{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl-libs version less than 1.0.2k-26.el7_9","matchList":["openssl-libs version less than 1.0.2k-26.el7_9"],"name":"openssl-libs","nextResult":false,"path":"/etc/pki/tls","result":true,"updateCmd":"yum update openssl-libs","version":"1.0.2k-25.el7_9"},{"fullVersion":"1.0.2k-25.el7_9","kernel":false,"matchDetail":"openssl version less than 1.0.2k-26.el7_9","matchList":["openssl version less than 1.0.2k-26.el7_9"],"name":"openssl","nextResult":false,"path":"/etc/pki/CA","result":true,"updateCmd":"yum update openssl","version":"1.0.2k-25.el7_9"}]}
instance_id	实例ID。	i-hp3b1iuxnl6upd6b****
internet_ip	主机的公网IP。	39.104.XX.XX
intranet_ip	主机的私网IP。	192.168.XX.XX
machine_name	主机名称。	hhht-linux-***
name	漏洞名称。	centos:7:cesa-2023:1335
op	漏洞的处理动作。取值： new：新增 verify：验证 fix：修复	new
status	状态信息。取值： 1：未修复 2：修复失败 3：回滚失败 4：修复中 5：回滚中 6：验证中 7：修复成功 8：修复成功待重启 9：回滚成功 10：忽略 11：回滚成功待重启 12：已不存在 13：已失效	1
tag	漏洞的标签。取值： oval：Linux软件漏洞 system：Windows系统漏洞 cms：Web-CMS漏洞说明其他类型的漏洞的标签为随机字符串。	oval
type	漏洞类型。取值： sys：windows系统漏洞 cve：Linux软件漏洞 cms：Web-CMS漏洞 emg：紧急漏洞	sys
uuid	服务器UUID。	ad66133a-dc82-4e5e-9659-a49e3****

基线日志

字段名	说明	示例
check_item	检查项名称。	设置密码修改最小间隔时间
check_level	基线的检查等级。取值： high：高危 medium：中危 low：低危	medium
check_type	检查项类型。	身份鉴别
instance_id	实例ID。	i-hp3b1iuxnl6upd6b****
level	风险项级别。取值： high：高 medium：中 low：低	medium
op	操作信息。取值： new：新增 verity：验证	new
risk_name	风险项名称。	密码策略合规检测
sas_group_name	检测出当前风险项的服务器在云安全中心的资产分组。	default
status	状态信息。取值： 1：未修复 2：修复失败 3：回滚失败 4：修复中 5：回滚中 6：验证中 7：修复成功 8：修复成功待重启 9：回滚成功 10：忽略 11：回滚成功待重启 12：已不存在 13：已失效	1
sub_type_alias	子类型别名（中文）。	CIS标准-Ubuntu 16/18/20/22安全基线检查
sub_type_name	基线子类型名称。基线子类型取值请参见基线类型及子类型列表。	hc_ubuntu16_cis_rules
type_alias	类型别名（中文）。	CIS合规
type_name	基线类型。基线类型取值请参见基线类型及子类型列表。	cis
uuid	检测出当前风险项的服务器UUID。	1ad66133a-dc82-4e5e-9659-a49e3****

安全告警日志

字段名	说明	示例
data_source	数据源。取值： aegis_suspicious_event：主机异常 aegis_suspicious_file_v2：Webshell aegis_login_log：异常登录 honeypot：云蜜罐告警事件 object_scan：文件检测异常事件 security_event：云安全中心异常事件 sas_ak_leak：AK泄露事件	aegis_login_log
detail	告警详情。说明告警类型不同，detail字段包含的内容也不同。如果您在查看告警日志时，对detail字段中的参数有疑问，您可以通过提交工单联系技术支持人员。	{"loginSourceIp":"221.11.XX.XX","loginDestinationPort":22,"loginUser":"root","protocol":2,"protocolName":"SSH","clientIp":"192.168.XX.XX","loginTimes":1,"location":"西安市","type":"login_common_account","displayEventName":"ECS非常用账号登录","status":0}
instance_id	实例ID。	i-bp1ifcfzi7dajhum****
internet_ip	主机的公网IP。	39.104.XX.XX
intranet_ip	主机的私网IP。	192.168.XX.XX
level	告警事件的危险等级。取值： serious：紧急 suspicious：可疑 remind：提醒	suspicious
name	告警名称。	异常登录-ECS非常用账号登录
op	操作信息。取值： new：新增 dealing：处理 update：更新	new
status	状态信息。取值： 1：未修复 2：修复失败 3：回滚失败 4：修复中 5：回滚中 6：验证中 7：修复成功 8：修复成功待重启 9：回滚成功 10：忽略 11：回滚成功待重启 12：已不存在 13：已失效	1
unique_info	告警的唯一标识。	2536dd765f804916a1fa3b9516b5****
uuid	产生告警的服务器UUID。	ad66133a-dc82-4e5e-9659-a49e3****

云平台配置检查日志

字段名	说明	示例
check_id	检查项ID。您可以调用ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。	11
check_show_name	检查项名称。	回源配置
instance_id	实例ID。	i-bp12mkcxuvqvxxzn****
instance_name	实例名称。	lsm
instance_result	风险产生的影响。格式为JSON字符串。	{"Checks":[{}],"Columns":[{"key":"RegionIdShow","search":true,"searchKey":"RegionIdKey","showName":"Region","type":"text"},{"key":"InstanceIdShow","search":true,"searchKey":"InstanceIdKey","showName":"Instance ID","type":"link"},{"key":"InstanceNameShow","search":true,"searchKey":"InstanceNameKey","showName":"Instance Name","type":"text"}]}
instance_sub_type	实例的子类型。取值：当实例类型为ECS时，子类型的取值： INSTANCE DISK SECURITY_GROUP 当实例类型为ACR时，子类型的取值： REPOSITORY_ENTERPRISE REPOSITORY_PERSON 当实例类型为RAM时，子类型的取值： ALIAS USER POLICY GROUP 当实例类型为WAF时，子类型的取值为DOMAIN。当实例类型为其他值时，子类型的取值为INSTANCE。	INSTANCE
instance_type	实例类型。取值： ECS：云服务器 SLB：负载均衡 RDS：RDS数据库 MONGODB：MongoDB数据库 KVSTORE：Redis数据库 ACR：容器镜像服务 CSK：CSK VPC：专有网络 ACTIONTRAIL：操作审计 CDN：内容分发网络 CAS：数字证书管理服务（原SSL证书） RDC：云效 RAM：访问控制 DDOS：DDoS防护 WAF：Web应用防火墙 OSS：对象存储 POLARDB：PolarDB数据库 POSTGRESQL：PostgreSQL数据库 MSE：微服务引擎 NAS：文件存储 SDDP：敏感数据保护 EIP：弹性公网IP	ECS
region_id	实例所在地域ID。	cn-hangzhou
requirement_id	条例ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。	5
risk_level	风险级别。取值： LOW MEDIUM HIGH	MEDIUM
section_id	章节ID。您可以通过ListCheckResult - 查看云产品中云平台配置检查风险项结果详情接口获取ID值。	1
standard_id	标准ID。您可以通过ListCheckStandard - 云平台配置检查获取标准列表接口获取该ID。	1
status	检查项的状态。取值： NOT_CHECK：未检查 CHECKING：检查中 PASS：检查通过 NOT_PASS：检查未通过 WHITELIST：已加入白名单	PASS
vendor	所属云厂商。固定取值：ALIYUN。	ALIYUN

附录

基线类型及子类型列表

类型名称	子类型名称	描述
hc_exploit	hc_exploit_redis	高危风险利用-Redis未授权访问高危风险
	hc_exploit_activemq	高危风险利用-ActiveMQ未授权访问高危风险
	hc_exploit_couchdb	高危风险利用-CouchDB未授权访问高危风险
	hc_exploit_docker	高危风险利用-Docker未授权访问高危风险
	hc_exploit_es	高危风险利用-Elasticsearch未授权访问高危风险
	hc_exploit_hadoop	高危风险利用-Hadoop未授权访问高危风险
	hc_exploit_jboss	高危风险利用-Jboss未授权访问高危风险
	hc_exploit_jenkins	高危风险利用-Jenkins未授权访问高危风险
	hc_exploit_k8s_api	高危风险利用Kubernetes-Apiserver未授权访问高危风险
	hc_exploit_ldap	高危风险利用-LDAP未授权访问高危风险（Windows环境）
	hc_exploit_ldap_linux	高危风险利用-openLDAP未授权访问高危风险（Linux环境）
	hc_exploit_memcache	高危风险利用-Memcached未授权访问高危风险
	hc_exploit_mongo	高危风险利用-Mongodb未授权访问高危风险
	hc_exploit_pgsql	高危风险利用-Postgresql未授权访问高危风险基线
	hc_exploit_rabbitmq	高危风险利用-RabbitMQ未授权访问高危风险
	hc_exploit_rsync	高危风险利用-rsync未授权访问高危风险
	hc_exploit_tomcat	高危风险利用-Apache Tomcat AJP文件包含漏洞风险
	hc_exploit_zookeeper	高危风险利用-ZooKeeper未授权访问高危风险
hc_container	hc_docker	阿里云标准-Docker安全基线检查
	hc_middleware_ack_master	CIS标准-Kubernetes(ACK) Master节点安全基线检查
	hc_middleware_ack_node	CIS标准-Kubernetes(ACK) Node节点安全基线检查
	hc_middleware_k8s	阿里云标准-Kubernetes-Master安全基线检查
	hc_middleware_k8s_node	阿里云标准-Kubernetes-Node安全基线检查
cis	hc_suse 15_djbh	等保三级-SUSE 15合规基线检查
	hc_aliyun_linux3_djbh_l3	等保三级-Alibaba Cloud Linux 3合规基线检查
	hc_aliyun_linux_djbh_l3	等保三级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查
	hc_bind_djbh	等保三级-Bind合规基线检查
	hc_centos 6_djbh_l3	等保三级-CentOS Linux 6合规基线检查
	hc_centos 7_djbh_l3	等保三级-CentOS Linux 7合规基线检查
	hc_centos 8_djbh_l3	等保三级-CentOS Linux 8合规基线检查
	hc_debian_djbh_l3	等保三级-Debian Linux 8/9/10合规基线检查
	hc_iis_djbh	等保三级-IIS合规基线检查
	hc_informix_djbh	等保三级-Informix合规基线检查
	hc_jboss_djbh	等保三级-Jboss合规基线检查
	hc_mongo_djbh	等保三级-MongoDB合规基线检查
	hc_mssql_djbh	等保三级-SQL Server合规基线检查
	hc_mysql_djbh	等保三级-MySql合规基线检查
	hc_nginx_djbh	等保三级-Nginx合规基线检查
	hc_oracle_djbh	等保三级-Oracle合规基线检查
	hc_pgsql_djbh	等保三级-PostgreSql合规基线检查
	hc_redhat 6_djbh_l3	等保三级-Redhat Linux 6合规基线检查
	hc_redhat_djbh_l3	等保三级-Redhat Linux 7合规基线检查
	hc_redis_djbh	等保三级-Redis合规基线检查
	hc_suse 10_djbh_l3	等保三级-SUSE 10合规基线检查
	hc_suse 12_djbh_l3	等保三级-SUSE 12合规基线检查
	hc_suse_djbh_l3	等保三级-SUSE 11合规基线检查
	hc_ubuntu 14_djbh_l3	等保三级-Ubuntu 14合规基线检查
	hc_ubuntu_djbh_l3	等保三级-Ubuntu 16/18/20合规基线检查
	hc_was_djbh	等保三级-Websphere Application Server合规基线检查
	hc_weblogic_djbh	等保三级-Weblogic合规基线检查
	hc_win 2008_djbh_l3	等保三级-Windows 2008 R2合规基线检查
	hc_win 2012_djbh_l3	等保三级-Windows 2012 R2合规基线检查
	hc_win 2016_djbh_l3	等保三级-Windows 2016/2019 合规基线检查
	hc_aliyun_linux_djbh_l2	等保二级-Alibaba Cloud Linux/Aliyun Linux 2合规基线检查
	hc_centos 6_djbh_l2	等保二级-CentOS Linux 6合规基线检查
	hc_centos 7_djbh_l2	等保二级-CentOS Linux 7合规基线检查
	hc_debian_djbh_l2	等保二级-Debian Linux 8合规基线检查
	hc_redhat 7_djbh_l2	等保二级-Redhat Linux 7合规基线检查
	hc_ubuntu_djbh_l2	等保二级-Ubuntu16/18合规基线检查
	hc_win 2008_djbh_l2	等保二级-Windows 2008 R2合规基线检查
	hc_win 2012_djbh_l2	等保二级-Windows 2012 R2合规基线检查
	hc_win 2016_djbh_l2	等保二级-Windows 2016/2019 合规基线检查
	hc_aliyun_linux_cis	CIS标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查
	hc_centos 6_cis_rules	CIS标准-CentOS Linux 6安全基线检查
	hc_centos 7_cis_rules	CIS标准-CentOS Linux 7安全基线检查
	hc_centos 8_cis_rules	CIS标准-CentOS Linux 8安全基线检查
	hc_debian 8_cis_rules	CIS标准-Debian Linux 8安全基线检查
	hc_ubuntu 14_cis_rules	CIS标准-Ubuntu 14安全基线检查
	hc_ubuntu 16_cis_rules	CIS标准-Ubuntu 16/18/20安全基线检查
	hc_win 2008_cis_rules	CIS标准-Windows Server 2008 R2安全基线检查
	hc_win 2012_cis_rules	CIS标准-Windows Server 2012 R2安全基线检查
	hc_win 2016_cis_rules	CIS标准-Windows Server 2016/2019 R2安全基线检查
	hc_kylin_djbh_l3	等保三级-麒麟合规基线检查
	hc_uos_djbh_l3	等保三级-Uos合规基线检查
hc_best_security	hc_aliyun_linux	阿里云标准-Alibaba Cloud Linux/Aliyun Linux 2安全基线检查
	hc_centos 6	阿里云标准-CentOS Linux 6安全基线检查
	hc_centos 7	阿里云标准-CentOS Linux 7/8安全基线检查
	hc_debian	阿里云标准-Debian Linux 8/9/10安全基线检查
	hc_redhat 6	阿里云标准-Redhat Linux 6安全基线检查
	hc_redhat 7	阿里云标准-Redhat Linux 7/8安全基线检查
	hc_ubuntu	阿里云标准-Ubuntu安全基线检查
	hc_windows_2008	阿里云标准-Windows 2008 R2安全基线检查
	hc_windows_2012	阿里云标准-Windows 2012 R2安全基线检查
	hc_windows_2016	阿里云标准-Windows 2016/2019 安全基线检查
	hc_db_mssql	阿里云标准-SQL server安全基线检查
	hc_memcached_ali	阿里云标准-Memcached安全基线检查
	hc_mongodb	阿里云标准-MongoDB 3.x版本安全基线检查
	hc_mysql_ali	阿里云标准-Mysql安全基线检查
	hc_oracle	阿里云标准-Oracle 11g安全基线检查
	hc_pgsql_ali	阿里云标准-PostgreSql安全基线检查
	hc_redis_ali	阿里云标准-Redis安全基线检查
	hc_apache	阿里云标准-Apache安全基线检查
	hc_iis_8	阿里云标准-IIS 8安全基线检查
	hc_nginx_linux	阿里云标准-Nginx安全基线检查
	hc_suse 15	阿里云标准-SUSE Linux 15安全基线检查
	tomcat 7	阿里云标准-Apache Tomcat 安全基线检查
weak_password	hc_mongodb_pwd	弱口令-MongoDB登录弱口令检测（支持2.x版本）
	hc_weakpwd_ftp_linux	弱口令-FTP登录弱口令检查
	hc_weakpwd_linux_sys	弱口令-Linux系统登录弱口令检查
	hc_weakpwd_mongodb 3	弱口令-MongoDB登录弱口令检测
	hc_weakpwd_mssql	弱口令-SQL Server数据库登录弱口令检查
	hc_weakpwd_mysql_linux	弱口令-Mysql数据库登录弱口令检查
	hc_weakpwd_mysql_win	弱口令-Mysql数据库登录弱口令检查（Windows版）
	hc_weakpwd_openldap	弱口令-Openldap登录弱口令检查
	hc_weakpwd_oracle	弱口令-Oracle登录弱口令检测
	hc_weakpwd_pgsql	弱口令-PostgreSQL数据库登录弱口令检查
	hc_weakpwd_pptp	弱口令-pptpd服务登录弱口令检查
	hc_weakpwd_redis_linux	弱口令-Redis数据库登录弱口令检查
	hc_weakpwd_rsync	弱口令-rsync服务登录弱口令检查
	hc_weakpwd_svn	弱口令-svn服务登录弱口令检查
	hc_weakpwd_tomcat_linux	弱口令-Apache Tomcat控制台弱口令检查
	hc_weakpwd_vnc	弱口令-VncServer弱口令检查
	hc_weakpwd_weblogic	弱口令-Weblogic 12c登录弱口令检测
	hc_weakpwd_win_sys	弱口令-Windows系统登录弱口令检查