日志字段数据解析

最近更新时间:2026-05-22 10:01:42

我的收藏
本文档整理了主机安全服务中所有日志类型的字段定义,包括字段名、中文含义、英文含义和示例值。

全局规范

日志内容信息采用 JSON 格式。
日志字符编码统一为 utf-8 格式。

目录

日志类型枚举

主日志类型(cls_event_type)

类型值
中文说明
英文说明
安全分类
malware
恶意文件
Malware
入侵检测
risk_process
异常进程
Risk Process
入侵检测
hostlogin
异常登录
Abnormal Login
入侵检测
bruteattack
密码破解
Brute Force Attack
入侵检测
risk_dns
恶意请求
Malicious DNS Request
入侵检测
bash
高危命令
High-risk Command
入侵检测
privilege_escalation
本地提权
Privilege Escalation
入侵检测
reverse_shell
反弹 Shell
Reverse Shell
入侵检测
emergency_vul
应急漏洞
Emergency Vulnerability
漏洞管理
web-cms_vul
Web-CMS 漏洞
Web-CMS Vulnerability
漏洞管理
application_vul
应用漏洞
Application Vulnerability
漏洞管理
linux_app_vul
Linux 软件漏洞
Linux App Vulnerability
漏洞管理
windows_sys_vul
Windows 系统漏洞
Windows System Vulnerability
漏洞管理
vul_defence
漏洞防御
Vulnerability Defence
高级防御
baseline
安全基线
Security Baseline
基线管理
java_shell
Java 内存马检测
Java Memory Shell Detection
高级防御
java_shell_inject
Java 内存马注入
Java Memory Shell Injection
高级防御
file_tamper
核心文件监控
Core File Monitoring
高级防御
attack_logs
攻击检测
Attack Detection
高级防御
tamper_protect_exceptions
网页防篡改异常
Tamper Protection Exception
高级防御
tamper_protect_logs
网页防篡改日志
Tamper Protection Log
高级防御
agent_offline
客户端离线
Agent Offline
客户端相关
agent_uninstall
客户端卸载
Agent Uninstall
客户端相关
asset_system
系统信息
System Info
资产指纹
asset_account
账号
Account
资产指纹
asset_netstat
端口
Port
资产指纹
asset_package
系统安装包
System Package
资产指纹
asset_process
进程
Process
资产指纹
asset_app
软件应用
Application
资产指纹
asset_database
数据库
Database
资产指纹
asset_web_app
Web 应用
Web Application
资产指纹
asset_web_service
Web 服务
Web Service
资产指纹
asset_web_frame
Web 框架
Web Framework
资产指纹
asset_web_location
Web 站点
Web Location
资产指纹
asset_jar
Jar 包
Jar Package
资产指纹
asset_init_service
启动服务
Init Service
资产指纹
asset_scheduled_task
计划任务
Scheduled Task
资产指纹
asset_env
环境变量
Environment Variable
资产指纹
asset_core_module
内核模块
Core Module
资产指纹
machines
主机列表
Machine List
主机列表
client_log
客户端日志
Client Log
客户端日志
dns_log
DNS 日志
DNS Log
客户端日志
process_snapshot
进程快照
Process Snapshot
客户端日志
net_log
网络日志
Network Log
客户端日志
file_log
文件日志
File Log
客户端日志
login_log
登录流水
Login Log
客户端日志
http_log
HTTP 日志
HTTP Log
客户端日志
app_log
应用日志
Application Log
客户端日志

客户端日志子类型(sub_log_type)

类型值
中文说明
英文说明
父类型
system_auth_log
系统认证和授权信息
System Auth Log
原始日志
system_audit_log
系统审计信息
System Audit Log
原始日志
system_message_log
系统信息
System Message Log
原始日志
egress_log
出站日志
Egress Log
网络日志
ingress_log
入站日志
Ingress Log
网络日志

资产类日志

资产账号(AssetAccount)

日志类型:asset_account
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统类型
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
uid
账号 UID
Account UID
text
1000
gid
账号 GID
Account GID
text
1000 (仅 Linux)
group_name
账号组名
Group Name
text
users
status
账号状态
Account Status
text
启用
禁用
is_root
是否有 root 权限
Has Root Privilege
text
name
账号名称
Account Name
text
admin
type
账号类型
Account Type
text
访客用户
标准用户
管理员用户
home_path
Home 目录
Home Path
text
/home/admin
shell
Shell 路径
Shell Path
text
/bin/bash (仅 Linux)
password_change_time
密码修改时间
Password Change Time
text
2023-01-01
password_due_days
密码过期天数
Password Due Days
long
90 (-1 为永不过期)
password_lock_days
密码锁定天数
Password Lock Days
long
1 (-1 为无限)
password_warn_days
密码过期提醒天数
Password Warn Days
long
7 (仅 Windows)
password_change_type
密码修改设置
Password Change Type
text
可修改
不可修改
password_status
密码状态
Password Status
text
正常
即将过期
已过期
已锁定
login_type
登录方式
Login Type
text
不可登录
只允许 key 登录
只允许密码登录
允许 key 和密码
last_login_time
上次登录时间
Last Login Time
long
1680000000
last_login_terminal
最近登录终端
Last Login Terminal
text
pts/0 (仅 Linux)
last_login_ip
最近登录 IP
Last Login IP
text
10.0.0.2 (仅 Linux)
disable_time
账号到期时间
Disable Time
text
2025-12-31 (仅 Linux)
event_status
事件状态
Event Status
text
create
modify
delete

资产应用(AssetApp)

日志类型: asset_app
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
应用名称
App Name
text
nginx
type
应用类型
App Type
text
运维工具
数据库
安全应用
可疑应用
系统架构
系统应用
WEB 运维
其他
bin_path
二进制路径
Binary Path
text
/usr/sbin/nginx
config_path
配置文件路径
Config Path
text
/etc/nginx/nginx.conf
process_count
关联进程数
Process Count
long
4
version
版本号
Version
text
1.18.0
event_status
事件状态
Event Status
text
create
modify
delete

内核模块(AssetCoreModule)

日志类型: asset_core_module
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
模块名称
Module Name
text
ext4
desc
模块描述
Description
text
ext4 filesystem
path
模块路径
Module Path
text
/lib/modules/…
version
模块版本
Version
text
1.0
size
模块大小
Size
long
102400
event_status
事件状态
Event Status
text
create
modify
delete

数据库资产(AssetDatabase)

日志类型: asset_database
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
数据库名称
Database Name
text
MySQL
version
版本号
Version
text
5.7.32
port
监听端口
Port
text
3306
proto
协议
Protocol
text
TCP
user
运行用户
Run User
text
MySQL
ip
绑定 IP
Bind IP
text
0.0.0.0
config_path
配置文件路径
Config Path
text
/etc/my.cnf
log_path
日志文件路径
Log Path
text
/var/log/mysql/mysql.log
data_path
数据路径
Data Path
text
/var/lib/mysql
permission
运行权限
Permission
text
rwxr-xr-x
error_log_path
错误日志路径
Error Log Path
text
/var/log/mysql/error.log
plugin_path
插件路径
Plugin Path
text
/usr/lib/mysql/plugin
bin_path
二进制路径
Binary Path
text
/usr/sbin/mysqld
param
启动参数
Parameters
text
–user=mysql
event_status
事件状态
Event Status
text
create
modify
delete

端口监听(AssetNetstat)

日志类型: asset_netstat
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
进程名称
Process Name
text
nginx
version
进程版本
Process Version
text
1.18.0
path
进程路径
Process Path
text
/usr/sbin/nginx
parent_process_name
父进程名称
Parent Process Name
text
systemd
pid
进程 ID
Process ID
text
1234
ppid
父进程 ID
Parent PID
text
1
user
运行用户
Run User
text
nginx
group_name
所属用户组
Group Name
text
nginx
start_time
启动时间
Start Time
long
1680000000 (Unix 时间戳)
param
启动参数
Parameters
text
-g daemon off
tty
进程 TTY
Process TTY
text
?
port
端口
Port
text
80
proto
端口协议
Protocol
text
tcp
bind_ip
绑定 IP
Bind IP
text
0.0.0.0
event_status
事件状态
Event Status
text
create
modify
delete

软件包(AssetPackage)

日志类型: asset_package
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
软件包名称
Package Name
text
openssl
desc
描述
Description
text
OpenSSL libraries
version
版本号
Version
text
1.0.2k
install_time
安装时间
Install Time
long
1680000000 (Unix 时间戳)
type
包类型
Package Type
text
rpm
dpkg
java
event_status
事件状态
Event Status
text
create
modify
delete

进程(AssetProcess)

日志类型: asset_process
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
进程名称
Process Name
text
nginx
group_name
进程用户组
Process Group
text
nginx
desc
进程描述
Description
text
Web Server (仅 Windows)
path
进程路径
Process Path
text
/usr/sbin/nginx
pid
进程 ID
Process ID
text
1234
ppid
父进程 ID
Parent PID
text
1
parent_process_name
父进程名称
Parent Process Name
text
systemd
user
运行用户
Run User
text
nginx
start_time
启动时间
Start Time
long
1680000000 (Unix 时间戳)
param
启动参数
Parameters
text
-g daemon off
tty
进程 TTY
Process TTY
text
?
version
进程版本
Process Version
text
1.18.0
status
进程状态
Status
text
可执行
可中断
不可中断
暂停状态或跟踪状态
僵尸状态
将被销毁
空闲
等待分配内存
package_name
软件包名
Package Name
text
nginx-1.18.0
event_status
事件状态
Event Status
text
create
modify
delete

计划任务(AssetScheduledTask)

日志类型: asset_scheduled_task
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
status
启用状态
Status
text
启用
未启用
cycle
执行周期
Execution Cycle
text
0 0 *
command
执行命令
Command
text
/opt/script/backup.sh
user
启动用户
User
text
root
config_path
配置文件路径
Config Path
text
/etc/crontab
os_info
操作系统
OS Info
text
CentOS 7.6
event_status
事件状态
Event Status
text
create
modify
delete

系统信息(AssetSystem)

日志类型: asset_system
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
core_version
内核版本
Kernel Version
text
3.10.0-1160.el7.x86_64
boot_time
系统启动时间
Boot Time
long
1680000000 (Unix 时间戳)
cpu_info
CPU 信息
CPU Info
text
Intel Xeon E5-2680
cpu_size
CPU 数量
CPU Count
long
8
cpu_load
CPU 使用率
CPU Load
text
25.5 (仅 Linux)
memory_size
内存大小 (MB)
Memory Size
long
16384
memory_load
内存使用率
Memory Load
text
65.2
disk_size
硬盘大小 (MB)
Disk Size
long
102400
disk_load
硬盘使用率
Disk Load
text
45.8
event_status
事件状态
Event Status
text
create
modify
delete

环境变量(AssetEnv)

日志类型: asset_env
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
变量名称
Variable Name
text
PATH
type
类型
Type
text
用户
系统
user
启动用户
User
text
root
value
环境变量值
Value
text
/usr/local/bin:/usr/bin
event_status
事件状态
Event Status
text
create
modify
delete

启动服务(AssetInitService)

日志类型: asset_init_service
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
服务名称
Service Name
text
nginx
type
服务类型
Service Type
text
(仅 Windows)
status
启用状态
Status
text
启用
未启用
user
启动用户
User
text
root
path
路径
Path
text
/usr/lib/systemd/system/nginx.service
event_status
事件状态
Event Status
text
create
modify
delete

Jar 包(AssetJar)

日志类型: asset_jar
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
Jar 包名称
Jar Name
text
spring-core.jar
type
类型
Type
text
应用程序
系统类库
Web 服务自带库
其他
status
是否可执行
Is Executable
text
可执行
不可执行
version
版本
Version
text
5.3.0
path
路径
Path
text
/opt/app/lib/spring-core.jar
event_status
事件状态
Event Status
text
create
modify
delete

Web 应用(AssetWebApp)

日志类型: asset_web_app
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
应用名
App Name
text
WordPress
desc
应用描述
Description
text
Blog Platform
version
版本
Version
text
5.8.0
root_path
根路径
Root Path
text
/var/www/html
service_type
服务类型
Service Type
text
Apache
domain
站点域名
Domain
text
www.example.com
virtual_path
虚拟路径
Virtual Path
text
/
plugin_count
插件数
Plugin Count
long
5
event_status
事件状态
Event Status
text
create
modify
delete

Web 框架(AssetWebFrame)

日志类型: asset_web_frame
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
框架名
Framework Name
text
Spring
version
版本
Version
text
5.3.0
lang
语言
Language
text
Java
service_type
服务类型
Service Type
text
Tomcat
path
应用路径
Application Path
text
/opt/app
event_status
事件状态
Event Status
text
create
modify
delete

Web 站点(AssetWebLocation)

日志类型: asset_web_location
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
域名
Domain
text
www.example.com
port
站点端口
Port
text
80
proto
站点协议
Protocol
text
http
service_type
服务类型
Service Type
text
nginx
path_count
站点路径数
Path Count
long
3
user
运行用户
Run User
text
www-data
ip
绑定 IP
Bind IP
text
0.0.0.0
command
启动命令
Command
text
/usr/sbin/nginx
event_status
事件状态
Event Status
text
create
modify
delete

Web 服务(AssetWebService)

日志类型: asset_web_service
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_name
主机名称
Host Name
text
web-server-01
host_ip
主机 IP
Host IP
text
10.0.0.1
wan_ip
外网 IP
Public IP
text
1.2.3.4
instance_id
实例 ID
Instance ID
text
ins-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统分类
OS Type
text
CentOS
update_time
更新时间
Update Time
long
1680000000
create_time
创建时间
Create Time
long
1680000000
name
服务名
Service Name
text
nginx
version
版本
Version
text
1.18.0
bin_path
二进制路径
Binary Path
text
/usr/sbin/nginx
service_type
服务类型
Service Type
text
Web Server
user
启动用户
User
text
root
install_path
安装路径
Install Path
text
/etc/nginx
config_path
配置路径
Config Path
text
/etc/nginx/nginx.conf
process_count
关联进程数
Process Count
long
4
event_status
事件状态
Event Status
text
create
modify
delete

安全事件类日志

异常进程(EventsRiskProcess)

日志类型: risk_process
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
host_ip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
pid
进程 ID
Process ID
long
1234
exe_path
进程路径
Executable Path
text
/tmp/malware
exe_md5
进程 MD5
Executable MD5
text
d41d8cd98f00b204…
exe_desc
进程详情
Executable Description
text
可疑挖矿程序
exe_argv
进程参数
Executable Arguments
text
-o pool.mining.com
exe_create_time
进程创建时间
Executable Create Time
text
2023-04-01 12:00:00
exe_modify_time
进程修改时间
Executable Modify Time
text
2023-04-01 12:00:00
exe_access_time
进程访问时间
Executable Access Time
text
2023-04-01 12:00:00
status
处理状态
Handle Status
text
待处理
已处理
查杀中
已查杀
已退出
已忽略
已删除
start_time
进程启动时间
Start Time
text
2023-04-01 12:00:00
virus_name
病毒名
Virus Name
text
Miner.Linux.Generic
latest_scan_time
最近扫描时间
Latest Scan Time
text
2023-04-01 12:00:00
pstree
进程树详情
Process Tree
text
systemd->bash->malware
risk_level
风险等级
Risk Level
text
提示
低危
中危
高危
严重
pay_version
防护版本
Protection Version
text
基础版
专业版
旗舰版
轻量版
rss
进程内存 (B)
Memory RSS
long
102400
permission
进程权限
Process Permission
text
rwxr-xr-x
event_status
事件状态
Event Status
text
create
modify
delete

Java 内存马检测(EventsJavaShell)

日志类型: java_shell
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
首次发现时间
First Found Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
recent_found_time
最近检出时间
Recent Found Time
text
2023-04-01 12:00:00
type
木马类型
Shell Type
text
Filter 型
Listener 型
Servlet 型
Interceptors 型
Agent 型
其他
exe
Java 进程路径
Java Executable Path
text
/usr/bin/java
argv
Java 进程命令行
Java Command Line
text
-jar app.jar
pid
Java 进程 ID
Java Process ID
text
1234
class_name
内存马类名
Class Name
text
org.apache.EvilFilter
loader_class_name
加载器类名
Loader Class Name
text
java.lang.ClassLoader
super_class_name
父类名
Super Class Name
text
javax.servlet.Filter
interfaces
接口列表
Interfaces
text
javax.servlet.Filter
status
处理状态
Handle Status
text
待处理
已加白
已删除
已忽略
已手动处理
md5
内存马 MD5
Shell MD5
text
abc123…
file_exist
文件是否存在
File Exist
text
文件不存在
文件存在
class_file
Class 文件路径
Class File Path
text
/opt/app/WEB-INF/classes/…
event_status
事件状态
Event Status
text
create
modify
delete

Java 内存马注入(EventsJavaShellInject)

日志类型: java_shell_inject
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
merge_time
合并时间
Merge Time
text
2023-04-01 12:00:00
count
攻击次数
Attack Count
long
5
status
处理状态
Handle Status
text
待处理
已防御
已处理
已忽略
已删除
已加白
src_ip
攻击来源 IP
Source IP
text
192.168.1.100
src_port
攻击来源端口
Source Port
text
54321
dst_port
目标端口
Destination Port
long
8080
attack_type
攻击类型
Attack Type
text
内存马注入
net_payload
攻击数据包
Network Payload
text
POST /api/upload…
pid
进程 ID
Process ID
long
1234
main_class
主类名
Main Class
text
org.springframework.boot.loader.JarLauncher
stack_trace
堆栈信息
Stack Trace
text
at org.apache…
url
请求 URL
Request URL
text
/api/upload
poc
攻击 PoC
Attack PoC
text
exec(‘whoami’)
event_status
事件状态
Event Status
text
create
modify
delete

漏洞防御(EventsVulDefence)

日志类型: vul_defence
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
merge_time
合并时间
Merge Time
text
2023-04-01 12:00:00
count
攻击次数
Attack Count
long
5
status
处理状态
Handle Status
text
待处理
已防御
已处理
已忽略
已删除
已加白
vul_name
漏洞名称
Vulnerability Name
text
Log4j 远程代码执行漏洞
src_ip
攻击来源 IP
Source IP
text
192.168.1.100
src_port
攻击来源端口
Source Port
text
54321
dst_port
目标端口
Destination Port
long
8080
attack_type
攻击类型
Attack Type
text
代码执行
net_payload
攻击数据包
Network Payload
text
GET /api/test?..
pid
进程 ID
Process ID
long
1234
main_class
主类名
Main Class
text
org.apache.catalina.startup.Bootstrap
stack_trace
堆栈信息
Stack Trace
text
at org.apache…
url
请求 URL
Request URL
text
/api/test
poc
攻击 Poc
Attack POC
text
${jndi:ldap://…}
event_status
事件状态
Event Status
text
create
modify
delete

核心文件监控(EventsFileTamper)

日志类型: file_tamper
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
hostname
主机名
Host Name
text
web-server-01
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
process_exe
进程路径
Process Executable
text
/usr/bin/vim
process_argv
进程命令行参数
Process Arguments
text
vim /etc/passwd
target
目标文件路径
Target File Path
text
/etc/passwd
status
处理状态
Handle Status
text
待处理
已加白
已删除
已忽略
已手动处理
event_count
事件产生次数
Event Count
long
3
rule_name
规则名称
Rule Name
text
系统关键文件监控
event_detail
事件详情
Event Detail
text
{"action":"modify"}
pstree
进程树
Process Tree
text
systemd->bash->vim
rule
规则组详情
Rule Detail
text
{"paths":["/etc/passwd"]}
level
风险等级
Risk Level
text
高危
中危
低危
event_status
事件状态
Event Status
text
create
modify
delete

网络攻击日志(EventsAttack)

日志类型: attack_logs
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
merge_time
合并时间
Merge Time
text
2023-04-01 12:00:00
src_ip
攻击来源 IP
Source IP
text
192.168.1.100
dst_port
目标端口
Destination Port
long
80
vul_name
漏洞名称
Vulnerability Name
text
Apache Log4j2 远程代码执行漏洞
type
攻击类型
Attack Type
text
尝试攻击
攻击成功
status
处理状态
Status
text
待处理
已处理
已加白名单
已忽略
已删除
已开启防御
count
合并计数
Merge Count
long
5
svc_ps
服务进程详情
Service Process Details
text
{"pid":1234,"name":"java"}
net_payload
攻击数据包
Attack Payload
text
GET /exploit HTTP/1.1…
host_op_type
失陷行为类型
Compromise Type
text
无失陷行为
rce (命令执行)
dnslog
writefile
host_op_pstree
异常行为进程树
Abnormal Process Tree
text
{"process":"bash"}
host_op
异常行为内容
Abnormal Behavior
text
curl http://malicious.com
event_status
事件状态
Event Status
text
create
modify
delete

高危命令(EventsBash)

日志类型: bash
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
user
执行用户
User
text
root
platform
操作系统平台
Platform
text
Win32
Win64
Linux32
Linux64
exec_time
执行时间
Execution Time
text
2023-04-01 12:00:00
bash_cmd
命令详情
Command Line
text
rm -rf /
pstree
进程树
Process Tree
text
bash->rm
status
处理状态
Status
text
待处理
危险命令
正常命令
已忽略
已删除
已拦截
rule_name
规则名称
Rule Name
text
危险命令执行
rule_level
风险等级
Risk Level
text

高危
中危
低危
event_status
事件状态
Event Status
text
create
modify
delete

暴力破解(EventsBruteAttack)

日志类型: bruteattack
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
username
攻击用户名
Attack Username
text
root
count
攻击次数
Attack Count
long
100
event_type
攻击结果类型
Event Type
text
暴破失败(密码错误)
暴破成功
暴破失败(账号不存在)
src_ip
攻击来源 IP
Source IP
text
192.168.1.100
dst_port
攻击端口
Destination Port
long
22
src_machine_name
来源主机名
Source Machine Name
text
attacker-host
status
事件状态
Event Status
text
待处理
已忽略
误报
已删除
命中白名单
已处理
已加白名单
location
攻击来源地域
Source Location
text
中国-北京
banned
封禁状态
Ban Status
text
未阻断
已阻断
阻断失败(接口异常)
未阻断(未开启阻断)
未阻断(非专业版、非旗舰版)
未阻断(已加白名单)
未阻断(未绑定公网 IP)
阻断失败(内网不支持)
阻断失败(可用区不支持)
risk_level
风险等级
Risk Level
text
低危
可疑
高危
event_status
事件状态
Event Status
text
create
modify
delete

异地登录(EventsHostLogin)

日志类型: hostlogin
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
username
登录用户
Username
text
root
count
登录次数
Login Count
long
1
src_ip
登录来源 IP
Source IP
text
192.168.1.100
dst_port
登录端口
Destination Port
long
22
src_machine_name
来源主机名
Source Machine Name
text
client-host
login_time
登录时间
Login Time
text
2023-04-01 12:00:00
status
处理状态
Status
text
正常登录
异常登录
已加白
误报
已删除
确认入侵登录
已处理
已忽略
location
登录来源地域
Source Location
text
中国-北京
is_risk_area
是否异常地域
Is Risk Area
text
True
False
is_risk_user
是否异常用户
Is Risk User
text
True
False
is_risk_time
是否异常时间
Is Risk Time
text
True
False
is_risk_src_ip
是否异常来源 IP
Is Risk Source IP
text
True
False
risk_level
风险等级
Risk Level
text
高危
可疑
event_status
事件状态
Event Status
text
create
modify
delete

恶意文件(EventsMalware)

日志类型: malware
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
file_path
文件路径
File Path
text
/tmp/malware.exe
md5
文件 MD5
File MD5
text
d41d8cd98f00b204…
filesize
文件大小
File Size
long
102400
file_create_time
文件创建时间
File Create Time
long
1680000000
file_modify_time
文件修改时间
File Modify Time
long
1680000000
file_access_time
文件访问时间
File Access Time
long
1680000000
status
处理状态
Handle Status
text
待处理
信任文件
已隔离
白文件
文件已删除
隔离中
恢复中
记录已删除
命中用户白名单
已处理
virus_name
木马名称
Virus Name
text
Trojan.Linux.Generic
bwtype
黑白类型
BW Type
long
0
path_md5
路径 MD5
Path MD5
text
abc123…
risk_level
风险等级
Risk Level
text
严重
高危
中危
低危
提示
first_detection_method
首次检测方式
First Detection Method
text
扫描
实时监控
event_status
事件状态
Event Status
text
create
modify
delete

反弹 Shell(EventsReverseShell)

日志类型: reverse_shell
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
dst_ip
目标连接 IP
Destination IP
text
1.2.3.4
dst_port
目标连接端口
Destination Port
long
4444
process_name
进程名称
Process Name
text
bash
full_path
进程完整路径
Full Path
text
/bin/bash
pid
进程 ID
Process ID
long
1234
cmd_line
命令行
Command Line
text
bash -i >& /dev/tcp/…
user_name
运行用户
User Name
text
www-data
user_group
用户组
User Group
text
www-data
ppid
父进程 ID
Parent PID
long
1
parent_proc_name
父进程名称
Parent Process Name
text
nginx
parent_proc_user
父进程用户
Parent Process User
text
root
parent_proc_group
父进程用户组
Parent Process Group
text
root
parent_proc_path
父进程路径
Parent Process Path
text
/usr/sbin/nginx
find_time
发现时间
Find Time
text
2023-04-01 12:00:00
proc_tree
进程树
Process Tree
text
nginx->bash
status
处理状态
Handle Status
text
待处理
反弹 Shell 事件
白名单
已处理
已忽略
已删除
已拦截
risk_level
风险等级
Risk Level
text
高危
中危
detect_method
检测方式
Detection Method
text
行为分析
命令特征检测
event_status
事件状态
Event Status
text
create
modify
delete

本地提权(EventsPrivEsc)

日志类型: privilege_escalation
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
process_name
进程名称
Process Name
text
bash
full_path
进程完整路径
Full Path
text
/bin/bash
pid
进程 ID
Process ID
long
1234
cmd_line
命令行
Command Line
text
sudo su -
user_name
运行用户
User Name
text
www-data
user_group
用户组
User Group
text
www-data
proc_file_privilege
进程文件权限
Process File Privilege
text
rwxr-xr-x
ppid
父进程 ID
Parent PID
long
1
parent_proc_name
父进程名称
Parent Process Name
text
nginx
parent_proc_user
父进程用户
Parent Process User
text
root
parent_proc_group
父进程用户组
Parent Process Group
text
root
parent_proc_path
父进程路径
Parent Process Path
text
/usr/sbin/nginx
find_time
发现时间
Find Time
text
2023-04-01 12:00:00
proc_tree
进程树
Process Tree
text
nginx->bash->su
sid
会话 ID
Session ID
long
1234
uid
用户 ID
User ID
text
1000
gid
组 ID
Group ID
text
1000
euid
有效用户 ID
Effective UID
long
0
egid
有效组 ID
Effective GID
long
0
status
处理状态
Handle Status
text
待处理
提权事件
白名单
已处理
已忽略
已删除
event_status
事件状态
Event Status
text
create
modify
delete

恶意域名(EventsRiskDns)

日志类型: risk_dns
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
url
恶意域名
Malicious URL
text
malware.evil.com
pid
进程 ID
Process ID
long
1234
process_name
进程名称
Process Name
text
curl
cmd_line
命令行
Command Line
text
curl http://malware…
status
处理状态
Handle Status
text
待处理
已删除
已加白
已取消信任
已处理
已忽略
已拦截
access_count
请求次数
Access Count
long
100
query_time
请求时间
Query Time
text
2023-04-01 12:00:00
merge_time
合并时间
Merge Time
text
2023-04-01 12:00:00
event_status
事件状态
Event Status
text
create
modify
delete

漏洞事件(EventsVul)

日志类型: emergency_vul / Web-CMS_vul / application_vul / linux_app_vul / windows_sys_vul
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
name
漏洞名称
Vulnerability Name
text
Log4j 远程代码执行漏洞
status
处理状态
Handle Status
text
待处理
已忽略
误报
已修复
已删除
检测中
修复中
回滚中
修复失败
已失效
已下线
vul_category
漏洞分类
Vulnerability Category
text
Web-CMS 漏洞
应用漏洞
安全基线漏洞
Linux 软件漏洞
Windows 系统漏洞
descript
漏洞描述
Description
text
该漏洞允许远程代码执行
path
影响路径
Affected Path
text
/opt/app/log4j.jar
remark
备注
Remark
text
需要尽快修复
level
漏洞等级
Risk Level
text
严重
高危
中危
低危
is_emergency
是否应急漏洞
Is Emergency
text
fix
修复方案
Fix Solution
text
升级到 2.17.0 版本
cve_id
CVE 编号
CVE ID
text
CVE-2021-44228
reference
参考链接
Reference
text
https://…
event_status
事件状态
Event Status
text
create
modify
delete

Windows 补丁(EventsKb)

日志类型: windows_sys_vul
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
name
补丁名称
Patch Name
text
Windows 安全更新 KB5012345
kb_no
KB 编号
KB Number
text
KB5012345
vul_category
漏洞分类
Vulnerability Category
text
Windows 系统漏洞
status
处理状态
Handle Status
text
待处理
已忽略
已修复
fix_status
修复状态
Fix Status
text
未进行修复
修复中
修复失败
修复成功
修复超时
cve_id
CVE 编号
CVE ID
text
CVE-2023-12345
publish_time
发布时间
Publish Time
text
2023-04-01
event_status
事件状态
Event Status
text
create
modify
delete

安全基线(EventsBaseline)

日志类型: baseline
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
name
基线检测项名称
Baseline Item Name
text
确保 SSH 协议版本为 2
status
检测状态
Detection Status
text
0 未通过
1 已忽略
3 通过
4 已删除
5 检测中
level
风险等级
Risk Level
text
1 低危
2 中危
3 高危
4 严重
descript
基线描述
Description
text
该配置不符合安全基线要求
result_descript
检测结果描述
Result Description
text
当前 SSH 协议版本为 1
remark
备注
Remark
text
建议修改配置
category_id
基线分类 ID
Category ID
long
100
category_name
基线分类名称
Category Name
text
Linux 安全基线
rule_id
检测项 ID
Rule ID
long
1001
fix
修复建议
Fix Suggestion
text
修改 /etc/ssh/sshd_config…
event_status
事件状态
Event Status
text
create
modify
delete

防篡改日志(EventsTamperProtectLogs)

日志类型: tamper_protect_logs
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
path
文件路径
File Path
text
/var/www/html/index.html
recover_type
恢复类型
Recover Type
text
内容被修改恢复
权限被修改恢复
归属被修改恢复
被删除恢复
新增删除
has_recovered
是否已恢复
Has Recovered
text
未恢复
已恢复
recover_time
恢复时间
Recover Time
text
2023-04-01 12:00:00
is_manual_recover
是否手动恢复
Is Manual Recover
text
is_deleted
是否已删除
Is Deleted
text
未删除
已删除
status
运营状态
Status
text
待处理
确认恶意
确认误报
file_type
文件类型
File Type
text
常规文件
目录
软链接
event_status
事件状态
Event Status
text
create
modify
delete

Agent 离线(EventsAgentOffline)

日志类型: agent_offline
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
offline_time
离线时间
Offline Time
text
2023-04-01 12:00:00
event_status
事件状态
Event Status
text
create
modify
delete

Agent 卸载(EventsAgentUninstall)

日志类型: agent_uninstall
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
modify_time
修改时间
Modify Time
text
2023-04-01 12:00:00
pstree
进程树
Process Tree
text
systemd->bash->uninstall.sh
uninstall_time
卸载时间
Uninstall Time
text
2023-04-01 12:00:00
event_status
事件状态
Event Status
text
create
modify
delete

主机信息日志

主机列表(EventsMachine)

日志类型: machines
字段名
中文含义
英文说明
CLS 类型
示例
id
记录 ID
Record ID
long
12345
appid
租户 ID
Tenant ID
long
1251234567
machine_type
云服务器类型
Machine Type
text
CVM
Lighthouse
ECM
region
地域
Region
text
ap-guangzhou
project_id
项目 ID
Project ID
long
0
instance_id
实例 ID
Instance ID
text
ins-abc123
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
instance_state
实例状态
Instance State
text
Running
Stopped
restrict_state
限制状态
Restrict State
text

instance_name
实例名称
Instance Name
text
web-server-01
private_ip_addresses
内网 IP
Private IP
text
10.0.0.1
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
ipv6_addresses
IPv6 地址
IPv6 Address
text
::1
vpc_id
VPC ID
VPC ID
text
vpc-abc123
os_name
操作系统名称
OS Name
text
CentOS 7.6
os_type
操作系统类型
OS Type
text
Linux
Windows
installed_cwp
是否安装 Agent
Installed CWP
long
0 未安装
1 已安装
create_time
创建时间
Create Time
text
2023-04-01 12:00:00
latest_sync_time
最近同步时间
Latest Sync Time
text
2023-04-01 12:00:00
event_status
事件状态
Event Status
text
create
modify
delete

客户端日志

原始日志(ClientLog)

日志类型: client_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
path
日志文件路径
Log File Path
text
/var/log/syslog
tag
日志标签
Log Tag
text
syslog
time
日志时间
Log Time
text
2023-04-01 12:00:00
log
日志内容
Log Content
text
Apr 1 12:00:00 hostname sshd[1234]: …

DNS 日志(ClientDnsLog)

日志类型: dns_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
recv_time
接收时间
Receive Time
long
1680000000
event_name
事件名称
Event Name
text
dns_log
domain
请求域名
Domain
text
www.example.com
platform
操作系统平台
Platform
text
Linux
Windows
pid
进程 ID
Process ID
long
1234
process_path
进程路径
Process Path
text
/usr/bin/curl
cmdline
命令行参数
Command Line
text
curl http://…
count
访问次数
Access Count
long
10
ppid
父进程 ID
Parent PID
long
1
status
状态
Status
text
已拦截

网络日志(ClientNetLog)

日志类型: net_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
time
接收时间
Receive Time
long
1680000000
insert_time
插入时间
Insert Time
long
1680000000
timestamp
时间戳
Timestamp
text
2023-04-01 12:00:00
event_name
事件名称
Event Name
text
net_log
src_ip
源 IP
Source IP
text
10.0.0.1
dst_ip
目的 IP
Destination IP
text
1.2.3.4
src_port
源端口
Source Port
long
12345
dst_port
目的端口
Destination Port
long
80
first_time
首次触发时间
First Time
long
1680000000
last_time
最后触发时间
Last Time
long
1680000000
count
触发次数
Count
long
10
pid
进程 ID
Process ID
long
1234
username
执行用户
Username
text
root
proc_path
进程路径
Process Path
text
/usr/bin/curl
argv
命令行参数
Arguments
text
curl http://…

登录流水(ClientLoginLog)

日志类型: login_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
time
接收时间
Receive Time
long
1680000000
insert_time
插入时间
Insert Time
long
1680000000
event_name
事件名称
Event Name
text
login_log
username
登录用户
Username
text
root
count
登录次数
Login Count
long
1
event_type
登录类型
Event Type
text
登录/登出
src_ip
登录源 IP
Source IP
text
192.168.1.100
dst_port
登录端口
Destination Port
long
22
protocol
登录协议
Protocol
text
SSH
RDP

HTTP 日志(ClientHttpLog)

日志类型: http_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
time
接收时间
Receive Time
long
1680000000
insert_time
插入时间
Insert Time
long
1680000000
timestamp
时间戳
Timestamp
text
2023-04-01 12:00:00
event_name
事件名称
Event Name
text
http_log
src_ip
源 IP
Source IP
text
192.168.1.100
src_port
源端口
Source Port
long
54321
dst_ip
目的 IP
Destination IP
text
10.0.0.1
dst_port
目的端口
Destination Port
long
80
method
请求方法
HTTP Method
text
GET
POST
PUT
DELETE
HEAD
OPTIONS
PATCH
uri
请求 URI 路径
Request URI
text
/api/user/login
host
请求 Host 头
Request Host
text
www.example.com
payload
请求负载
Payload
text
username=admin
pid
进程 ID
Process ID
long
1234
ppid
父进程 ID
Parent PID
long
1
cwd
进程工作目录
Working Directory
text
/var/www
session_id
会话 ID
Session ID
long
1
proc_path
进程可执行文件路径
Process Path
text
/usr/bin/curl
argv
进程命令行参数
Command Arguments
text
curl http://…
username
进程所属账户
Process User
text
www-data
proc_perm
进程文件权限
Process Permission
text
755
proc_mtime
进程文件修改时间
Process Modify Time
long
1680000000
proc_ctime
进程文件状态变更时间
Process Change Time
long
1680000000
proc_atime
进程文件访问时间
Process Access Time
long
1680000000
ssh_source
SSH 来源地址
SSH Source
text
192.168.1.50
parent_proc_path
父进程可执行文件路径
Parent Process Path
text
/bin/bash
parent_proc_cmdline
父进程命令行
Parent Command Line
text
bash -c …
parent_proc_user
父进程账户名
Parent Process User
text
root

应用日志(ClientAppLog)

日志类型: app_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
path
日志文件路径
Log File Path
text
/var/log/app/access.log
tag
日志标签
Log Tag
text
nginx
time
日志时间
Log Time
text
2023-04-01 12:00:00
log
日志内容
Log Content
text
INFO: Request processed

文件日志(ClientFileLog)

日志类型: file_log
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
time
接收时间
Receive Time
long
1680000000
insert_time
插入时间
Insert Time
long
1680000000
timestamp
时间戳
Timestamp
text
2023-04-01 12:00:00
event_name
事件名称
Event Name
text
file_log
file_path
文件路径
File Path
text
/etc/passwd
ppid
父进程 ID
Parent PID
long
1
pid
进程 ID
Process ID
long
1234
cwd
进程执行路径
Working Directory
text
/root
uid
进程 UID
Process UID
long
0
gid
进程 GID
Process GID
long
0
session_id
进程 SessionID
Session ID
long
1
operation
文件操作类型
Operation
text
write
read
delete
proc_name
进程名
Process Name
text
vim
parent_proc_name
父进程名
Parent Process Name
text
bash
proc_path
进程路径
Process Path
text
/usr/bin/vim
argv
进程执行参数
Arguments
text
vim /etc/passwd
proc_md5
进程 MD5
Process MD5
text
abc123…
proc_perm
进程文件权限
Process Permission
text
755
proc_mtime
进程文件修改时间
Process Modify Time
long
1680000000
proc_ctime
进程文件变更时间
Process Change Time
long
1680000000
proc_atime
进程文件访问时间
Process Access Time
long
1680000000
file_size
文件大小
File Size
long
1024
file_mtime
文件修改时间
File Modify Time
long
1680000000
file_ctime
文件变更时间
File Change Time
long
1680000000
file_atime
文件访问时间
File Access Time
long
1680000000
file_perm
文件权限
File Permission
text
644
file_owner
文件所有者
File Owner
text
root
username
执行用户
Username
text
root

进程日志(ClientProcessSnapshot)

日志类型: process_snapshot
字段名
中文含义
英文说明
CLS 类型
示例
appid
租户 ID
Tenant ID
long
1251234567
quuid
腾讯云 UUID
Tencent Cloud UUID
text
abc123-def456
uuid
主机 UUID
Host UUID
text
abc123-def456
hostip
主机 IP
Host IP
text
10.0.0.1
instance_id
实例 ID
Instance ID
text
ins-abc123
public_ip_addresses
外网 IP
Public IP
text
1.2.3.4
recv_time
接收时间
Receive Time
long
1680000000
time
时间
Time
long
1680000000
timestamp
时间戳
Timestamp
text
2023-04-01 12:00:00
insert_time
插入时间
Insert Time
long
1680000000
event_name
事件名称
Event Name
text
process_snapshot
pid
进程 ID
Process ID
long
1234
ppid
父进程 ID
Parent PID
long
1
sid
进程会话 ID
Session ID
long
1
uid
进程 UID
Process UID
text
0
gid
进程 GID
Process GID
text
0
euid
进程 EUID
Effective UID
long
0
egid
进程 EGID
Effective GID
long
0
report_type
上报类型
Report Type
long
0
process_name
进程名
Process Name
text
nginx
parent_proc_name
父进程名
Parent Process Name
text
systemd
process_path
进程路径
Process Path
text
/usr/sbin/nginx
cmdline
命令行
Command Line
text
nginx -g daemon off
user_name
启动用户名
Username
text
nginx
process_md5
进程 MD5
Process MD5
text
abc123…
platform
操作系统平台
Platform
text
Linux
Windows
pstree
进程树
Process Tree
text
“systemd->nginx”
status
状态
Status
text
已拦截
rule_source
拦截规则来源
Rule Source
text
高危命令
反弹 Shell

附:通用字段枚举说明

风险等级(risk_level)
严重
高危
中危
低危
提示
处理状态(status/data_status)
待处理
白名单
已处理
已忽略
事件状态(event_status)
create
modify
delete
操作系统类型(os_type)
CentOS
Ubuntu
Debian
RedHat
Windows
Kylin
UOS
OpenEuler
Agent 状态(agent_status)
在线
离线
异常
防护版本(protect_type)
基础版
专业版
旗舰版
轻量版

时间字段说明

所有时间字段使用 Unix 时间戳(秒级),例如:1712736000 表示 2024-04-10 12:00:00 UTC。