文档首页/安全云脑 SecMaster/用户指南/日志审计/安全分析/日志字段含义

更新时间：2026-02-05 GMT+08:00

日志字段含义

如果您通过控制台接入了WAF、HSS、Anti-DDoS、CFW、OBS、CTS、APIG、IPS、DBSS、DSC等服务日志数据时，安全云脑会将日志来源、时间戳等信息以Key-Value对的形式添加到日志中。

本章节将介绍各日志字段的含义，在安全分析的查询与分析日志中将会使用到日志字段。

通用字段：通用字段含义。
sec-waf-attack：WAF攻击日志字段含义。
sec-waf-access：WAF访问日志字段含义。
sec-obs-access：OBS访问日志字段含义。
sec-nip-attack：IPS攻击日志字段含义。
sec-iam-audit：IAM审计日志字段含义。
sec-hss-vul：HSS主机漏洞扫描结果字段含义。
sec-hss-alarm：HSS主机安全告警字段含义。
sec-hss-log：HSS主机安全日志字段含义。
sec-ddos-attack：DDoS攻击日志字段含义。
sec-cts-audit：CTS日志字段含义。
sec-cfw-risk：CFW攻击事件日志字段含义。
sec-cfw-flow：CFW流量日志字段含义。
sec-cfw-block：CFW访问控制日志字段含义。
sec-apig-access：API网关的访问日志字段含义。
sec-dbss-alarm：DBSS告警日志字段含义。
sec-dsc-alarm：DSC告警日志字段含义。
sec-mtd-alarm：MTD告警日志字段含义。

通用字段

表1 通用字段
字段名	字段类型	字段含义
__time	Date	日志产生的时间
__raw	String	原始日志
ops.source	String	数据源名称
ops.rgn	String	所属局点
ops.csvc	String	数据源(云服务)
ops.ver	String	数仓版本号
ops.hash	String	extend hash value of original 数据完整性验证
[src_/dest_]asset.domain.id	String	租户id
[src_/dest_]asset.domain.name	String	租户名
[src_/dest_]asset.id	String	资产id
[src_/dest_]asset.name	String	资产名称
[src_/dest_]asset.type	String	资产类型
[src./dest.]asset.region	String	资产局点
[src_/dest_]geo.ip	String	ip地址
[src_/dest_]geo.country	String	国家(中文)
[src_/dest_]geo.prov	String	省份（中文）
[src_/dest_]geo.city	String	城市名称（中文）
[src_/dest_]geo.org	String	注册IP的组织
[src_/dest_]geo.isp	String	运营商
[src_/dest_]geo.loc.lat	Float	纬度
[src_/dest_]geo.loc.lon	Float	经度
[src_/dest_]geo.tz	Integer	时区
[src_/dest_]geo.utc_off	Integer	时区
[src_/dest_]geo.cac	String	时区
[src_/dest_]geo.iddc	String	国际电话前缀码
[src_/dest_]geo.cc	String	国家编码ISO
[src_/dest_]geo.contc	String	大洲编码ISO
[src_/dest_]geo.idc	String	数据中心，机房
[src_/dest_]geo.bs	String	移动基站
[src_/dest_]geo.cc3	String	国家代码3位
[src_/dest_]geo.euro	String	欧盟成员国

sec-waf-attack

WAF攻击日志字段含义如下所示：

表2 sec-waf-attack
字段		类型	字段含义
category		String	分类，此处值为“attack”。
time		Date	标识日志时间。
time_iso8601		Date	标识日志的 ISO 8601 格式时间。
policy_id		String	标识防护策略ID。
level		Integer	标识防护策略层级（1为宽松，2为中等，3为严格）。
attack		String	标识攻击类型。攻击类型的解释为： default：默认 xss：跨站脚本攻击 sqli：SQL注入攻击 cmdi：命令注入攻击 lfi：本地文件包含 rfi：远程文件包含 webshell：WebShell攻击 robot：爬虫攻击（根据UA黑名单拦截） vuln：漏洞攻击 cc：命中CC规则 custom_custom：命中防护规则 custom_whiteip：命中白名单规则 custom_geoip：命中地理位置规则 illegal：非法请求 anticrawler：命中反爬虫规则（JS挑战） antitamper：命中防篡改规则 leakage：命中隐私泄露规则 followed_action：攻击惩罚 trojan：网站木马
action		String	标识处理动作。处理动作的解释为： block：拦截 log：仅记录 captcha：人机验证
rule		String	标识触发的规则ID或者自定义的策略类型描述。
sub_type		String	当attack为robot时，该字段不为空。标识爬虫的子类型。 script_tool：脚本工具 search_engine：搜索引擎 scanner：扫描工具 uncategorized：其他爬虫
location		String	标识触发的payload的位置。
resp_headers		String	标识响应头。
resp_body		String	标识响应体。
hit_data		String	标识触发的payload字符串。
status		String	标识请求的响应状态码。
reqid		String	随机ID标识。
id		String	攻击 ID。
method		String	标识请求方法。
sip		String	标识客户端请求IP。
sport		String	标识客户端请求端口。
host		String	标识请求的服务器域名。
http_host		String	标识请求的服务器端口。
uri		String	标识请求URL。
header		String	标识请求header信息。
multipart		String	标识请求multipart header（文件上传场景）。
cookie		String	标识请求cookie信息。
params		String	标识请求URI后的参数信息。
body_bytes_sent		String	标识发送给客户端的响应体字节数。
upstream_response_time		String	标识后端服务器响应时间。
process_time		String	标识引擎的检测用时。
engine_id		String	标识引擎的唯一标识。
group_id		String	用于对接LTS服务的日志组ID。
attack_stream_id		String	与group_id相关，是日志组下用户的access_stream的ID。
hostid		String	标识防护域名 ID。
tenantid		String	标识防护域名的租户 ID。
projectid		String	标识防护域名的项目 ID。
backend		Object	标识请求转发的后端服务器地址。
backend	type	String	标识当前后端 Host 类型（IP或域名）。
	alive	String	标识当前后端状态。
	host	String	标识当前后端 Host 值。
	protocol	String	标识当前后端协议。
	port	Integer	标识当前后端端口。

sec-waf-access

WAF访问日志字段含义如表3所示。

表3 sec-waf-access
字段	类型	字段含义
requestid	String	随机ID标识。
time	Date	标识日志时间。
eng_ip	String	标识引擎IP。
hostid	String	标识防护域名 ID。
tenantid	String	标识防护域名的租户 ID。
projectid	String	标识防护域名的项目 ID。
remote_ip	String	标识请求的客户端 IP。
scheme	String	标识请求协议类型。
response_code	String	标识请求响应码。
method	String	标识请求方法。
http_host	String	标识请求的服务器域名。
url	String	标识请求URL。
request_length	String	标识请求长度。
bytes_send	String	标识发送给客户端的总字节数。
body_bytes_sent	String	标识发送给客户端的响应体字节数。
upstream_addr	String	标识选择的后端服务器地址。
request_time	String	标识请求处理时间，从读取客户端的第一个字节开始计时。
upstream_response_time	String	标识后端服务器响应时间。
upstream_status	String	标识后端服务器的响应码。
upstream_connect_time	String	标识后端服务器连接用时。
upstream_header_time	String	标识后端服务器接收到第一个响应头字节的用时。
bind_ip	String	标识引擎回源 IP。
engine_id	String	标识引擎的唯一标识。
time_iso8601	Date	标识日志的 ISO 8601 格式时间。
sni	String	标识通过 SNI 请求的域名。
tls_version	String	标识建立 SSL 连接的协议版本。
ssl_curves	String	标识客户端支持的曲线列表。
ssl_session_reused	String	标识 SSL 会话是否被重用。重用：r 未重用：.
process_time	String	标识引擎的检测用时。
x_forwarded_for	String	标识请求头中 X-Forwarded-For 的内容。
cdn_src_ip	String	标识请求头中 Cdn-Src-Ip 的内容。
x_real_ip	String	标识请求头中 X-Real-Ip 的内容。

sec-obs-access

对象存储服务访问日志字段含义如下所示：

表4 sec-obs-access
字段	类型	字段含义
srcip	String	访问obs的源ip。
srcport	String	访问obs的源端口。
logtime	Date	日志记录时间。
ces_log_version	String	内部请求为V0，V0不记录CES审计日志，V1记录CES审计日志。
request_start_time	String	请求开始时间。
ctx_request_id	String	请求ID，请求跟踪的唯一标识。
request_method	String	请求方法（get/post）。
remote_ip	String	客户端IP:端口。
operation	String	操作类型，如GET.OBJECT。
bucket_name	String	桶名。
object_name	String	对象名（文件名）。
query_string	String	请求query。
http_status	String	http请求状态码，如200。
content_length	String	请求内容长度。
user_agent	String	客户端agent。
storage_class	String	对象存储类型。
user_name	String	请求者用户名称。
user_id	String	请求者用户ID。
domain_name	String	请求者账号名称。
domain_id	String	请求者账号ID。
project_id	String	请求者项目ID。
owner_domain_name	String	桶owner租户名称。
owner_domain_id	String	桶owner租户ID。
owner_project_id	String	桶owner项目ID。
transmission_type	String	网络类型： 1：内网 2：公网
scheme	String	网络协议。
http_version	String	http版本。
host	String	服务obs域名。
port	String	端口。
auth_v2_v4	String	鉴权方式。
host_type	String	访问方式。
x_forwarded_for	String	代理客户端IP。
pub_bkt	String	是否为匿名访问桶。
pub_obj	String	是否为匿名访问对象。
website_req	String	是否为website请求。
crr_req	String	是否为crr请求。
huawei_cloud_service	String	是否为cdn请求。 CDN_F：认证失败 CDN：认证成功
batch_delete_success_count	String	批删成功个数。
ctc_log_urn	String	委托。
requester	String	委托账号。
is_over_write	String	是否为覆盖写。
error_code	String	错误原因。
detail_error_code	String	详细错误原因。
request_content_type	String	请求对象类型。
request_content_md5	String	请求对象md5。
total_bytes_received	String	接收到的内容总数。
response_content_type	String	响应对象类型。
total_bytes_sent	String	发送内容总数响应头+响应BODY体。
referrer	String	引用页。
index_read_count	String	查询元数据表时延。
persistence_read_count	String	读取数据的次数。
vpc_id	String	标识请求客户端所属的VPCID。
access_with_security_token	String	使用sts token。
copy_size	String	copy_size。
vpcep_traffic	String	走EP
access_key	String	ak。

sec-nip-attack

IPS攻击日志字段含义如下所示：

表5 sec-nip-attack
字段	类型	字段含义
SyslogId	String	日志序号。
Vsys	String	虚拟系统名称。
Policy	String	安全策略名称。
SrcIp	String	报文的源IP地址
DstIp	String	报文的目的IP地址
SrcPort	String	报文的源端口（对于ICMP报文，该字段为0）。
DstPort	String	报文的目的端口（对于ICMP报文，该字段为0）。
SrcZone	String	报文的源安全域。
DstZone	String	报文的目的安全域。
User	String	用户名。
Protocol	String	签名检测到的报文所属协议。
Application	String	签名检测到的报文所属应用。
Profile	String	配置文件的名称。
SignName	String	签名的名称。
SignId	String	签名的ID。
EventNum	String	日志归并引入字段，是否归并需根据归并频率及日志归并条件来确定，不发生归并则为1。
Target	String	签名所检测的报文所攻击的对象。具体情况如下： server：攻击对象为服务端。 client：攻击对象为客户端。 both：攻击对象为服务端和客户端。
Severity	String	签名所检测的报文所造成攻击的严重性。具体情况如下： information：表示严重性为提示。 low：表示严重性为低。 medium：表示严重性为中。 high：表示严重性为高。
Os	String	签名所检测的报文所攻击的操作系统。具体情况如下： all：所有系统。 android：安卓系统。 ios：苹果系统。 unix-like：Unix系统。 windows：Windows系统。 other：其他系统。
Category	String	签名检测到的报文攻击特征所属的威胁分类。
Action	String	签名动作。 alert：签名动作为告警。 block：签名动作为阻断。
Reference	String	签名的参考信息。
Extend	String	增强模式下的取证字段。

sec-iam-audit

统一身份认证审计日志字段含义如下所示：

表6 sec-iam-audit
字段	类型	字段含义
uid	String	用户id。
un	String	用户名。
did	String	租户id。
dn	String	租户名。
src	String	请求域名。
opl	String	操作级别。
op	String	操作类型。
res	String	IAM服务调用结果。
ter	String	源ip。
dtl	String	iam认证详情。
tn	Date	发生时间。
ts	Long	iam服务调用的发生时间戳。
tid	String	traceid。
evnt	String	事件。
tobj	String	操作服务。

sec-hss-vul

主机漏洞扫描结果字段含义如下所示：

表7 sec-hss-vul
字段		类型	字段含义
agentUuid		String	agent的UUID。
alarmCsn		String	告警UUID，master生成告警时随机生成。
alarmKey		String	告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。
alarmVersion		String	agent版本号。
occurTime		Int64	漏洞检测时间（ms）。
severity		Int32	HSS定义的漏洞等级。
hostUuid		String	受影响主机UUID。
hostName		String	受影响主机名。
hostIp		String	受影响主机通信IP。
ipList		String	受影响主机IP列表。
cloudId		String	CloudAgent sn。
region		String	受影响主机所在区域。
projectId		String	项目ID。
enterpriseProjectId		String	企业项目ID。
appendInfo		Object	漏洞详情。
appendInfo	vulId	String	漏洞官方ID。
	type	Int32	漏洞类型。 0：linux 1：windows 2：webcms
	repairNecessity	Int32	漏洞修复必要性级别。 1：低危 2&3：中危 4：高危
	status	Int32	保留字段。
	cve_ids	String	CVE ID列表，通过英文逗号连接。
	url	String	漏洞详情官网链接。
	vulNameEn	String	漏洞英文名。
	vulNameCn	String	漏洞中文名。
	severityLevel	String	漏洞危害级别，分为如下等级： Critical：严重 High：高 Medium：中 Low：低
	descriptionEn	String	漏洞英文描述。
	descriptionCn	String	漏洞中文描述。
	solutionEn	String	解决方案英文描述。
	solutionCn	String	解决方案中文描述。
	repairCmd	String	修复命令。
	needBoot	Int32	是否需要重启；当前默认1，暂时不用。
	errorInfo	String	修复失败原因。
	appName	String	存在漏洞的软件名（linux漏洞特有）。
	version	String	存在漏洞的软件版本（linux漏洞特有）。
	createTime	Int64	首次检测时间（ms）。
	updateTime	Int64	漏洞修复时间（ms）；初始值同createTime。
	agentId	String	关联主机agent的UUID。
	projectId	String	受影响租户ID。

sec-hss-alarm

主机安全告警日志字段含义如下所示：

表8 sec-hss-alarm
字段			类型	字段含义
agentUuid			String	agent的UUID。
alarmCsn			String	告警UUID。
alarmKey			String	告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。
alarmVersion			String	agent版本号。
occurTime			Long	事件发生时间（ms）。
severity			Long	风险等级。
hostUuid			String	受影响主机UUID。
hostName			String	受影响主机名。
hostIp			String	受影响主机通信IP。
ipList			String	受影响主机IP列表。
cloudId			String	CloudAgent sn。
region			String	受影响主机所在区域。
projectId			String	项目ID。
enterpriseProjectId			String	企业项目ID。
appendInfo			Object	告警详情。
appendInfo	agent_id		String	AGENT ID。
	version		String	事件版本。
	container_name		String	容器ID（容器安全场景）。
	image_name		String	镜像名称（容器安全场景）。
	event_id		String	事件ID，GUID。
	event_name		String	事件名称。
	event_classid		String	事件唯一标识。
	occur_time		Long	发生时间（秒）。
	recent_time		Long	最近一次发生时间（秒）。
	event_category		Integer	事件大类。
	event_type		Integer	事件类型。
	event_count		Integer	事件次数。
	severity		Integer	严重级别。
	attack_phase		Integer	攻击阶段。
	attack_tag		Integer	攻击标识。
	confidence		Integer	置信度。
	action		Integer	动作类型。
	detect_module		String	检测模块。
	report_source		String	上报源。
	related_events		String	相关事件ID。
	resource_info		Object	资源信息。
	network_info		Object	网络信息。
	app_info		Object	应用信息。
	system_info		Object	系统信息。
	process_info		list	进程信息。
	user_info		list	用户信息。
	file_info		list	文件信息。
	geo_info		Object	地理信息。
	malware_info		Object	恶意软件信息。
	forensic_info		String	取证字段。
	recommendation		String	处置建议。
	extend_info		String	事件扩展信息。
	resource_info	project_id	String	项目ID。
		region_name	String	Region名称。
		vpc_id	String	VPC ID。
		host_name	String	主机名称。
		host_ip	String	主机IP。
		host_id	String	主机ID（ECS对应ID）。
		cloud_id	String	CloudAgent SN。
		vm_name	String	虚拟机名称。
		vm_uuid	String	虚拟机UUID。
		container_id	String	容器id。
		image_id	String	镜像id。
		sys_arch	String	系统CPU架构。
		os_bit	String	操作系统位数。
		os_type	String	操作系统类型。
		os_name	String	操作系统名称。
		os_version	String	操作系统版本。
	network_info	local_address	String	本地地址。
		local_port	Integer	本地端口。
		remote_address	String	远程地址。
		remote_port	Integer	远程端口。
		src_ip	String	源IP。
		src_port	Integer	源端口。
		src_domain	String	源域。
		dest_ip	String	目的IP。
		dest_port	Integer	目的端口。
		dest_domain	String	目的域。
		protocol	String	协议。
		app_protocol	String	应用层协议。
		flow_direction	String	流量方向。
	app_info	sql	String	执行的sql语句。
		domain_name	String	DNS域名。
		url_path	String	URL路径。
url_method		String	URL方法。
req_refer		String	URL请求refer信息。
email_subject		String	邮件主题。
email_sender		String	邮件发送者。
email_receiver		String	邮件接收者。
email_keyword		String	邮件关键字。
process_info	process_name	String	进程名称。
	process_path	String	进程文件路径。
	process_pid	Integer	进程id。
	process_uid	Integer	进程用户id。
	process_username	String	运行进程的用户名。
	process_cmdline	String	进程文件命令行。
	process_filename	String	进程文件名。
	process_start_time	Long	进程启动时间。
	process_gid	Integer	进程组ID。
	process_egid	Integer	进程有效组ID。
	process_euid	Integer	进程有效用户ID。
	parent_process_name	String	父进程名称。
	parent_process_path	String	父进程文件路径。
	parent_process_pid	Integer	父进程id。
	parent_process_uid	Integer	父进程用户id。
	parent_process_cmdline	String	父进程文件命令行。
	parent_process_filename	String	父进程文件名。
	parent_process_start_time	Long	父进程启动时间。
	parent_process_gid	Integer	父进程组ID。
	parent_process_egid	Integer	父进程有效组ID。
	parent_process_euid	Integer	父进程有效用户ID。
	child_process_name	String	子进程名称。
	child_process_path	String	子进程文件路径。
	child_process_pid	Integer	子进程id。
	child_process_uid	Integer	子进程用户id。
	child_process_cmdline	String	子进程文件命令行。
	child_process_filename	String	子进程文件名。
	child_process_start_time	Long	子进程启动时间。
	child_process_gid	Integer	子进程组ID。
	child_process_egid	Integer	子进程有效组ID。
	child_process_euid	Integer	子进程有效用户ID。
	virt_cmd	String	虚拟化命令。
	virt_process_name	String	虚拟化进程名称。
	escape mode	String	逃逸方式。
	escape cmd	String	逃逸后执行的命令。
user_info	user_id	Integer	用户uid。
	user_gid	Integer	用户gid。
	user_name	String	用户名称。
	user_group_name	String	用户组名称。
	user_home_dir	String	用户home目录。
	login_ip	String	用户登录ip。
	service_type	String	登录的服务类型。
	service_port	Integer	登录服务端口。
	login_mode	String	登录方式。
	login_lasttime	Long	用户最后一次登录时间。
	login_fail_count	Integer	用户登录失败次数。
	pwd_hash	String	口令hash。
	pwd_with_fuzzing	String	匿名化处理后的口令。
	pwd_used_days	Integer	密码使用的天数。
	pwd_min_days	Integer	口令的最短有效期限。
	pwd_max_days	Integer	口令的最长有效期限。
	pwd_warn_left_days	Integer	口令无效时提前告警天数。
file_info	file_path	String	文件路径/名称。
	file_alias	String	文件别名。
	file_size	Integer	文件大小。
	file_mtime	Long	文件最后一次修改时间。
	file_atime	Long	文件最后一次访问时间。
	file_ctime	Long	文件最后一次状态改变时间。
	file_hash	String	文件hash。
	file_md5	String	文件md5。
	file_sha256	String	文件sha256。
	file_type	String	文件类型。
	file_content	String	文件内容。
	file_attr	String	文件属性。
	file_operation	String	文件操作类型。
	file_change_attr	String	变更前后的属性。
	file_new_path	String	新文件路径。
	file_desc	String	文件描述。
	file_key_word	String	文件关键字。
	is_dir	Boolean	是否目录。
	fd_info	String	文件句柄信息。
	fd_count	Integer	文件句柄数量。
forensic_info	monitor_process	String	监控进程。
	escape_mode	String	逃逸方式。
	abnormal_port	String	异常端口。
geo_info	src_country	String	源国家。
	src_city	String	源城市。
	src_latitude	Long	源纬度。
	src_longitude	Long	源经度。
	dest_country	String	目的国家。
	dest_city	String	目的城市。
	dest_latitude	Long	目的纬度。
	dest_longitude	Long	目的经度。
malware_info	malware_family	String	恶意家族。
malware_info	malware_class	String	恶意软件分类。
system_info	pwd_valid	Boolean	口令结果是否有效。
	pwd_min_len	Integer	口令长度。
	pwd_digit_credit	Integer	口令中数字要求。
	pwd_uppercase_letter	Integer	口令中大写字母。
	pwd_lowercase_letter	Integer	口令中小写字母。
	pwd_special_characters	Integer	口令中特殊字符。
extend_info	hit_rule	String	特征规则。
	rule_name	String	规则名称。
	rulesetname	String	规则集名称。
	report_type	String	上报数据类型。
ti_info	ti_source	String	情报来源。
	ti_class	String	情报分类。
	ti_threat_type	String	情报威胁类型。
	ti_first_time	Long	第一次发现时间。
	ti_last_time	Long	最近一次发现时间。

sec-hss-log

主机安全日志字段含义如下所示：

表9 sec-hss-log
字段			类型	字段含义
agentUuid			String	agent的UUID。
alarmCsn			String	告警UUID。
alarmKey			String	告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。
alarmVersion			String	agent版本号。
occurTime			Long	事件发生时间（ms）。
severity			Long	风险等级。
hostUuid			String	受影响主机UUID。
hostName			String	受影响主机名。
hostIp			String	受影响主机通信IP。
ipList			String	受影响主机IP列表。
cloudId			String	CloudAgent sn。
region			String	受影响主机所在区域。
projectId			String	项目ID。
enterpriseProjectId			String	企业项目ID。
appendInfo			Object	告警详情。
appendInfo	agent_id		String	AGENT ID。
	version		String	事件版本。
	container_name		String	容器ID（容器安全场景）。
	image_name		String	镜像名称（容器安全场景）。
	event_id		String	事件ID，GUID。
	event_name		String	事件名称。
	event_classid		String	事件唯一标识。
	occur_time		Long	发生时间（秒）。
	recent_time		Long	最近一次发生时间（秒）。
	event_category		Integer	事件大类。
	event_type		Integer	事件类型。
	event_count		Integer	事件次数。
	severity		Integer	严重级别。
	attack_phase		Integer	攻击阶段。
	attack_tag		Integer	攻击标识。
	confidence		Integer	置信度。
	action		Integer	动作类型。
	detect_module		String	检测模块。
	report_source		String	上报源。
	related_events		String	相关事件ID。
	resource_info		Object	资源信息。
	network_info		Object	网络信息。
	app_info		Object	应用信息。
	system_info		Object	系统信息。
	process_info		list	进程信息。
	user_info		list	用户信息。
	file_info		list	文件信息。
	geo_info		Object	地理信息。
	malware_info		Object	恶意软件信息。
	forensic_info		String	取证字段。
	recommendation		String	处置建议。
	extend_info		String	事件扩展信息。
	resource_info	project_id	String	项目ID。
		region_name	String	Region名称。
		vpc_id	String	VPC ID。
		host_name	String	主机名称。
		host_ip	String	主机IP。
		host_id	String	主机ID（ECS对应ID）。
		cloud_id	String	CloudAgent SN。
		vm_name	String	虚拟机名称。
		vm_uuid	String	虚拟机UUID。
		container_id	String	容器id。
		image_id	String	镜像id。
		sys_arch	String	系统CPU架构。
		os_bit	String	操作系统位数。
		os_type	String	操作系统类型。
		os_name	String	操作系统名称。
		os_version	String	操作系统版本。
	network_info	local_address	String	本地地址。
		local_port	Integer	本地端口。
		remote_address	String	远程地址。
		remote_port	Integer	远程端口。
		src_ip	String	源IP。
		src_port	Integer	源端口。
		src_domain	String	源域。
		dest_ip	String	目的IP。
		dest_port	Integer	目的端口。
		dest_domain	String	目的域。
		protocol	String	协议。
		app_protocol	String	应用层协议。
		flow_direction	String	流量方向。
	app_info	sql	String	执行的sql语句。
		domain_name	String	DNS域名。
		url_path	String	URL路径。
url_method		String	URL方法。
req_refer		String	URL请求refer信息。
email_subject		String	邮件主题。
email_sender		String	邮件发送者。
email_receiver		String	邮件接收者。
email_keyword		String	邮件关键字。
process_info	process_name	String	进程名称。
	process_path	String	进程文件路径。
	process_pid	Integer	进程id。
	process_uid	Integer	进程用户id。
	process_username	String	运行进程的用户名。
	process_cmdline	String	进程文件命令行。
	process_filename	String	进程文件名。
	process_start_time	Long	进程启动时间。
	process_gid	Integer	进程组ID。
	process_egid	Integer	进程有效组ID。
	process_euid	Integer	进程有效用户ID。
	parent_process_name	String	父进程名称。
	parent_process_path	String	父进程文件路径。
	parent_process_pid	Integer	父进程id。
	parent_process_uid	Integer	父进程用户id。
	parent_process_cmdline	String	父进程文件命令行。
	parent_process_filename	String	父进程文件名。
	parent_process_start_time	Long	父进程启动时间。
	parent_process_gid	Integer	父进程组ID。
	parent_process_egid	Integer	父进程有效组ID。
	parent_process_euid	Integer	父进程有效用户ID。
	child_process_name	String	子进程名称。
	child_process_path	String	子进程文件路径。
	child_process_pid	Integer	子进程id。
	child_process_uid	Integer	子进程用户id。
	child_process_cmdline	String	子进程文件命令行。
	child_process_filename	String	子进程文件名。
	child_process_start_time	Long	子进程启动时间。
	child_process_gid	Integer	子进程组ID。
	child_process_egid	Integer	子进程有效组ID。
	child_process_euid	Integer	子进程有效用户ID。
	virt_cmd	String	虚拟化命令。
	virt_process_name	String	虚拟化进程名称。
	escape mode	String	逃逸方式。
	escape cmd	String	逃逸后执行的命令。
user_info	user_id	Integer	用户uid。
	user_gid	Integer	用户gid。
	user_name	String	用户名称。
	user_group_name	String	用户组名称。
	user_home_dir	String	用户home目录。
	login_ip	String	用户登录ip。
	service_type	String	登录的服务类型。
	service_port	Integer	登录服务端口。
	login_mode	String	登录方式。
	login_lasttime	Long	用户最后一次登录时间。
	login_fail_count	Integer	用户登录失败次数。
	pwd_hash	String	口令hash。
	pwd_with_fuzzing	String	匿名化处理后的口令。
	pwd_used_days	Integer	密码使用的天数。
	pwd_min_days	Integer	口令的最短有效期限。
	pwd_max_days	Integer	口令的最长有效期限。
	pwd_warn_left_days	Integer	口令无效时提前告警天数。
file_info	file_path	String	文件路径/名称。
	file_alias	String	文件别名。
	file_size	Integer	文件大小。
	file_mtime	Long	文件最后一次修改时间。
	file_atime	Long	文件最后一次访问时间。
	file_ctime	Long	文件最后一次状态改变时间。
	file_hash	String	文件hash。
	file_md5	String	文件md5。
	file_sha256	String	文件sha256。
	file_type	String	文件类型。
	file_content	String	文件内容。
	file_attr	String	文件属性。
	file_operation	String	文件操作类型。
	file_change_attr	String	变更前后的属性。
	file_new_path	String	新文件路径。
	file_desc	String	文件描述。
	file_key_word	String	文件关键字。
	is_dir	Boolean	是否目录。
	fd_info	String	文件句柄信息。
	fd_count	Integer	文件句柄数量。
forensic_info	monitor_process	String	监控进程。
	escape_mode	String	逃逸方式。
	abnormal_port	String	异常端口。
geo_info	src_country	String	源国家。
	src_city	String	源城市。
	src_latitude	Long	源纬度。
	src_longitude	Long	源经度。
	dest_country	String	目的国家。
	dest_city	String	目的城市。
	dest_latitude	Long	目的纬度。
	dest_longitude	Long	目的经度。
malware_info	malware_family	String	恶意家族。
malware_info	malware_class	String	恶意软件分类。
system_info	pwd_valid	Boolean	口令结果是否有效。
	pwd_min_len	Integer	口令长度。
	pwd_digit_credit	Integer	口令中数字要求。
	pwd_uppercase_letter	Integer	口令中大写字母。
	pwd_lowercase_letter	Integer	口令中小写字母。
	pwd_special_characters	Integer	口令中特殊字符。
extend_info	hit_rule	String	特征规则。
	rule_name	String	规则名称。
	rulesetname	String	规则集名称。
	report_type	String	上报数据类型。
ti_info	ti_source	String	情报来源。
	ti_class	String	情报分类。
	ti_threat_type	String	情报威胁类型。
	ti_first_time	Long	第一次发现时间。
	ti_last_time	Long	最近一次发现时间。

sec-ddos-attack

DDoS攻击日志字段含义如下所示：

**表10** sec-ddos-attack
字段	类型	字段含义
log_type	String	日志类型。
time	Date	本地时间。
device_ip	String	设备IP。
device_type	String	设备类型（清洗：CLEAN；检测：DETECT）。
direction	String	日志方向（inbound，outbound）。
zone_id	String	防护对象ID。
zone_name	String	防护对象名称。
zone_ip	String	IP。
biz_id	String	业务ID。
is_deszone	String	是否网段流量（是：true；否：false）。
is_ipLocation	String	是否地址位置流量（是：true，否：false）。
ipLocation_id	String	地理位置ID。
total_pps	String	总pps。
total_kbps	String	总Kbps。
tcp_pps	String	到目标的TCP总包速率pps。
tcp_kbps	String	到目标的TCP总流量Kbps。
tcpfrag_pps	String	到目标的TCP碎片包速率pps。
tcpfrag_kbps	String	到目标的TCP碎片流量Kbps。
udp_pps	String	到目标的UDP总包速率pps。
udp_kbps	String	到目标的UDP总流量Kbps。
udpfrag_pps	String	到目标的UDP碎片包速率pps。
udpfrag_kbps	String	到目标的UDP碎片流量Kbps。
icmp_pps	String	到目标的ICMP总包速率pps。
icmp_kbps	String	到目标的ICMP总流量Kbps。
other_pps	String	到目标的Other总包速率pps。
other_kbps	String	到目标的Other总流量Kbps。
syn_pps	String	到目标的SYN报文数。
synack_pps	String	到目标的SYN/ACK报文数pps。
ack_pps	String	到目标的ACK报文数pps。
finrst_pps	String	到目标的FIN/RST报文数pps。
http_pps	String	到目标的HTTP总包速率pps。
http_kbps	String	到目标的HTTP总流量Kbps。
http_get_pps	String	到目标的HTTP请求总包速率pps。
https_pps	String	到目标的HTTPS总包速率pps。
https_kbps	String	到目标的HTTPS总流量Kbps。
dns_request_pps	String	到目标业务DNS Query包速率pps。
dns_request_kbps	String	到目标业务DNS Query总流量Kbps。
dns_reply_pps	String	到目标业务DNS Reply包速率pps。
dns_reply_kbps	String	到目标业务DNS Reply总流量Kbps。
sip_invite_pps	String	到目标业务SIP包速率pps。
sip_invite_kbps	String	到目标业务SIP总流量Kbps。
tcp_increase_con	String	到目标的tcp每秒新建连接数统计。
udp_increase_con	String	到目标的udp每秒新建连接数统计。
icmp_increase_con	String	到目标的icmp每秒新建连接数统计。
other_increase_con	String	到目标的other协议每秒新建连接数统计。
tcp_concur_con	String	到目标的tcp并发连接数统计。
udp_concur_con	String	到目标的udp并发连接数统计。
icmp_concur_con	String	到目标的icmp并发连接数统计。
other_concur_con	String	到目标的other协议并发连接数统计。
total_average_pps	String	到目标的所有流量的平均pps。
total_average_kbps	String	到目标的所有流量的平均Kbps。

sec-cts-audit

云审计服务日志字段含义如下所示：

**表11** sec-cts-audit
字段	类型	字段含义
time	Date	事件发生时间。以当地标准时间（采用格林威治时间加当地时区形式）进行展示，例如：2022/11/08 11:24:04 GMT+08:00。
user	Object	发起操作的云账户信息。
request	Object	操作的请求内容。
response	Object	操作的响应内容。
service_type	String	操作来源。
resource_type	String	资源类型。
resource_name	String	资源名称。
resource_id	String	资源的唯一标识。
source_ip	String	发起本次操作的用户的IP，如果为系统内调用，则为空。
trace_name	String	操作名称。
trace_rating	String	操作事件等级，分为以下等级： normal：代表本次操作成功。 warning：代表本次操作失败。 incident：代表本次操作引起了比失败更严重的后果，比如会造成节点故障或用户业务故障等情况。
trace_type	String	操作类型，分为以下几种： ConsoleAction：表示通过管理控制台执行的操作。 SystemAction：表示系统内部触发的操作。 ApiCall：表示调用ApiGateway触发的操作。 ObsSDK：表示通过调用OBS 提供的SDK 触发的关于OBS桶相关操作。 Others：表示除去通过“ObsSDK”触发的关于OBS桶相关的操作。
api_version	String	作为操作来源的云服务的API版本号。
message	Object	备注信息。
record_time	Long	记录操作的时间，表示方式为时间戳。
trace_id	String	操作的唯一标识。
code	Integer	事件http返回码，例如200，400。
request_id	String	记录本次请求的request id。
location_info	String	记录本次请求出错后，问题定位所需要的辅助信息。
endpoint	String	该操作涉及云资源的详情页面的endpoint。
resource_url	String	该操作涉及云资源的详情页面的访问链接（不含endpoint）。
user_agent	String	OBS桶相关操作中非ObsSDK方式调用时的操作类型。
content_length	Long	OBS桶相关操作中请求消息体的长度。
total_time	Long	OBS桶相关操作中请求的响应时间。

sec-cfw-risk

云防火墙攻击事件日志字段含义如下所示：

**表12** sec-cfw-risk
字段	类型	字段含义
event_time	Date	检测到的攻击时间。
action	String	云防火墙当前的响应动作。 permit：放行 deny：阻断
app	String	应用类型。
attack_rule	String	检测到攻击的防御规则。
attack_rule_id	String	检测到攻击的防御规则ID号。
attack_type	String	发生攻击的类型： Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为
dst_ip	String	目的IP地址。
dst_port	String	目的端口号。
packet	String	攻击日志的原始数据包。
protocol	String	协议类型。
level	String	表示检测到威胁的等级： CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低
source	String	检测到攻击的防御模式： 0：基础防御 1：虚拟补丁
src_ip	String	源IP地址。
src_port	String	源端口号。
direction	String	流量方向： out2in：入方向 in2out：出方向

sec-cfw-flow

云防火墙流量日志字段含义如下所示：

**表13** sec-cfw-flow
字段	类型	字段含义
app	String	应用类型。
dst_ip	String	目的IP地址。
dst_port	String	目的端口号。
end_time	Date	流结束时间。
protocol	String	协议类型。
to_c_bytes	String	服务端向客户端发送的字节数。
to_c_pkts	String	服务端向客户端发送的报文数。
to_s_bytes	String	客户端向服务端发送的字节数。
to_s_pkts	String	服务端向客户端发送的报文数。
src_ip	String	源IP地址。
src_port	String	源端口号。
start_time	Date	流开始时间。

sec-cfw-block

云防火墙访问控制日志字段含义如下所示：

**表14** sec-cfw-block
字段	类型	字段含义
hit_time	Date	访问发生的时间。
action	String	云防火墙当前的响应动作： permit：放行 deny：阻断
app	String	应用类型。
dst_ip	String	目的IP地址。
dst_port	String	目的端口号。
protocol	String	协议类型。
rule_id	String	触发规则的ID。
src_ip	String	源IP地址。
src_port	String	源端口号。

sec-apig-access

API网关访问日志字段含义如下所示：

**表15** sec-apig-access
字段	类型	字段含义
region_id	String	数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
api_id	String	API ID。
body_bytes_sent	String	返回Body大小。
bytes_sent	String	整个返回大小。
domain	String	公网域名。
errorType	String	是否被流控（1：被流控）。
http_user_agent	String	用户代理标识。
http_x_forwarded_for	String	X-Forwarded-For头。
opsuba_api_url	String	请求的URI。
out_times	String	网关内部与周边组件交互耗时。
remote_addr	String	远端ip。
request_id	String	请求id。
request_length	String	整个请求大小。
request_method	String	HTTP请求方法。
request_time	String	访问耗时。
scheme	String	协议。
server_protocol	String	请求协议。
status	String	状态。
time_local	Date	时间。
upstream_addr	String	远端ip。
upstream_connect_time	String	远端连接耗时。
upstream_header_time	String	远端头耗时。
upstream_response_time	String	远端返回耗时。
upstream_status	String	远端状态。
upstream_uri	String	请求后端的URI。
user_name	String	用户projectid或appid。

sec-dbss-alarm

DBSS告警日志字段含义如下所示：

**表16** dbss-alarm
字段		类型	字段含义
domain_id		String	账号ID。
project_id		String	项目ID。
region		String	region
tenant_vpc_id		String	租户的VPC ID。
tenant_subnet_id		String	租户的子网ID。
instance_id		String	实例ID。
instance_name		String	实例名。
alarm		Object	告警对象。
source_type		String	dbss。
alarm	alarm_risk	String	告警等级。
	client_ip	String	连接IP。
	database_ip	String	数据库访问IP。
	count	Long	告警次数。
	user_name	String	数据库用户名。
	schema	String	oracle schema。
	rule_name	String	规则名称。
	rule_id	String	规则ID。
	sql_type	String	SQL执行类型。
	sql_result	String	SQL执行结果。
	db_type	String	数据库类型。

sec-dsc-alarm

DSC告警日志的保留字段根据日志类型有所不同，具体如下：

**表17** AK SK泄露（aksk_leakage）
字段	类型	字段含义
log_type	String	告警类型。
region_id	String	数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
domain_id	String	账号ID。
project_id	String	项目ID。
leakage_ak	String	AK。
source	String	泄漏源。
find_time	String	发现时间。
account	String	账号名。
file_name	String	文件名。
file_suffix	String	文件后缀。
leakage_user_id	String	泄露子用户ID。
leakage_user_name	String	泄露子用户名。
leakage_domain_id	String	泄露主账号ID。
leakage_domain_name	String	泄露主账号名。
url	String	泄露网址。

**表18** 风险OBS桶文件（obs_risk）
字段	类型	字段含义
log_type	String	告警类型。
region_id	String	数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
domain_id	String	账号ID。
project_id	String	项目ID。
bucket_policy	String	公开桶/私有桶。
bucket_domain_id	String	桶所属账号ID。
bucket_project_id	String	桶所属项目ID。
bucket_name	String	桶名称。
file_name	String	文件名称。
file_path	String	文件路径。
risk_level	Integer	敏感风险等级。
sensitive_data_type	String[]	敏感数据类型。
privacy_detail	String	个人隐私数据明细。
file_type	String	文件类型。
mimetypes	String	文件类型。
rule_list	List<Map<String,String>>	匹配规则列表。
keyword	String	匹配敏感数据规则关键字。
available_zone	String	可用区。
encrypted	String	是否加密。

**表19** 数据敏感字段信息（db_risk）
字段	类型	字段含义
log_type	String	告警类型。
region_id	String	数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
domain_id	String	账号ID。
project_id	String	项目ID。
vpc_id	String	VPC ID。
db_instance_type	String	RDS PUB。
db_instance_id	String	数据库实例ID。
db_instance_type	String	数据库实例类型。
db_instance_ip	String	数据库实例IP。
db_instance_domain_id	String	数据库实例所属账号ID。
db_instance_project_id	String	数据库实例所属项目ID。
db_instance_name	String	数据库实例名称。
db_name	String	数据库名称。
table_name	String	表名称。
field_name	String	字段名称。
data_type	String	字段数据类型。
risk_level	Integer	敏感风险等级。
sensitive_data_type	String[]	敏感数据类型。
privacy_detail	String	个人隐私数据明细。
rule_list	List<Map<String,String>>	匹配规则列表。
keyword	String	匹配敏感数据规则关键字。

sec-mtd-alarm

MTD告警日志字段含义如下所示：

**表20** sec-mtd-alarm
字段		类型	字段含义
version		String	事件对象的版本，该字段的值必须为服务确定的官方发布版本之一。在当前版本中，事件对象格式的版本为1.2.0。
environment		Object	事件产生的环境坐标信息。
environment	type	string	环境供应商。
	domain_id	string	HWC special，域名ID。
	region_id	string	环境所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
	project_id	string	HWC special，项目ID。
data_source		Object	数据源。
data_source	type	Int	数据源类型。取值范围如下： 1：华为产品 2：第三方产品 3：租户私有产品
	domain_id	String	数据源产品所属账号的ID，最大36个字符。
	project_id	String	数据源产品所属项目的ID，最大36个字符。
	region_id	String	数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
	company_name	String	数据源产品所属公司的名称，最大16个字符。
	product_name	String	数据源产品的名称，最大24个字符。
	product_feature	String	产品功能特性名称，用来指明检测到当前事件的产品的功能特性，最大24个字符。
first_observed_time		Timestamp	首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
last_observed_time		Timestamp	最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
create_time		Timestamp	记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
arrive_time		Timestamp	接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
event_id		String	事件唯一标识，UUID格式，最大36个字符。
title		String	事件标题，最大255字符。
title_en		String	事件标题英文，最大255字符。
title_zh		String	事件标题中文，最大255字符。
description		String	事件描述信息，最大1024个字符。
source_url		String	事件URL链接，指向数据源产品中有关当前事件说明的页面。
count		Int	事件发生次数。
confidence		Int	事件的置信度，置信度的定义旨在说明识别的行为或问题的可能性。取值范围：0-100。
severity		Object	严重性。
severity	label	String	严重性等级，取值范围： TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。
	normalize_score	Int	严重性评分，取值范围：0-100。与严重性等级的对应关系： TIPS：0 LOW：1-39 MEDIUM：40-69 HIGH：70-89 FATAL：90-100
	original_score	Int	严重性原始评分，指在数据源产品中的评分。
criticality		Int	关键性，是指事件涉及的资源的重要性级别。取值范围：0-100，0表示资源不关键，100表示最关键资源。
type		Object	事件分类。
type	business	String	安全运营过程，弱点的分类维度事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告
	namespace	String	安全运营过程，弱点的分类维度。事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告
	category	String	类别，推荐使用预定义的类型分类。
	classifier	String	分类器，推荐使用预定义的分类器。如果指定了分类器，则必须指定类别。
	tech_domain	String	技术领域标签： OS：主机 APP：应用 NET：网络 CS：云服务 CSP：平台云服务
	properties	Object	见对象type.properties
type.properties	killchain	String	Kill chain事件分类，仅当 namespace为ATTACK有效。
	ttps	String	Mitre Array 事件分类，仅当namespace为ATTACK有效。
	effects	String	影响，全部类型。
compliance		Object	合规检查信息。
compliance	checkitem_id	String	检查项（检查规则）编号。
	checkpoint_id	String	检查点（检查结果）编号，检查项对同一个资源的检查结果。
	spec_id	String	检查规范编号，默认选第一个。
	reason	String	原因。
	status	String	合规检查结果，取值定义： QUALIFIED：没有检查失败的项，且未出现风险项，表示检查结果为合格。 RISK：没有失败的，但是只要有一个有风险的就是有风险的。 FAILED：只要有一个失败的就是失败。
	properties	Object	主机基线字段全量维持（不固定，包含主机基线和sa基线）。
network		Object	网络信息。
network	direction	String	方向，取值范围：IN \| OUT
	protocol	String	协议。
	src_ip	String	源IP地址。
	src_port	int	源端口，0–65535。
	src_domain	String	源域名，最大128个字符。
	src_geo	Object	源IP的地理位置信息。
	dest_ip	String	目标IP地址。
	dest_port	int	目标端口，0–65535。
	dest_domain	String	目标域名，最大128个字符。
	dest_geo	Object	目标IP的地理位置信息。
geo	latitude	Float	纬度。
	longitude	Float	经度。
	city_code	String	城市编码。
	country_code	String	国家简码ISO。
vulnerability_patch		Object	漏洞补丁信息。
vulnerability_patch	patch_id	String	补丁编号。
	patch_name	String	补丁名称。
	type	String	补丁类型。 0：linux 1：windows 2：web-cms
	major_level	String	重要等级。
	status	String	补丁状态。
	release_time	Timestamp	发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
	repair_cmd	String	修复命令。
	repair_necessity	Int	修复必要程度。 1：需立刻修复 2：可延后修复 3：暂可以不修复
	vendor_name	String	漏洞报告提供者信息（厂商）。
	vulnerable_package	String	受影响软件版本列表。
	reference_url	String	参考链接。
	cve_ids	String	漏洞列表。
malware		Object	恶意软件。
malware	name	String	恶意软件名称，最大64个字符。
	sha256	String	恶意软件sha256。
	type	String	恶意软件类型，遵循STIX规范： adware\|backdoor\|bot\|bootkit\|ddos\|downloader\|dropper\|exploit-kit\|keylogger\|ransomware\|remote-access-trojan\|resource-exploitation\|rogue-security-software\|rootkit\|screen-capture\|spyware\|trojan\|unknown\|virus\|webshell\|wiper\|worm
	path	String	恶意软件在系统中的路径，最大512个字符（包含软件名称）。
	state	String	恶意软件状态，取值范围：OBSERVED \| REMOVAL_FAILED \| REMOVED。
	properties	Object	见对象malware.properties。
malware.properties	pid	String	进程ID。
	user	String	系统角色（例如：root，service）。
	mod	String	系统权限（例如：777，755）。
	start_time	String	进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
threat_intel		Object	威胁情报。
threat_intel	id	String	情报ID。
	indicator_type	String	威胁情报类型。
	labels	String	标签。
	confidence	Int	置信度，不同来源目前置信度分值定义不一样（分数）。
	information_source	String	威胁情报源。
	severity	Int	严重程度，不同渠道定义值不一样（分数）。
	value	String	威胁情报指标值，最大512个字符，如：ip、url、domain等。
	description_en	string	威胁情报描述-英文。
	description_zh	String	威胁情报描述-中文。
	description	String	威胁情报描述。
	modified	Timestamp	威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。
	valid_from	String	有效期开始（可读字符串）。
	valid_until	String	有效期结束（可读字符串）。
	properties	Object	见对象threat_intel.properties。
threat_intel.properties	file_md5	String	恶意软件Md5。
	file_sha1	String	恶意软件Sha1。
	file_sha256	String	恶意软件Sha256值。
	file_name	String	文件名称。
	create_time	Timestamp	编译时间。
	file_class	String	文件类别，TEXT、XCODE。
	file_family	String	家族，例如：wannacry（勒索软件）。
	file_maltype	String	类别，例如：trojan（特洛伊）。
	ip_resolves_to_refs	String	mac地址。
	belongs_to_refs	String	IP AS 自治系统
	ip_location	String	地区。格式：country/province/city/lngwgs/latwgs。
	domain_family	String	域名家族。
	domain_resolves_to_refs	String	解析的IP地址。
	domain_dns_type	String	DNS类别。
	url_host	String	URL地址。
	url_resolves_to_refs	String	IP地址。
	display_name	String	显示名称。
	url_belongs_to_ref	String	邮箱账户，@之前部分。
resource		Object	受影响资源。
resource	id	String	云服务资源ID。
	name	String	资源名称；最大长度255个字符。
	type	String	资源类型，引用RMS type字段。
	provider	String	云服务名称，引用RMS provider字段。
	region_id	String	数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。
	domain_id	String	资源所属账号ID，UUID。
	project_id	String	资源所属项目ID，UUID。
	ep_id	String	企业项目ID。
	ep_name	String	企业项目名称。
	tags	Object	资源标签。最多50个key/values对。 values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@
remediation		Object	补救措施。
remediation	recommendation_zh	String	推荐处理方法-中文。
	recommendation_en	String	推荐处理方法-英文。
	recommendation	String	推荐处理方法。
	url	String	链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。
data_source_fields		Object	数据源自定义信息，最多支持50个key/value对，约束条件：该对象不能包含冗余数据，并且不能与已定义的事件格式字段冲突。字段名称可以包含字母数字字符、空格和以下符号：_ . / =+ \ - @。示例： "data_source_fields": { "key1": "value1", "key2", "value2", }
verification_state		String	验证状态，标识事件的准确性。可选类型如下： Unknown：未知 True_Positive：确认 False_Positive：误报默认填写Unknown。
handle_status		String	事件处理状态，可选类型如下： New：未知 Ignored：忽略 Resolved：已解决默认填写New。
phase		String	阶段：Preparation\|Detection and Analysis\|Containment，Eradication& Recovery\| Post-Incident-Activity
sla		Int	约束闭环时间，单位：天。设置风险接受持续时间。

父主题：安全分析

上一篇：查询与分析日志

下一篇：快速添加日志告警模型

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

盘古Doer提问云社区提问