日志字段含义
更新时间 2025-09-25 14:08:34
最近更新时间: 2025-09-25 14:08:34
本节将介绍各字段的含义。
通用字段
| 字段名 | 字段类型 | 字段含义 |
|---|---|---|
| __time | Date | 日志产生的时间 |
| __raw | String | 原始日志 |
| ops.source | String | 数据源名称 |
| ops.rgn | String | 所属局点 |
| ops.csvc | String | 数据源(云服务) |
| ops.ver | String | 数仓版本号 |
| ops.hash | String | extend hash value of original 数据完整性验证 |
| [src_/dest_]asset.domain.id | String | 租户id |
| [src_/dest_]asset.domain.name | String | 租户名 |
| [src_/dest_]asset.id | String | 资产id |
| [src_/dest_]asset.name | String | 资产名称 |
| [src_/dest_]asset.type | String | 资产类型 |
| [src./dest.]asset.region | String | 资产局点 |
| [src_/dest_]geo.ip | String | ip地址 |
| [src_/dest_]geo.country | String | 国家(中文) |
| [src_/dest_]geo.prov | String | 省份(中文) |
| [src_/dest_]geo.city | String | 城市名称(中文) |
| [src_/dest_]geo.org | String | 注册IP的组织 |
| [src_/dest_]geo.isp | String | 运营商 |
| [src_/dest_]geo.loc.lat | Float | 纬度 |
| [src_/dest_]geo.loc.lon | Float | 经度 |
| [src_/dest_]geo.tz | Integer | 时区 |
| [src_/dest_]geo.utc_off | Integer | 时区 |
| [src_/dest_]geo.cac | String | 时区 |
| [src_/dest_]geo.iddc | String | 国际电话前缀码 |
| [src_/dest_]geo.cc | String | 国家编码ISO |
| [src_/dest_]geo.contc | String | 大洲编码ISO |
| [src_/dest_]geo.idc | String | 数据中心,机房 |
| [src_/dest_]geo.bs | String | 移动基站 |
| [src_/dest_]geo.cc3 | String | 国家代码3位 |
| [src_/dest_]geo.euro | String | 欧盟成员国 |
sec-waf-attack
WAF攻击日志字段含义如下所示:
| 字段 | 类型 | 字段含义 | |
|---|---|---|---|
| category | String | 分类,此处值为“attack”。 | |
| time | Date | 标识日志时间。 | |
| time_iso8601 | Date | 标识日志的ISO 8601 格式时间。 | |
| policy_id | String | 标识防护策略ID。 | |
| level | Integer | 标识防护策略层级(1为宽松,2为中等,3为严格)。 | |
| attack | String | 标识攻击类型。攻击类型的解释为:
| |
| action | String | 标识处理动作。处理动作的解释为:
| |
| rule | String | 标识触发的规则ID或者自定义的策略类型描述。 | |
| sub_type | String | 当attack为robot时,该字段不为空。标识爬虫的子类型。
| |
| location | String | 标识触发的payload的位置。 | |
| resp_headers | String | 标识响应头。 | |
| resp_body | String | 标识响应体。 | |
| hit_data | String | 标识触发的payload字符串。 | |
| status | String | 标识请求的响应状态码。 | |
| reqid | String | 随机ID标识。 | |
| id | String | 攻击ID。 | |
| method | String | 标识请求方法。 | |
| sip | String | 标识客户端请求IP。 | |
| sport | String | 标识客户端请求端口。 | |
| host | String | 标识请求的服务器域名。 | |
| http_host | String | 标识请求的服务器端口。 | |
| uri | String | 标识请求URL。 | |
| header | String | 标识请求header信息。 | |
| mutipart | String | 标识请求multipart header(文件上传场景)。 | |
| cookie | String | 标识请求cookie信息。 | |
| params | String | 标识请求URI后的参数信息。 | |
| body_bytes_sent | String | 标识发送给客户端的响应体字节数。 | |
| upstream_response_time | String | 标识后端服务器响应时间。 | |
| process_time | String | 标识引擎的检测用时。 | |
| engine_id | String | 标识引擎的唯一标识。 | |
| group_id | String | 用于对接LTS服务的日志组ID。 | |
| attack_stream_id | String | 与group_id相关,是日志组下用户的access_stream的ID。 | |
| hostid | String | 标识防护域名ID。 | |
| tenantid | String | 标识防护域名的租户ID。 | |
| projectid | String | 标识防护域名的项目ID。 | |
| backend | Object | 标识请求转发的后端服务器地址。 | |
| backend | type | String | 标识当前后端Host 类型(IP或域名)。 |
| alive | String | 标识当前后端状态。 | |
| host | String | 标识当前后端Host 值。 | |
| protocol | String | 标识当前后端协议。 | |
| port | Integer | 标识当前后端端口。 | |
sec-waf-access
WAF访问日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| requestid | String | 随机ID标识。 |
| time | Date | 标识日志时间。 |
| eng_ip | String | 标识引擎IP。 |
| hostid | String | 标识防护域名ID。 |
| tenantid | String | 标识防护域名的租户ID。 |
| projectid | String | 标识防护域名的项目ID。 |
| remote_ip | String | 标识请求的客户端IP。 |
| scheme | String | 标识请求协议类型。 |
| response_code | String | 标识请求响应码。 |
| method | String | 标识请求方法。 |
| http_host | String | 标识请求的服务器域名。 |
| url | String | 标识请求URL。 |
| request_length | String | 标识请求长度。 |
| bytes_send | String | 标识发送给客户端的总字节数。 |
| body_bytes_sent | String | 标识发送给客户端的响应体字节数。 |
| upstream_addr | String | 标识选择的后端服务器地址。 |
| request_time | String | 标识请求处理时间,从读取客户端的第一个字节开始计时。 |
| upstream_response_time | String | 标识后端服务器响应时间。 |
| upstream_status | String | 标识后端服务器的响应码。 |
| upstream_connect_time | String | 标识后端服务器连接用时。 |
| upstream_header_time | String | 标识后端服务器接收到第一个响应头字节的用时。 |
| bind_ip | String | 标识引擎回源IP。 |
| engine_id | String | 标识引擎的唯一标识。 |
| time_iso8601 | Date | 标识日志的ISO 8601 格式时间。 |
| sni | String | 标识通过SNI 请求的域名。 |
| tls_version | String | 标识建立SSL 连接的协议版本。 |
| ssl_curves | String | 标识客户端支持的曲线列表。 |
| ssl_session_reused | String | 标识SSL 会话是否被重用。
|
| process_time | String | 标识引擎的检测用时。 |
| x_forwarded_for | String | 标识请求头中X-Forwarded-For 的内容。 |
| cdn_src_ip | String | 标识请求头中Cdn-Src-Ip 的内容。 |
| x_real_ip | String | 标识请求头中X-Real-Ip 的内容。 |
sec-obs-access
对象存储服务访问日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| srcip | String | 访问obs的源ip。 |
| srcport | String | 访问obs的源端口。 |
| logtime | Date | 日志记录时间。 |
| ces_log_version | String | 内部请求为V0,V0不记录CES审计日志,V1记录CES审计日志。 |
| request_start_time | String | 请求开始时间。 |
| ctx_request_id | String | 请求ID,请求跟踪的唯一标识。 |
| request_method | String | 请求方法(get/post)。 |
| remote_ip | String | 客户端IP:端口。 |
| operation | String | 操作类型,如GET.OBJECT。 |
| bucket_name | String | 桶名。 |
| object_name | String | 对象名(文件名)。 |
| query_string | String | 请求query。 |
| http_status | String | http请求状态码,如200。 |
| content_length | String | 请求内容长度。 |
| user_agent | String | 客户端agent。 |
| storage_class | String | 对象存储类型。 |
| user_name | String | 请求者用户名称。 |
| user_id | String | 请求者用户ID。 |
| domain_name | String | 请求者账号名称。 |
| domain_id | String | 请求者账号ID。 |
| project_id | String | 请求者项目ID。 |
| owner_domain_name | String | 桶owner租户名称。 |
| owner_domain_id | String | 桶owner租户ID。 |
| owner_project_id | String | 桶owner项目ID。 |
| transmission_type | String | 网络类型:
|
| scheme | String | 网络协议。 |
| http_version | String | http版本。 |
| host | String | 服务obs域名。 |
| port | String | 端口。 |
| auth_v2_v4 | String | 鉴权方式。 |
| host_type | String | 访问方式。 |
| x_forwarded_for | String | 代理客户端IP。 |
| pub_bkt | String | 是否为匿名访问桶。 |
| pub_obj | String | 是否为匿名访问对象。 |
| website_req | String | 是否为website请求。 |
| crr_req | String | 是否为crr请求。 |
| batch_delete_success_count | String | 批删成功个数。 |
| ctc_log_urn | String | 委托。 |
| requester | String | 委托账号。 |
| is_over_write | String | 是否为覆盖写。 |
| error_code | String | 错误原因。 |
| detail_error_code | String | 详细错误原因。 |
| request_content_type | String | 请求对象类型。 |
| request_content_md5 | String | 请求对象md5。 |
| total_bytes_received | String | 接收到内容总数。 |
| response_content_type | String | 响应对象类型。 |
| total_bytes_sent | String | 发送内容总数响应头+响应BODY体。 |
| referrer | String | 引用页。 |
| index_read_count | String | 查询元数据表时延。 |
| persistence_read_count | String | 读数据的次数。 |
| vpc_id | String | 标识请求客户端所属的VPCID。 |
| access_with_security_token | String | 使用sts token。 |
| copy_size | String | copy_size。 |
| vpcep_traffic | String | 走EP |
| access_key | String | ak。 |
sec-nip-attack
IPS攻击日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| SyslogId | String | 日志序号。 |
| Vsys | String | 虚拟系统名称。 |
| Policy | String | 安全策略名称。 |
| SrcIp | String | 报文的源IP地址 |
| DstIp | String | 报文的目的IP地址 |
| SrcPort | String | 报文的源端口(对于ICMP报文,该字段为0)。 |
| DstPort | String | 报文的目的端口(对于ICMP报文,该字段为0)。 |
| SrcZone | String | 报文的源安全域。 |
| DstZone | String | 报文的目的安全域。 |
| User | String | 用户名。 |
| Protocol | String | 签名检测到的报文所属协议。 |
| Application | String | 签名检测到的报文所属应用。 |
| Profile | String | 配置文件的名称。 |
| SignName | String | 签名的名称。 |
| SignId | String | 签名的ID。 |
| EventNum | String | 日志归并引入字段,是否归并需根据归并频率及日志归并条件来确定,不发生归并则为1。 |
| Target | String | 签名所检测的报文所攻击的对象。具体情况如下:
|
| Severity | String | 签名所检测的报文所造成攻击的严重性。具体情况如下:
|
| Os | String | 签名所检测的报文所攻击的操作系统。具体情况如下:
|
| Category | String | 签名检测到的报文攻击特征所属的威胁分类。 |
| Action | String | 签名动作。
|
| Reference | String | 签名的参考信息。 |
| Extend | String | 增强模式下的取证字段。 |
sec-iam-audit
统一身份认证审计日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| uid | String | 用户id。 |
| un | String | 用户名。 |
| did | String | 租户id。 |
| dn | String | 租户名。 |
| src | String | 请求域名。 |
| opl | String | 操作级别。 |
| op | String | 操作类型。 |
| res | String | IAM服务调用结果。 |
| ter | String | 源ip。 |
| dtl | String | iam认证详情。 |
| tn | Date | 发生时间。 |
| ts | Long | iam服务调用的发生时间戳。 |
| tid | String | traceid。 |
| evnt | String | 事件。 |
| tobj | String | 操作服务。 |
sec-hss-vul
主机漏洞扫描结果字段含义如下所示:
| 字段 | 类型 | 字段含义 | |
|---|---|---|---|
| agentUuid | String | agent的UUID。 | |
| alarmCsn | String | 告警UUID,master生成告警时随机生成。 | |
| alarmKey | String | 告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。 | |
| alarmVersion | String | agent版本号。 | |
| occurTime | Int64 | 漏洞检测时间(ms)。 | |
| severity | Int32 | HSS定义的漏洞等级。 | |
| hostUuid | String | 受影响主机UUID。 | |
| hostName | String | 受影响主机名。 | |
| hostIp | String | 受影响主机通信IP。 | |
| ipList | String | 受影响主机IP列表。 | |
| cloudId | String | cloudagent sn。 | |
| region | String | 受影响主机所在区域。 | |
| projectId | String | 项目ID。 | |
| enterpriseProjectId | String | 企业项目ID。 | |
| appendInfo | Object | 漏洞详情。 | |
| appendInfo | vulId | String | 漏洞官方ID。 |
| type | Int32 | 漏洞类型。
| |
| repairNecessity | Int32 | 漏洞修复必要性级别。
| |
| status | Int32 | 保留字段。 | |
| cve_ids | String | CVE ID列表,通过英文逗号连接。 | |
| url | String | 漏洞详情官网链接。 | |
| vulNameEn | String | 漏洞英文名。 | |
| vulNameCn | String | 漏洞中文名。 | |
| severityLevel | String | 漏洞危害级别,分为如下等级:
| |
| descriptionEn | String | 漏洞英文描述。 | |
| descriptionCn | String | 漏洞中文描述。 | |
| solutionEn | String | 解决方案英文描述。 | |
| solutionCn | String | 解决方案中文描述。 | |
| repairCmd | String | 修复命令。 | |
| needBoot | Int32 | 是否需要重启;当前默认1,暂时不用。 | |
| errorInfo | String | 修复失败原因。 | |
| appName | String | 存在漏洞的软件名(linux漏洞特有)。 | |
| version | String | 存在漏洞的软件版本(linux漏洞特有)。 | |
| createTime | Int64 | 首次检测时间(ms)。 | |
| updateTime | Int64 | 漏洞修复时间(ms);初始值同createTime。 | |
| agentId | String | 关联主机agent的UUID。 | |
| projectId | String | 受影响租户ID。 | |
sec-hss-alarm
主机安全告警日志字段含义如下所示:
| 字段 | 类型 | 字段含义 | ||
|---|---|---|---|---|
| agentUuid | String | agent的UUID。 | ||
| alarmCsn | String | 告警UUID。 | ||
| alarmKey | String | 告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。 | ||
| alarmVersion | String | agent版本号。 | ||
| occurTime | Long | 事件发生时间(ms)。 | ||
| severity | Long | 风险等级。 | ||
| hostUuid | String | 受影响主机UUID。 | ||
| hostName | String | 受影响主机名。 | ||
| hostIp | String | 受影响主机通信IP。 | ||
| ipList | String | 受影响主机IP列表。 | ||
| cloudId | String | cloudagent sn。 | ||
| region | String | 受影响主机所在区域。 | ||
| projectId | String | 项目ID。 | ||
| enterpriseProjectId | String | 企业项目ID。 | ||
| appendInfo | Object | 告警详情。 | ||
| appendInfo | agent_id | String | AGENT ID。 | |
| version | String | 事件版本。 | ||
| container_name | String | 容器ID(容器安全场景)。 | ||
| image_name | String | 镜像名称(容器安全场景)。 | ||
| event_id | String | 事件ID,GUID。 | ||
| event_name | String | 事件名称。 | ||
| event_classid | String | 事件唯一标识。 | ||
| occur_time | Long | 发生时间(秒)。 | ||
| recent_time | Long | 最近一次发生时间(秒)。 | ||
| event_category | Integer | 事件大类。 | ||
| event_type | Integer | 事件类型。 | ||
| event_count | Integer | 事件次数。 | ||
| severity | Integer | 严重级别。 | ||
| attack_phase | Integer | 攻击阶段。 | ||
| attack_tag | Integer | 攻击标识。 | ||
| confidence | Integer | 置信度。 | ||
| action | Integer | 动作类型。 | ||
| detect_module | String | 检测模块。 | ||
| report_source | String | 上报源。 | ||
| related_events | String | 相关事件ID。 | ||
| resource_info | Object | 资源信息。 | ||
| network_info | Object | 网络信息。 | ||
| app_info | Object | 应用信息。 | ||
| system_info | Object | 系统信息。 | ||
| process_info | list | 进程信息。 | ||
| user_info | list | 用户信息。 | ||
| file_info | list | 文件信息。 | ||
| geo_info | Object | 地理信息。 | ||
| malware_info | Object | 恶意软件信息。 | ||
| forensic_info | String | 取证字段。 | ||
| recommendation | String | 处置建议。 | ||
| extend_info | String | 事件扩展信息。 | ||
| resource_info | project_id | String | 项目ID。 | |
| region_name | String | Region名称。 | ||
| vpc_id | String | VPC ID。 | ||
| host_name | String | 主机名称。 | ||
| host_ip | String | 主机IP。 | ||
| host_id | String | 主机ID(ECS对应ID)。 | ||
| cloud_id | String | CloudAgent SN。 | ||
| vm_name | String | 虚拟机名称。 | ||
| vm_uuid | String | 虚拟机UUID。 | ||
| container_id | String | 容器id。 | ||
| image_id | String | 镜像id。 | ||
| sys_arch | String | 系统CPU架构。 | ||
| os_bit | String | 操作系统位数。 | ||
| os_type | String | 操作系统类型。 | ||
| os_name | String | 操作系统名称。 | ||
| os_version | String | 操作系统版本。 | ||
| network_info | local_address | String | 本地地址。 | |
| local_port | Integer | 本地端口。 | ||
| remote_address | String | 远程地址。 | ||
| remote_port | Integer | 远程端口。 | ||
| src_ip | String | 源IP。 | ||
| src_port | Integer | 源端口。 | ||
| src_domain | String | 源域。 | ||
| dest_ip | String | 目的IP。 | ||
| dest_port | Integer | 目的端口。 | ||
| dest_domain | String | 目的域。 | ||
| protocol | String | 协议。 | ||
| app_protocol | String | 应用层协议。 | ||
| flow_direction | String | 流量方向。 | ||
| app_info | sql | String | 执行的sql语句。 | |
| domain_name | String | DNS域名。 | ||
| url_path | String | URL路径。 | ||
| url_method | String | URL方法。 | ||
| req_refer | String | URL请求refer信息。 | ||
| email_subject | String | 邮件主题。 | ||
| email_sender | String | 邮件发送者。 | ||
| email_receiver | String | 邮件接收者。 | ||
| email_keyword | String | 邮件关键字。 | ||
| process_info | process_name | String | 进程名称。 | |
| process_path | String | 进程文件路径。 | ||
| process_pid | Integer | 进程id。 | ||
| process_uid | Integer | 进程用户id。 | ||
| process_username | String | 运行进程的用户名。 | ||
| process_cmdline | String | 进程文件命令行。 | ||
| process_filename | String | 进程文件名。 | ||
| process_start_time | Long | 进程启动时间。 | ||
| process_gid | Integer | 进程组ID。 | ||
| process_egid | Integer | 进程有效组ID。 | ||
| process_euid | Integer | 进程有效用户ID。 | ||
| parent_process_name | String | 父进程名称。 | ||
| parent_process_path | String | 父进程文件路径。 | ||
| parent_process_pid | Integer | 父进程id。 | ||
| parent_process_uid | Integer | 父进程用户id。 | ||
| parent_process_cmdline | String | 父进程文件命令行。 | ||
| parent_process_filename | String | 父进程文件名。 | ||
| parent_process_start_time | Long | 父进程启动时间。 | ||
| parent_process_gid | Integer | 父进程组ID。 | ||
| parent_process_egid | Integer | 父进程有效组ID。 | ||
| parent_process_euid | Integer | 父进程有效用户ID。 | ||
| child_process_name | String | 子进程名称。 | ||
| child_process_path | String | 子进程文件路径。 | ||
| child_process_pid | Integer | 子进程id。 | ||
| child_process_uid | Integer | 子进程用户id。 | ||
| child_process_cmdline | String | 子进程文件命令行。 | ||
| child_process_filename | String | 子进程文件名。 | ||
| child_process_start_time | Long | 子进程启动时间。 | ||
| child_process_gid | Integer | 子进程组ID。 | ||
| child_process_egid | Integer | 子进程有效组ID。 | ||
| child_process_euid | Integer | 子进程有效用户ID。 | ||
| virt_cmd | String | 虚拟化命令。 | ||
| virt_process_name | String | 虚拟化进程名称。 | ||
| escape mode | String | 逃逸方式。 | ||
| escape cmd | String | 逃逸后执行的命令。 | ||
| user_info | user_id | Integer | 用户uid。 | |
| user_gid | Integer | 用户gid。 | ||
| user_name | String | 用户名称。 | ||
| user_group_name | String | 用户组名称。 | ||
| user_home_dir | String | 用户home目录。 | ||
| login_ip | String | 用户登录ip。 | ||
| service_type | String | 登录的服务类型。 | ||
| service_port | Integer | 登录服务端口。 | ||
| login_mode | String | 登录方式。 | ||
| login_lasttime | Long | 用户最后一次登录时间。 | ||
| login_fail_count | Integer | 用户登录失败次数。 | ||
| pwd_hash | String | 口令hash。 | ||
| pwd_with_fuzzing | String | 匿名化处理后的口令。 | ||
| pwd_used_days | Integer | 密码使用的天数。 | ||
| pwd_min_days | Integer | 口令的最短有效期限。 | ||
| pwd_max_days | Integer | 口令的最长有效期限。 | ||
| pwd_warn_left_days | Integer | 口令无效时提前告警天数。 | ||
| file_info | file_path | String | 文件路径/名称。 | |
| file_alias | String | 文件别名。 | ||
| file_size | Integer | 文件大小。 | ||
| file_mtime | Long | 文件最后一次修改时间。 | ||
| file_atime | Long | 文件最后一次访问时间。 | ||
| file_ctime | Long | 文件最后一次状态改变时间。 | ||
| file_hash | String | 文件hash。 | ||
| file_md5 | String | 文件md5。 | ||
| file_sha256 | String | 文件sha256。 | ||
| file_type | String | 文件类型。 | ||
| file_content | String | 文件内容。 | ||
| file_attr | String | 文件属性。 | ||
| file_operation | String | 文件操作类型。 | ||
| file_change_attr | String | 变更前后的属性。 | ||
| file_new_path | String | 新文件路径。 | ||
| file_desc | String | 文件描述。 | ||
| file_key_word | String | 文件关键字。 | ||
| is_dir | Boolean | 是否目录。 | ||
| fd_info | String | 文件句柄信息。 | ||
| fd_count | Integer | 文件句柄数量。 | ||
| forensic_info | monitor_process | String | 监控进程。 | |
| escape_mode | String | 逃逸方式。 | ||
| abnormal_port | String | 异常端口。 | ||
| geo_info | src_country | String | 源国家。 | |
| src_city | String | 源城市。 | ||
| src_latitude | Long | 源纬度。 | ||
| src_longitude | Long | 源经度。 | ||
| dest_country | String | 目的国家。 | ||
| dest_city | String | 目的城市。 | ||
| dest_latitude | Long | 目的纬度。 | ||
| dest_longitude | Long | 目的经度。 | ||
| malware_info | malware_family | String | 恶意家族。 | |
| malware_class | String | 恶意软件分类。 | ||
| system_info | pwd_valid | Boolean | 口令结果是否有效。 | |
| pwd_min_len | Integer | 口令长度。 | ||
| pwd_digit_credit | Integer | 口令中数字要求。 | ||
| pwd_uppercase_letter | Integer | 口令中大写字母。 | ||
| pwd_lowercase_letter | Integer | 口令中小写字母。 | ||
| pwd_special_characters | Integer | 口令中特殊字符。 | ||
| extend_info | hit_rule | String | 特征规则。 | |
| rule_name | String | 规则名称。 | ||
| rulesetname | String | 规则集名称。 | ||
| report_type | String | 上报数据类型。 | ||
| ti_info | ti_source | String | 情报来源。 | |
| ti_class | String | 情报分类。 | ||
| ti_threat_type | String | 情报威胁类型。 | ||
| ti_first_time | Long | 第一次发现时间。 | ||
| ti_last_time | Long | 最近一次发现时间。 | ||
sec-hss-log
主机安全日志字段含义如下所示:
| 字段 | 类型 | 字段含义 | ||
|---|---|---|---|---|
| agentUuid | String | agent的UUID。 | ||
| alarmCsn | String | 告警UUID。 | ||
| alarmKey | String | 告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。 | ||
| alarmVersion | String | agent版本号。 | ||
| occurTime | Long | 事件发生时间(ms)。 | ||
| severity | Long | 风险等级。 | ||
| hostUuid | String | 受影响主机UUID。 | ||
| hostName | String | 受影响主机名。 | ||
| hostIp | String | 受影响主机通信IP。 | ||
| ipList | String | 受影响主机IP列表。 | ||
| cloudId | String | cloudagent sn。 | ||
| region | String | 受影响主机所在区域。 | ||
| projectId | String | 项目ID。 | ||
| enterpriseProjectId | String | 企业项目ID。 | ||
| appendInfo | Object | 告警详情。 | ||
| appendInfo | agent_id | String | AGENT ID。 | |
| version | String | 事件版本。 | ||
| container_name | String | 容器ID(容器安全场景)。 | ||
| image_name | String | 镜像名称(容器安全场景)。 | ||
| event_id | String | 事件ID,GUID。 | ||
| event_name | String | 事件名称。 | ||
| event_classid | String | 事件唯一标识。 | ||
| occur_time | Long | 发生时间(秒)。 | ||
| recent_time | Long | 最近一次发生时间(秒)。 | ||
| event_category | Integer | 事件大类。 | ||
| event_type | Integer | 事件类型。 | ||
| event_count | Integer | 事件次数。 | ||
| severity | Integer | 严重级别。 | ||
| attack_phase | Integer | 攻击阶段。 | ||
| attack_tag | Integer | 攻击标识。 | ||
| confidence | Integer | 置信度。 | ||
| action | Integer | 动作类型。 | ||
| detect_module | String | 检测模块。 | ||
| report_source | String | 上报源。 | ||
| related_events | String | 相关事件ID。 | ||
| resource_info | Object | 资源信息。 | ||
| network_info | Object | 网络信息。 | ||
| app_info | Object | 应用信息。 | ||
| system_info | Object | 系统信息。 | ||
| process_info | list | 进程信息。 | ||
| user_info | list | 用户信息。 | ||
| file_info | list | 文件信息。 | ||
| geo_info | Object | 地理信息。 | ||
| malware_info | Object | 恶意软件信息。 | ||
| forensic_info | String | 取证字段。 | ||
| recommendation | String | 处置建议。 | ||
| extend_info | String | 事件扩展信息。 | ||
| resource_info | project_id | String | 项目ID。 | |
| region_name | String | Region名称。 | ||
| vpc_id | String | VPC ID。 | ||
| host_name | String | 主机名称。 | ||
| host_ip | String | 主机IP。 | ||
| host_id | String | 主机ID(ECS对应ID)。 | ||
| cloud_id | String | CloudAgent SN。 | ||
| vm_name | String | 虚拟机名称。 | ||
| vm_uuid | String | 虚拟机UUID。 | ||
| container_id | String | 容器id。 | ||
| image_id | String | 镜像id。 | ||
| sys_arch | String | 系统CPU架构。 | ||
| os_bit | String | 操作系统位数。 | ||
| os_type | String | 操作系统类型。 | ||
| os_name | String | 操作系统名称。 | ||
| os_version | String | 操作系统版本。 | ||
| network_info | local_address | String | 本地地址。 | |
| local_port | Integer | 本地端口。 | ||
| remote_address | String | 远程地址。 | ||
| remote_port | Integer | 远程端口。 | ||
| src_ip | String | 源IP。 | ||
| src_port | Integer | 源端口。 | ||
| src_domain | String | 源域。 | ||
| dest_ip | String | 目的IP。 | ||
| dest_port | Integer | 目的端口。 | ||
| dest_domain | String | 目的域。 | ||
| protocol | String | 协议。 | ||
| app_protocol | String | 应用层协议。 | ||
| flow_direction | String | 流量方向。 | ||
| app_info | sql | String | 执行的sql语句。 | |
| domain_name | String | DNS域名。 | ||
| url_path | String | URL路径。 | ||
| url_method | String | URL方法。 | ||
| req_refer | String | URL请求refer信息。 | ||
| email_subject | String | 邮件主题。 | ||
| email_sender | String | 邮件发送者。 | ||
| email_receiver | String | 邮件接收者。 | ||
| email_keyword | String | 邮件关键字。 | ||
| process_info | process_name | String | 进程名称。 | |
| process_path | String | 进程文件路径。 | ||
| process_pid | Integer | 进程id。 | ||
| process_uid | Integer | 进程用户id。 | ||
| process_username | String | 运行进程的用户名。 | ||
| process_cmdline | String | 进程文件命令行。 | ||
| process_filename | String | 进程文件名。 | ||
| process_start_time | Long | 进程启动时间。 | ||
| process_gid | Integer | 进程组ID。 | ||
| process_egid | Integer | 进程有效组ID。 | ||
| process_euid | Integer | 进程有效用户ID。 | ||
| parent_process_name | String | 父进程名称。 | ||
| parent_process_path | String | 父进程文件路径。 | ||
| parent_process_pid | Integer | 父进程id。 | ||
| parent_process_uid | Integer | 父进程用户id。 | ||
| parent_process_cmdline | String | 父进程文件命令行。 | ||
| parent_process_filename | String | 父进程文件名。 | ||
| parent_process_start_time | Long | 父进程启动时间。 | ||
| parent_process_gid | Integer | 父进程组ID。 | ||
| parent_process_egid | Integer | 父进程有效组ID。 | ||
| parent_process_euid | Integer | 父进程有效用户ID。 | ||
| child_process_name | String | 子进程名称。 | ||
| child_process_path | String | 子进程文件路径。 | ||
| child_process_pid | Integer | 子进程id。 | ||
| child_process_uid | Integer | 子进程用户id。 | ||
| child_process_cmdline | String | 子进程文件命令行。 | ||
| child_process_filename | String | 子进程文件名。 | ||
| child_process_start_time | Long | 子进程启动时间。 | ||
| child_process_gid | Integer | 子进程组ID。 | ||
| child_process_egid | Integer | 子进程有效组ID。 | ||
| child_process_euid | Integer | 子进程有效用户ID。 | ||
| virt_cmd | String | 虚拟化命令。 | ||
| virt_process_name | String | 虚拟化进程名称。 | ||
| escape mode | String | 逃逸方式。 | ||
| escape cmd | String | 逃逸后执行的命令。 | ||
| user_info | user_id | Integer | 用户uid。 | |
| user_gid | Integer | 用户gid。 | ||
| user_name | String | 用户名称。 | ||
| user_group_name | String | 用户组名称。 | ||
| user_home_dir | String | 用户home目录。 | ||
| login_ip | String | 用户登录ip。 | ||
| service_type | String | 登录的服务类型。 | ||
| service_port | Integer | 登录服务端口。 | ||
| login_mode | String | 登录方式。 | ||
| login_lasttime | Long | 用户最后一次登录时间。 | ||
| login_fail_count | Integer | 用户登录失败次数。 | ||
| pwd_hash | String | 口令hash。 | ||
| pwd_with_fuzzing | String | 匿名化处理后的口令。 | ||
| pwd_used_days | Integer | 密码使用的天数。 | ||
| pwd_min_days | Integer | 口令的最短有效期限。 | ||
| pwd_max_days | Integer | 口令的最长有效期限。 | ||
| pwd_warn_left_days | Integer | 口令无效时提前告警天数。 | ||
| file_info | file_path | String | 文件路径/名称。 | |
| file_alias | String | 文件别名。 | ||
| file_size | Integer | 文件大小。 | ||
| file_mtime | Long | 文件最后一次修改时间。 | ||
| file_atime | Long | 文件最后一次访问时间。 | ||
| file_ctime | Long | 文件最后一次状态改变时间。 | ||
| file_hash | String | 文件hash。 | ||
| file_md5 | String | 文件md5。 | ||
| file_sha256 | String | 文件sha256。 | ||
| file_type | String | 文件类型。 | ||
| file_content | String | 文件内容。 | ||
| file_attr | String | 文件属性。 | ||
| file_operation | String | 文件操作类型。 | ||
| file_change_attr | String | 变更前后的属性。 | ||
| file_new_path | String | 新文件路径。 | ||
| file_desc | String | 文件描述。 | ||
| file_key_word | String | 文件关键字。 | ||
| is_dir | Boolean | 是否目录。 | ||
| fd_info | String | 文件句柄信息。 | ||
| fd_count | Integer | 文件句柄数量。 | ||
| forensic_info | monitor_process | String | 监控进程。 | |
| escape_mode | String | 逃逸方式。 | ||
| abnormal_port | String | 异常端口。 | ||
| geo_info | src_country | String | 源国家。 | |
| src_city | String | 源城市。 | ||
| src_latitude | Long | 源纬度。 | ||
| src_longitude | Long | 源经度。 | ||
| dest_country | String | 目的国家。 | ||
| dest_city | String | 目的城市。 | ||
| dest_latitude | Long | 目的纬度。 | ||
| dest_longitude | Long | 目的经度。 | ||
| malware_info | malware_family | String | 恶意家族。 | |
| malware_class | String | 恶意软件分类。 | ||
| system_info | pwd_valid | Boolean | 口令结果是否有效。 | |
| pwd_min_len | Integer | 口令长度。 | ||
| pwd_digit_credit | Integer | 口令中数字要求。 | ||
| pwd_uppercase_letter | Integer | 口令中大写字母。 | ||
| pwd_lowercase_letter | Integer | 口令中小写字母。 | ||
| pwd_special_characters | Integer | 口令中特殊字符。 | ||
| extend_info | hit_rule | String | 特征规则。 | |
| rule_name | String | 规则名称。 | ||
| rulesetname | String | 规则集名称。 | ||
| report_type | String | 上报数据类型。 | ||
| ti_info | ti_source | String | 情报来源。 | |
| ti_class | String | 情报分类。 | ||
| ti_threat_type | String | 情报威胁类型。 | ||
| ti_first_time | Long | 第一次发现时间。 | ||
| ti_last_time | Long | 最近一次发现时间。 | ||
sec-ddos-attack
DDoS攻击日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| log_type | String | 日志类型。 |
| time | Date | 本地时间。 |
| device_ip | String | 设备IP。 |
| device_type | String | 设备类型(清洗:CLEAN;检测:DETECT)。 |
| direction | String | 日志方向(inbound,outbound)。 |
| zone_id | String | 防护对象ID。 |
| zone_name | String | 防护对象名称。 |
| zone_ip | String | IP。 |
| biz_id | String | 业务ID。 |
| is_deszone | String | 是否网段流量(是:true;否:false)。 |
| is_ipLocation | String | 是否地址位置流量(是:true,否:false)。 |
| ipLocation_id | String | 地理位置ID。 |
| total_pps | String | 总pps。 |
| total_kbps | String | 总Kbps。 |
| tcp_pps | String | 到目标的TCP总包速率pps。 |
| tcp_kbps | String | 到目标的TCP总流量Kbps。 |
| tcpfrag_pps | String | 到目标的TCP碎片包速率pps。 |
| tcpfrag_kbps | String | 到目标的TCP碎片流量Kbps。 |
| udp_pps | String | 到目标的UDP总包速率pps。 |
| udp_kbps | String | 到目标的UDP总流量Kbps。 |
| udpfrag_pps | String | 到目标的UDP碎片包速率pps。 |
| udpfrag_kbps | String | 到目标的UDP碎片流量Kbps。 |
| icmp_pps | String | 到目标的ICMP总包速率pps。 |
| icmp_kbps | String | 到目标的ICMP总流量Kbps。 |
| other_pps | String | 到目标的Other总包速率pps。 |
| other_kbps | String | 到目标的Other总流量Kbps。 |
| syn_pps | String | 到目标的SYN报文数。 |
| synack_pps | String | 到目标的SYN/ACK报文数pps。 |
| ack_pps | String | 到目标的ACK报文数pps。 |
| finrst_pps | String | 到目标的FIN/Rst报文数pps。 |
| http_pps | String | 到目标的HTTP总包速率pps。 |
| http_kbps | String | 到目标的HTTP总流量Kbps。 |
| http_get_pps | String | 到目标的HTTP请求总包速率pps。 |
| https_pps | String | 到目标的HTTPS总包速率pps。 |
| https_kbps | String | 到目标的HTTPS总流量Kbps。 |
| dns_request_pps | String | 到目标业务DNS Query包速率pps。 |
| dns_request_kbps | String | 到目标业务DNS Query总流量Kbps。 |
| dns_reply_pps | String | 到目标业务DNS Reply包速率pps。 |
| dns_reply_kbps | String | 到目标业务DNS Reply总流量Kbps。 |
| sip_invite_pps | String | 到目标业务SIP包速率pps。 |
| sip_invite_kbps | String | 到目标业务SIP总流量Kbps。 |
| tcp_increase_con | String | 到目标的tcp每秒新建连接数统计。 |
| udp_increase_con | String | 到目标的udp每秒新建连接数统计。 |
| icmp_increase_con | String | 到目标的icmp每秒新建连接数统计。 |
| other_increase_con | String | 到目标的other协议每秒新建连接数统计。 |
| tcp_concur_con | String | 到目标的tcp并发连接数统计。 |
| udp_concur_con | String | 到目标的udp并发连接数统计。 |
| icmp_concur_con | String | 到目标的icmp并发连接数统计。 |
| other_concur_con | String | 到目标的other协议并发连接数统计。 |
| total_average_pps | String | 到目标的所有流量的平均pps。 |
| total_average_kbps | String | 到目标的所有流量的平均Kbps。 |
sec-cts-audit
云审计服务日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| time | Date | 事件发生时间。以当地标准时间(采用格林威治时间加当地时区形式)进行展示,例如:2022/11/08 11:24:04 GMT+08:00。 |
| user | Object | 发起操作的云账户信息。 |
| request | Object | 操作的请求内容。 |
| response | Object | 操作的响应内容。 |
| service_type | String | 操作来源。 |
| resource_type | String | 资源类型。 |
| resource_name | String | 资源名称。 |
| resource_id | String | 资源的唯一标识。 |
| source_ip | String | 发起本次操作的用户的IP,如果为系统内调用,则为空。 |
| trace_name | String | 操作名称。 |
| trace_rating | String | 操作事件等级,分为以下等级:
|
| trace_type | String | 操作类型,分为以下几种:
|
| api_version | String | 作为操作来源的云服务的API版本号。 |
| message | Object | 备注信息。 |
| record_time | Long | 记录操作的时间,表示方式为时间戳。 |
| trace_id | String | 操作的唯一标识。 |
| code | Integer | 事件http返回码,例如200,400。 |
| request_id | String | 记录本次请求的request id。 |
| location_info | String | 记录本次请求出错后,问题定位所需要的辅助信息。 |
| endpoint | String | 该操作涉及云资源的详情页面的endpoint。 |
| resource_url | String | 该操作涉及云资源的详情页面的访问链接(不含endpoint)。 |
| user_agent | String | OBS桶相关操作中非ObsSDK方式调用时的操作类型。 |
| content_length | Long | OBS桶相关操作中请求消息体的长度。 |
| total_time | Long | OBS桶相关操作中请求的响应时间。 |
sec-cfw-risk
云防火墙攻击事件日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| event_time | Date | 检测到的攻击时间。 |
| action | String | 云防火墙当前的响应动作。
|
| app | String | 应用类型。 |
| attack_rule | String | 检测到攻击的防御规则。 |
| attack_rule_id | String | 检测到攻击的防御规则ID号。 |
| attack_type | String | 发生攻击的类型:
|
| dst_ip | String | 目的IP地址。 |
| dst_port | String | 目的端口号。 |
| packet | String | 攻击日志的原始数据包。 |
| protocol | String | 协议类型。 |
| level | String | 表示检测到威胁的等级:
|
| source | String | 检测到攻击的防御模式:
|
| src_ip | String | 源IP地址。 |
| src_port | String | 源端口号。 |
| direction | String | 流量方向:
|
sec-cfw-flow
云防火墙流量日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| app | String | 应用类型。 |
| dst_ip | String | 目的IP地址。 |
| dst_port | String | 目的端口号。 |
| end_time | Date | 流结束时间。 |
| protocol | String | 协议类型。 |
| to_c_bytes | String | 服务端向客户端发送的字节数。 |
| to_c_pkts | String | 服务端向客户端发送的报文数。 |
| to_s_bytes | String | 客户端向服务端发送的字节数。 |
| to_s_pkts | String | 服务端向客户端发送的报文数。 |
| src_ip | String | 源IP地址。 |
| src_port | String | 源端口号。 |
| start_time | Date | 流开始时间。 |
sec-cfw-block
云防火墙访问控制日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| hit_time | Date | 访问发生的时间。 |
| action | String | 云防火墙当前的响应动作:
|
| app | String | 应用类型。 |
| dst_ip | String | 目的IP地址。 |
| dst_port | String | 目的端口号。 |
| protocol | String | 协议类型。 |
| rule_id | String | 触发规则的ID。 |
| src_ip | String | 源IP地址。 |
| src_port | String | 源端口号。 |
sec-apig-access
API网关访问日志字段含义如下所示:
| 字段 | 类型 | 字段含义 |
|---|---|---|
| region_id | String | 局点。 |
| api_id | String | API ID。 |
| body_bytes_sent | String | 返回Body大小。 |
| bytes_sent | String | 整个返回大小。 |
| domain | String | 公网域名。 |
| errorType | String | 是否被流控(1:被流控)。 |
| http_user_agent | String | 用户代理标识。 |
| http_x_forwarded_for | String | X-Forwarded-For头。 |
| opsuba_api_url | String | 请求的URI。 |
| out_times | String | 网关内部与周边组件交互耗时。 |
| remote_addr | String | 远端ip。 |
| request_id | String | 请求id。 |
| request_length | String | 整个请求大小。 |
| request_method | String | HTTP请求方法。 |
| request_time | String | 访问耗时。 |
| scheme | String | 协议。 |
| server_protocol | String | 请求协议。 |
| status | String | 状态。 |
| time_local | Date | 时间。 |
| upstream_addr | String | 远端ip。 |
| upstream_connect_time | String | 远端连接耗时。 |
| upstream_header_time | String | 远端头耗时。 |
| upstream_response_time | String | 远端返回耗时。 |
| upstream_status | String | 远端状态。 |
| upstream_uri | String | 请求后端的URI。 |
| user_name | String | 用户projectid或appid。 |
sec-dbss-alarm
DBSS告警日志字段含义如下所示:
| 字段 | 类型 | 字段含义 | |
|---|---|---|---|
| domain_id | String | 账号ID。 | |
| project_id | String | 项目ID。 | |
| region | String | region | |
| tenant_vpc_id | String | 租户的VPC ID。 | |
| tenant_subnet_id | String | 租户的子网ID。 | |
| instance_id | String | 实例ID。 | |
| instance_name | String | 实例名。 | |
| alarm | Object | 告警对象。 | |
| source_type | String | dbss。 | |
| alarm | alarm_risk | String | 告警等级。 |
| client_ip | String | 连接IP。 | |
| database_ip | String | 数据库访问IP。 | |
| count | Long | 告警次数。 | |
| user_name | String | 数据库用户名。 | |
| schema | String | oracle schema。 | |
| rule_name | String | 规则名称。 | |
| rule_id | String | 规则ID。 | |
| sql_type | String | SQL执行类型。 | |
| sql_result | String | SQL执行结果。 | |
| db_type | String | 数据库类型。 | |
sec-dsc-alarm
DSC告警日志的保留字段根据日志类型有所不同,具体如下:
AK SK泄露(aksk_leakage):
| 字段 | 类型 | 字段含义 |
|---|---|---|
| log_type | String | 告警类型。 |
| region_id | String | region。 |
| domain_id | String | 账号ID。 |
| project_id | String | 项目id。 |
| leakage_ak | String | AK。 |
| source | String | 泄漏源。 |
| find_time | String | 发现时间。 |
| account | String | 账号名。 |
| file_name | String | 文件名。 |
| file_suffix | String | 文件后缀。 |
| leakage_user_id | String | 泄露子用户ID。 |
| leakage_user_name | String | 泄露子用户名。 |
| leakage_domain_id | String | 泄露主账号ID。 |
| leakage_domain_name | String | 泄露主账号名。 |
| url | String | 泄露网址。 |
风险OBS桶文件(obs_risk):
| 字段 | 类型 | 字段含义 |
|---|---|---|
| log_type | String | 告警类型。 |
| region_id | String | region。 |
| domain_id | String | 账号ID。 |
| project_id | String | 项目id。 |
| bucket_policy | String | 公开桶/私有桶。 |
| bucket_domain_id | String | 桶所属账号ID。 |
| bucket_project_id | String | 桶所属项目ID。 |
| bucket_name | String | 桶名称。 |
| file_name | String | 文件名称。 |
| file_path | String | 文件路径。 |
| risk_level | Integer | 敏感风险等级。 |
| sensitive_data_type | String[] | 敏感数据类型。 |
| privacy_detail | String | 个人隐私数据明细。 |
| file_type | String | 文件类型。 |
| mimetypes | String | 文件类型。 |
| rule_list | List<Map<String,String>> | 匹配规则列表。 |
| keyword | String | 匹配敏感数据规则关键字。 |
| available_zone | String | 可用区。 |
| encrypted | String | 是否加密。 |
数据敏感字段信息(db_risk):
| 字段 | 类型 | 字段含义 |
|---|---|---|
| log_type | String | 告警类型。 |
| region_id | String | region。 |
| domain_id | String | 账号ID。 |
| project_id | String | 项目id。 |
| vpc_id | String | VPC ID。 |
| db_instance_type | String | RDS PUB。 |
| db_instance_id | String | 数据库实例ID。 |
| db_instance_type | String | 数据库实例类型。 |
| db_instance_ip | String | 数据库实例IP。 |
| db_instance_domain_id | String | 数据库实例所属账号ID。 |
| db_instance_project_id | String | 数据库实例所属项目ID。 |
| db_instance_name | String | 数据库实例名称。 |
| db_name | String | 数据库名称。 |
| table_name | String | 表名称。 |
| field_name | String | 字段名称。 |
| data_type | String | 字段数据类型。 |
| risk_level | Integer | 敏感风险等级。 |
| sensitive_data_type | String[] | 敏感数据类型。 |
| privacy_detail | String | 个人隐私数据明细。 |
| rule_list | List<Map<String,String>> | 匹配规则列表。 |
| keyword | String | 匹配敏感数据规则关键字。 |
