本文档整理了主机安全服务中所有日志类型的字段定义,包括字段名、中文含义、英文含义和示例值。
全局规范
日志内容信息采用 JSON 格式。
日志字符编码统一为 utf-8 格式。
目录
日志类型枚举
主日志类型
客户端日志子类型
资产类日志
安全事件类日志
主机信息日志
客户端日志
时间字段说明
日志类型枚举
主日志类型(cls_event_type)
类型值 | 中文说明 | 英文说明 | 安全分类 |
malware | 恶意文件 | Malware | 入侵检测 |
risk_process | 异常进程 | Risk Process | 入侵检测 |
hostlogin | 异常登录 | Abnormal Login | 入侵检测 |
bruteattack | 密码破解 | Brute Force Attack | 入侵检测 |
risk_dns | 恶意请求 | Malicious DNS Request | 入侵检测 |
bash | 高危命令 | High-risk Command | 入侵检测 |
privilege_escalation | 本地提权 | Privilege Escalation | 入侵检测 |
reverse_shell | 反弹 Shell | Reverse Shell | 入侵检测 |
emergency_vul | 应急漏洞 | Emergency Vulnerability | 漏洞管理 |
web-cms_vul | Web-CMS 漏洞 | Web-CMS Vulnerability | 漏洞管理 |
application_vul | 应用漏洞 | Application Vulnerability | 漏洞管理 |
linux_app_vul | Linux 软件漏洞 | Linux App Vulnerability | 漏洞管理 |
windows_sys_vul | Windows 系统漏洞 | Windows System Vulnerability | 漏洞管理 |
vul_defence | 漏洞防御 | Vulnerability Defence | 高级防御 |
baseline | 安全基线 | Security Baseline | 基线管理 |
java_shell | Java 内存马检测 | Java Memory Shell Detection | 高级防御 |
java_shell_inject | Java 内存马注入 | Java Memory Shell Injection | 高级防御 |
file_tamper | 核心文件监控 | Core File Monitoring | 高级防御 |
attack_logs | 攻击检测 | Attack Detection | 高级防御 |
tamper_protect_exceptions | 网页防篡改异常 | Tamper Protection Exception | 高级防御 |
tamper_protect_logs | 网页防篡改日志 | Tamper Protection Log | 高级防御 |
agent_offline | 客户端离线 | Agent Offline | 客户端相关 |
agent_uninstall | 客户端卸载 | Agent Uninstall | 客户端相关 |
asset_system | 系统信息 | System Info | 资产指纹 |
asset_account | 账号 | Account | 资产指纹 |
asset_netstat | 端口 | Port | 资产指纹 |
asset_package | 系统安装包 | System Package | 资产指纹 |
asset_process | 进程 | Process | 资产指纹 |
asset_app | 软件应用 | Application | 资产指纹 |
asset_database | 数据库 | Database | 资产指纹 |
asset_web_app | Web 应用 | Web Application | 资产指纹 |
asset_web_service | Web 服务 | Web Service | 资产指纹 |
asset_web_frame | Web 框架 | Web Framework | 资产指纹 |
asset_web_location | Web 站点 | Web Location | 资产指纹 |
asset_jar | Jar 包 | Jar Package | 资产指纹 |
asset_init_service | 启动服务 | Init Service | 资产指纹 |
asset_scheduled_task | 计划任务 | Scheduled Task | 资产指纹 |
asset_env | 环境变量 | Environment Variable | 资产指纹 |
asset_core_module | 内核模块 | Core Module | 资产指纹 |
machines | 主机列表 | Machine List | 主机列表 |
client_log | 客户端日志 | Client Log | 客户端日志 |
dns_log | DNS 日志 | DNS Log | 客户端日志 |
process_snapshot | 进程快照 | Process Snapshot | 客户端日志 |
net_log | 网络日志 | Network Log | 客户端日志 |
file_log | 文件日志 | File Log | 客户端日志 |
login_log | 登录流水 | Login Log | 客户端日志 |
http_log | HTTP 日志 | HTTP Log | 客户端日志 |
app_log | 应用日志 | Application Log | 客户端日志 |
客户端日志子类型(sub_log_type)
类型值 | 中文说明 | 英文说明 | 父类型 |
system_auth_log | 系统认证和授权信息 | System Auth Log | 原始日志 |
system_audit_log | 系统审计信息 | System Audit Log | 原始日志 |
system_message_log | 系统信息 | System Message Log | 原始日志 |
egress_log | 出站日志 | Egress Log | 网络日志 |
ingress_log | 入站日志 | Ingress Log | 网络日志 |
资产类日志
资产账号(AssetAccount)
日志类型:asset_account
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统类型 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
uid | 账号 UID | Account UID | text | 1000 |
gid | 账号 GID | Account GID | text | 1000 (仅 Linux) |
group_name | 账号组名 | Group Name | text | users |
status | 账号状态 | Account Status | text | 启用 禁用 |
is_root | 是否有 root 权限 | Has Root Privilege | text | 是 否 |
name | 账号名称 | Account Name | text | admin |
type | 账号类型 | Account Type | text | 访客用户 标准用户 管理员用户 |
home_path | Home 目录 | Home Path | text | /home/admin |
shell | Shell 路径 | Shell Path | text | /bin/bash (仅 Linux) |
password_change_time | 密码修改时间 | Password Change Time | text | 2023-01-01 |
password_due_days | 密码过期天数 | Password Due Days | long | 90 (-1 为永不过期) |
password_lock_days | 密码锁定天数 | Password Lock Days | long | 1 (-1 为无限) |
password_warn_days | 密码过期提醒天数 | Password Warn Days | long | 7 (仅 Windows) |
password_change_type | 密码修改设置 | Password Change Type | text | 可修改 不可修改 |
password_status | 密码状态 | Password Status | text | 正常 即将过期 已过期 已锁定 |
login_type | 登录方式 | Login Type | text | 不可登录 只允许 key 登录 只允许密码登录 允许 key 和密码 |
last_login_time | 上次登录时间 | Last Login Time | long | 1680000000 |
last_login_terminal | 最近登录终端 | Last Login Terminal | text | pts/0 (仅 Linux) |
last_login_ip | 最近登录 IP | Last Login IP | text | 10.0.0.2 (仅 Linux) |
disable_time | 账号到期时间 | Disable Time | text | 2025-12-31 (仅 Linux) |
event_status | 事件状态 | Event Status | text | create modify delete |
资产应用(AssetApp)
日志类型: asset_app
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 应用名称 | App Name | text | nginx |
type | 应用类型 | App Type | text | 运维工具 数据库 安全应用 可疑应用 系统架构 系统应用 WEB 运维 其他 |
bin_path | 二进制路径 | Binary Path | text | /usr/sbin/nginx |
config_path | 配置文件路径 | Config Path | text | /etc/nginx/nginx.conf |
process_count | 关联进程数 | Process Count | long | 4 |
version | 版本号 | Version | text | 1.18.0 |
event_status | 事件状态 | Event Status | text | create modify delete |
内核模块(AssetCoreModule)
日志类型: asset_core_module
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 模块名称 | Module Name | text | ext4 |
desc | 模块描述 | Description | text | ext4 filesystem |
path | 模块路径 | Module Path | text | /lib/modules/… |
version | 模块版本 | Version | text | 1.0 |
size | 模块大小 | Size | long | 102400 |
event_status | 事件状态 | Event Status | text | create modify delete |
数据库资产(AssetDatabase)
日志类型: asset_database
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 数据库名称 | Database Name | text | MySQL |
version | 版本号 | Version | text | 5.7.32 |
port | 监听端口 | Port | text | 3306 |
proto | 协议 | Protocol | text | TCP |
user | 运行用户 | Run User | text | MySQL |
ip | 绑定 IP | Bind IP | text | 0.0.0.0 |
config_path | 配置文件路径 | Config Path | text | /etc/my.cnf |
log_path | 日志文件路径 | Log Path | text | /var/log/mysql/mysql.log |
data_path | 数据路径 | Data Path | text | /var/lib/mysql |
permission | 运行权限 | Permission | text | rwxr-xr-x |
error_log_path | 错误日志路径 | Error Log Path | text | /var/log/mysql/error.log |
plugin_path | 插件路径 | Plugin Path | text | /usr/lib/mysql/plugin |
bin_path | 二进制路径 | Binary Path | text | /usr/sbin/mysqld |
param | 启动参数 | Parameters | text | –user=mysql |
event_status | 事件状态 | Event Status | text | create modify delete |
端口监听(AssetNetstat)
日志类型: asset_netstat
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 进程名称 | Process Name | text | nginx |
version | 进程版本 | Process Version | text | 1.18.0 |
path | 进程路径 | Process Path | text | /usr/sbin/nginx |
parent_process_name | 父进程名称 | Parent Process Name | text | systemd |
pid | 进程 ID | Process ID | text | 1234 |
ppid | 父进程 ID | Parent PID | text | 1 |
user | 运行用户 | Run User | text | nginx |
group_name | 所属用户组 | Group Name | text | nginx |
start_time | 启动时间 | Start Time | long | 1680000000 (Unix 时间戳) |
param | 启动参数 | Parameters | text | -g daemon off |
tty | 进程 TTY | Process TTY | text | ? |
port | 端口 | Port | text | 80 |
proto | 端口协议 | Protocol | text | tcp |
bind_ip | 绑定 IP | Bind IP | text | 0.0.0.0 |
event_status | 事件状态 | Event Status | text | create modify delete |
软件包(AssetPackage)
日志类型: asset_package
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 软件包名称 | Package Name | text | openssl |
desc | 描述 | Description | text | OpenSSL libraries |
version | 版本号 | Version | text | 1.0.2k |
install_time | 安装时间 | Install Time | long | 1680000000 (Unix 时间戳) |
type | 包类型 | Package Type | text | rpm dpkg java |
event_status | 事件状态 | Event Status | text | create modify delete |
进程(AssetProcess)
日志类型: asset_process
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 进程名称 | Process Name | text | nginx |
group_name | 进程用户组 | Process Group | text | nginx |
desc | 进程描述 | Description | text | Web Server (仅 Windows) |
path | 进程路径 | Process Path | text | /usr/sbin/nginx |
pid | 进程 ID | Process ID | text | 1234 |
ppid | 父进程 ID | Parent PID | text | 1 |
parent_process_name | 父进程名称 | Parent Process Name | text | systemd |
user | 运行用户 | Run User | text | nginx |
start_time | 启动时间 | Start Time | long | 1680000000 (Unix 时间戳) |
param | 启动参数 | Parameters | text | -g daemon off |
tty | 进程 TTY | Process TTY | text | ? |
version | 进程版本 | Process Version | text | 1.18.0 |
status | 进程状态 | Status | text | 可执行 可中断 不可中断 暂停状态或跟踪状态 僵尸状态 将被销毁 空闲 等待分配内存 |
package_name | 软件包名 | Package Name | text | nginx-1.18.0 |
event_status | 事件状态 | Event Status | text | create modify delete |
计划任务(AssetScheduledTask)
日志类型: asset_scheduled_task
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
status | 启用状态 | Status | text | 启用 未启用 |
cycle | 执行周期 | Execution Cycle | text | 0 0 * |
command | 执行命令 | Command | text | /opt/script/backup.sh |
user | 启动用户 | User | text | root |
config_path | 配置文件路径 | Config Path | text | /etc/crontab |
os_info | 操作系统 | OS Info | text | CentOS 7.6 |
event_status | 事件状态 | Event Status | text | create modify delete |
系统信息(AssetSystem)
日志类型: asset_system
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
core_version | 内核版本 | Kernel Version | text | 3.10.0-1160.el7.x86_64 |
boot_time | 系统启动时间 | Boot Time | long | 1680000000 (Unix 时间戳) |
cpu_info | CPU 信息 | CPU Info | text | Intel Xeon E5-2680 |
cpu_size | CPU 数量 | CPU Count | long | 8 |
cpu_load | CPU 使用率 | CPU Load | text | 25.5 (仅 Linux) |
memory_size | 内存大小 (MB) | Memory Size | long | 16384 |
memory_load | 内存使用率 | Memory Load | text | 65.2 |
disk_size | 硬盘大小 (MB) | Disk Size | long | 102400 |
disk_load | 硬盘使用率 | Disk Load | text | 45.8 |
event_status | 事件状态 | Event Status | text | create modify delete |
环境变量(AssetEnv)
日志类型: asset_env
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 变量名称 | Variable Name | text | PATH |
type | 类型 | Type | text | 用户 系统 |
user | 启动用户 | User | text | root |
value | 环境变量值 | Value | text | /usr/local/bin:/usr/bin |
event_status | 事件状态 | Event Status | text | create modify delete |
启动服务(AssetInitService)
日志类型: asset_init_service
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 服务名称 | Service Name | text | nginx |
type | 服务类型 | Service Type | text | (仅 Windows) |
status | 启用状态 | Status | text | 启用 未启用 |
user | 启动用户 | User | text | root |
path | 路径 | Path | text | /usr/lib/systemd/system/nginx.service |
event_status | 事件状态 | Event Status | text | create modify delete |
Jar 包(AssetJar)
日志类型: asset_jar
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | Jar 包名称 | Jar Name | text | spring-core.jar |
type | 类型 | Type | text | 应用程序 系统类库 Web 服务自带库 其他 |
status | 是否可执行 | Is Executable | text | 可执行 不可执行 |
version | 版本 | Version | text | 5.3.0 |
path | 路径 | Path | text | /opt/app/lib/spring-core.jar |
event_status | 事件状态 | Event Status | text | create modify delete |
Web 应用(AssetWebApp)
日志类型: asset_web_app
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 应用名 | App Name | text | WordPress |
desc | 应用描述 | Description | text | Blog Platform |
version | 版本 | Version | text | 5.8.0 |
root_path | 根路径 | Root Path | text | /var/www/html |
service_type | 服务类型 | Service Type | text | Apache |
domain | 站点域名 | Domain | text | www.example.com |
virtual_path | 虚拟路径 | Virtual Path | text | / |
plugin_count | 插件数 | Plugin Count | long | 5 |
event_status | 事件状态 | Event Status | text | create modify delete |
Web 框架(AssetWebFrame)
日志类型: asset_web_frame
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 框架名 | Framework Name | text | Spring |
version | 版本 | Version | text | 5.3.0 |
lang | 语言 | Language | text | Java |
service_type | 服务类型 | Service Type | text | Tomcat |
path | 应用路径 | Application Path | text | /opt/app |
event_status | 事件状态 | Event Status | text | create modify delete |
Web 站点(AssetWebLocation)
日志类型: asset_web_location
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 域名 | Domain | text | www.example.com |
port | 站点端口 | Port | text | 80 |
proto | 站点协议 | Protocol | text | http |
service_type | 服务类型 | Service Type | text | nginx |
path_count | 站点路径数 | Path Count | long | 3 |
user | 运行用户 | Run User | text | www-data |
ip | 绑定 IP | Bind IP | text | 0.0.0.0 |
command | 启动命令 | Command | text | /usr/sbin/nginx |
event_status | 事件状态 | Event Status | text | create modify delete |
Web 服务(AssetWebService)
日志类型: asset_web_service
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_name | 主机名称 | Host Name | text | web-server-01 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
wan_ip | 外网 IP | Public IP | text | 1.2.3.4 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统分类 | OS Type | text | CentOS |
update_time | 更新时间 | Update Time | long | 1680000000 |
create_time | 创建时间 | Create Time | long | 1680000000 |
name | 服务名 | Service Name | text | nginx |
version | 版本 | Version | text | 1.18.0 |
bin_path | 二进制路径 | Binary Path | text | /usr/sbin/nginx |
service_type | 服务类型 | Service Type | text | Web Server |
user | 启动用户 | User | text | root |
install_path | 安装路径 | Install Path | text | /etc/nginx |
config_path | 配置路径 | Config Path | text | /etc/nginx/nginx.conf |
process_count | 关联进程数 | Process Count | long | 4 |
event_status | 事件状态 | Event Status | text | create modify delete |
安全事件类日志
异常进程(EventsRiskProcess)
日志类型: risk_process
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
host_ip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
pid | 进程 ID | Process ID | long | 1234 |
exe_path | 进程路径 | Executable Path | text | /tmp/malware |
exe_md5 | 进程 MD5 | Executable MD5 | text | d41d8cd98f00b204… |
exe_desc | 进程详情 | Executable Description | text | 可疑挖矿程序 |
exe_argv | 进程参数 | Executable Arguments | text | -o pool.mining.com |
exe_create_time | 进程创建时间 | Executable Create Time | text | 2023-04-01 12:00:00 |
exe_modify_time | 进程修改时间 | Executable Modify Time | text | 2023-04-01 12:00:00 |
exe_access_time | 进程访问时间 | Executable Access Time | text | 2023-04-01 12:00:00 |
status | 处理状态 | Handle Status | text | 待处理 已处理 查杀中 已查杀 已退出 已忽略 已删除 |
start_time | 进程启动时间 | Start Time | text | 2023-04-01 12:00:00 |
virus_name | 病毒名 | Virus Name | text | Miner.Linux.Generic |
latest_scan_time | 最近扫描时间 | Latest Scan Time | text | 2023-04-01 12:00:00 |
pstree | 进程树详情 | Process Tree | text | systemd->bash->malware |
risk_level | 风险等级 | Risk Level | text | 提示 低危 中危 高危 严重 |
pay_version | 防护版本 | Protection Version | text | 基础版 专业版 旗舰版 轻量版 |
rss | 进程内存 (B) | Memory RSS | long | 102400 |
permission | 进程权限 | Process Permission | text | rwxr-xr-x |
event_status | 事件状态 | Event Status | text | create modify delete |
Java 内存马检测(EventsJavaShell)
日志类型: java_shell
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 首次发现时间 | First Found Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
recent_found_time | 最近检出时间 | Recent Found Time | text | 2023-04-01 12:00:00 |
type | 木马类型 | Shell Type | text | Filter 型 Listener 型 Servlet 型 Interceptors 型 Agent 型 其他 |
exe | Java 进程路径 | Java Executable Path | text | /usr/bin/java |
argv | Java 进程命令行 | Java Command Line | text | -jar app.jar |
pid | Java 进程 ID | Java Process ID | text | 1234 |
class_name | 内存马类名 | Class Name | text | org.apache.EvilFilter |
loader_class_name | 加载器类名 | Loader Class Name | text | java.lang.ClassLoader |
super_class_name | 父类名 | Super Class Name | text | javax.servlet.Filter |
interfaces | 接口列表 | Interfaces | text | javax.servlet.Filter |
status | 处理状态 | Handle Status | text | 待处理 已加白 已删除 已忽略 已手动处理 |
md5 | 内存马 MD5 | Shell MD5 | text | abc123… |
file_exist | 文件是否存在 | File Exist | text | 文件不存在 文件存在 |
class_file | Class 文件路径 | Class File Path | text | /opt/app/WEB-INF/classes/… |
event_status | 事件状态 | Event Status | text | create modify delete |
Java 内存马注入(EventsJavaShellInject)
日志类型: java_shell_inject
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
merge_time | 合并时间 | Merge Time | text | 2023-04-01 12:00:00 |
count | 攻击次数 | Attack Count | long | 5 |
status | 处理状态 | Handle Status | text | 待处理 已防御 已处理 已忽略 已删除 已加白 |
src_ip | 攻击来源 IP | Source IP | text | 192.168.1.100 |
src_port | 攻击来源端口 | Source Port | text | 54321 |
dst_port | 目标端口 | Destination Port | long | 8080 |
attack_type | 攻击类型 | Attack Type | text | 内存马注入 |
net_payload | 攻击数据包 | Network Payload | text | POST /api/upload… |
pid | 进程 ID | Process ID | long | 1234 |
main_class | 主类名 | Main Class | text | org.springframework.boot.loader.JarLauncher |
stack_trace | 堆栈信息 | Stack Trace | text | at org.apache… |
url | 请求 URL | Request URL | text | /api/upload |
poc | 攻击 PoC | Attack PoC | text | exec(‘whoami’) |
event_status | 事件状态 | Event Status | text | create modify delete |
漏洞防御(EventsVulDefence)
日志类型: vul_defence
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
merge_time | 合并时间 | Merge Time | text | 2023-04-01 12:00:00 |
count | 攻击次数 | Attack Count | long | 5 |
status | 处理状态 | Handle Status | text | 待处理 已防御 已处理 已忽略 已删除 已加白 |
vul_name | 漏洞名称 | Vulnerability Name | text | Log4j 远程代码执行漏洞 |
src_ip | 攻击来源 IP | Source IP | text | 192.168.1.100 |
src_port | 攻击来源端口 | Source Port | text | 54321 |
dst_port | 目标端口 | Destination Port | long | 8080 |
attack_type | 攻击类型 | Attack Type | text | 代码执行 |
net_payload | 攻击数据包 | Network Payload | text | GET /api/test?.. |
pid | 进程 ID | Process ID | long | 1234 |
main_class | 主类名 | Main Class | text | org.apache.catalina.startup.Bootstrap |
stack_trace | 堆栈信息 | Stack Trace | text | at org.apache… |
url | 请求 URL | Request URL | text | /api/test |
poc | 攻击 Poc | Attack POC | text | ${jndi:ldap://…} |
event_status | 事件状态 | Event Status | text | create modify delete |
核心文件监控(EventsFileTamper)
日志类型: file_tamper
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
hostname | 主机名 | Host Name | text | web-server-01 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
process_exe | 进程路径 | Process Executable | text | /usr/bin/vim |
process_argv | 进程命令行参数 | Process Arguments | text | vim /etc/passwd |
target | 目标文件路径 | Target File Path | text | /etc/passwd |
status | 处理状态 | Handle Status | text | 待处理 已加白 已删除 已忽略 已手动处理 |
event_count | 事件产生次数 | Event Count | long | 3 |
rule_name | 规则名称 | Rule Name | text | 系统关键文件监控 |
event_detail | 事件详情 | Event Detail | text | {"action":"modify"} |
pstree | 进程树 | Process Tree | text | systemd->bash->vim |
rule | 规则组详情 | Rule Detail | text | {"paths":["/etc/passwd"]} |
level | 风险等级 | Risk Level | text | 无 高危 中危 低危 |
event_status | 事件状态 | Event Status | text | create modify delete |
网络攻击日志(EventsAttack)
日志类型: attack_logs
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
merge_time | 合并时间 | Merge Time | text | 2023-04-01 12:00:00 |
src_ip | 攻击来源 IP | Source IP | text | 192.168.1.100 |
dst_port | 目标端口 | Destination Port | long | 80 |
vul_name | 漏洞名称 | Vulnerability Name | text | Apache Log4j2 远程代码执行漏洞 |
type | 攻击类型 | Attack Type | text | 尝试攻击 攻击成功 |
status | 处理状态 | Status | text | 待处理 已处理 已加白名单 已忽略 已删除 已开启防御 |
count | 合并计数 | Merge Count | long | 5 |
svc_ps | 服务进程详情 | Service Process Details | text | {"pid":1234,"name":"java"} |
net_payload | 攻击数据包 | Attack Payload | text | GET /exploit HTTP/1.1… |
host_op_type | 失陷行为类型 | Compromise Type | text | 无失陷行为 rce (命令执行) dnslog writefile |
host_op_pstree | 异常行为进程树 | Abnormal Process Tree | text | {"process":"bash"} |
host_op | 异常行为内容 | Abnormal Behavior | text | curl http://malicious.com |
event_status | 事件状态 | Event Status | text | create modify delete |
高危命令(EventsBash)
日志类型: bash
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
user | 执行用户 | User | text | root |
platform | 操作系统平台 | Platform | text | Win32 Win64 Linux32 Linux64 |
exec_time | 执行时间 | Execution Time | text | 2023-04-01 12:00:00 |
bash_cmd | 命令详情 | Command Line | text | rm -rf / |
pstree | 进程树 | Process Tree | text | bash->rm |
status | 处理状态 | Status | text | 待处理 危险命令 正常命令 已忽略 已删除 已拦截 |
rule_name | 规则名称 | Rule Name | text | 危险命令执行 |
rule_level | 风险等级 | Risk Level | text | 高危 中危 低危 |
event_status | 事件状态 | Event Status | text | create modify delete |
暴力破解(EventsBruteAttack)
日志类型: bruteattack
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
username | 攻击用户名 | Attack Username | text | root |
count | 攻击次数 | Attack Count | long | 100 |
event_type | 攻击结果类型 | Event Type | text | 暴破失败(密码错误) 暴破成功 暴破失败(账号不存在) |
src_ip | 攻击来源 IP | Source IP | text | 192.168.1.100 |
dst_port | 攻击端口 | Destination Port | long | 22 |
src_machine_name | 来源主机名 | Source Machine Name | text | attacker-host |
status | 事件状态 | Event Status | text | 待处理 已忽略 误报 已删除 命中白名单 已处理 已加白名单 |
location | 攻击来源地域 | Source Location | text | 中国-北京 |
banned | 封禁状态 | Ban Status | text | 未阻断 已阻断 阻断失败(接口异常) 未阻断(未开启阻断) 未阻断(非专业版、非旗舰版) 未阻断(已加白名单) 未阻断(未绑定公网 IP) 阻断失败(内网不支持) 阻断失败(可用区不支持) |
risk_level | 风险等级 | Risk Level | text | 低危 可疑 高危 |
event_status | 事件状态 | Event Status | text | create modify delete |
异地登录(EventsHostLogin)
日志类型: hostlogin
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
username | 登录用户 | Username | text | root |
count | 登录次数 | Login Count | long | 1 |
src_ip | 登录来源 IP | Source IP | text | 192.168.1.100 |
dst_port | 登录端口 | Destination Port | long | 22 |
src_machine_name | 来源主机名 | Source Machine Name | text | client-host |
login_time | 登录时间 | Login Time | text | 2023-04-01 12:00:00 |
status | 处理状态 | Status | text | 正常登录 异常登录 已加白 误报 已删除 确认入侵登录 已处理 已忽略 |
location | 登录来源地域 | Source Location | text | 中国-北京 |
is_risk_area | 是否异常地域 | Is Risk Area | text | True False |
is_risk_user | 是否异常用户 | Is Risk User | text | True False |
is_risk_time | 是否异常时间 | Is Risk Time | text | True False |
is_risk_src_ip | 是否异常来源 IP | Is Risk Source IP | text | True False |
risk_level | 风险等级 | Risk Level | text | 高危 可疑 |
event_status | 事件状态 | Event Status | text | create modify delete |
恶意文件(EventsMalware)
日志类型: malware
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
file_path | 文件路径 | File Path | text | /tmp/malware.exe |
md5 | 文件 MD5 | File MD5 | text | d41d8cd98f00b204… |
filesize | 文件大小 | File Size | long | 102400 |
file_create_time | 文件创建时间 | File Create Time | long | 1680000000 |
file_modify_time | 文件修改时间 | File Modify Time | long | 1680000000 |
file_access_time | 文件访问时间 | File Access Time | long | 1680000000 |
status | 处理状态 | Handle Status | text | 待处理 信任文件 已隔离 白文件 文件已删除 隔离中 恢复中 记录已删除 命中用户白名单 已处理 |
virus_name | 木马名称 | Virus Name | text | Trojan.Linux.Generic |
bwtype | 黑白类型 | BW Type | long | 0 |
path_md5 | 路径 MD5 | Path MD5 | text | abc123… |
risk_level | 风险等级 | Risk Level | text | 严重 高危 中危 低危 提示 |
first_detection_method | 首次检测方式 | First Detection Method | text | 扫描 实时监控 |
event_status | 事件状态 | Event Status | text | create modify delete |
反弹 Shell(EventsReverseShell)
日志类型: reverse_shell
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
dst_ip | 目标连接 IP | Destination IP | text | 1.2.3.4 |
dst_port | 目标连接端口 | Destination Port | long | 4444 |
process_name | 进程名称 | Process Name | text | bash |
full_path | 进程完整路径 | Full Path | text | /bin/bash |
pid | 进程 ID | Process ID | long | 1234 |
cmd_line | 命令行 | Command Line | text | bash -i >& /dev/tcp/… |
user_name | 运行用户 | User Name | text | www-data |
user_group | 用户组 | User Group | text | www-data |
ppid | 父进程 ID | Parent PID | long | 1 |
parent_proc_name | 父进程名称 | Parent Process Name | text | nginx |
parent_proc_user | 父进程用户 | Parent Process User | text | root |
parent_proc_group | 父进程用户组 | Parent Process Group | text | root |
parent_proc_path | 父进程路径 | Parent Process Path | text | /usr/sbin/nginx |
find_time | 发现时间 | Find Time | text | 2023-04-01 12:00:00 |
proc_tree | 进程树 | Process Tree | text | nginx->bash |
status | 处理状态 | Handle Status | text | 待处理 反弹 Shell 事件 白名单 已处理 已忽略 已删除 已拦截 |
risk_level | 风险等级 | Risk Level | text | 高危 中危 |
detect_method | 检测方式 | Detection Method | text | 行为分析 命令特征检测 |
event_status | 事件状态 | Event Status | text | create modify delete |
本地提权(EventsPrivEsc)
日志类型: privilege_escalation
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
process_name | 进程名称 | Process Name | text | bash |
full_path | 进程完整路径 | Full Path | text | /bin/bash |
pid | 进程 ID | Process ID | long | 1234 |
cmd_line | 命令行 | Command Line | text | sudo su - |
user_name | 运行用户 | User Name | text | www-data |
user_group | 用户组 | User Group | text | www-data |
proc_file_privilege | 进程文件权限 | Process File Privilege | text | rwxr-xr-x |
ppid | 父进程 ID | Parent PID | long | 1 |
parent_proc_name | 父进程名称 | Parent Process Name | text | nginx |
parent_proc_user | 父进程用户 | Parent Process User | text | root |
parent_proc_group | 父进程用户组 | Parent Process Group | text | root |
parent_proc_path | 父进程路径 | Parent Process Path | text | /usr/sbin/nginx |
find_time | 发现时间 | Find Time | text | 2023-04-01 12:00:00 |
proc_tree | 进程树 | Process Tree | text | nginx->bash->su |
sid | 会话 ID | Session ID | long | 1234 |
uid | 用户 ID | User ID | text | 1000 |
gid | 组 ID | Group ID | text | 1000 |
euid | 有效用户 ID | Effective UID | long | 0 |
egid | 有效组 ID | Effective GID | long | 0 |
status | 处理状态 | Handle Status | text | 待处理 提权事件 白名单 已处理 已忽略 已删除 |
event_status | 事件状态 | Event Status | text | create modify delete |
恶意域名(EventsRiskDns)
日志类型: risk_dns
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
url | 恶意域名 | Malicious URL | text | malware.evil.com |
pid | 进程 ID | Process ID | long | 1234 |
process_name | 进程名称 | Process Name | text | curl |
cmd_line | 命令行 | Command Line | text | curl http://malware… |
status | 处理状态 | Handle Status | text | 待处理 已删除 已加白 已取消信任 已处理 已忽略 已拦截 |
access_count | 请求次数 | Access Count | long | 100 |
query_time | 请求时间 | Query Time | text | 2023-04-01 12:00:00 |
merge_time | 合并时间 | Merge Time | text | 2023-04-01 12:00:00 |
event_status | 事件状态 | Event Status | text | create modify delete |
漏洞事件(EventsVul)
日志类型: emergency_vul / Web-CMS_vul / application_vul / linux_app_vul / windows_sys_vul
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
name | 漏洞名称 | Vulnerability Name | text | Log4j 远程代码执行漏洞 |
status | 处理状态 | Handle Status | text | 待处理 已忽略 误报 已修复 已删除 检测中 修复中 回滚中 修复失败 已失效 已下线 |
vul_category | 漏洞分类 | Vulnerability Category | text | Web-CMS 漏洞 应用漏洞 安全基线漏洞 Linux 软件漏洞 Windows 系统漏洞 |
descript | 漏洞描述 | Description | text | 该漏洞允许远程代码执行 |
path | 影响路径 | Affected Path | text | /opt/app/log4j.jar |
remark | 备注 | Remark | text | 需要尽快修复 |
level | 漏洞等级 | Risk Level | text | 严重 高危 中危 低危 |
is_emergency | 是否应急漏洞 | Is Emergency | text | 是 否 |
fix | 修复方案 | Fix Solution | text | 升级到 2.17.0 版本 |
cve_id | CVE 编号 | CVE ID | text | CVE-2021-44228 |
reference | 参考链接 | Reference | text | https://… |
event_status | 事件状态 | Event Status | text | create modify delete |
Windows 补丁(EventsKb)
日志类型: windows_sys_vul
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
name | 补丁名称 | Patch Name | text | Windows 安全更新 KB5012345 |
kb_no | KB 编号 | KB Number | text | KB5012345 |
vul_category | 漏洞分类 | Vulnerability Category | text | Windows 系统漏洞 |
status | 处理状态 | Handle Status | text | 待处理 已忽略 已修复 |
fix_status | 修复状态 | Fix Status | text | 未进行修复 修复中 修复失败 修复成功 修复超时 |
cve_id | CVE 编号 | CVE ID | text | CVE-2023-12345 |
publish_time | 发布时间 | Publish Time | text | 2023-04-01 |
event_status | 事件状态 | Event Status | text | create modify delete |
安全基线(EventsBaseline)
日志类型: baseline
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
name | 基线检测项名称 | Baseline Item Name | text | 确保 SSH 协议版本为 2 |
status | 检测状态 | Detection Status | text | 0 未通过 1 已忽略 3 通过 4 已删除 5 检测中 |
level | 风险等级 | Risk Level | text | 1 低危 2 中危 3 高危 4 严重 |
descript | 基线描述 | Description | text | 该配置不符合安全基线要求 |
result_descript | 检测结果描述 | Result Description | text | 当前 SSH 协议版本为 1 |
remark | 备注 | Remark | text | 建议修改配置 |
category_id | 基线分类 ID | Category ID | long | 100 |
category_name | 基线分类名称 | Category Name | text | Linux 安全基线 |
rule_id | 检测项 ID | Rule ID | long | 1001 |
fix | 修复建议 | Fix Suggestion | text | 修改 /etc/ssh/sshd_config… |
event_status | 事件状态 | Event Status | text | create modify delete |
防篡改日志(EventsTamperProtectLogs)
日志类型: tamper_protect_logs
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
path | 文件路径 | File Path | text | /var/www/html/index.html |
recover_type | 恢复类型 | Recover Type | text | 内容被修改恢复 权限被修改恢复 归属被修改恢复 被删除恢复 新增删除 |
has_recovered | 是否已恢复 | Has Recovered | text | 未恢复 已恢复 |
recover_time | 恢复时间 | Recover Time | text | 2023-04-01 12:00:00 |
is_manual_recover | 是否手动恢复 | Is Manual Recover | text | 否 是 |
is_deleted | 是否已删除 | Is Deleted | text | 未删除 已删除 |
status | 运营状态 | Status | text | 待处理 确认恶意 确认误报 |
file_type | 文件类型 | File Type | text | 常规文件 目录 软链接 |
event_status | 事件状态 | Event Status | text | create modify delete |
Agent 离线(EventsAgentOffline)
日志类型: agent_offline
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
offline_time | 离线时间 | Offline Time | text | 2023-04-01 12:00:00 |
event_status | 事件状态 | Event Status | text | create modify delete |
Agent 卸载(EventsAgentUninstall)
日志类型: agent_uninstall
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
modify_time | 修改时间 | Modify Time | text | 2023-04-01 12:00:00 |
pstree | 进程树 | Process Tree | text | systemd->bash->uninstall.sh |
uninstall_time | 卸载时间 | Uninstall Time | text | 2023-04-01 12:00:00 |
event_status | 事件状态 | Event Status | text | create modify delete |
主机信息日志
主机列表(EventsMachine)
日志类型: machines
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
id | 记录 ID | Record ID | long | 12345 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
machine_type | 云服务器类型 | Machine Type | text | CVM Lighthouse ECM |
region | 地域 | Region | text | ap-guangzhou |
project_id | 项目 ID | Project ID | long | 0 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
instance_state | 实例状态 | Instance State | text | Running Stopped |
restrict_state | 限制状态 | Restrict State | text | |
instance_name | 实例名称 | Instance Name | text | web-server-01 |
private_ip_addresses | 内网 IP | Private IP | text | 10.0.0.1 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
ipv6_addresses | IPv6 地址 | IPv6 Address | text | ::1 |
vpc_id | VPC ID | VPC ID | text | vpc-abc123 |
os_name | 操作系统名称 | OS Name | text | CentOS 7.6 |
os_type | 操作系统类型 | OS Type | text | Linux Windows |
installed_cwp | 是否安装 Agent | Installed CWP | long | 0 未安装 1 已安装 |
create_time | 创建时间 | Create Time | text | 2023-04-01 12:00:00 |
latest_sync_time | 最近同步时间 | Latest Sync Time | text | 2023-04-01 12:00:00 |
event_status | 事件状态 | Event Status | text | create modify delete |
客户端日志
原始日志(ClientLog)
日志类型: client_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
path | 日志文件路径 | Log File Path | text | /var/log/syslog |
tag | 日志标签 | Log Tag | text | syslog |
time | 日志时间 | Log Time | text | 2023-04-01 12:00:00 |
log | 日志内容 | Log Content | text | Apr 1 12:00:00 hostname sshd[1234]: … |
DNS 日志(ClientDnsLog)
日志类型: dns_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
recv_time | 接收时间 | Receive Time | long | 1680000000 |
event_name | 事件名称 | Event Name | text | dns_log |
domain | 请求域名 | Domain | text | www.example.com |
platform | 操作系统平台 | Platform | text | Linux Windows |
pid | 进程 ID | Process ID | long | 1234 |
process_path | 进程路径 | Process Path | text | /usr/bin/curl |
cmdline | 命令行参数 | Command Line | text | curl http://… |
count | 访问次数 | Access Count | long | 10 |
ppid | 父进程 ID | Parent PID | long | 1 |
status | 状态 | Status | text | 已拦截 |
网络日志(ClientNetLog)
日志类型: net_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
time | 接收时间 | Receive Time | long | 1680000000 |
insert_time | 插入时间 | Insert Time | long | 1680000000 |
timestamp | 时间戳 | Timestamp | text | 2023-04-01 12:00:00 |
event_name | 事件名称 | Event Name | text | net_log |
src_ip | 源 IP | Source IP | text | 10.0.0.1 |
dst_ip | 目的 IP | Destination IP | text | 1.2.3.4 |
src_port | 源端口 | Source Port | long | 12345 |
dst_port | 目的端口 | Destination Port | long | 80 |
first_time | 首次触发时间 | First Time | long | 1680000000 |
last_time | 最后触发时间 | Last Time | long | 1680000000 |
count | 触发次数 | Count | long | 10 |
pid | 进程 ID | Process ID | long | 1234 |
username | 执行用户 | Username | text | root |
proc_path | 进程路径 | Process Path | text | /usr/bin/curl |
argv | 命令行参数 | Arguments | text | curl http://… |
登录流水(ClientLoginLog)
日志类型: login_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
time | 接收时间 | Receive Time | long | 1680000000 |
insert_time | 插入时间 | Insert Time | long | 1680000000 |
event_name | 事件名称 | Event Name | text | login_log |
username | 登录用户 | Username | text | root |
count | 登录次数 | Login Count | long | 1 |
event_type | 登录类型 | Event Type | text | 登录/登出 |
src_ip | 登录源 IP | Source IP | text | 192.168.1.100 |
dst_port | 登录端口 | Destination Port | long | 22 |
protocol | 登录协议 | Protocol | text | SSH RDP |
HTTP 日志(ClientHttpLog)
日志类型: http_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
time | 接收时间 | Receive Time | long | 1680000000 |
insert_time | 插入时间 | Insert Time | long | 1680000000 |
timestamp | 时间戳 | Timestamp | text | 2023-04-01 12:00:00 |
event_name | 事件名称 | Event Name | text | http_log |
src_ip | 源 IP | Source IP | text | 192.168.1.100 |
src_port | 源端口 | Source Port | long | 54321 |
dst_ip | 目的 IP | Destination IP | text | 10.0.0.1 |
dst_port | 目的端口 | Destination Port | long | 80 |
method | 请求方法 | HTTP Method | text | GET POST PUT DELETE HEAD OPTIONS PATCH |
uri | 请求 URI 路径 | Request URI | text | /api/user/login |
host | 请求 Host 头 | Request Host | text | www.example.com |
payload | 请求负载 | Payload | text | username=admin |
pid | 进程 ID | Process ID | long | 1234 |
ppid | 父进程 ID | Parent PID | long | 1 |
cwd | 进程工作目录 | Working Directory | text | /var/www |
session_id | 会话 ID | Session ID | long | 1 |
proc_path | 进程可执行文件路径 | Process Path | text | /usr/bin/curl |
argv | 进程命令行参数 | Command Arguments | text | curl http://… |
username | 进程所属账户 | Process User | text | www-data |
proc_perm | 进程文件权限 | Process Permission | text | 755 |
proc_mtime | 进程文件修改时间 | Process Modify Time | long | 1680000000 |
proc_ctime | 进程文件状态变更时间 | Process Change Time | long | 1680000000 |
proc_atime | 进程文件访问时间 | Process Access Time | long | 1680000000 |
ssh_source | SSH 来源地址 | SSH Source | text | 192.168.1.50 |
parent_proc_path | 父进程可执行文件路径 | Parent Process Path | text | /bin/bash |
parent_proc_cmdline | 父进程命令行 | Parent Command Line | text | bash -c … |
parent_proc_user | 父进程账户名 | Parent Process User | text | root |
应用日志(ClientAppLog)
日志类型: app_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
path | 日志文件路径 | Log File Path | text | /var/log/app/access.log |
tag | 日志标签 | Log Tag | text | nginx |
time | 日志时间 | Log Time | text | 2023-04-01 12:00:00 |
log | 日志内容 | Log Content | text | INFO: Request processed |
文件日志(ClientFileLog)
日志类型: file_log
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
time | 接收时间 | Receive Time | long | 1680000000 |
insert_time | 插入时间 | Insert Time | long | 1680000000 |
timestamp | 时间戳 | Timestamp | text | 2023-04-01 12:00:00 |
event_name | 事件名称 | Event Name | text | file_log |
file_path | 文件路径 | File Path | text | /etc/passwd |
ppid | 父进程 ID | Parent PID | long | 1 |
pid | 进程 ID | Process ID | long | 1234 |
cwd | 进程执行路径 | Working Directory | text | /root |
uid | 进程 UID | Process UID | long | 0 |
gid | 进程 GID | Process GID | long | 0 |
session_id | 进程 SessionID | Session ID | long | 1 |
operation | 文件操作类型 | Operation | text | write read delete |
proc_name | 进程名 | Process Name | text | vim |
parent_proc_name | 父进程名 | Parent Process Name | text | bash |
proc_path | 进程路径 | Process Path | text | /usr/bin/vim |
argv | 进程执行参数 | Arguments | text | vim /etc/passwd |
proc_md5 | 进程 MD5 | Process MD5 | text | abc123… |
proc_perm | 进程文件权限 | Process Permission | text | 755 |
proc_mtime | 进程文件修改时间 | Process Modify Time | long | 1680000000 |
proc_ctime | 进程文件变更时间 | Process Change Time | long | 1680000000 |
proc_atime | 进程文件访问时间 | Process Access Time | long | 1680000000 |
file_size | 文件大小 | File Size | long | 1024 |
file_mtime | 文件修改时间 | File Modify Time | long | 1680000000 |
file_ctime | 文件变更时间 | File Change Time | long | 1680000000 |
file_atime | 文件访问时间 | File Access Time | long | 1680000000 |
file_perm | 文件权限 | File Permission | text | 644 |
file_owner | 文件所有者 | File Owner | text | root |
username | 执行用户 | Username | text | root |
进程日志(ClientProcessSnapshot)
日志类型: process_snapshot
字段名 | 中文含义 | 英文说明 | CLS 类型 | 示例 |
appid | 租户 ID | Tenant ID | long | 1251234567 |
quuid | 腾讯云 UUID | Tencent Cloud UUID | text | abc123-def456 |
uuid | 主机 UUID | Host UUID | text | abc123-def456 |
hostip | 主机 IP | Host IP | text | 10.0.0.1 |
instance_id | 实例 ID | Instance ID | text | ins-abc123 |
public_ip_addresses | 外网 IP | Public IP | text | 1.2.3.4 |
recv_time | 接收时间 | Receive Time | long | 1680000000 |
time | 时间 | Time | long | 1680000000 |
timestamp | 时间戳 | Timestamp | text | 2023-04-01 12:00:00 |
insert_time | 插入时间 | Insert Time | long | 1680000000 |
event_name | 事件名称 | Event Name | text | process_snapshot |
pid | 进程 ID | Process ID | long | 1234 |
ppid | 父进程 ID | Parent PID | long | 1 |
sid | 进程会话 ID | Session ID | long | 1 |
uid | 进程 UID | Process UID | text | 0 |
gid | 进程 GID | Process GID | text | 0 |
euid | 进程 EUID | Effective UID | long | 0 |
egid | 进程 EGID | Effective GID | long | 0 |
report_type | 上报类型 | Report Type | long | 0 |
process_name | 进程名 | Process Name | text | nginx |
parent_proc_name | 父进程名 | Parent Process Name | text | systemd |
process_path | 进程路径 | Process Path | text | /usr/sbin/nginx |
cmdline | 命令行 | Command Line | text | nginx -g daemon off |
user_name | 启动用户名 | Username | text | nginx |
process_md5 | 进程 MD5 | Process MD5 | text | abc123… |
platform | 操作系统平台 | Platform | text | Linux Windows |
pstree | 进程树 | Process Tree | text | “systemd->nginx” |
status | 状态 | Status | text | 已拦截 |
rule_source | 拦截规则来源 | Rule Source | text | 高危命令 反弹 Shell |
附:通用字段枚举说明
风险等级(risk_level)
严重
高危
中危
低危
提示
处理状态(status/data_status)
待处理
白名单
已处理
已忽略
事件状态(event_status)
create
modify
delete
操作系统类型(os_type)
CentOS
Ubuntu
Debian
RedHat
Windows
Kylin
UOS
OpenEuler
Agent 状态(agent_status)
在线
离线
异常
防护版本(protect_type)
基础版
专业版
旗舰版
轻量版
时间字段说明
所有时间字段使用 Unix 时间戳(秒级),例如:1712736000 表示 2024-04-10 12:00:00 UTC。