云防火墙流量日志

字段标识
字段类型
字段名称
字段描述
参考值
细分类型
备注
appid
string
appid
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
instance_id
string
资产实例 ID
-
-
CFWOnline、CFWNetflowNat
-
src_ip
string
源 IP
-
192.168.0.1
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
dst_ip
string
目的 IP
-
192.168.0.1
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
src_port
uint16
源端口
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
dst_port
uint16
目的端口
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
protocol
string
协议
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
direction
int8
方向
流量方向
出站
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
sd-wan
dst_domain
string
访问目的域名
-
-
CFWOnline、CFWNetflowNat
-
in_pkt_count
uint64
入向包个数
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
in_pkt_len
uint64
入向包大小
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
out_pkt_count
uint64
出向包个数
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
out_pkt_len
uint64
出向包大小
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
total_pkt_count
uint64
总包个数
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
total_pkt_len
uint64
总包大小
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
ti_tag
string
关联情报标签（告警中自带）
-
-
CFWOnline、CFWNetflowNat
-
start_time
int64
会话的开始时间
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
end_time
int64
会话的结束时间
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
-
supplier
string
运营商
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
supplier_en
string
运营商-英文
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_country
string
源国家
源 IP 的所处国家
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_country_en
string
源国家-英文
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_country
string
目的国家
目的 IP 的所处国家
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_country_en
string
目的国家-英文
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_province
string
源省份
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_province_en
string
源省份-英文
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_province
string
目的省份
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_province_en
string
目的省份-英文
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_city
string
源城市
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_city
string
目的城市
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
district
string
地区
-
-
CFWOnline、CFWNetflowNat
-
address
string
详细地址
入站为源详细地址
出站为目的详细地址
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
address_en
string
详细地址-英文
入站为源详细地址-英文
出站为目的详细地址-英文
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_lat
float32
源纬度
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_lat
float32
目的纬度
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
src_lon
float32
源经度
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
dst_lon
float32
目的经度
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat
sd-wan
insert_time
int64
日志入库时间
-
-
CFWOnline、CFWNetflowNat
-
count
uint64
告警数量
-
-
CFWOnline
-
url
string
七层 URL
-
-
CFWOnline
-
domain_flag
uint8
是否存在域名
1：存在
0：不存在
-
CFWOnline
-
port_status
uint8
端口状态
1：打开
0：关闭
-
CFWOnline
-
bot_flag
uint8
保留字段
-
-
CFWOnline
-
mode
uint8
防火墙属性
1：串行
0：旁路
-
CFWOnline
-
argus_ip
uint32
保留字段
-
-
CFWOnline
-
tcp_flag
uint8
TCP 标记
1：OUTSyn
2：OUTRst
3：OutSynAck
4：OUTFin
5：INSyn
6：INRst
7：INSynAck
8：InFin
-
CFWOnline
-
timestamp
string
统一时间戳
-
-
CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl
sd-wan
cvm_id
string
保留字段
-
-
CFWNetflowVpc
-
ew_ins_id
string
VPC 防火墙实例 ID
-
-
CFWNetflowVpc
-
fws_id
string
VPC 防火墙 ID
-
-
CFWNetflowVpc、CFWNetflowNat
-
fws_name
string
VPC 防火墙名称
-
-
CFWNetflowVpc
-
log_type
uint8
日志类型（内部使用）
当前日志类型固定值：2
-
CFWNetflowVpc
-
if_pair_key
string
保留字段
-
-
CFWNetflowVpc
-
uuid
int64
原始告警日志唯一 ID
-
-
CFWNetflowVpc
-
flow_id
int64
内部字段
-
-
CFWNetflowVpc
-
src_vpc
string
攻击者资产 VPCID
-
-
CFWNetflowVpc
-
dst_vpc
string
受害者资产 VPCID
-
-
CFWNetflowVpc
-
dst_vpc_name
string
目的 VPC 名称
-
-
CFWNetflowVpc
-
src_vpc_name
string
源 VPC 名称
-
-
CFWNetflowVpc
-
retans
int8
是否有重传
1：重传
0：未重传
-
CFWNetflowVpc、CFWNetflowNat
-
timeout
int64
会话持续时间
-
-
CFWNetflowVpc、CFWNetflowNat
-
src_ins_id
string
攻击者相关资产 ID
-
-
CFWNetflowVpc、CFWNetflowFl
-
dst_ins_id
string
受害者相关资产 ID
-
-
CFWNetflowVpc、CFWNetflowFl
-
src_ins_name
string
源资产名称
-
-
CFWNetflowVpc
-
dst_ins_name
string
目的资产名称
-
-
CFWNetflowVpc
-
is_out
int8
SDWAN 防火墙访问公网标记
1：访问公网
0：正常访问
-
CFWNetflowVpc
sd-wan
ti_tag_en
string
攻击者 IP 情报标签-英文
-
-
CFWNetflowNat
-
fw_type
string
告警子类型
-
-
CFWNetflowNat
-
fw_region
string
防火墙所在地域
-
-
CFWNetflowNat
-
nat_ip
string
NAT 的 IP
NAT 的 IP 地址
-
CFWNetflowNat
-
nat_port
uint16
NAT 的端口
-
-
CFWNetflowNat
-
if_id
string
网卡 ID
-
-
CFWNetflowFl
-
action
string
告警动作
告警处置动作
拦截，放行
CFWNetflowFl
-
risk_id
uint64
风险事件 ID
风险中心-风险事件唯一 ID
3898710204921198600
CFWNdrSubjectRisk
-
risk_type
string
风险类型
风险类型
dataleak：数据泄露
weakpwd：弱口令
CFWNdrSubjectRisk
-
risk_info
array
风险识别信息
风险识别信息（内部使用）
-
CFWNdrSubjectRisk
-
vpc_id
string
VPC ID
VPC ID
vpc-f8hih961
CFWNdrSubjectRisk
-
app_protocol
string
应用层协议
应用层协议
http
CFWNdrSubjectRisk
-
src_ins_id
string
源资产实例 ID
源资产实例 ID
ins-0rp6e3vm
CFWNdrSubjectRisk
-
dst_ins_id
string
目的资产实例 ID
目的资产实例 ID
ins-0rp6e3vm
CFWNdrSubjectRisk
-
src_ins_name
string
源资产实例名称
源资产实例名称
测试-server
CFWNdrSubjectRisk
-
dst_ins_name
string
目的资产实例名称
目的资产实例名称
测试-server
CFWNdrSubjectRisk
-
src_ins_type
string
源资产实例类型
源资产实例类型
CVM
CFWNdrSubjectRisk
-
dst_ins_type
string
目的资产实例类型
目的资产实例类型
CVM
CFWNdrSubjectRisk
-
src_region
string
源资产实例所在地域
源资产实例所在地域
广州
CFWNdrSubjectRisk
-
dst_region
string
目的资产实例所在地域
目的资产实例所在地域
广州
CFWNdrSubjectRisk
-
highest_level
string
最高敏感等级（数据泄露风险专属）
本次泄露的敏感数据条目中的最高敏感等级
S3
CFWNdrSubjectRisk
-
http_host
string
Hostname
Hostname
test.abc.com
CFWNdrSubjectRisk
-
http_request_header
string
HTTP 请求头
HTTP 请求头（Base64 编码）
-
CFWNdrSubjectRisk
-
http_request_body
string
HTTP 请求体
HTTP 请求体（Base64 编码）
-
CFWNdrSubjectRisk
-
http_response_header
string
HTTP 响应头
HTTP 响应头（Base64 编码）
-
CFWNdrSubjectRisk
-
http_response_body
string
HTTP 响应体
HTTP 响应体（Base64 编码）
-
CFWNdrSubjectRisk
-
http_url
string
HTTP 请求 URL
HTTP 请求 URL
/api/v1/pods
CFWNdrSubjectRisk
-
protocol
string
协议
传输层协议
TCP
CFWNdrSubjectRisk
-
quic_version
string
QUIC 版本
QUIC 协议的版本
51303038
CFWNetflowNta
-
quic_sni
string
SNI
QUIC 握手过程中客户端指示的服务器名称
example.com
CFWNetflowNta
-
rdp_event_type
string
RDP 事件类型
RDP 连接事件类型
initial_request
CFWNetflowNta
-
rdp_initial_response_protocol
string
RDP 初始响应协议
RDP 服务器初始响应中声明的协议版本
rdp
CFWNetflowNta
-
rdp_initial_request_cookie
string
RDP 初始请求 Cookie
RDP 客户端初始请求中携带的 Cookie 值
A70067
CFWNetflowNta
-
rdp_connect_request_channels
string
RDP 连接请求通道
RDP 连接请求中指定的通道列表
[\\"rdpdr\\",\\"rdpsnd\\",\\"drdynvc\\",\\"cliprdr\\"]
CFWNetflowNta
-
rdp_connect_request_version
string
RDP 连接请求版本
RDP 客户端在连接请求中声明的协议版本
v10.6
CFWNetflowNta
-
rdp_connect_request_build
string
RDP 连接请求构建版本
RDP 客户端的构建版本号
Windows 7 SP1
CFWNetflowNta
-
rdp_connect_request_client_name
string
RDP 连接请求客户端名称
RDP 客户端设备的名称
hapc
CFWNetflowNta
-
﻿
﻿
﻿

字段标识	字段类型	字段名称	字段描述	参考值	细分类型	备注
appid	string	appid	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
instance_id	string	资产实例 ID	-	-	CFWOnline、CFWNetflowNat	-
src_ip	string	源 IP	-	192.168.0.1	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
dst_ip	string	目的 IP	-	192.168.0.1	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
src_port	uint16	源端口	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
dst_port	uint16	目的端口	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
protocol	string	协议	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
direction	int8	方向	流量方向	出站	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	sd-wan
dst_domain	string	访问目的域名	-	-	CFWOnline、CFWNetflowNat	-
in_pkt_count	uint64	入向包个数	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
in_pkt_len	uint64	入向包大小	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
out_pkt_count	uint64	出向包个数	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
out_pkt_len	uint64	出向包大小	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
total_pkt_count	uint64	总包个数	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
total_pkt_len	uint64	总包大小	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
ti_tag	string	关联情报标签（告警中自带）	-	-	CFWOnline、CFWNetflowNat	-
start_time	int64	会话的开始时间	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
end_time	int64	会话的结束时间	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	-
supplier	string	运营商	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
supplier_en	string	运营商-英文	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_country	string	源国家	源 IP 的所处国家	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_country_en	string	源国家-英文	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_country	string	目的国家	目的 IP 的所处国家	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_country_en	string	目的国家-英文	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_province	string	源省份	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_province_en	string	源省份-英文	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_province	string	目的省份	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_province_en	string	目的省份-英文	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_city	string	源城市	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_city	string	目的城市	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
district	string	地区	-	-	CFWOnline、CFWNetflowNat	-
address	string	详细地址	入站为源详细地址出站为目的详细地址	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
address_en	string	详细地址-英文	入站为源详细地址-英文出站为目的详细地址-英文	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_lat	float32	源纬度	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_lat	float32	目的纬度	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
src_lon	float32	源经度	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
dst_lon	float32	目的经度	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat	sd-wan
insert_time	int64	日志入库时间	-	-	CFWOnline、CFWNetflowNat	-
count	uint64	告警数量	-	-	CFWOnline	-
url	string	七层 URL	-	-	CFWOnline	-
domain_flag	uint8	是否存在域名	1：存在 0：不存在	-	CFWOnline	-
port_status	uint8	端口状态	1：打开 0：关闭	-	CFWOnline	-
bot_flag	uint8	保留字段	-	-	CFWOnline	-
mode	uint8	防火墙属性	1：串行 0：旁路	-	CFWOnline	-
argus_ip	uint32	保留字段	-	-	CFWOnline	-
tcp_flag	uint8	TCP 标记	1：OUTSyn 2：OUTRst 3：OutSynAck 4：OUTFin 5：INSyn 6：INRst 7：INSynAck 8：InFin	-	CFWOnline	-
timestamp	string	统一时间戳	-	-	CFWOnline、CFWNetflowVpc、CFWNetflowNat、CFWNetflowFl	sd-wan
cvm_id	string	保留字段	-	-	CFWNetflowVpc	-
ew_ins_id	string	VPC 防火墙实例 ID	-	-	CFWNetflowVpc	-
fws_id	string	VPC 防火墙 ID	-	-	CFWNetflowVpc、CFWNetflowNat	-
fws_name	string	VPC 防火墙名称	-	-	CFWNetflowVpc	-
log_type	uint8	日志类型（内部使用）	当前日志类型固定值：2	-	CFWNetflowVpc	-
if_pair_key	string	保留字段	-	-	CFWNetflowVpc	-
uuid	int64	原始告警日志唯一 ID	-	-	CFWNetflowVpc	-
flow_id	int64	内部字段	-	-	CFWNetflowVpc	-
src_vpc	string	攻击者资产 VPCID	-	-	CFWNetflowVpc	-
dst_vpc	string	受害者资产 VPCID	-	-	CFWNetflowVpc	-
dst_vpc_name	string	目的 VPC 名称	-	-	CFWNetflowVpc	-
src_vpc_name	string	源 VPC 名称	-	-	CFWNetflowVpc	-
retans	int8	是否有重传	1：重传 0：未重传	-	CFWNetflowVpc、CFWNetflowNat	-
timeout	int64	会话持续时间	-	-	CFWNetflowVpc、CFWNetflowNat	-
src_ins_id	string	攻击者相关资产 ID	-	-	CFWNetflowVpc、CFWNetflowFl	-
dst_ins_id	string	受害者相关资产 ID	-	-	CFWNetflowVpc、CFWNetflowFl	-
src_ins_name	string	源资产名称	-	-	CFWNetflowVpc	-
dst_ins_name	string	目的资产名称	-	-	CFWNetflowVpc	-
is_out	int8	SDWAN 防火墙访问公网标记	1：访问公网 0：正常访问	-	CFWNetflowVpc	sd-wan
ti_tag_en	string	攻击者 IP 情报标签-英文	-	-	CFWNetflowNat	-
fw_type	string	告警子类型	-	-	CFWNetflowNat	-
fw_region	string	防火墙所在地域	-	-	CFWNetflowNat	-
nat_ip	string	NAT 的 IP	NAT 的 IP 地址	-	CFWNetflowNat	-
nat_port	uint16	NAT 的端口	-	-	CFWNetflowNat	-
if_id	string	网卡 ID	-	-	CFWNetflowFl	-
action	string	告警动作	告警处置动作	拦截，放行	CFWNetflowFl	-
risk_id	uint64	风险事件 ID	风险中心-风险事件唯一 ID	3898710204921198600	CFWNdrSubjectRisk	-
risk_type	string	风险类型	风险类型	dataleak：数据泄露 weakpwd：弱口令	CFWNdrSubjectRisk	-
risk_info	array	风险识别信息	风险识别信息（内部使用）	-	CFWNdrSubjectRisk	-
vpc_id	string	VPC ID	VPC ID	vpc-f8hih961	CFWNdrSubjectRisk	-
app_protocol	string	应用层协议	应用层协议	http	CFWNdrSubjectRisk	-
src_ins_id	string	源资产实例 ID	源资产实例 ID	ins-0rp6e3vm	CFWNdrSubjectRisk	-
dst_ins_id	string	目的资产实例 ID	目的资产实例 ID	ins-0rp6e3vm	CFWNdrSubjectRisk	-
src_ins_name	string	源资产实例名称	源资产实例名称	测试-server	CFWNdrSubjectRisk	-
dst_ins_name	string	目的资产实例名称	目的资产实例名称	测试-server	CFWNdrSubjectRisk	-
src_ins_type	string	源资产实例类型	源资产实例类型	CVM	CFWNdrSubjectRisk	-
dst_ins_type	string	目的资产实例类型	目的资产实例类型	CVM	CFWNdrSubjectRisk	-
src_region	string	源资产实例所在地域	源资产实例所在地域	广州	CFWNdrSubjectRisk	-
dst_region	string	目的资产实例所在地域	目的资产实例所在地域	广州	CFWNdrSubjectRisk	-
highest_level	string	最高敏感等级（数据泄露风险专属）	本次泄露的敏感数据条目中的最高敏感等级	S3	CFWNdrSubjectRisk	-
http_host	string	Hostname	Hostname	test.abc.com	CFWNdrSubjectRisk	-
http_request_header	string	HTTP 请求头	HTTP 请求头（Base64 编码）	-	CFWNdrSubjectRisk	-
http_request_body	string	HTTP 请求体	HTTP 请求体（Base64 编码）	-	CFWNdrSubjectRisk	-
http_response_header	string	HTTP 响应头	HTTP 响应头（Base64 编码）	-	CFWNdrSubjectRisk	-
http_response_body	string	HTTP 响应体	HTTP 响应体（Base64 编码）	-	CFWNdrSubjectRisk	-
http_url	string	HTTP 请求 URL	HTTP 请求 URL	/api/v1/pods	CFWNdrSubjectRisk	-
protocol	string	协议	传输层协议	TCP	CFWNdrSubjectRisk	-
quic_version	string	QUIC 版本	QUIC 协议的版本	51303038	CFWNetflowNta	-
quic_sni	string	SNI	QUIC 握手过程中客户端指示的服务器名称	example.com	CFWNetflowNta	-
rdp_event_type	string	RDP 事件类型	RDP 连接事件类型	initial_request	CFWNetflowNta	-
rdp_initial_response_protocol	string	RDP 初始响应协议	RDP 服务器初始响应中声明的协议版本	rdp	CFWNetflowNta	-
rdp_initial_request_cookie	string	RDP 初始请求 Cookie	RDP 客户端初始请求中携带的 Cookie 值	A70067	CFWNetflowNta	-
rdp_connect_request_channels	string	RDP 连接请求通道	RDP 连接请求中指定的通道列表	[\\"rdpdr\\",\\"rdpsnd\\",\\"drdynvc\\",\\"cliprdr\\"]	CFWNetflowNta	-
rdp_connect_request_version	string	RDP 连接请求版本	RDP 客户端在连接请求中声明的协议版本	v10.6	CFWNetflowNta	-
rdp_connect_request_build	string	RDP 连接请求构建版本	RDP 客户端的构建版本号	Windows 7 SP1	CFWNetflowNta	-
rdp_connect_request_client_name	string	RDP 连接请求客户端名称	RDP 客户端设备的名称	hapc	CFWNetflowNta	-