日志字段数据解析

最近更新时间:2024-05-28 10:11:41

我的收藏

全局规范

日志内容信息采用 JSON 格式。
日志字符编码统一为 utf-8 格式。
日志包含公共字段和各类型独有字段,详见字段说明。
日志目前分为事件日志、资产日志、客户端日志三种类型。

日志类型

日志类型由公共字段 cls_event_type 确定,目前包含日志类型值说明如下:

事件日志

cls_event_type
日志类型值
malware
risk_process
hostlogin
bruteattack
risk_dns
bash
privilege_escalation
reverse_shell
emergency_vul
linux_app_vul
windows_sys_vul
Web-CMS_vul
application_vul
baseline
基线
attack_logs
java_shell
file_tamper
tamper_protect_logs
tamper_protect_exceptions
agent_uninstall
agent_offline

资产日志

cls_event_type
日志类型值
machines
asset_system
asset_account
账号
asset_netstat
端口
asset_process
进程
asset_app
asset_database
数据库
asset_web_app
asset_web_service
asset_web_frame
asset_web_location
asset_jar
jar 包
asset_init_service
asset_scheduled_task
asset_env
asset_core_module
asset_package

客户端上报日志

cls_event_type
日志类型值
client_log
dns_log
DNS日志
process_snapshot
net_log
file_log
login_log

事件日志字段说明

公共字段说明

字段
类型
说明
id
string
数据库记录 id
appid
string
用户 appid
create_time
string
事件创建时间
modify_time
string
事件修改时间
cls_event_type
string
事件类型
event_status
string
事件状态(create 创建、modify 修改、delete 删除)

文件查杀字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
file_path
string
文件路径
md5
string
文件 md5
filesize
string
文件大小
file_create_time
string
文件创建时间
file_modify_time
string
文件修改时间
file_access_time
string
文件访问时间
status
string
状态(待处理、已信任、已隔离、白文件、文件已删除、隔离中、恢复中、事件记录已删除)
virus_name
string
病毒名
bwtype
string
样本属性(10:白;20~29:黑)
path_md5
string
文件路径 md5

异常进程字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
pid
int
进程 ID
exe_path
string
进程路径
exe_md5
string
进程 md5
exe_desc
string
进程详情
exe_argv
string
进程参数
exe_create_time
string
进程创建时间
exe_modify_time
string
进程修改时间
exe_access_time
string
进程访问时间
status
string
状态(待处理、已信任、已清理、已退出)
start_time
string
进程启动时间
virus_name
string
病毒名
latest_scan_time
string
最近扫描时间
pstree
string
进程树详情,json 格式
risk_level
string
风险等级(提示、低、中、高、严重)
pay_version
string
机器版本(基础版、专业版、旗舰版、普惠版)
rss
int
进程内存
permission
string
进程权限

异常登录字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
username
string
登录用户名
count
string
登录次数 (1分钟聚合一次)
src_ip
string
登录来源 IP
dst_port
string
登录端口
src_machine_name
string
登录源机器名称
login_time
string
登录时间
status
string
状态(正常登录、异常登录、已加白、已删除、确认入侵登录、已处理、已忽略)
location
string
位置

密码破解字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
username
string
用户名
count
string
尝试次数
event_type
string
事件类型 (爆破失败、爆破成功、爆破不存在的账号)
src_ip
string
来源 IP
dst_port
string
来源端口
src_machine_name
string
来源机器名称
status
string
状态(待处理、已忽略 、误报、已删除、命中白名单、已处理 、已加白名单)
location
string
位置
banned
string
阻断状态(未阻断、已阻断、未阻断(未开启阻断)、未阻断(非专业版)、未阻断(已加白名单)、未阻断(未绑定公网 IP)、阻断失败(接口异常)、阻断失败(内网不支持)、阻断失败(可用区不支持))

恶意请求字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
url
string
域名
pid
string
进程 ID
process_name
string
进程名称
cmd_line
string
命令行
status
string
状态(待处理、已删除、已加白、用户已取消信任、已处理、已忽略)
access_count
string
请求次数
query_time
string
首次请求时间
merge_time
string
最近请求时间

高危命令字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
user
string
执行的用户
platform
string
平台
exec_time
string
命令执行时间
bash_cmd
string
执行的命令
status
string
状态(待处理、危险命令、正常命令、已忽略、已删除)
rule_name
string
命中的规则名
rule_level
string
命令危险等级 (高危、中危、低危)

本地提权字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
process_name
string
进程名称
full_path
string
文件路径
pid
string
进程 ID
cmd_line
string
命令行
user_name
string
执行的用户
user_group
string
执行用户所属组
proc_file_privilege
string
进程文件权限信息
ppid
string
父进程 ID
parent_proc_name
string
父进程名称
parent_proc_user
string
执行父进程的用户
parent_proc_group
string
执行父进程用户所属组
parent_proc_path
string
父进程路径
find_time
string
执行时间
proc_tree
string
进程树
sid
string
用户 sessionid,目前默认为0
uid
string
用户 ID
gid
string
用户组 ID
euid
string
有效用户 ID
egid
string
有效用户组 ID
status
string
状态(待处理、提权事件、白名单、已处理、已忽略、已删除)

反弹 Shell 字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
dst_ip
string
目的 IP
dst_port
string
目的端口
process_name
string
执行的进程
full_path
string
进程路径
pid
string
进程 ID
cmd_line
string
执行的命令
user_name
string
执行的用户
user_group
string
执行用户所属组
ppid
string
父进程 ID
parent_proc_name
string
父进程名称
parent_proc_user
string
执行父进程的用户
parent_proc_group
string
执行父进程用户所属组
parent_proc_path
string
父进程路径
find_time
string
执行时间
proc_tree
string
进程树
status
string
状态(待处理、反弹 Shell 事件、白名单、已处理、已忽略、已删除)

漏洞字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
status
string
漏洞状态(待处理、已忽略、已修复、检测中、修复中、回滚中、修复失败、已失效、已下线)
vul_category
string
漏洞分类(Web 应用漏洞、系统组件漏洞、Linux 系统漏洞、Windows 系统漏洞)
descript
string
漏洞事件详情
path
string
漏洞文件路径
remark
string
漏洞备注
name
string
漏洞名称
fix
string
修复说明
cve_id
string
cve 编号
reference
string
参考说明
level
string
漏洞级别(低危、中危、高危、提示)
is_emergency
string
是否紧急

基线字段说明

字段
类型
说明
name
string
基线名称
uuid
string
机器 uuid
hostip
string
主机 IP
status
string
状态(未通过、已忽略、通过、已删除、检测中)
level
string
级别(低危、中危、高危、严重)
descript
string
描述
remark
string
备注
rule_id
string
所属基线分类 ID
category_name
string
基线分类名称
item_id
string
基线规则 ID
fix
string
修复建议

网络攻击字段说明

字段
类型
说明
uuid
string
机器 uuid
dst_port
int
目的端口
src_ip
string
来源 IP
type
string
类型,尝试攻击/攻击成功
status
string
事件状态,待处理/已处理/已加白名单/已忽略/已删除/已开启防御
count
int
事件合并计数次数
svc_ps
string
服务进程详情,json 格式
net_payload
string
攻击数据包(明文格式)
merge_time
string
事件合并时间(最近检测时间)
host_op_type
string
异常行为类型,无失陷行为/rce(命令执行)/dnslog/writefile
host_op_pstree
string
异常行为进程树,json 格式
host_op
string
异常行为内容
hostip
string
主机 IP

Java 内存马字段说明

字段
类型
说明
uuid
string
机器 uuid
type
string
木马类型(Filter 型、Listener 型、Servlet 型 、Interceptors 型、Agent 型、其他)
exe
string
Java 进程路径
argv
string
Java 进程命令行
pid
string
Java 进程 ID
class_name
string
内存马 class_name
loader_class_name
string
内存马 loader_class_name
super_class_name
string
内存马父类 super_class_name
interfaces
string
内存马 interfaces
recent_found_time
string
最近检出时间
status
string
状态(待处理、已加白、已删除、已忽略、已手动处理)
file_exist
string
文件是否存在(文件不存在、文件存在)
class_file
string
class 所在文件路径

核心文件监控字段说明

字段
类型
说明
uuid
string
机器 uuid
hostip
string
主机 IP
hostname
string
主机名称
process_exe
string
进程路径
process_argv
string
进程命令行参数
target
string
目标文件路径
status
string
状态(待处理、已加白、已删除 、已忽略、已手动处理)
event_count
string
事件产生次数
rule_name
string
规则名称
event_detail
string
事件详情,json 格式
pstree
string
进程树
rule
string
规则组详情,json 格式
level
string
级别(无、高危、中危、低危)

网页防篡改事件字段说明

字段
类型
说明
uuid
string
机器 uuid
path
string
文件路径
recover_type
string
恢复类型(内容被修改恢复、权限被修改恢复、归属被修改恢复、被删除恢复、新增删除)
has_recovered
string
是否恢复(未恢复、已恢复)
recover_time
string
恢复时间
is_manual_recover
string
是否用户手动恢复(否、是)
is_deleted
string
是否已删除(未删除、已删除)
status
string
状态(待处理、确认恶意、确认误报)
file_type
string
文件类型(常规文件、目录、软链接)

网页防篡改异常字段说明

字段
类型
说明
quuid
string
机器 uuid
exception
string
异常类型(无异常、超出限制、Agent 离线、超时、磁盘不足、机器已销毁、备份时文件变化、备份时文件不存在、超出限制,监控路径不是一个目录、超出限制,文件类型不支持、超出限制,文件数量超出限制、超出限制,路径太长、超出限制,文件太大、超出限制,文件读取失败、超出限制,防护目录、子目录数量过多、其他)
exception_message
string
异常提示

客户端卸载字段说明

字段
类型
说明
uuid
string
机器 uuid
pstree
string
进程树
uninstall_time
string
卸载时间

客户端离线字段说明

字段
类型
说明
uuid
string
机器 uuid
offline_time
string
机器离线时间

资产日志字段说明

公共字段说明

字段
类型
说明
id
string
数据库记录 ID
appid
string
用户 appid
host_name
string
主机名称
host_ip
string
主机内网 IP
wan_ip
string
主机外网 IP
instance_id
string
实例 ID
os_name
string
操作系统名称
os_type
string
操作系统类型(Unknow、CentOS、Debian、Gentoo、RedHat、Ubuntu、WindowsServer、TencentOS、CoreOS、FreeBSD、SUSE)
create_time
int
创建时间,时间戳格式
update_time
int
资产更新时间,时间戳格式
cls_event_type
string
事件类型
event_status
string
事件状态(create、modify、delete)

主机列表字段说明

字段
类型
说明
quuid
string
机器 quuid
machine_type
string
机器类型(CVM、LH、Other、ECM)
region
string
地域
project_id
int
实例所属项目 ID
instance_id
string
实例 ID
instance_state
string
实例状态(PENDING、LAUNCH_FAILED、RUNNING、STOPPED、STARTING、STOPPING、REBOOTING、SHUTDOWN、TERMINATING、TERMINATED)
restrict_state
string
业务状态(NORMAL、EXPIRED、PROTECTIVELY_ISOLATED、TERMINATED_PRO_VERSION)
instance_name
string
实例名称
private_ip_addresses
string
实例内网地址
public_ip_addresses
string
实例外网地址
ipv6_addresses
string
实例 IPv6 地址
vpc_id
string
vpc id
os_name
string
操作系统名称
os_type
string
操作系统类型(Unknow、CentOS、Debian、Gentoo、RedHat、Ubuntu、WindowsServer、TencentOS、CoreOS、FreeBSD、SUSE)
installed_cwp
int
是否安装主机安全客户端(0:未安装、1:已安装)
latest_sync_time
string
最近同步时间

资源监控字段说明

字段
类型
说明
core_version
string
内核版本
boot_time
int
系统启动时间,unix 时间戳
cpu_info
string
CPU 信息
cpu_size
int
CPU 数量
cpu_load
float
CPU 使用率
memory_size
int
内存数量:单位 MB
memory_load
float
内存使用率
disk_size
int
硬盘数量:单位 MB
disk_load
float
硬盘使用率

账号字段说明

字段
类型
说明
group_name
string
账号 GroupName
status
string
账号状态(禁用、启用)
is_root
string
是否有 root 权限
name
string
账号名称
type
string
账号类型(访客用户、标准用户、管理员用户)
home_path
string
Home 目录
shell
string
Shell 路径
password_change_time
string
密码修改时间
password_due_days
int
密码多少天后到期,-1为永不过期
password_lock_days
int
密码锁定时间,单位天,-1为无限
password_warn_days
int
密码过期提醒,单位天
password_change_type
string
密码修改设置(不可修改、可修改)
password_status
string
密码状态(正常、即将过期、已过期、已锁定)
login_type
string
登录方式(不可登录、只允许 key 登录、只允许密码登录、允许 key 和密码)
last_login_time
int
上次登录时间
last_login_terminal
string
最近登录终端
last_login_ip
string
最近登录 IP
disable_time
string
账号到期时间

端口字段说明

字段
类型
说明
name
string
进程名称
version
string
进程版本
path
string
进程路径
parent_process_name
string
父进程名称
pid
string
进程 ID
user
string
运行用户
group_name
string
所属用户组
start_time
int
启动时间,unix 时间戳
param
string
启动参数
tty
string
进程 TTY
port
string
端口
ppid
string
父进程 ID
proto
string
端口协议

软件应用字段说明

字段
类型
说明
name
string
应用名称
type
string
应用类型(运维工具、数据库、安全应用、可疑应用、系统架构、系统应用、WEB 运维、其他)
bin_path
string
二进制路径
config_path
string
配置文件路径
process_count
int
关联进程数
version
string
版本号

进程字段说明

字段
类型
说明
name
string
进程名称
group_name
string
进程用户组
desc
string
进程描述
path
string
进程路径
pid
string
进程 ID
ppid
string
父进程 ID
parent_process_name
string
父进程名称
user
string
运行用户
start_time
int
启动时间
param
string
启动参数
tty
string
进程 TTY
version
string
进程版本
status
string
进程状态(无、可执行、可中断、不可中断、暂停状态或跟踪状态、僵尸状态、将被销毁、空闲、等待分配内存)
package_name
string
软件包名

数据库字段说明

字段
类型
说明
name
string
数据库名
version
string
版本
port
string
端口
proto
string
协议
user
string
运行用户
ip
string
绑定 IP
config_path
string
配置文件路径
log_path
string
日志文件路径
data_path
string
数据路径
permission
string
运行权限
error_log_path
string
错误日志路径
plugin_path
string
插件路径
bin_path
string
二进制路径
param
string
启动参数

Web 应用字段说明

字段
类型
说明
name
string
应用名
desc
string
应用描述
version
string
版本
root_path
string
根路径
service_type
string
服务类型
domain
string
站点域名
virtual_path
string
虚拟路径
plugin_count
int
插件数

Web 服务字段说明

字段
类型
说明
name
string
框架名
version
string
版本
bin_path
string
二进制路径
service_type
string
服务类型
user
string
启动用户
install_path
string
安装路径
config_path
string
配置路径
process_count
int
关联进程数

Web 框架字段说明

字段
类型
说明
name
string
框架名
version
string
版本
lang
string
语言
service_type
string
服务类型
path
string
应用路径

Web 站点字段说明

字段
类型
说明
name
string
域名
port
string
站点端口
proto
string
站点协议
service_type
string
服务类型
path_count
int
站点路径数
user
string
运行用户
ip
string
绑定 IP
command
string
启动命令

Jar 包字段说明

字段
类型
说明
name
string
名称
type
string
类型(应用程序、系统类库、Web 服务自带库、其他)
status
string
是否可执行
version
string
版本
path
string
路径

启动服务字段说明

字段
类型
说明
name
string
名称
type
string
类型
status
string
默认启用状态(启用、未启用)
user
string
启动用户
path
string
路径

计划任务字段说明

字段
类型
说明
status
string
默认启用状态(启用、未启用)
cycle
string
执行周期
command
string
执行命令或脚本
user
string
启动用户
config_path
string
配置文件路径
os_info
string
操作系统

环境变量字段说明

字段
类型
说明
name
string
名称
type
string
类型(用户、系统)
user
string
启动用户
value
string
环境变量值

内核模块字段说明

字段
类型
说明
name
string
名称
desc
string
描述
path
string
路径
version
string
版本
size
int
大小

系统安装包字段说明

字段
类型
说明
name
string
安装包名
desc
string
描述
version
string
版本
install_time
int
安装时间,unix 时间戳
type
string
类型

客户端上报日志字段说明

原始日志字段说明

字段
类型
说明
appid
int
用户 appid
uuid
string
机器 uuid
path
string
日志文件路径
tag
string
标签(将来用户定义)
time
string
日志时间
log
string
日志内容

DNS 日志字段说明

字段
类型
说明
appid
int
用户 appid
quuid
string
机器 quuid
uuid
string
机器 uuid
recv_time
int
时间戳
domain
string
域名
hostip
string
主机 IP
platform
string
平台:Linux,Windows
pid
int
进程 ID
process_path
string
进程路径
cmdline
string
进程命令行参数
count
int
上报周期内访问次数

进程快照日志字段说明

字段
类型
字段描述
appid
string
账户 appid
quuid
string
主机 quuid(对应 cvm uuid)
uuid
string
主机 uuid
hostip
string
主机 ip(与后台连接 ip)
instance_id
string
实例 id
event_name
string
事件类型:process - 进程事件
pid
int
进程 ID
ppid
int
父进程 ID
sid
int
进程会话 ID(仅 Linux 支持)
uid
int
进程 uid(仅 Linux 支持)
gid
int
进程 gid(仅 Linux 支持)
euid
int
进程 euid(仅 Linux 支持)
egid
int
进程 egid(仅 Linux 支持)
report_type
int
上报类型:0-实时进程 1-进程快照
parent_proc_name
string
父进程名
process_name
string
进程名
process_path
string
进程路径
cmdline
string
进程命令行
user_name
string
进程启动用户
process_md5
string
进程 md5
platform
string
平台:Linux,Windows
time
int
事件采集时间戳
timestamp
string
事件入库时间日期
insert_time
int
事件入库时间戳

网络五元组日志字段说明

字段
类型
字段描述
appid
string
账户 appid
quuid
string
主机 quuid(对应 cvm uuid)
uuid
string
主机 uuid
hostip
string
主机 ip(与后台连接 ip)
instance_id
string
实例 id
event_name
string
事件类型:net - 网络五元组
pid
int
进程 pid
proc_path
string
进程路径
argv
string
进程执行参数
username
string
进程所属用户:用户组
src_ip
string
源 ip
src_port
int
源端口
dst_ip
string
目的 ip
dst_port
int
目的端口
first_time
int
上报周期内第一次触发时间
last_time
int
上报周期内最后一次触发时间
count
int
上报周期内触发次数
time
int
事件采集时间戳
timestamp
string
事件入库时间日期
insert_time
int
事件入库时间戳

文件监控日志字段说明

字段
类型
字段描述
appid
string
账户 appid
quuid
string
主机 quuid(对应 cvm uuid)
uuid
string
主机 uuid
hostip
string
主机 ip(与后台连接 ip)
instance_id
string
实例 id
event_name
string
事件类型:file - 文件操作事件
pid
int
进程 ID
ppid
int
父进程 ID
session_id
int
进程会话 ID(仅 Linux 支持)
uid
int
进程 uid(仅 Linux 支持)
gid
int
进程 gid(仅 Linux 支持)
file_path
string
操作文件路径
cwd
string
进程当前执行路径
proc_path
string
进程路径
argv
string
进程命令行
username
string
文件操作用户
parent_proc_name
string
父进程名
proc_name
string
进程名
proc_md5
string
进程 md5
proc_perm
string
进程文件执行权限
proc_mtime
int
进程文件 modify time
proc_ctime
int
进程文件 change time
proc_atime
int
进程文件 access time
operation
string
文件操作类型: write-写 rename-重命名
file_size
int
文件大小
file_mtime
int
操作文件 modify time
file_ctime
int
操作文件 change time
file_atime
int
操作文件 access time
file_perm
string
操作文件权限
file_owner
string
操作文件用户归属
time
int
事件采集时间戳
timestamp
string
事件入库时间日期
insert_time
int
事件入库时间戳

登录流水日志字段说明

字段
类型
字段描述
appid
string
账户 appid
quuid
string
主机 quuid(对应 cvm uuid)
uuid
string
主机 uuid
hostip
string
主机 ip(与后台连接 ip)
instance_id
string
实例 id
event_name
string
事件类型:login - 登录事件
src_ip
string
登录源 ip
dst_port
int
登录目标端口
protocol
string
登录协议
count
int
登录次数
event_type
string
事件状态:success:登录成功 fail:登录失败
time
int
事件采集时间戳
insert_time
int
事件入库时间戳