日志字段含义
如果您通过控制台接入了WAF、HSS、Anti-DDoS、CFW、OBS、CTS、APIG、IPS、DBSS、DSC等服务日志数据时,安全云脑会将日志来源、时间戳等信息以Key-Value对的形式添加到日志中。
本章节将介绍各字段的含义。
- 通用字段:通用字段含义。
- sec-waf-attack:WAF攻击日志字段含义。
- sec-waf-access:WAF访问日志字段含义。
- sec-obs-access:OBS访问日志字段含义。
- sec-nip-attack:IPS攻击日志字段含义。
- sec-iam-audit:IAM审计日志字段含义。
- sec-hss-vul:HSS主机漏洞扫描结果字段含义。
- sec-hss-alarm:HSS主机安全告警字段含义。
- sec-hss-log:HSS主机安全日志字段含义。
- sec-ddos-attack:DDoS攻击日志字段含义。
- sec-cts-audit:CTS日志字段含义。
- sec-cfw-risk:CFW攻击事件日志字段含义。
- sec-cfw-flow:CFW流量日志字段含义。
- sec-cfw-block:CFW访问控制日志字段含义。
- sec-apig-access:API网关的访问日志字段含义。
- sec-dbss-alarm:DBSS告警日志字段含义。
- sec-dsc-alarm:DSC告警日志字段含义。
- sec-mtd-alarm:MTD告警日志字段含义。
通用字段
字段名 |
字段类型 |
字段含义 |
|---|---|---|
__time |
Date |
日志产生的时间 |
__raw |
String |
原始日志 |
ops.source |
String |
数据源名称 |
ops.rgn |
String |
所属局点 |
ops.csvc |
String |
数据源(云服务) |
ops.ver |
String |
数仓版本号 |
ops.hash |
String |
extend hash value of original 数据完整性验证 |
[src_/dest_]asset.domain.id |
String |
租户id |
[src_/dest_]asset.domain.name |
String |
租户名 |
[src_/dest_]asset.id |
String |
资产id |
[src_/dest_]asset.name |
String |
资产名称 |
[src_/dest_]asset.type |
String |
资产类型 |
[src./dest.]asset.region |
String |
资产局点 |
[src_/dest_]geo.ip |
String |
ip地址 |
[src_/dest_]geo.country |
String |
国家(中文) |
[src_/dest_]geo.prov |
String |
省份(中文) |
[src_/dest_]geo.city |
String |
城市名称(中文) |
[src_/dest_]geo.org |
String |
注册IP的组织 |
[src_/dest_]geo.isp |
String |
运营商 |
[src_/dest_]geo.loc.lat |
Float |
纬度 |
[src_/dest_]geo.loc.lon |
Float |
经度 |
[src_/dest_]geo.tz |
Integer |
时区 |
[src_/dest_]geo.utc_off |
Integer |
时区 |
[src_/dest_]geo.cac |
String |
时区 |
[src_/dest_]geo.iddc |
String |
国际电话前缀码 |
[src_/dest_]geo.cc |
String |
国家编码ISO |
[src_/dest_]geo.contc |
String |
大洲编码ISO |
[src_/dest_]geo.idc |
String |
数据中心,机房 |
[src_/dest_]geo.bs |
String |
移动基站 |
[src_/dest_]geo.cc3 |
String |
国家代码3位 |
[src_/dest_]geo.euro |
String |
欧盟成员国 |
sec-waf-attack
WAF攻击日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|
|---|---|---|---|
category |
String |
分类,此处值为“attack”。 |
|
time |
Date |
标识日志时间。 |
|
time_iso8601 |
Date |
标识日志的 ISO 8601 格式时间。 |
|
policy_id |
String |
标识防护策略ID。 |
|
level |
Integer |
标识防护策略层级(1为宽松,2为中等,3为严格)。 |
|
attack |
String |
标识攻击类型。攻击类型的解释为:
|
|
action |
String |
标识处理动作。处理动作的解释为:
|
|
rule |
String |
标识触发的规则ID或者自定义的策略类型描述。 |
|
sub_type |
String |
当attack为robot时,该字段不为空。标识爬虫的子类型。
|
|
location |
String |
标识触发的payload的位置。 |
|
resp_headers |
String |
标识响应头。 |
|
resp_body |
String |
标识响应体。 |
|
hit_data |
String |
标识触发的payload字符串。 |
|
status |
String |
标识请求的响应状态码。 |
|
reqid |
String |
随机ID标识。 |
|
id |
String |
攻击 ID。 |
|
method |
String |
标识请求方法。 |
|
sip |
String |
标识客户端请求IP。 |
|
sport |
String |
标识客户端请求端口。 |
|
host |
String |
标识请求的服务器域名。 |
|
http_host |
String |
标识请求的服务器端口。 |
|
uri |
String |
标识请求URL。 |
|
header |
String |
标识请求header信息。 |
|
mutipart |
String |
标识请求multipart header(文件上传场景)。 |
|
cookie |
String |
标识请求cookie信息。 |
|
params |
String |
标识请求URI后的参数信息。 |
|
body_bytes_sent |
String |
标识发送给客户端的响应体字节数。 |
|
upstream_response_time |
String |
标识后端服务器响应时间。 |
|
process_time |
String |
标识引擎的检测用时。 |
|
engine_id |
String |
标识引擎的唯一标识。 |
|
group_id |
String |
用于对接LTS服务的日志组ID。 |
|
attack_stream_id |
String |
与group_id相关,是日志组下用户的access_stream的ID。 |
|
hostid |
String |
标识防护域名 ID。 |
|
tenantid |
String |
标识防护域名的租户 ID。 |
|
projectid |
String |
标识防护域名的项目 ID。 |
|
backend |
Object |
标识请求转发的后端服务器地址。 |
|
backend |
type |
String |
标识当前后端 Host 类型(IP或域名)。 |
alive |
String |
标识当前后端状态。 |
|
host |
String |
标识当前后端 Host 值。 |
|
protocol |
String |
标识当前后端协议。 |
|
port |
Integer |
标识当前后端端口。 |
|
sec-waf-access
WAF访问日志字段含义如表3所示。
字段 |
类型 |
字段含义 |
|---|---|---|
requestid |
String |
随机ID标识。 |
time |
Date |
标识日志时间。 |
eng_ip |
String |
标识引擎IP。 |
hostid |
String |
标识防护域名 ID。 |
tenantid |
String |
标识防护域名的租户 ID。 |
projectid |
String |
标识防护域名的项目 ID。 |
remote_ip |
String |
标识请求的客户端 IP。 |
scheme |
String |
标识请求协议类型。 |
response_code |
String |
标识请求响应码。 |
method |
String |
标识请求方法。 |
http_host |
String |
标识请求的服务器域名。 |
url |
String |
标识请求URL。 |
request_length |
String |
标识请求长度。 |
bytes_send |
String |
标识发送给客户端的总字节数。 |
body_bytes_sent |
String |
标识发送给客户端的响应体字节数。 |
upstream_addr |
String |
标识选择的后端服务器地址。 |
request_time |
String |
标识请求处理时间,从读取客户端的第一个字节开始计时。 |
upstream_response_time |
String |
标识后端服务器响应时间。 |
upstream_status |
String |
标识后端服务器的响应码。 |
upstream_connect_time |
String |
标识后端服务器连接用时。 |
upstream_header_time |
String |
标识后端服务器接收到第一个响应头字节的用时。 |
bind_ip |
String |
标识引擎回源 IP。 |
engine_id |
String |
标识引擎的唯一标识。 |
time_iso8601 |
Date |
标识日志的 ISO 8601 格式时间。 |
sni |
String |
标识通过 SNI 请求的域名。 |
tls_version |
String |
标识建立 SSL 连接的协议版本。 |
ssl_curves |
String |
标识客户端支持的曲线列表。 |
ssl_session_reused |
String |
标识 SSL 会话是否被重用。
|
process_time |
String |
标识引擎的检测用时。 |
x_forwarded_for |
String |
标识请求头中 X-Forwarded-For 的内容。 |
cdn_src_ip |
String |
标识请求头中 Cdn-Src-Ip 的内容。 |
x_real_ip |
String |
标识请求头中 X-Real-Ip 的内容。 |
sec-obs-access
对象存储服务访问日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
srcip |
String |
访问obs的源ip。 |
srcport |
String |
访问obs的源端口。 |
logtime |
Date |
日志记录时间。 |
ces_log_version |
String |
内部请求为V0,V0不记录CES审计日志,V1记录CES审计日志。 |
request_start_time |
String |
请求开始时间。 |
ctx_request_id |
String |
请求ID,请求跟踪的唯一标识。 |
request_method |
String |
请求方法(get/post)。 |
remote_ip |
String |
客户端IP:端口。 |
operation |
String |
操作类型,如GET.OBJECT。 |
bucket_name |
String |
桶名。 |
object_name |
String |
对象名(文件名)。 |
query_string |
String |
请求query。 |
http_status |
String |
http请求状态码,如200。 |
content_length |
String |
请求内容长度。 |
user_agent |
String |
客户端agent。 |
storage_class |
String |
对象存储类型。 |
user_name |
String |
请求者用户名称。 |
user_id |
String |
请求者用户ID。 |
domain_name |
String |
请求者账号名称。 |
domain_id |
String |
请求者账号ID。 |
project_id |
String |
请求者项目ID。 |
owner_domain_name |
String |
桶owner租户名称。 |
owner_domain_id |
String |
桶owner租户ID。 |
owner_project_id |
String |
桶owner项目ID。 |
transmission_type |
String |
网络类型:
|
scheme |
String |
网络协议。 |
http_version |
String |
http版本。 |
host |
String |
服务obs域名。 |
port |
String |
端口。 |
auth_v2_v4 |
String |
鉴权方式。 |
host_type |
String |
访问方式。 |
x_forwarded_for |
String |
代理客户端IP。 |
pub_bkt |
String |
是否为匿名访问桶。 |
pub_obj |
String |
是否为匿名访问对象。 |
website_req |
String |
是否为website请求。 |
crr_req |
String |
是否为crr请求。 |
huawei_cloud_service |
String |
是否为cdn请求。
|
batch_delete_success_count |
String |
批删成功个数。 |
ctc_log_urn |
String |
委托。 |
requester |
String |
委托账号。 |
is_over_write |
String |
是否为覆盖写。 |
error_code |
String |
错误原因。 |
detail_error_code |
String |
详细错误原因。 |
request_content_type |
String |
请求对象类型。 |
request_content_md5 |
String |
请求对象md5。 |
total_bytes_received |
String |
接收到内容总数。 |
response_content_type |
String |
响应对象类型。 |
total_bytes_sent |
String |
发送内容总数响应头+响应BODY体。 |
referrer |
String |
引用页。 |
index_read_count |
String |
查询元数据表时延。 |
persistence_read_count |
String |
读数据的次数。 |
vpc_id |
String |
标识请求客户端所属的VPCID。 |
access_with_security_token |
String |
使用sts token。 |
copy_size |
String |
copy_size。 |
vpcep_traffic |
String |
走EP |
access_key |
String |
ak。 |
sec-nip-attack
IPS攻击日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
SyslogId |
String |
日志序号。 |
Vsys |
String |
虚拟系统名称。 |
Policy |
String |
安全策略名称。 |
SrcIp |
String |
报文的源IP地址 |
DstIp |
String |
报文的目的IP地址 |
SrcPort |
String |
报文的源端口(对于ICMP报文,该字段为0)。 |
DstPort |
String |
报文的目的端口(对于ICMP报文,该字段为0)。 |
SrcZone |
String |
报文的源安全域。 |
DstZone |
String |
报文的目的安全域。 |
User |
String |
用户名。 |
Protocol |
String |
签名检测到的报文所属协议。 |
Application |
String |
签名检测到的报文所属应用。 |
Profile |
String |
配置文件的名称。 |
SignName |
String |
签名的名称。 |
SignId |
String |
签名的ID。 |
EventNum |
String |
日志归并引入字段,是否归并需根据归并频率及日志归并条件来确定,不发生归并则为1。 |
Target |
String |
签名所检测的报文所攻击的对象。具体情况如下:
|
Severity |
String |
签名所检测的报文所造成攻击的严重性。具体情况如下:
|
Os |
String |
签名所检测的报文所攻击的操作系统。具体情况如下:
|
Category |
String |
签名检测到的报文攻击特征所属的威胁分类。 |
Action |
String |
签名动作。
|
Reference |
String |
签名的参考信息。 |
Extend |
String |
增强模式下的取证字段。 |
sec-iam-audit
统一身份认证审计日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
uid |
String |
用户id。 |
un |
String |
用户名。 |
did |
String |
租户id。 |
dn |
String |
租户名。 |
src |
String |
请求域名。 |
opl |
String |
操作级别。 |
op |
String |
操作类型。 |
res |
String |
IAM服务调用结果。 |
ter |
String |
源ip。 |
dtl |
String |
iam认证详情。 |
tn |
Date |
发生时间。 |
ts |
Long |
iam服务调用的发生时间戳。 |
tid |
String |
traceid。 |
evnt |
String |
事件。 |
tobj |
String |
操作服务。 |
sec-hss-vul
主机漏洞扫描结果字段含义如下所示:
字段 |
类型 |
字段含义 |
|
|---|---|---|---|
agentUuid |
String |
agent的UUID。 |
|
alarmCsn |
String |
告警UUID,master生成告警时随机生成。 |
|
alarmKey |
String |
告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。 |
|
alarmVersion |
String |
agent版本号。 |
|
occurTime |
Int64 |
漏洞检测时间(ms)。 |
|
severity |
Int32 |
HSS定义的漏洞等级。 |
|
hostUuid |
String |
受影响主机UUID。 |
|
hostName |
String |
受影响主机名。 |
|
hostIp |
String |
受影响主机通信IP。 |
|
ipList |
String |
受影响主机IP列表。 |
|
cloudId |
String |
cloudagent sn。 |
|
region |
String |
受影响主机所在区域。 |
|
projectId |
String |
受影响租户ID。 |
|
enterpriseProjectId |
String |
受影响企业租户ID。 |
|
appendInfo |
Object |
漏洞详情。 |
|
appendInfo |
vulId |
String |
漏洞官方ID。 |
type |
Int32 |
漏洞类型。
|
|
repairNecessity |
Int32 |
漏洞修复必要性级别。
|
|
status |
Int32 |
保留字段。 |
|
cve_ids |
String |
CVE ID列表,通过英文逗号连接。 |
|
url |
String |
漏洞详情官网连接。 |
|
vulNameEn |
String |
漏洞英文名。 |
|
vulNameCn |
String |
漏洞中文名。 |
|
severityLevel |
String |
漏洞危害级别,分为如下等级:
|
|
descriptionEn |
String |
漏洞英文描述。 |
|
descriptionCn |
String |
漏洞中文描述。 |
|
solutionEn |
String |
解决方案英文描述。 |
|
solutionCn |
String |
解决方案中文描述。 |
|
repairCmd |
String |
修复命令。 |
|
needBoot |
Int32 |
是否需要重启;当前默认1,暂时不用。 |
|
errorInfo |
String |
修复失败原因。 |
|
appName |
String |
存在漏洞的软件名(linux漏洞特有)。 |
|
version |
String |
存在漏洞的软件版本(linux漏洞特有)。 |
|
createTime |
Int64 |
首次检测时间(ms)。 |
|
updateTime |
Int64 |
漏洞修复时间(ms);初始值同createTime。 |
|
agentId |
String |
关联主机agent的UUID。 |
|
projectId |
String |
受影响租户ID。 |
|
sec-hss-alarm
主机安全告警日志字段含义如下所示:
字段 |
类型 |
字段含义 |
||
|---|---|---|---|---|
agentUuid |
String |
agent的UUID。 |
||
alarmCsn |
String |
告警UUID。 |
||
alarmKey |
String |
告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。 |
||
alarmVersion |
String |
agent版本号。 |
||
occurTime |
Long |
事件发生时间(ms)。 |
||
severity |
Long |
风险等级。 |
||
hostUuid |
String |
受影响主机UUID。 |
||
hostName |
String |
受影响主机名。 |
||
hostIp |
String |
受影响主机通信IP。 |
||
ipList |
String |
受影响主机IP列表。 |
||
cloudId |
String |
cloudagent sn。 |
||
region |
String |
受影响主机所在区域。 |
||
projectId |
String |
受影响租户ID。 |
||
enterpriseProjectId |
String |
受影响企业租户ID。 |
||
appendInfo |
Object |
告警详情。 |
||
appendInfo |
agent_id |
String |
AGENT ID。 |
|
version |
String |
事件版本。 |
||
container_name |
String |
容器ID(容器安全场景)。 |
||
image_name |
String |
镜像名称(容器安全场景)。 |
||
event_id |
String |
事件ID,GUID。 |
||
event_name |
String |
事件名称。 |
||
event_classid |
String |
事件唯一标识。 |
||
occur_time |
Long |
发生时间(秒)。 |
||
recent_time |
Long |
最近一次发生时间(秒)。 |
||
event_category |
Integer |
事件大类。 |
||
event_type |
Integer |
事件类型。 |
||
event_count |
Integer |
事件次数。 |
||
severity |
Integer |
严重级别。 |
||
attack_phase |
Integer |
攻击阶段。 |
||
attack_tag |
Integer |
攻击标识。 |
||
confidence |
Integer |
置信度。 |
||
action |
Integer |
动作类型。 |
||
detect_module |
String |
检测模块。 |
||
report_source |
String |
上报源。 |
||
related_events |
String |
相关事件ID。 |
||
resource_info |
Object |
资源信息。 |
||
network_info |
Object |
网络信息。 |
||
app_info |
Object |
应用信息。 |
||
system_info |
Object |
系统信息。 |
||
process_info |
list |
进程信息。 |
||
user_info |
list |
用户信息。 |
||
file_info |
list |
文件信息。 |
||
geo_info |
Object |
地理信息。 |
||
malware_info |
Object |
恶意软件信息。 |
||
forensic_info |
String |
取证字段。 |
||
recommendation |
String |
处置建议。 |
||
extend_info |
String |
事件扩展信息。 |
||
resource_info |
project_id |
String |
项目ID。 |
|
region_name |
String |
Region名称。 |
||
vpc_id |
String |
VPC ID。 |
||
host_name |
String |
主机名称。 |
||
host_ip |
String |
主机IP。 |
||
host_id |
String |
主机ID(ECS对应ID)。 |
||
cloud_id |
String |
CloudAgent SN。 |
||
vm_name |
String |
虚拟机名称。 |
||
vm_uuid |
String |
虚拟机UUID。 |
||
container_id |
String |
容器id。 |
||
image_id |
String |
镜像id。 |
||
sys_arch |
String |
系统CPU架构。 |
||
os_bit |
String |
操作系统位数。 |
||
os_type |
String |
操作系统类型。 |
||
os_name |
String |
操作系统名称。 |
||
os_version |
String |
操作系统版本。 |
||
network_info |
local_address |
String |
本地地址。 |
|
local_port |
Integer |
本地端口。 |
||
remote_address |
String |
远程地址。 |
||
remote_port |
Integer |
远程端口。 |
||
src_ip |
String |
源IP。 |
||
src_port |
Integer |
源端口。 |
||
src_domain |
String |
源域。 |
||
dest_ip |
String |
目的IP。 |
||
dest_port |
Integer |
目的端口。 |
||
dest_domain |
String |
目的域。 |
||
protocol |
String |
协议。 |
||
app_protocol |
String |
应用层协议。 |
||
flow_direction |
String |
流量方向。 |
||
app_info |
sql |
String |
执行的sql语句。 |
|
domain_name |
String |
DNS域名。 |
||
url_path |
String |
URL路径。 |
||
url_method |
String |
URL方法。 |
||
req_refer |
String |
URL请求refer信息。 |
||
email_subject |
String |
邮件主题。 |
||
email_sender |
String |
邮件发送者。 |
||
email_receiver |
String |
邮件接收者。 |
||
email_keyword |
String |
邮件关键字。 |
||
process_info |
process_name |
String |
进程名称。 |
|
process_path |
String |
进程文件路径。 |
||
process_pid |
Integer |
进程id。 |
||
process_uid |
Integer |
进程用户id。 |
||
process_username |
String |
运行进程的用户名。 |
||
process_cmdline |
String |
进程文件命令行。 |
||
process_filename |
String |
进程文件名。 |
||
process_start_time |
Long |
进程启动时间。 |
||
process_gid |
Integer |
进程组ID。 |
||
process_egid |
Integer |
进程有效组ID。 |
||
process_euid |
Integer |
进程有效用户ID。 |
||
parent_process_name |
String |
父进程名称。 |
||
parent_process_path |
String |
父进程文件路径。 |
||
parent_process_pid |
Integer |
父进程id。 |
||
parent_process_uid |
Integer |
父进程用户id。 |
||
parent_process_cmdline |
String |
父进程文件命令行。 |
||
parent_process_filename |
String |
父进程文件名。 |
||
parent_process_start_time |
Long |
父进程启动时间。 |
||
parent_process_gid |
Integer |
父进程组ID。 |
||
parent_process_egid |
Integer |
父进程有效组ID。 |
||
parent_process_euid |
Integer |
父进程有效用户ID。 |
||
child_process_name |
String |
子进程名称。 |
||
child_process_path |
String |
子进程文件路径。 |
||
child_process_pid |
Integer |
子进程id。 |
||
child_process_uid |
Integer |
子进程用户id。 |
||
child_process_cmdline |
String |
子进程文件命令行。 |
||
child_process_filename |
String |
子进程文件名。 |
||
child_process_start_time |
Long |
子进程启动时间。 |
||
child_process_gid |
Integer |
子进程组ID。 |
||
child_process_egid |
Integer |
子进程有效组ID。 |
||
child_process_euid |
Integer |
子进程有效用户ID。 |
||
virt_cmd |
String |
虚拟化命令。 |
||
virt_process_name |
String |
虚拟化进程名称。 |
||
escape mode |
String |
逃逸方式。 |
||
escape cmd |
String |
逃逸后执行的命令。 |
||
user_info |
user_id |
Integer |
用户uid。 |
|
user_gid |
Integer |
用户gid。 |
||
user_name |
String |
用户名称。 |
||
user_group_name |
String |
用户组名称。 |
||
user_home_dir |
String |
用户home目录。 |
||
login_ip |
String |
用户登录ip。 |
||
service_type |
String |
登录的服务类型。 |
||
service_port |
Integer |
登录服务端口。 |
||
login_mode |
String |
登录方式。 |
||
login_lasttime |
Long |
用户最后一次登录时间。 |
||
login_fail_count |
Integer |
用户登录失败次数。 |
||
pwd_hash |
String |
口令hash。 |
||
pwd_with_fuzzing |
String |
匿名化处理后的口令。 |
||
pwd_used_days |
Integer |
密码使用的天数。 |
||
pwd_min_days |
Integer |
口令的最短有效期限。 |
||
pwd_max_days |
Integer |
口令的最长有效期限。 |
||
pwd_warn_left_days |
Integer |
口令无效时提前告警天数。 |
||
file_info |
file_path |
String |
文件路径/名称。 |
|
file_alias |
String |
文件别名。 |
||
file_size |
Integer |
文件大小。 |
||
file_mtime |
Long |
文件最后一次修改时间。 |
||
file_atime |
Long |
文件最后一次访问时间。 |
||
file_ctime |
Long |
文件最后一次状态改变时间。 |
||
file_hash |
String |
文件hash。 |
||
file_md5 |
String |
文件md5。 |
||
file_sha256 |
String |
文件sha256。 |
||
file_type |
String |
文件类型。 |
||
file_content |
String |
文件内容。 |
||
file_attr |
String |
文件属性。 |
||
file_operation |
String |
文件操作类型。 |
||
file_change_attr |
String |
变更前后的属性。 |
||
file_new_path |
String |
新文件路径。 |
||
file_desc |
String |
文件描述。 |
||
file_key_word |
String |
文件关键字。 |
||
is_dir |
Boolean |
是否目录。 |
||
fd_info |
String |
文件句柄信息。 |
||
fd_count |
Integer |
文件句柄数量。 |
||
forensic_info |
monitor_process |
String |
监控进程。 |
|
escape_mode |
String |
逃逸方式。 |
||
abnormal_port |
String |
异常端口。 |
||
geo_info |
src_country |
String |
源国家。 |
|
src_city |
String |
源城市。 |
||
src_latitude |
Long |
源纬度。 |
||
src_longitude |
Long |
源经度。 |
||
dest_country |
String |
目的国家。 |
||
dest_city |
String |
目的城市。 |
||
dest_latitude |
Long |
目的纬度。 |
||
dest_longitude |
Long |
目的经度。 |
||
malware_info |
malware_family |
String |
恶意家族。 |
|
malware_class |
String |
恶意软件分类。 |
||
system_info |
pwd_valid |
Boolean |
口令结果是否有效。 |
|
pwd_min_len |
Integer |
口令长度。 |
||
pwd_digit_credit |
Integer |
口令中数字要求。 |
||
pwd_uppercase_letter |
Integer |
口令中大写字母。 |
||
pwd_lowercase_letter |
Integer |
口令中小写字母。 |
||
pwd_special_characters |
Integer |
口令中特殊字符。 |
||
extend_info |
hit_rule |
String |
特征规则。 |
|
rule_name |
String |
规则名称。 |
||
rulesetname |
String |
规则集名称。 |
||
report_type |
String |
上报数据类型。 |
||
ti_info |
ti_source |
String |
情报来源。 |
|
ti_class |
String |
情报分类。 |
||
ti_threat_type |
String |
情报威胁类型。 |
||
ti_first_time |
Long |
第一次发现时间。 |
||
ti_last_time |
Long |
最近一次发现时间。 |
||
sec-hss-log
主机安全日志字段含义如下所示:
字段 |
类型 |
字段含义 |
||
|---|---|---|---|---|
agentUuid |
String |
agent的UUID。 |
||
alarmCsn |
String |
告警UUID。 |
||
alarmKey |
String |
告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。 |
||
alarmVersion |
String |
agent版本号。 |
||
occurTime |
Long |
事件发生时间(ms)。 |
||
severity |
Long |
风险等级。 |
||
hostUuid |
String |
受影响主机UUID。 |
||
hostName |
String |
受影响主机名。 |
||
hostIp |
String |
受影响主机通信IP。 |
||
ipList |
String |
受影响主机IP列表。 |
||
cloudId |
String |
cloudagent sn。 |
||
region |
String |
受影响主机所在区域。 |
||
projectId |
String |
受影响租户ID。 |
||
enterpriseProjectId |
String |
受影响企业租户ID。 |
||
appendInfo |
Object |
告警详情。 |
||
appendInfo |
agent_id |
String |
AGENT ID。 |
|
version |
String |
事件版本。 |
||
container_name |
String |
容器ID(容器安全场景)。 |
||
image_name |
String |
镜像名称(容器安全场景)。 |
||
event_id |
String |
事件ID,GUID。 |
||
event_name |
String |
事件名称。 |
||
event_classid |
String |
事件唯一标识。 |
||
occur_time |
Long |
发生时间(秒)。 |
||
recent_time |
Long |
最近一次发生时间(秒)。 |
||
event_category |
Integer |
事件大类。 |
||
event_type |
Integer |
事件类型。 |
||
event_count |
Integer |
事件次数。 |
||
severity |
Integer |
严重级别。 |
||
attack_phase |
Integer |
攻击阶段。 |
||
attack_tag |
Integer |
攻击标识。 |
||
confidence |
Integer |
置信度。 |
||
action |
Integer |
动作类型。 |
||
detect_module |
String |
检测模块。 |
||
report_source |
String |
上报源。 |
||
related_events |
String |
相关事件ID。 |
||
resource_info |
Object |
资源信息。 |
||
network_info |
Object |
网络信息。 |
||
app_info |
Object |
应用信息。 |
||
system_info |
Object |
系统信息。 |
||
process_info |
list |
进程信息。 |
||
user_info |
list |
用户信息。 |
||
file_info |
list |
文件信息。 |
||
geo_info |
Object |
地理信息。 |
||
malware_info |
Object |
恶意软件信息。 |
||
forensic_info |
String |
取证字段。 |
||
recommendation |
String |
处置建议。 |
||
extend_info |
String |
事件扩展信息。 |
||
resource_info |
project_id |
String |
项目ID。 |
|
region_name |
String |
Region名称。 |
||
vpc_id |
String |
VPC ID。 |
||
host_name |
String |
主机名称。 |
||
host_ip |
String |
主机IP。 |
||
host_id |
String |
主机ID(ECS对应ID)。 |
||
cloud_id |
String |
CloudAgent SN。 |
||
vm_name |
String |
虚拟机名称。 |
||
vm_uuid |
String |
虚拟机UUID。 |
||
container_id |
String |
容器id。 |
||
image_id |
String |
镜像id。 |
||
sys_arch |
String |
系统CPU架构。 |
||
os_bit |
String |
操作系统位数。 |
||
os_type |
String |
操作系统类型。 |
||
os_name |
String |
操作系统名称。 |
||
os_version |
String |
操作系统版本。 |
||
network_info |
local_address |
String |
本地地址。 |
|
local_port |
Integer |
本地端口。 |
||
remote_address |
String |
远程地址。 |
||
remote_port |
Integer |
远程端口。 |
||
src_ip |
String |
源IP。 |
||
src_port |
Integer |
源端口。 |
||
src_domain |
String |
源域。 |
||
dest_ip |
String |
目的IP。 |
||
dest_port |
Integer |
目的端口。 |
||
dest_domain |
String |
目的域。 |
||
protocol |
String |
协议。 |
||
app_protocol |
String |
应用层协议。 |
||
flow_direction |
String |
流量方向。 |
||
app_info |
sql |
String |
执行的sql语句。 |
|
domain_name |
String |
DNS域名。 |
||
url_path |
String |
URL路径。 |
||
url_method |
String |
URL方法。 |
||
req_refer |
String |
URL请求refer信息。 |
||
email_subject |
String |
邮件主题。 |
||
email_sender |
String |
邮件发送者。 |
||
email_receiver |
String |
邮件接收者。 |
||
email_keyword |
String |
邮件关键字。 |
||
process_info |
process_name |
String |
进程名称。 |
|
process_path |
String |
进程文件路径。 |
||
process_pid |
Integer |
进程id。 |
||
process_uid |
Integer |
进程用户id。 |
||
process_username |
String |
运行进程的用户名。 |
||
process_cmdline |
String |
进程文件命令行。 |
||
process_filename |
String |
进程文件名。 |
||
process_start_time |
Long |
进程启动时间。 |
||
process_gid |
Integer |
进程组ID。 |
||
process_egid |
Integer |
进程有效组ID。 |
||
process_euid |
Integer |
进程有效用户ID。 |
||
parent_process_name |
String |
父进程名称。 |
||
parent_process_path |
String |
父进程文件路径。 |
||
parent_process_pid |
Integer |
父进程id。 |
||
parent_process_uid |
Integer |
父进程用户id。 |
||
parent_process_cmdline |
String |
父进程文件命令行。 |
||
parent_process_filename |
String |
父进程文件名。 |
||
parent_process_start_time |
Long |
父进程启动时间。 |
||
parent_process_gid |
Integer |
父进程组ID。 |
||
parent_process_egid |
Integer |
父进程有效组ID。 |
||
parent_process_euid |
Integer |
父进程有效用户ID。 |
||
child_process_name |
String |
子进程名称。 |
||
child_process_path |
String |
子进程文件路径。 |
||
child_process_pid |
Integer |
子进程id。 |
||
child_process_uid |
Integer |
子进程用户id。 |
||
child_process_cmdline |
String |
子进程文件命令行。 |
||
child_process_filename |
String |
子进程文件名。 |
||
child_process_start_time |
Long |
子进程启动时间。 |
||
child_process_gid |
Integer |
子进程组ID。 |
||
child_process_egid |
Integer |
子进程有效组ID。 |
||
child_process_euid |
Integer |
子进程有效用户ID。 |
||
virt_cmd |
String |
虚拟化命令。 |
||
virt_process_name |
String |
虚拟化进程名称。 |
||
escape mode |
String |
逃逸方式。 |
||
escape cmd |
String |
逃逸后执行的命令。 |
||
user_info |
user_id |
Integer |
用户uid。 |
|
user_gid |
Integer |
用户gid。 |
||
user_name |
String |
用户名称。 |
||
user_group_name |
String |
用户组名称。 |
||
user_home_dir |
String |
用户home目录。 |
||
login_ip |
String |
用户登录ip。 |
||
service_type |
String |
登录的服务类型。 |
||
service_port |
Integer |
登录服务端口。 |
||
login_mode |
String |
登录方式。 |
||
login_lasttime |
Long |
用户最后一次登录时间。 |
||
login_fail_count |
Integer |
用户登录失败次数。 |
||
pwd_hash |
String |
口令hash。 |
||
pwd_with_fuzzing |
String |
匿名化处理后的口令。 |
||
pwd_used_days |
Integer |
密码使用的天数。 |
||
pwd_min_days |
Integer |
口令的最短有效期限。 |
||
pwd_max_days |
Integer |
口令的最长有效期限。 |
||
pwd_warn_left_days |
Integer |
口令无效时提前告警天数。 |
||
file_info |
file_path |
String |
文件路径/名称。 |
|
file_alias |
String |
文件别名。 |
||
file_size |
Integer |
文件大小。 |
||
file_mtime |
Long |
文件最后一次修改时间。 |
||
file_atime |
Long |
文件最后一次访问时间。 |
||
file_ctime |
Long |
文件最后一次状态改变时间。 |
||
file_hash |
String |
文件hash。 |
||
file_md5 |
String |
文件md5。 |
||
file_sha256 |
String |
文件sha256。 |
||
file_type |
String |
文件类型。 |
||
file_content |
String |
文件内容。 |
||
file_attr |
String |
文件属性。 |
||
file_operation |
String |
文件操作类型。 |
||
file_change_attr |
String |
变更前后的属性。 |
||
file_new_path |
String |
新文件路径。 |
||
file_desc |
String |
文件描述。 |
||
file_key_word |
String |
文件关键字。 |
||
is_dir |
Boolean |
是否目录。 |
||
fd_info |
String |
文件句柄信息。 |
||
fd_count |
Integer |
文件句柄数量。 |
||
forensic_info |
monitor_process |
String |
监控进程。 |
|
escape_mode |
String |
逃逸方式。 |
||
abnormal_port |
String |
异常端口。 |
||
geo_info |
src_country |
String |
源国家。 |
|
src_city |
String |
源城市。 |
||
src_latitude |
Long |
源纬度。 |
||
src_longitude |
Long |
源经度。 |
||
dest_country |
String |
目的国家。 |
||
dest_city |
String |
目的城市。 |
||
dest_latitude |
Long |
目的纬度。 |
||
dest_longitude |
Long |
目的经度。 |
||
malware_info |
malware_family |
String |
恶意家族。 |
|
malware_class |
String |
恶意软件分类。 |
||
system_info |
pwd_valid |
Boolean |
口令结果是否有效。 |
|
pwd_min_len |
Integer |
口令长度。 |
||
pwd_digit_credit |
Integer |
口令中数字要求。 |
||
pwd_uppercase_letter |
Integer |
口令中大写字母。 |
||
pwd_lowercase_letter |
Integer |
口令中小写字母。 |
||
pwd_special_characters |
Integer |
口令中特殊字符。 |
||
extend_info |
hit_rule |
String |
特征规则。 |
|
rule_name |
String |
规则名称。 |
||
rulesetname |
String |
规则集名称。 |
||
report_type |
String |
上报数据类型。 |
||
ti_info |
ti_source |
String |
情报来源。 |
|
ti_class |
String |
情报分类。 |
||
ti_threat_type |
String |
情报威胁类型。 |
||
ti_first_time |
Long |
第一次发现时间。 |
||
ti_last_time |
Long |
最近一次发现时间。 |
||
sec-ddos-attack
DDoS攻击日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
log_type |
String |
日志类型。 |
time |
Date |
本地时间。 |
device_ip |
String |
设备IP。 |
device_type |
String |
设备类型(清洗:CLEAN;检测:DETECT)。 |
direction |
String |
日志方向(inbound,outbound)。 |
zone_id |
String |
防护对象ID。 |
zone_name |
String |
防护对象名称。 |
zone_ip |
String |
IP。 |
biz_id |
String |
业务ID。 |
is_deszone |
String |
是否网段流量(是:true;否:false)。 |
is_ipLocation |
String |
是否地址位置流量(是:true,否:false)。 |
ipLocation_id |
String |
地理位置ID。 |
total_pps |
String |
总pps。 |
total_kbps |
String |
总Kbps。 |
tcp_pps |
String |
到目标的TCP总包速率pps。 |
tcp_kbps |
String |
到目标的TCP总流量Kbps。 |
tcpfrag_pps |
String |
到目标的TCP碎片包速率pps。 |
tcpfrag_kbps |
String |
到目标的TCP碎片流量Kbps。 |
udp_pps |
String |
到目标的UDP总包速率pps。 |
udp_kbps |
String |
到目标的UDP总流量Kbps。 |
udpfrag_pps |
String |
到目标的UDP碎片包速率pps。 |
udpfrag_kbps |
String |
到目标的UDP碎片流量Kbps。 |
icmp_pps |
String |
到目标的ICMP总包速率pps。 |
icmp_kbps |
String |
到目标的ICMP总流量Kbps。 |
other_pps |
String |
到目标的Other总包速率pps。 |
other_kbps |
String |
到目标的Other总流量Kbps。 |
syn_pps |
String |
到目标的SYN报文数。 |
synack_pps |
String |
到目标的SYN/ACK报文数pps。 |
ack_pps |
String |
到目标的ACK报文数pps。 |
finrst_pps |
String |
到目标的FIN/Rst报文数pps。 |
http_pps |
String |
到目标的HTTP总包速率pps。 |
http_kbps |
String |
到目标的HTTP总流量Kbps。 |
http_get_pps |
String |
到目标的HTTP请求总包速率pps。 |
https_pps |
String |
到目标的HTTPS总包速率pps。 |
https_kbps |
String |
到目标的HTTPS总流量Kbps。 |
dns_request_pps |
String |
到目标业务DNS Query包速率pps。 |
dns_request_kbps |
String |
到目标业务DNS Query总流量Kbps。 |
dns_reply_pps |
String |
到目标业务DNS Reply包速率pps。 |
dns_reply_kbps |
String |
到目标业务DNS Reply总流量Kbps。 |
sip_invite_pps |
String |
到目标业SIP包速率pps。 |
sip_invite_kbps |
String |
到目标业务SIP总流量Kbps。 |
tcp_increase_con |
String |
到目标的tcp每秒新建连接数统计。 |
udp_increase_con |
String |
到目标的udp每秒新建连接数统计。 |
icmp_increase_con |
String |
到目标的icmp每秒新建连接数统计。 |
other_increase_con |
String |
到目标的other协议每秒新建连接数统计。 |
tcp_concur_con |
String |
到目标的tcp并发连接数统计。 |
udp_concur_con |
String |
到目标的udp并发连接数统计。 |
icmp_concur_con |
String |
到目标的icmp并发连接数统计。 |
other_concur_con |
String |
到目标的other协议并发连接数统计。 |
total_average_pps |
String |
到目标的所有流量的平均pps。 |
total_average_kbps |
String |
到目标的所有流量的平均Kbps。 |
sec-cts-audit
云审计服务日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
time |
Date |
事件发生时间。以当地标准时间(采用格林威治时间加当地时区形式)进行展示,例如:2022/11/08 11:24:04 GMT+08:00。 |
user |
Object |
发起操作的云账户信息。 |
request |
Object |
操作的请求内容。 |
response |
Object |
操作的响应内容。 |
service_type |
String |
操作来源。 |
resource_type |
String |
资源类型。 |
resource_name |
String |
资源名称。 |
resource_id |
String |
资源的唯一标识。 |
source_ip |
String |
发起本次操作的用户的IP,如果为系统内调用,则为空。 |
trace_name |
String |
操作名称。 |
trace_rating |
String |
操作事件等级,分为以下等级:
|
trace_type |
String |
操作类型,分为以下几种:
|
api_version |
String |
作为操作来源的云服务的API版本号。 |
message |
Object |
备注信息。 |
record_time |
Long |
记录操作的时间,表示方式为时间戳。 |
trace_id |
String |
操作的唯一标识。 |
code |
Integer |
事件http返回码,例如200,400。 |
request_id |
String |
记录本次请求的request id。 |
location_info |
String |
记录本次请求出错后,问题定位所需要的辅助信息。 |
endpoint |
String |
该操作涉及云资源的详情页面的endpoint。 |
resource_url |
String |
该操作涉及云资源的详情页面的访问链接(不含endpoint)。 |
user_agent |
String |
OBS桶相关操作中非ObsSDK方式调用时的操作类型。 |
content_length |
Long |
OBS桶相关操作中请求消息体的长度。 |
total_time |
Long |
OBS桶相关操作中请求的响应时间。 |
sec-cfw-risk
云防火墙攻击事件日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
event_time |
Date |
检测到的攻击时间。 |
action |
String |
云防火墙当前的响应动作。
|
app |
String |
应用类型。 |
attack_rule |
String |
检测到攻击的防御规则。 |
attack_rule_id |
String |
检测到攻击的防御规则ID号。 |
attack_type |
String |
发生攻击的类型:
|
dst_ip |
String |
目的IP地址。 |
dst_port |
String |
目的端口号。 |
packet |
String |
攻击日志的原始数据包。 |
protocol |
String |
协议类型。 |
level |
String |
表示检测到威胁的等级:
|
source |
String |
检测到攻击的防御模式:
|
src_ip |
String |
源IP地址。 |
src_port |
String |
源端口号。 |
direction |
String |
流量方向:
|
sec-cfw-flow
云防火墙流量日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
app |
String |
应用类型。 |
dst_ip |
String |
目的IP地址。 |
dst_port |
String |
目的端口号。 |
end_time |
Date |
流结束时间。 |
protocol |
String |
协议类型。 |
to_c_bytes |
String |
服务端向客户端发送的字节数。 |
to_c_pkts |
String |
服务端向客户端发送的报文数。 |
to_s_bytes |
String |
客户端向服务端发送的字节数。 |
to_s_pkts |
String |
服务端向客户端发送的报文数。 |
src_ip |
String |
源IP地址。 |
src_port |
String |
源端口号。 |
start_time |
Date |
流开始时间。 |
sec-cfw-block
云防火墙访问控制日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
hit_time |
Date |
访问发生的时间。 |
action |
String |
云防火墙当前的响应动作:
|
app |
String |
应用类型。 |
dst_ip |
String |
目的IP地址。 |
dst_port |
String |
目的端口号。 |
protocol |
String |
协议类型。 |
rule_id |
String |
触发规则的ID。 |
src_ip |
String |
源IP地址。 |
src_port |
String |
源端口号。 |
sec-apig-access
API网关访问日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|---|---|---|
region_id |
String |
局点。 |
api_id |
String |
API ID。 |
body_bytes_sent |
String |
返回Body大小。 |
bytes_sent |
String |
整个返回大小。 |
domain |
String |
公网域名。 |
errorType |
String |
是否被流控(1:被流控)。 |
http_user_agent |
String |
用户代理标识。 |
http_x_forwarded_for |
String |
X-Forwarded-For头。 |
opsuba_api_url |
String |
请求的URI。 |
out_times |
String |
网关内部与周边组件交互耗时。 |
remote_addr |
String |
远端ip。 |
request_id |
String |
请求id。 |
request_length |
String |
整个请求大小。 |
request_method |
String |
HTTP请求方法。 |
request_time |
String |
访问耗时。 |
scheme |
String |
协议。 |
server_protocol |
String |
请求协议。 |
status |
String |
状态。 |
time_local |
Date |
时间。 |
upstream_addr |
String |
远端ip。 |
upstream_connect_time |
String |
远端连接耗时。 |
upstream_header_time |
String |
远端头耗时。 |
upstream_response_time |
String |
远端返回耗时。 |
upstream_status |
String |
远端状态。 |
upstream_uri |
String |
请求后端的URI。 |
user_name |
String |
用户projectid或appid。 |
sec-dbss-alarm
DBSS告警日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|
|---|---|---|---|
domain_id |
String |
账号ID。 |
|
project_id |
String |
项目ID。 |
|
region |
String |
region |
|
tenant_vpc_id |
String |
租户的VPC ID。 |
|
tenant_subnet_id |
String |
租户的子网ID。 |
|
instance_id |
String |
实例ID。 |
|
instance_name |
String |
实例名。 |
|
alarm |
Object |
告警对象。 |
|
source_type |
String |
dbss。 |
|
alarm |
alarm_risk |
String |
告警等级。 |
client_ip |
String |
连接IP。 |
|
database_ip |
String |
数据库访问IP。 |
|
count |
Long |
告警次数。 |
|
user_name |
String |
数据库用户名。 |
|
schema |
String |
oracle schema。 |
|
rule_name |
String |
规则名称。 |
|
rule_id |
String |
规则ID。 |
|
sql_type |
String |
SQL执行类型。 |
|
sql_result |
String |
SQL执行结果。 |
|
db_type |
String |
数据库类型。 |
|
sec-dsc-alarm
DSC告警日志的保留字段根据日志类型有所不同,具体如下:
字段 |
类型 |
字段含义 |
|---|---|---|
log_type |
String |
告警类型。 |
region_id |
String |
region。 |
domain_id |
String |
账号ID。 |
project_id |
String |
项目id。 |
leakage_ak |
String |
AK。 |
source |
String |
泄漏源。 |
find_time |
String |
发现时间。 |
account |
String |
账号名。 |
file_name |
String |
文件名。 |
file_suffix |
String |
文件后缀。 |
leakage_user_id |
String |
泄露子用户ID。 |
leakage_user_name |
String |
泄露子用户名。 |
leakage_domain_id |
String |
泄露主账号ID。 |
leakage_domain_name |
String |
泄露主账号名。 |
url |
String |
泄露网址。 |
字段 |
类型 |
字段含义 |
|---|---|---|
log_type |
String |
告警类型。 |
region_id |
String |
region。 |
domain_id |
String |
账号ID。 |
project_id |
String |
项目id。 |
bucket_policy |
String |
公开桶/私有桶。 |
bucket_domain_id |
String |
桶所属账号ID。 |
bucket_project_id |
String |
桶所属项目ID。 |
bucket_name |
String |
桶名称。 |
file_name |
String |
文件名称。 |
file_path |
String |
文件路径。 |
risk_level |
Integer |
敏感风险等级。 |
sensitive_data_type |
String[] |
敏感数据类型。 |
privacy_detail |
String |
个人隐私数据明细。 |
file_type |
String |
文件类型。 |
mimetypes |
String |
文件类型。 |
rule_list |
List<Map<String,String>> |
匹配规则列表。 |
keyword |
String |
匹配敏感数据规则关键字。 |
available_zone |
String |
可用区。 |
encrypted |
String |
是否加密。 |
字段 |
类型 |
字段含义 |
|---|---|---|
log_type |
String |
告警类型。 |
region_id |
String |
region。 |
domain_id |
String |
账号ID。 |
project_id |
String |
项目id。 |
vpc_id |
String |
VPC ID。 |
db_instance_type |
String |
RDS PUB。 |
db_instance_id |
String |
数据库实例ID。 |
db_instance_type |
String |
数据库实例类型。 |
db_instance_ip |
String |
数据库实例IP。 |
db_instance_domain_id |
String |
数据库实例所属账号ID。 |
db_instance_project_id |
String |
数据库实例所属项目ID。 |
db_instance_name |
String |
数据库实例名称。 |
db_name |
String |
数据库名称。 |
table_name |
String |
表名称。 |
field_name |
String |
字段名称。 |
data_type |
String |
字段数据类型。 |
risk_level |
Integer |
敏感风险等级。 |
sensitive_data_type |
String[] |
敏感数据类型。 |
privacy_detail |
String |
个人隐私数据明细。 |
rule_list |
List<Map<String,String>> |
匹配规则列表。 |
keyword |
String |
匹配敏感数据规则关键字。 |
sec-mtd-alarm
MTD告警日志字段含义如下所示:
字段 |
类型 |
字段含义 |
|
|---|---|---|---|
version |
String |
事件对象的版本,该字段的值必须为服务确定的官方发布版本之一。 在当前版本中,事件对象格式的版本为1.2.0。 |
|
environment |
Object |
事件产生的环境坐标信息。 |
|
environment |
type |
string |
环境供应商。 |
domain_id |
string |
HWC special,域名ID。 |
|
region_id |
string |
HWC special,区域ID。 |
|
project_id |
string |
HWC special,项目ID。 |
|
data_source |
Object |
数据源。 |
|
data_source |
type |
Int |
数据源类型。取值范围如下:
|
domain_id |
String |
数据源产品所属账号的ID,最大36个字符。 |
|
project_id |
String |
数据源产品所属项目的ID,最大36个字符。 |
|
region_id |
String |
数据源产品所在区域,具体取值范围查看华为云地区和终端节点定义,例如cn-north-4a。 |
|
company_name |
String |
数据源产品所属公司的名称,最大16个字符。 |
|
product_name |
String |
数据源产品的名称,最大24个字符。 |
|
product_feature |
String |
产品功能特性名称,用来指明检测到当前事件的产品的功能特性,最大24个字符。 |
|
first_observed_time |
Timestamp |
首次发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
last_observed_time |
Timestamp |
最近发现时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
create_time |
Timestamp |
记录时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
arrive_time |
Timestamp |
接收时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
event_id |
String |
事件唯一标识,UUID格式,最大36个字符。 |
|
title |
String |
事件标题,最大255字符。 |
|
title_en |
String |
事件标题英文,最大255字符。 |
|
title_zh |
String |
事件标题中文,最大255字符。 |
|
description |
String |
事件描述信息,最大1024个字符。 |
|
source_url |
String |
事件URL链接,指向数据源产品中有关当前事件说明的页面。 |
|
count |
Int |
事件发生次数。 |
|
confidence |
Int |
事件的置信度,置信度的定义旨在说明识别的行为或问题的可能性。 取值范围:0-100。 |
|
severity |
Object |
严重性。 |
|
severity |
label |
String |
严重性等级,取值范围:
|
normalize_score |
Int |
严重性评分,取值范围:0-100。与严重性等级的对应关系:
|
|
original_score |
Int |
严重性原始评分,指在数据源产品中的评分。 |
|
criticality |
Int |
关键性,是指事件涉及的资源的重要性级别。 取值范围:0-100,0表示资源不关键,100表示最关键资源。 |
|
type |
Object |
事件分类。 |
|
type |
business |
String |
安全运营过程,弱点的分类维度 事件所属业务领域标签,可选类别如下:
|
namespace |
String |
安全运营过程,弱点的分类维度。 事件所属业务领域标签,可选类别如下:
|
|
category |
String |
类别,推荐使用预定义的类型分类。 |
|
classifier |
String |
分类器,推荐使用预定义的分类器。如果指定了分类器,则必须指定类别。 |
|
tech_domain |
String |
技术领域标签:
|
|
properties |
Object |
见对象type.properties |
|
type.properties |
killchain |
String |
Kill chain事件分类,仅当 namespace为ATTACK有效。 |
ttps |
String |
Mitre Array 事件分类,仅当namespace为ATTACK有效。 |
|
effects |
String |
影响,全部类型。 |
|
compliance |
Object |
合规检查信息。 |
|
compliance |
checkitem_id |
String |
检查项(检查规则)编号。 |
checkpoint_id |
String |
检查点(检查结果)编号,检查项对同一个资源的检查结果。 |
|
spec_id |
String |
检查规范编号,默认选第一个。 |
|
reason |
String |
原因。 |
|
status |
String |
合规检查结果,取值定义:
|
|
properties |
Object |
主机基线字段全量维持(不固定,包含主机基线和sa基线)。 |
|
network |
Object |
网络信息。 |
|
network |
direction |
String |
方向,取值范围:IN | OUT |
protocol |
String |
协议。 |
|
src_ip |
String |
源IP地址。 |
|
src_port |
int |
源端口,0–65535。 |
|
src_domain |
String |
源域名,最大128个字符。 |
|
src_geo |
Object |
源IP的地理位置信息。 |
|
dest_ip |
String |
目标IP地址。 |
|
dest_port |
int |
目标端口,0–65535。 |
|
dest_domain |
String |
目标域名,最大128个字符。 |
|
dest_geo |
Object |
目标IP的地理位置信息。 |
|
geo |
latitude |
Float |
纬度。 |
longitude |
Float |
经度。 |
|
city_code |
String |
城市编码。 |
|
country_code |
String |
国家简码ISO。 |
|
vulnerability_patch |
Object |
漏洞补丁信息。 |
|
vulnerability_patch |
patch_id |
String |
补丁编号。 |
patch_name |
String |
补丁名称。 |
|
type |
String |
补丁类型。
|
|
major_level |
String |
重要等级。 |
|
status |
String |
补丁状态。 |
|
release_time |
Timestamp |
发布时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
repair_cmd |
String |
修复命令。 |
|
repair_necessity |
Int |
修复必要程度。
|
|
vendor_name |
String |
漏洞报告提供者信息(厂商)。 |
|
vulnerable_package |
String |
受影响软件版本列表。 |
|
reference_url |
String |
参考链接。 |
|
cve_ids |
String |
漏洞列表。 |
|
malware |
Object |
恶意软件。 |
|
malware |
name |
String |
恶意软件名称,最大64个字符。 |
sha256 |
String |
恶意软件sha256。 |
|
type |
String |
恶意软件类型,遵循STIX规范: adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm |
|
path |
String |
恶意软件在系统中的路径,最大512个字符(包含软件名称)。 |
|
state |
String |
恶意软件状态,取值范围:OBSERVED | REMOVAL_FAILED | REMOVED。 |
|
properties |
Object |
见对象malware.properties。 |
|
malware.properties |
pid |
String |
进程ID。 |
user |
String |
系统角色(例如:root,service)。 |
|
mod |
String |
系统权限(例如:777,755)。 |
|
start_time |
String |
进程启动时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。 时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
threat_intel |
Object |
威胁情报。 |
|
threat_intel |
id |
String |
情报ID。 |
indicator_type |
String |
威胁情报类型。 |
|
labels |
String |
标签。 |
|
confidence |
Int |
置信度,不同来源目前置信度分值定义不一样(分数)。 |
|
information_source |
String |
威胁情报源。 |
|
severity |
Int |
严重程度,不同渠道定义值不一样(分数)。 |
|
value |
String |
威胁情报指标值,最大512个字符,如:ip、url、domain等。 |
|
description_en |
string |
威胁情报描述-英文。 |
|
description_zh |
String |
威胁情报描述-中文。 |
|
description |
String |
威胁情报描述。 |
|
modified |
Timestamp |
威胁情报的更新时间,格式ISO8601:YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区,无法解析时区的时间,默认时区填东八区。 |
|
valid_from |
String |
有效期开始(可读字符串)。 |
|
valid_until |
String |
有效期结束(可读字符串)。 |
|
properties |
Object |
见对象threat_intel.properties。 |
|
threat_intel.properties |
file_md5 |
String |
恶意软件Md5。 |
file_sha1 |
String |
恶意软件Sha1。 |
|
file_sha256 |
String |
恶意软件Sha256值。 |
|
file_name |
String |
文件名称。 |
|
create_time |
Timestamp |
编译时间。 |
|
file_class |
String |
文件类别,TEXT、XCODE。 |
|
file_family |
String |
家族,例如:wannacry(勒索软件)。 |
|
file_maltype |
String |
类别,例如:trojan(特洛伊)。 |
|
ip_resolves_to_refs |
String |
mac地址。 |
|
belongs_to_refs |
String |
IP AS 自治系统 |
|
ip_location |
String |
地区。格式:country/province/city/lngwgs/latwgs。 |
|
domain_family |
String |
域名家族。 |
|
domain_resolves_to_refs |
String |
解析的IP地址。 |
|
domain_dns_type |
String |
DNS类别。 |
|
url_host |
String |
URL地址。 |
|
url_resolves_to_refs |
String |
IP地址。 |
|
display_name |
String |
显示名称。 |
|
url_belongs_to_ref |
String |
邮箱账户,@之前部分。 |
|
resource |
Object |
受影响资源。 |
|
resource |
id |
String |
云服务资源ID。 |
name |
String |
资源名称;最大长度255个字符。 |
|
type |
String |
资源类型,引用RMS type字段。 |
|
provider |
String |
云服务名称,引用RMS provider字段。 |
|
region_id |
String |
区域。 |
|
domain_id |
String |
资源所属账号ID,UUID。 |
|
project_id |
String |
资源所属项目ID,UUID。 |
|
ep_id |
String |
企业项目id。 |
|
ep_name |
String |
企业项目名称。 |
|
tags |
Object |
资源标签。
|
|
remediation |
Object |
补救措施。 |
|
remediation |
recommendation_zh |
String |
推荐处理方法-中文。 |
recommendation_en |
String |
推荐处理方法-英文。 |
|
recommendation |
String |
推荐处理方法。 |
|
url |
String |
链接,指向该事件的一般修复信息。该URL必须可以从公网访问,不需要提供凭证。 |
|
data_source_fields |
Object |
数据源自定义信息,最多支持50个key/value对,约束条件:
示例: "data_source_fields": { "key1": "value1", "key2", "value2", } |
|
verification_state |
String |
验证状态,标识事件的准确性。可选类型如下:
默认填写Unknown。 |
|
handle_status |
String |
事件处理状态,可选类型如下:
默认填写New。 |
|
phase |
String |
阶段:Preparation|Detection and Analysis|Containment,Eradication& Recovery| Post-Incident-Activity |
|
sla |
Int |
约束闭环时间,单位:天。设置风险接受持续时间。 |
|
