更新时间:2024-10-09 GMT+08:00

日志字段说明

本节介绍对接到LTS的日志字段。

攻击事件日志

字段

类型

描述

src_ip

string

源IP地址。

src_port

string

源端口号。

dst_ip

string

目的IP地址。

dst_port

string

目的端口号。

protocol

string

协议类型。

app

string

应用类型。

src_region_name

string

源地区名称。

src_region_id

string

源地区ID。

dst_region_name

string

目的地区名称。

dst_region_id

string

目的地区ID。

log_type

string

日志类型。

  • internet:互联网边界流量日志
  • nat:NAT边界流量日志
  • vpc:VPC间流量日志

vsys

long

防火墙防护方向。

  • 1:南北向
  • 2:东西向

direction

string

流量方向。

  • out2in:入方向
  • in2out:出方向

action

string

防火墙当前的响应动作。

  • permit:放行
  • deny:阻断
  • block:阻断IP
  • drop:丢弃

packet

string

攻击日志的原始数据包。

说明:

编码方式为Base64格式。

attack_rule

string

检测到攻击的防御规则。

attack_rule_id

string

检测到攻击的防御规则ID号。

attack_type

string

发生攻击的类型。

  • Vulnerability Exploit Attack:漏洞攻击
  • Vulnerability Scan:漏洞扫描
  • Trojan:木马病毒
  • Worm:蠕虫病毒
  • Phishing:网络钓鱼攻击
  • Web Attack:Web攻击
  • Application DDoS:DDoS攻击
  • Buffer Overflow:缓冲区溢出攻击
  • Password Attack:密码攻击
  • Mail:邮件相关类型的攻击行为
  • Access Control:访问控制行为
  • Hacking Tool:黑客工具
  • Hijacking:劫持行为
  • Protocol Exception:存在异常协议
  • Spam:存在垃圾邮件
  • Spyware:存在间谍软件
  • DDoS Flood:DDoS泛洪攻击
  • Suspicious DNS Activity:可疑DNS活动
  • Other Suspicious Behavior:其它可疑行为

level

string

表示检测到威胁的等级。

  • CRITICAL:严重
  • HIGH:高
  • MIDDLE:中
  • LOW:低

source

string

检测到攻击的防御模式。

  • 0:基础防御
  • 1:虚拟补丁

event_time

long

检测到的攻击时间。

访问控制日志

字段

类型

描述

rule_id

string

触发规则的ID

src_ip

string

源IP地址。

src_port

string

源端口号。

dst_ip

string

目的IP地址。

dst_port

string

目的端口号。

src_region_name

string

源地区名称。

src_region_id

string

源地区ID。

dst_region_name

string

目的地区名称。

dst_region_id

string

目的地区ID。

log_type

string

日志类型。

  • internet:互联网边界流量日志
  • nat:NAT边界流量日志
  • vpc:VPC间流量日志

dst_host

string

目的域名。

vsys

long

防火墙防护方向。

  • 1:南北向
  • 2:东西向

protocol

string

协议类型。

app

string

应用类型。

direction

string

流量方向。

  • out2in:入方向
  • in2out:出方向

action

string

防火墙当前的响应动作。

  • permit:放行
  • deny:阻断

hit_time

long

访问发生的时间。

流量日志

字段

类型

描述

src_ip

string

源IP地址。

src_port

string

源端口号。

dst_ip

string

目的IP地址。

dst_port

string

目的端口号。

protocol

string

协议类型。

app

string

应用类型。

direction

string

流量方向。

  • out2in:入方向
  • in2out:出方向

action

string

防火墙当前的响应动作。

  • permit:放行
  • deny:阻断

src_region_name

string

源地区名称。

src_region_id

string

源地区ID。

src_vpc

string

源IP地址所在VPC的ID

dst_region_name

string

目的地区名称。

dst_region_id

string

目的地区ID。

dst_vpc

string

目的IP地址所在VPC的ID

log_type

string

日志类型。

  • internet:互联网边界流量日志
  • nat:NAT边界流量日志
  • vpc:VPC间流量日志

dst_host

string

目的域名。

vsys

long

防火墙防护方向。

  • 1:南北向
  • 2:东西向

hit_time

long

访问发生的时间。

to_s_bytes

long

客户端向服务端发送的字节数。

to_c_bytes

long

服务端向客户端发送的字节数。

to_s_pkts

long

客户端向服务端发送的报文数。

to_c_pkts

long

服务端向客户端发送的报文数。

bytes

long

防护流量的字节数。

packets

long

防护流量的报文数。

start_time

long

流开始时间

end_time

long

流结束时间