查询某告警事件的相同告警列表 - ListSameEvents_事件管理_API说明_API参考

功能介绍

查询某告警事件的相同告警列表

授权信息

账号具备所有API的调用权限，如果使用账号下的IAM用户调用当前API，该IAM用户需具备调用API所需的权限。

如果使用角色与策略授权，具体权限要求请参见权限和授权项。
如果使用身份策略授权，当前API调用无需身份策略权限。

URI

GET /v5/{project_id}/event/same-events

表1 路径参数
参数	是否必选	参数类型	描述
project_id	是	String	参数解释: 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产。获取方式请参见获取项目ID。约束限制: 不涉及取值范围: 字符长度1-256位默认取值: 不涉及

表2 Query参数
参数	是否必选	参数类型	描述
enterprise_project_id	否	String	参数解释: 企业项目ID，用于过滤不同企业项目下的资产。获取方式请参见获取企业项目ID。如需查询所有企业项目下的资产请传参“all_granted_eps”。约束限制: 开通企业项目功能后才需要配置企业项目ID参数。取值范围: 字符长度1-256位默认取值: 0，表示默认企业项目（default）。
event_id	是	String	事件编号
event_class_id	是	String	事件标识，包含如下: container_1001 : 容器命名空间 container_1002 : 容器开放端口 container_1003 : 容器安全选项 container_1004 : 容器挂载目录 containerescape_0001 : 容器高危系统调用 containerescape_0002 : Shocker攻击 containerescape_0003 : DirtCow攻击 containerescape_0004 : 容器文件逃逸攻击 dockerfile_001 : 用户自定义容器保护文件被修改 dockerfile_002 : 容器文件系统可执行文件被修改 dockerproc_001 : 容器进程异常事件上报 fileprotect_0001 : 文件提权 fileprotect_0002 : 关键文件变更 fileprotect_0003 : 关键文件路径变更 fileprotect_0004 : 文件/目录变更 av_1002 : 病毒 av_1003 : 蠕虫 av_1004 : 木马 av_1005 : 僵尸网络 av_1006 : 后门 av_1007 : 间谍软件 av_1008 : 恶意广告软件 av_1009 : 钓鱼 av_1010 : Rootkit av_1011 : 勒索软件 av_1012 : 黑客工具 av_1013 : 灰色软件 av_1015 : Webshell av_1016 : 挖矿软件 login_0001 : 尝试暴力破解 login_0002 : 爆破成功 login_1001 : 登录成功 login_1002 : 异地登录 login_1003 : 弱口令 malware_0001 : shell变更事件上报 malware_0002 : 反弹shell事件上报 malware_1001 : 恶意程序 procdet_0001 : 进程异常行为检测 procdet_0002 : 进程提权 crontab_0001 : crontab脚本提权 crontab_0002 : 恶意路径提权 procreport_0001 : 危险命令 user_1001 : 账号变更 user_1002 : 风险账号 vmescape_0001 : 虚拟机敏感命令执行 vmescape_0002 : 虚拟化进程访问敏感文件 vmescape_0003 : 虚拟机异常端口访问 webshell_0001 : 网站后门 network_1001 : 恶意挖矿 network_1002 : 对外DDoS攻击 network_1003 : 恶意扫描 network_1004 : 敏感区域攻击 ransomware_0001 : 勒索攻击 ransomware_0002 : 勒索攻击 ransomware_0003 : 勒索攻击 fileless_0001 : 进程注入 fileless_0002 : 动态库注入进程 fileless_0003 : 关键配置变更 fileless_0004 : 环境变量变更 fileless_0005 : 内存文件进程 fileless_0006 : vdso劫持 crontab_1001 : Crontab可疑任务 vul_exploit_0001 : Redis漏洞利用攻击 vul_exploit_0002 : Hadoop漏洞利用攻击 vul_exploit_0003 : MySQL漏洞利用攻击 rootkit_0001 : 可疑rootkit文件 rootkit_0002 : 可疑内核模块 RASP_0004 : 上传Webshell RASP_0018 : 无文件Webshell blockexec_001 : 已知勒索攻击 hips_0001 : Windows Defender防护被禁用 hips_0002 : 可疑的黑客工具 hips_0003 : 可疑的勒索加密行为 hips_0004 : 隐藏账号创建 hips_0005 : 读取用户密码凭据 hips_0006 : 可疑的SAM文件导出 hips_0007 : 可疑shadow copy删除操作 hips_0008 : 备份文件删除 hips_0009 : 可疑勒索病毒操作注册表 hips_0010 : 可疑的异常进程行为 hips_0011 : 可疑的扫描探测 hips_0012 : 可疑的勒索病毒脚本运行 hips_0013 : 可疑的挖矿命令执行 hips_0014 : 可疑的禁用windows安全中心 hips_0015 : 可疑的停止防火墙服务行为 hips_0016 : 可疑的系统自动恢复禁用 hips_0017 : Offies 创建可执行文件 hips_0018 : 带宏Offies文件异常创建 hips_0019 : 可疑的注册表操作 hips_0020 : Confluence远程代码执行 hips_0021 : MSDT远程代码执行 portscan_0001 : 通用端口扫描 portscan_0002 : 秘密端口扫描 k8s_1001 : Kubernetes事件删除 k8s_1002 : 创建特权Pod k8s_1003 : Pod中使用交互式shell k8s_1004 : 创建敏感目录Pod k8s_1005 : 创建主机网络的Pod k8s_1006 : 创建主机Pid空间的Pod k8s_1007 : 普通pod访问APIserver认证失败 k8s_1008 : 普通Pod通过Curl访问APIServer k8s_1009 : 系统管理空间执行exec k8s_1010 : 系统管理空间创建Pod k8s_1011 : 创建静态Pod k8s_1012 : 创建DaemonSet k8s_1013 : 创建集群计划任务 k8s_1014 : Secrets操作 k8s_1015 : 枚举用户可执行的操作 k8s_1016 : 高权限RoleBinding或ClusterRoleBinding k8s_1017 : ServiceAccount创建 k8s_1018 : 创建Cronjob k8s_1019 : Pod中exec使用交互式shell k8s_1020 : 无权限访问Apiserver k8s_1021 : 使用curl访问APIServer k8s_1022 : Ingress漏洞 k8s_1023 : 中间人攻击 k8s_1024 : 蠕虫挖矿木马 k8s_1025 : K8s事件删除 k8s_1026 : SelfSubjectRulesReview场景 imgblock_0001 : 镜像白名单阻断 imgblock_0002 : 镜像黑名单阻断 imgblock_0003 : 镜像标签白名单阻断 imgblock_0004 : 镜像标签黑名单阻断 imgblock_0005 : 创建容器白名单阻断 imgblock_0006 : 创建容器黑名单阻断 imgblock_0007 : 容器mount proc阻断 imgblock_0008 : 容器seccomp unconfined阻断 imgblock_0009 : 容器特权阻断 imgblock_0010 : 容器capabilities阻断
occur_time	否	Long	事件发生时间
offset	否	Integer	偏移量：指定返回记录的开始位置
limit	否	Integer	每页显示个数

请求参数

表3 请求Header参数
参数	是否必选	参数类型	描述
X-Auth-Token	是	String	参数解释: 用户Token，包含了用户的身份、权限等信息，在调用API接口时，可通过Token进行身份认证。获取方式请参见获取用户Token。约束限制: 不涉及取值范围: 字符长度1-32768位默认取值: 不涉及
region	否	String	参数解释: 区域ID，用于查询目的区域内的资产。获取方式请参见获取区域ID。约束限制: 不涉及取值范围: 字符长度1-128位默认取值: 不涉及

响应参数

状态码：200

表4 响应Body参数
参数	参数类型	描述
total_num	Integer	参数解释：告警事件总数取值范围：最小值0，最大值2147483647
data_list	Array of EventManagementResponseInfo objects	事件列表详情

表5 EventManagementResponseInfo
参数	参数类型	描述
event_id	String	参数解释：事件ID 取值范围：字符长度1-64位
event_class_id	String	参数解释：事件分类取值范围： container_1001：容器命名空间 container_1002：容器开放端口 container_1003：容器安全选项 container_1004：容器挂载目录 containerescape_0001：容器高危系统调用 containerescape_0002：Shocker攻击 containerescape_0003：DirtCow攻击 containerescape_0004：容器文件逃逸攻击 dockerfile_001：用户自定义容器保护文件被修改 dockerfile_002：容器文件系统可执行文件被修改 dockerproc_001：容器进程异常事件上报 fileprotect_0001：文件提权 fileprotect_0002：关键文件变更 fileprotect_0003：关键文件路径变更 fileprotect_0004：文件/目录变更 av_1002：病毒 av_1003：蠕虫 av_1004：木马 av_1005：僵尸网络 av_1006：后门 av_1007：间谍软件 av_1008：恶意广告软件 av_1009：钓鱼 av_1010：Rootkit av_1011：勒索软件 av_1012：黑客工具 av_1013：灰色软件 av_1015：Webshell av_1016：挖矿软件 login_0001：尝试暴力破解 login_0002：爆破成功 login_1001：登录成功 login_1002：异地登录 login_1003：弱口令 malware_0001：shell变更事件上报 malware_0002：反弹shell事件上报 malware_1001：恶意程序 procdet_0001：进程异常行为检测 procdet_0002：进程提权 procreport_0001：危险命令 user_1001：账号变更 user_1002：风险账号 vmescape_0001：虚拟机敏感命令执行 vmescape_0002：虚拟化进程访问敏感文件 vmescape_0003：虚拟机异常端口访问 webshell_0001：网站后门 network_1001：恶意挖矿 network_1002：对外DDoS攻击 network_1003：恶意扫描 network_1004：敏感区域攻击 ransomware_0001：勒索攻击 ransomware_0002：勒索攻击 ransomware_0003：勒索攻击 fileless_0001：进程注入 fileless_0002：动态库注入进程 fileless_0003：关键配置变更 fileless_0004：环境变量变更 fileless_0005：内存文件进程 fileless_0006：vdso劫持 crontab_1001：Crontab可疑任务 vul_exploit_0001：Redis漏洞利用攻击 vul_exploit_0002：Hadoop漏洞利用攻击 vul_exploit_0003：MySQL漏洞利用攻击 rootkit_0001：可疑rootkit文件 rootkit_0002：可疑内核模块 RASP_0004：上传Webshell RASP_0018：无文件Webshell blockexec_001：已知勒索攻击 hips_0001：Windows Defender防护被禁用 hips_0002：可疑的黑客工具 hips_0003：可疑的勒索加密行为 hips_0004：隐藏账号创建 hips_0005：读取用户密码凭据 hips_0006：可疑的SAM文件导出 hips_0007：可疑shadow copy删除操作 hips_0008：备份文件删除 hips_0009：可疑勒索病毒操作注册表 hips_0010：可疑的异常进程行为 hips_0011：可疑的扫描探测 hips_0012：可疑的勒索病毒脚本运行 hips_0013：可疑的挖矿命令执行 hips_0014：可疑的禁用windows安全中心 hips_0015：可疑的停止防火墙服务行为 hips_0016：可疑的系统自动恢复禁用 hips_0017：Offies创建可执行文件 hips_0018：带宏Offies文件异常创建 hips_0019：可疑的注册表操作 hips_0020：Confluence远程代码执行 hips_0021：MSDT远程代码执行 portscan_0001：通用端口扫描 portscan_0002：秘密端口扫描 k8s_1001：Kubernetes事件删除 k8s_1002：创建特权Pod k8s_1003：Pod中使用交互式shell k8s_1004：创建敏感目录Pod k8s_1005：创建主机网络的Pod k8s_1006：创建主机Pid空间的Pod k8s_1007：普通pod访问APIserver认证失败 k8s_1008：普通Pod通过Curl访问APIServer k8s_1009：系统管理空间执行exec k8s_1010：系统管理空间创建Pod k8s_1011：创建静态Pod k8s_1012：创建DaemonSet k8s_1013：创建集群计划任务 k8s_1014：Secrets操作 k8s_1015：枚举用户可执行的操作 k8s_1016：高权限RoleBinding或ClusterRoleBinding k8s_1017：ServiceAccount创建 k8s_1018：创建Cronjob k8s_1019：Pod中exec使用交互式shell k8s_1020：无权限访问Apiserver k8s_1021：使用curl访问APIServer k8s_1022：Ingress漏洞 k8s_1023：中间人攻击 k8s_1024：蠕虫挖矿木马 k8s_1025：K8s事件删除 k8s_1026：SelfSubjectRulesReview场景 imgblock_0001：镜像白名单阻断 imgblock_0002：镜像黑名单阻断 imgblock_0003：镜像标签白名单阻断 imgblock_0004：镜像标签黑名单阻断 imgblock_0005：创建容器白名单阻断 imgblock_0006：创建容器黑名单阻断 imgblock_0007：容器mount proc阻断 imgblock_0008：容器seccomp unconfined阻断 imgblock_0009：容器特权阻断 imgblock_0010：容器capabilities阻断
event_type	Integer	参数解释：事件类型取值范围： 1001：通用恶意软件 1002：病毒 1003：蠕虫 1004：木马 1005：僵尸网络 1006：后门 1010：Rootkit 1011：勒索软件 1012：黑客工具 1015：Webshell 1016：挖矿 1017：反弹Shell 2001：一般漏洞利用 2012：远程代码执行 2047：Redis漏洞利用 2048：Hadoop漏洞利用 2049：MySQL漏洞利用 3002：文件提权 3003：进程提权 3004：关键文件变更 3005：文件/目录变更 3007：进程异常行为 3015：高危命令执行 3018：异常Shell 3027：Crontab可疑任务 3029：系统安全防护被禁用 3030：备份删除 3031：异常注册表操作 3036：容器镜像阻断 4002：暴力破解 4004：异常登录 4006：非法系统账号 4014：用户账号添加 4020：用户密码窃取 6002：端口扫描 6003：主机扫描 13001：Kubernetes事件删除 13002：Pod异常行为 13003：枚举用户信息 13004：绑定集群用户角色
event_name	String	参数解释：事件名称取值范围：字符长度1-256位
severity	String	参数解释：威胁等级取值范围： Security：安全 Low：低危 Medium：中危 High：高危 Critical：危急
container_name	String	参数解释：容器实例名称，只有容器类型的告警有取值范围：字符长度1-256位
image_name	String	参数解释：镜像名称，只有容器类型的告警有取值范围：字符长度1-256位
host_name	String	参数解释: 服务器名称取值范围: 字符长度1-256位
host_id	String	参数解释：主机ID 取值范围：字符长度1-64位
private_ip	String	参数解释：服务器私有IP 取值范围：字符长度1-128位
public_ip	String	参数解释：弹性公网IP地址取值范围：字符长度1-256位
os_type	String	参数解释：操作系统类型取值范围： Linux：Linux。 Windows：Windows。
host_status	String	参数解释：服务器状态取值范围： ACTIVE：运行中 SHUTOFF：关机 BUILDING：创建中 ERROR：故障
agent_status	String	参数解释： Agent状态取值范围： installed：已安装 not_installed：未安装 online：在线 offline：离线 install_failed：安装失败 installing：安装中
protect_status	String	参数解释：防护状态取值范围： closed：未防护 opened：防护中
asset_value	String	参数解释：资产重要性取值范围： important：重要资产 common：一般资产 test：测试资产
attack_phase	String	参数解释：攻击阶段取值范围： reconnaissance：侦查跟踪 weaponization：武器构建 delivery：载荷投递 exploit：漏洞利用 installation：安装植入 command_and_control：命令与控制 actions：目标达成
attack_tag	String	参数解释：攻击标识取值范围： attack_success：攻击成功 attack_attempt：攻击尝试 attack_blocked：攻击被阻断 abnormal_behavior：异常行为 collapsible_host：主机失陷 system_vulnerability：系统脆弱性
occur_time	Integer	参数解释：发生时间，毫秒取值范围：最小值0，最大值9223372036854775807
handle_time	Integer	参数解释：处置时间，毫秒，已处理的告警才有取值范围：最小值0，最大值9223372036854775807
handle_status	String	参数解释：处理状态取值范围： unhandled：未处理 handled：已处理
handle_method	String	参数解释：处理方式，已处理的告警才有取值范围： mark_as_handled：手动处理 ignore：忽略 add_to_alarm_whitelist：加入告警白名单 add_to_login_whitelist：加入登录白名单 isolate_and_kill：隔离查杀
handler	String	参数解释：备注信息，已处理的告警才有取值范围：字符长度1-256位
operate_accept_list	Array of strings	支持的处理操作
operate_detail_list	Array of EventDetailResponseInfo objects	操作详情信息列表（页面不展示）
forensic_info	Object	取证信息，json格式
resource_info	EventResourceResponseInfo object	资源信息
geo_info	Object	地理位置信息，json格式
malware_info	Object	恶意软件信息，json格式
network_info	Object	网络信息，json格式
app_info	Object	应用信息，json格式
system_info	Object	系统信息，json格式
extend_info	Object	事件扩展信息，json格式
recommendation	String	参数解释：处置建议取值范围：字符长度1-256位
description	String	参数解释：告警说明取值范围：字符长度0-1024位
event_abstract	String	参数解释：告警摘要取值范围：字符长度0-512位
process_info_list	Array of EventProcessResponseInfo objects	进程信息列表
user_info_list	Array of EventUserResponseInfo objects	用户信息列表
file_info_list	Array of EventFileResponseInfo objects	文件信息列表
event_details	String	参数解释：事件信息的简述取值范围：字符长度0-204800位
tag_list	Array of strings	标签列表
event_count	Integer	参数解释：事件发生次数取值范围：最小值0，最大值2147483647
operate_type	String	参数解释：操作类型取值范围： add ：创建。 delete ：删除。 change_attribute ：修改文件属性。 modify ：修改文件内容。 move ：移动。

表6 EventDetailResponseInfo
参数	参数类型	描述
agent_id	String	参数解释: Agent ID 约束限制: 不涉及取值范围: 字符长度1-64位默认取值: 不涉及
process_pid	Integer	参数解释：进程ID 取值范围：最小值0，最大值2147483647
is_parent	Boolean	参数解释：是否是父进程取值范围： true：是父进程 false：不是父进程
file_hash	String	参数解释：文件哈希取值范围：字符长度1-256位
file_path	String	参数解释：文件路径取值范围：字符长度1-256位
file_attr	String	参数解释：文件属性取值范围：字符长度1-256位
private_ip	String	参数解释：服务器私有IP 取值范围：字符长度1-128位
login_ip	String	参数解释：登录源IP 取值范围：字符长度1-256位
login_user_name	String	参数解释：登录用户名取值范围：字符长度1-256位
keyword	String	告警事件关键字，仅用于告警白名单
hash	String	告警事件hash，仅用于告警白名单

表7 EventResourceResponseInfo
参数	参数类型	描述
domain_id	String	参数解释：租户账号ID 取值范围：字符长度1-256位
project_id	String	参数解释：项目ID 取值范围：字符长度1-256位
enterprise_project_id	String	参数解释：企业项目ID 取值范围：字符长度1-256位
region_name	String	参数解释： Region名称取值范围：字符长度1-256位
vpc_id	String	参数解释： VPC ID 取值范围：字符长度1-256位
cloud_id	String	参数解释：云主机ID 取值范围：字符长度1-256位
vm_name	String	参数解释：虚拟机名称取值范围：字符长度1-256位
vm_uuid	String	参数解释：虚拟机UUID，即主机ID 取值范围：字符长度1-256位
container_id	String	参数解释：容器ID 取值范围：字符长度1-256位
container_status	String	参数解释：容器状态取值范围：字符长度1-256位
pod_uid	String	参数解释： pod uid 取值范围：字符长度1-256位
pod_name	String	参数解释： pod name 取值范围：字符长度1-256位
namespace	String	参数解释： namespace 取值范围：字符长度1-256位
cluster_id	String	参数解释：集群ID 取值范围：字符长度1-256位
cluster_name	String	参数解释：集群名称取值范围：字符长度1-256位
image_id	String	参数解释：镜像ID 取值范围：字符长度1-256位
image_name	String	参数解释：镜像名称取值范围：字符长度1-256位
host_attr	String	参数解释：主机属性取值范围：字符长度1-256位
service	String	参数解释：业务服务取值范围：字符长度1-256位
micro_service	String	参数解释：微服务取值范围：字符长度1-256位
sys_arch	String	参数解释：系统CPU架构取值范围：字符长度1-256位
os_bit	String	参数解释：操作系统位数取值范围：字符长度1-256位
os_type	String	参数解释：操作系统类型取值范围：字符长度1-256位
os_name	String	参数解释：操作系统名称取值范围：字符长度1-256位
os_version	String	参数解释：操作系统版本取值范围：字符长度1-256位

表8 EventProcessResponseInfo
参数	参数类型	描述
process_name	String	参数解释：进程名称取值范围：字符长度1-256位
process_path	String	参数解释：进程文件路径取值范围：字符长度1-256位
process_pid	Integer	参数解释：进程ID 取值范围：最小值0，最大值2147483647
process_uid	Integer	参数解释：进程用户ID 取值范围：最小值0，最大值2147483647
process_username	String	参数解释：运行进程的用户名取值范围：字符长度1-256位
process_cmdline	String	参数解释：进程文件命令行取值范围：字符长度1-256位
process_filename	String	参数解释：进程文件名取值范围：字符长度1-256位
process_start_time	Long	参数解释：进程启动时间取值范围：最小值0，最大值9223372036854775807
process_gid	Integer	参数解释：进程组ID 取值范围：最小值0，最大值2147483647
process_egid	Integer	参数解释：进程有效组ID 取值范围：最小值0，最大值2147483647
process_euid	Integer	参数解释：进程有效用户ID 取值范围：最小值0，最大值2147483647
ancestor_process_path	String	参数解释：祖父进程文件路径取值范围：字符长度1-256位
ancestor_process_pid	Integer	参数解释：祖父进程ID 取值范围：最小值0，最大值2147483647
ancestor_process_cmdline	String	参数解释：祖父进程文件命令行取值范围：字符长度1-512位
parent_process_name	String	参数解释：父进程名称取值范围：字符长度1-256位
parent_process_path	String	参数解释：父进程文件路径取值范围：字符长度1-256位
parent_process_pid	Integer	参数解释：父进程ID 取值范围：最小值0，最大值2147483647
parent_process_uid	Integer	参数解释：父进程用户ID 取值范围：最小值0，最大值2147483647
parent_process_cmdline	String	参数解释：父进程文件命令行取值范围：字符长度1-512位
parent_process_filename	String	参数解释：父进程文件名取值范围：字符长度1-256位
parent_process_start_time	Long	参数解释：父进程启动时间取值范围：最小值0，最大值9223372036854775807
parent_process_gid	Integer	参数解释：父进程组ID 取值范围：最小值0，最大值2147483647
parent_process_egid	Integer	参数解释：父进程有效组ID 取值范围：最小值0，最大值2147483647
parent_process_euid	Integer	参数解释：父进程有效用户ID 取值范围：最小值0，最大值2147483647
child_process_name	String	参数解释：子进程名称取值范围：字符长度1-256位
child_process_path	String	参数解释：子进程文件路径取值范围：字符长度1-256位
child_process_pid	Integer	参数解释：子进程id 取值范围：最小值0，最大值2147483647
child_process_uid	Integer	参数解释：子进程用户id 取值范围：最小值0，最大值2147483647
child_process_cmdline	String	参数解释：子进程文件命令行取值范围：字符长度1-256位
child_process_filename	String	参数解释：子进程文件名取值范围：字符长度1-256位
child_process_start_time	Long	参数解释：子进程启动时间取值范围：最小值0，最大值9223372036854775807
child_process_gid	Integer	参数解释：子进程组ID 取值范围：最小值0，最大值2147483647
child_process_egid	Integer	参数解释：子进程有效组ID 取值范围：最小值0，最大值2147483647
child_process_euid	Integer	参数解释：子进程有效用户ID 取值范围：最小值0，最大值2147483647
virt_cmd	String	参数解释：虚拟化命令取值范围：字符长度1-256位
virt_process_name	String	参数解释：虚拟化进程名称取值范围：字符长度1-256位
escape_mode	String	参数解释：逃逸方式取值范围：字符长度1-256位
escape_cmd	String	参数解释：逃逸后执行的命令取值范围：字符长度1-256位
process_hash	String	参数解释：进程启动文件hash 取值范围：字符长度1-256位
process_file_hash	String	参数解释：进程文件hash 取值范围：字符长度1-256位
parent_process_file_hash	String	参数解释：父进程文件hash 取值范围：字符长度1-256位
block	Integer	是否阻断成功，1阻断成功 0阻断失败

表9 EventUserResponseInfo
参数	参数类型	描述
user_id	Integer	参数解释：用户uid 取值范围：最小值0，最大值2147483647
user_gid	Integer	参数解释：用户gid 取值范围：最小值0，最大值2147483647
user_name	String	参数解释：用户名称取值范围：字符长度1-256位
user_group_name	String	参数解释：用户组名称取值范围：字符长度1-256位
user_home_dir	String	参数解释：用户home目录取值范围：字符长度1-256位
login_ip	String	参数解释：用户登录IP 取值范围：字符长度1-256位
service_type	String	参数解释：服务类型取值范围： system：系统 mysql：数据库 redis：Redis
service_port	Integer	参数解释：登录服务端口取值范围：最小值0，最大值2147483647
login_mode	Integer	参数解释：登录方式取值范围：最小值0，最大值2147483647
login_last_time	Long	参数解释：用户最后一次登录时间取值范围：最小值0，最大值9223372036854775807
login_fail_count	Integer	参数解释：用户登录失败次数取值范围：最小值0，最大值2147483647
pwd_hash	String	参数解释：口令hash 取值范围：字符长度1-256位
pwd_with_fuzzing	String	参数解释：匿名化处理后的口令取值范围：字符长度1-256位
pwd_used_days	Integer	参数解释：密码使用的天数取值范围：最小值0，最大值2147483647
pwd_min_days	Integer	参数解释：口令的最短有效期限取值范围：最小值0，最大值2147483647
pwd_max_days	Integer	参数解释：口令的最长有效期限取值范围：最小值0，最大值2147483647
pwd_warn_left_days	Integer	参数解释：口令无效时提前告警天数取值范围：最小值0，最大值2147483647

**表10** EventFileResponseInfo
参数	参数类型	描述
file_path	String	参数解释：文件路径取值范围：字符长度1-256位
file_alias	String	参数解释：文件别名取值范围：字符长度1-256位
file_size	Integer	参数解释：文件大小取值范围：最小值0，最大值2147483647
file_mtime	Long	参数解释：文件最后一次修改时间取值范围：最小值0，最大值9223372036854775807
file_atime	Long	参数解释：文件最后一次访问时间取值范围：最小值0，最大值9223372036854775807
file_ctime	Long	参数解释：文件最后一次状态改变时间取值范围：最小值0，最大值9223372036854775807
file_hash	String	参数解释：文件hash,当前为sha256 取值范围：字符长度1-256位
file_md5	String	参数解释：文件md5 取值范围：字符长度1-256位
file_sha256	String	参数解释：文件sha256 取值范围：字符长度1-256位
file_type	String	参数解释：文件类型取值范围：字符长度1-256位
file_content	String	参数解释：文件内容取值范围：字符长度1-256位
file_attr	String	参数解释：文件属性取值范围：字符长度1-256位
file_operation	Integer	参数解释：文件操作类型取值范围：最小值0，最大值2147483647
file_action	String	参数解释：文件动作取值范围：字符长度1-256位
file_change_attr	String	参数解释：变更前后的属性取值范围：字符长度1-256位
file_new_path	String	参数解释：新文件路径取值范围：字符长度1-256位
file_desc	String	参数解释：文件描述取值范围：字符长度1-256位
file_key_word	String	参数解释：文件关键字取值范围：字符长度1-256位
is_dir	Boolean	参数解释：是否目录取值范围： true：是目录 false：不是目录
fd_info	String	参数解释：文件句柄信息取值范围：字符长度1-256位
fd_count	Integer	参数解释：文件句柄数量取值范围：最小值0，最大值2147483647

请求示例

查询告警事件event id为0009bae0-8700-11eb-bb3f-fa163e01e338，event_class_id为container_1001相同告警列表

GET https://{endpoint}/v5/{project_id}/event/same-events?enterprise_project_id=all_granted_eps&event_id=0009bae0-8700-11eb-bb3f-fa163e01e338&event_class_id=container_1001

响应示例

状态码：200

请求已成功

{
  "total_num" : 1,
  "data_list" : [ {
    "attack_phase" : "exploit",
    "attack_tag" : "abnormal_behavior",
    "event_class_id" : "lgin_1002",
    "event_id" : "d8a12cf7-6a43-4cd6-92b4-aabf1e917",
    "event_name" : "different locations",
    "event_type" : 4004,
    "forensic_info" : {
      "country" : "中国",
      "city" : "兰州市",
      "ip" : "127.0.0.1",
      "user" : "zhangsan",
      "sub_division" : "甘肃省",
      "city_id" : 3110
    },
    "handle_status" : "unhandled",
    "host_name" : "xxx",
    "occur_time" : 1661593036627,
    "operate_accept_list" : [ "ignore" ],
    "operate_detail_list" : [ {
      "agent_id" : "c9bed5397db449ebdfba15e85fcfc36accee125c68954daf5cab0528bab59bd8",
      "file_hash" : "e8b50f0b91e3dce0885ccc5902846b139d28108a0a7976c9b8d43154c5dbc44d",
      "file_path" : "/usr/test",
      "process_pid" : 3123,
      "file_attr" : 33261,
      "keyword" : "file_path=/usr/test",
      "hash" : "e8b50f0b91e3dce0885ccc5902846b139d28108a0a7976c9b8d43154c5dbc44d",
      "login_ip" : "127.0.0.1",
      "private_ip" : "127.0.0.2",
      "login_user_name" : "root",
      "is_parent" : false
    } ],
    "private_ip" : "127.0.0.1",
    "resource_info" : {
      "region_name" : "",
      "project_id" : "",
      "enterprise_project_id" : "0",
      "os_type" : "Linux",
      "os_version" : "2.5",
      "vm_name" : "",
      "vm_uuid" : "71a15ecc",
      "cloud_id" : "",
      "container_id" : "",
      "container_status" : "running / terminated",
      "image_id" : "",
      "pod_uid" : "",
      "pod_name" : "",
      "namespace" : "",
      "cluster_id" : "",
      "cluster_name" : ""
    },
    "severity" : "Medium",
    "extend_info" : "",
    "os_type" : "Linux",
    "agent_status" : "online",
    "asset_value" : "common",
    "protect_status" : "opened",
    "host_status" : "ACTIVE",
    "event_details" : "file_path:/root/test",
    "user_info_list" : [ {
      "login_ip" : "",
      "service_port" : 22,
      "service_type" : "ssh",
      "user_name" : "zhangsan",
      "login_mode" : 0,
      "login_last_time" : 1661593024,
      "login_fail_count" : 0
    } ],
    "description" : "",
    "abstract" : "",
    "label_list" : [ "热点事件" ]
  } ]
}

状态码

状态码	描述
200	请求已成功

错误码

请参见错误码。

查询某告警事件的相同告警列表 - ListSameEvents

功能介绍

授权信息

URI

请求参数

响应参数

请求示例

响应示例

状态码

错误码

相关文档

意见反馈

文档内容是否对您有帮助？