- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 软件相关说明
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Intrusion Detection APIs
- TrustMalwares
- RecoverMalwares
- MisAlarmNonlocalLoginPlaces
- DescribeNonlocalLoginPlaces
- DescribeMalwares
- DescribeBruteAttacks
- DeleteMalwares
- UntrustMalwares
- SeparateMalwares
- UntrustMaliciousRequest
- TrustMaliciousRequest
- ExportMaliciousRequests
- DescribeMaliciousRequests
- DeleteMaliciousRequests
- ModifyLoginWhiteList
- ExportNonlocalLoginPlaces
- ExportMalwares
- ExportBruteAttacks
- DescribeLoginWhiteList
- DeleteLoginWhiteList
- AddLoginWhiteList
- Overview Statistics-Related APIs
- Vulnerability Management-Related APIs
- Setting Center-Related APIs
- Asset Management APIs
- DescribeProcesses
- DescribeProcessTaskStatus
- DescribeProcessStatistics
- DescribeHistoryAccounts
- DescribeComponents
- DescribeComponentStatistics
- DescribeComponentInfo
- DescribeAccounts
- DescribeAccountStatistics
- CreateProcessTask
- EditTags
- DescribeTags
- DescribeTagMachines
- DescribeOpenPortTaskStatus
- DeleteMachineTag
- AddMachineTag
- CreateOpenPortTask
- Other APIs
- DescribeUsualLoginPlaces
- DeleteUsualLoginPlaces
- DeleteNonlocalLoginPlaces
- DeleteMachine
- DeleteBruteAttacks
- CreateUsualLoginPlaces
- CloseProVersion
- DescribeWeeklyReports
- DescribeWeeklyReportVuls
- DescribeWeeklyReportNonlocalLoginPlaces
- DescribeWeeklyReportMalwares
- DescribeWeeklyReportInfo
- DescribeWeeklyReportBruteAttacks
- DescribeOpenPorts
- DescribeOpenPortStatistics
- RenewProVersion
- OpenProVersionPrepaid
- ModifyProVersionRenewFlag
- InquiryPriceOpenProVersionPrepaid
- OpenProVersion
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 联系我们
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 软件相关说明
- 实践教程
- 故障处理
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Intrusion Detection APIs
- TrustMalwares
- RecoverMalwares
- MisAlarmNonlocalLoginPlaces
- DescribeNonlocalLoginPlaces
- DescribeMalwares
- DescribeBruteAttacks
- DeleteMalwares
- UntrustMalwares
- SeparateMalwares
- UntrustMaliciousRequest
- TrustMaliciousRequest
- ExportMaliciousRequests
- DescribeMaliciousRequests
- DeleteMaliciousRequests
- ModifyLoginWhiteList
- ExportNonlocalLoginPlaces
- ExportMalwares
- ExportBruteAttacks
- DescribeLoginWhiteList
- DeleteLoginWhiteList
- AddLoginWhiteList
- Overview Statistics-Related APIs
- Vulnerability Management-Related APIs
- Setting Center-Related APIs
- Asset Management APIs
- DescribeProcesses
- DescribeProcessTaskStatus
- DescribeProcessStatistics
- DescribeHistoryAccounts
- DescribeComponents
- DescribeComponentStatistics
- DescribeComponentInfo
- DescribeAccounts
- DescribeAccountStatistics
- CreateProcessTask
- EditTags
- DescribeTags
- DescribeTagMachines
- DescribeOpenPortTaskStatus
- DeleteMachineTag
- AddMachineTag
- CreateOpenPortTask
- Other APIs
- DescribeUsualLoginPlaces
- DeleteUsualLoginPlaces
- DeleteNonlocalLoginPlaces
- DeleteMachine
- DeleteBruteAttacks
- CreateUsualLoginPlaces
- CloseProVersion
- DescribeWeeklyReports
- DescribeWeeklyReportVuls
- DescribeWeeklyReportNonlocalLoginPlaces
- DescribeWeeklyReportMalwares
- DescribeWeeklyReportInfo
- DescribeWeeklyReportBruteAttacks
- DescribeOpenPorts
- DescribeOpenPortStatistics
- RenewProVersion
- OpenProVersionPrepaid
- ModifyProVersionRenewFlag
- InquiryPriceOpenProVersionPrepaid
- OpenProVersion
- Data Types
- Error Codes
- 常见问题
- 相关协议
- 联系我们
- 词汇表
全局规范
日志内容信息采用 JSON 格式。
日志字符编码统一为 utf-8 格式。
日志包含公共字段和各类型独有字段,详见字段说明。
日志目前分为事件日志、资产日志、客户端日志三种类型。
日志类型
日志类型由公共字段 cls_event_type 确定,目前包含日志类型值说明如下:
事件日志
cls_event_type | 日志类型值 |
malware | |
risk_process | |
hostlogin | |
bruteattack | |
risk_dns | |
bash | |
privilege_escalation | |
reverse_shell | |
emergency_vul | |
linux_app_vul | |
windows_sys_vul | |
Web-CMS_vul | |
application_vul | |
baseline | |
attack_logs | |
java_shell | |
file_tamper | |
tamper_protect_logs | |
tamper_protect_exceptions | |
agent_uninstall | |
agent_offline |
资产日志
cls_event_type | 日志类型值 |
machines | |
asset_system | |
asset_account | |
asset_netstat | |
asset_process | |
asset_app | |
asset_database | |
asset_web_app | |
asset_web_service | |
asset_web_frame | |
asset_web_location | |
asset_jar | |
asset_init_service | |
asset_scheduled_task | |
asset_env | |
asset_core_module | |
asset_package |
客户端上报日志
事件日志字段说明
公共字段说明
字段 | 类型 | 说明 |
id | string | 数据库记录 id |
appid | string | 用户 appid |
create_time | string | 事件创建时间 |
modify_time | string | 事件修改时间 |
cls_event_type | string | 事件类型 |
event_status | string | 事件状态(create 创建、modify 修改、delete 删除) |
文件查杀字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
file_path | string | 文件路径 |
md5 | string | 文件 md5 |
filesize | string | 文件大小 |
file_create_time | string | 文件创建时间 |
file_modify_time | string | 文件修改时间 |
file_access_time | string | 文件访问时间 |
status | string | 状态(待处理、已信任、已隔离、白文件、文件已删除、隔离中、恢复中、事件记录已删除) |
virus_name | string | 病毒名 |
bwtype | string | 样本属性(10:白;20~29:黑) |
path_md5 | string | 文件路径 md5 |
异常进程字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
pid | int | 进程 ID |
exe_path | string | 进程路径 |
exe_md5 | string | 进程 md5 |
exe_desc | string | 进程详情 |
exe_argv | string | 进程参数 |
exe_create_time | string | 进程创建时间 |
exe_modify_time | string | 进程修改时间 |
exe_access_time | string | 进程访问时间 |
status | string | 状态(待处理、已信任、已清理、已退出) |
start_time | string | 进程启动时间 |
virus_name | string | 病毒名 |
latest_scan_time | string | 最近扫描时间 |
pstree | string | 进程树详情,json 格式 |
risk_level | string | 风险等级(提示、低、中、高、严重) |
pay_version | string | 机器版本(基础版、专业版、旗舰版、普惠版) |
rss | int | 进程内存 |
permission | string | 进程权限 |
异常登录字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
username | string | 登录用户名 |
count | string | 登录次数 (1分钟聚合一次) |
src_ip | string | 登录来源 IP |
dst_port | string | 登录端口 |
src_machine_name | string | 登录源机器名称 |
login_time | string | 登录时间 |
status | string | 状态(正常登录、异常登录、已加白、已删除、确认入侵登录、已处理、已忽略) |
location | string | 位置 |
密码破解字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
username | string | 用户名 |
count | string | 尝试次数 |
event_type | string | 事件类型 (爆破失败、爆破成功、爆破不存在的账号) |
src_ip | string | 来源 IP |
dst_port | string | 来源端口 |
src_machine_name | string | 来源机器名称 |
status | string | 状态(待处理、已忽略 、误报、已删除、命中白名单、已处理 、已加白名单) |
location | string | 位置 |
banned | string | 阻断状态(未阻断、已阻断、未阻断(未开启阻断)、未阻断(非专业版)、未阻断(已加白名单)、未阻断(未绑定公网 IP)、阻断失败(接口异常)、阻断失败(内网不支持)、阻断失败(可用区不支持)) |
恶意请求字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
url | string | 域名 |
pid | string | 进程 ID |
process_name | string | 进程名称 |
cmd_line | string | 命令行 |
status | string | 状态(待处理、已删除、已加白、用户已取消信任、已处理、已忽略) |
access_count | string | 请求次数 |
query_time | string | 首次请求时间 |
merge_time | string | 最近请求时间 |
高危命令字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
user | string | 执行的用户 |
platform | string | 平台 |
exec_time | string | 命令执行时间 |
bash_cmd | string | 执行的命令 |
status | string | 状态(待处理、危险命令、正常命令、已忽略、已删除) |
rule_name | string | 命中的规则名 |
rule_level | string | 命令危险等级 (高危、中危、低危) |
本地提权字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
process_name | string | 进程名称 |
full_path | string | 文件路径 |
pid | string | 进程 ID |
cmd_line | string | 命令行 |
user_name | string | 执行的用户 |
user_group | string | 执行用户所属组 |
proc_file_privilege | string | 进程文件权限信息 |
ppid | string | 父进程 ID |
parent_proc_name | string | 父进程名称 |
parent_proc_user | string | 执行父进程的用户 |
parent_proc_group | string | 执行父进程用户所属组 |
parent_proc_path | string | 父进程路径 |
find_time | string | 执行时间 |
proc_tree | string | 进程树 |
sid | string | 用户 sessionid,目前默认为0 |
uid | string | 用户 ID |
gid | string | 用户组 ID |
euid | string | 有效用户 ID |
egid | string | 有效用户组 ID |
status | string | 状态(待处理、提权事件、白名单、已处理、已忽略、已删除) |
反弹 Shell 字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
dst_ip | string | 目的 IP |
dst_port | string | 目的端口 |
process_name | string | 执行的进程 |
full_path | string | 进程路径 |
pid | string | 进程 ID |
cmd_line | string | 执行的命令 |
user_name | string | 执行的用户 |
user_group | string | 执行用户所属组 |
ppid | string | 父进程 ID |
parent_proc_name | string | 父进程名称 |
parent_proc_user | string | 执行父进程的用户 |
parent_proc_group | string | 执行父进程用户所属组 |
parent_proc_path | string | 父进程路径 |
find_time | string | 执行时间 |
proc_tree | string | 进程树 |
status | string | 状态(待处理、反弹 Shell 事件、白名单、已处理、已忽略、已删除) |
漏洞字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
status | string | 漏洞状态(待处理、已忽略、已修复、检测中、修复中、回滚中、修复失败、已失效、已下线) |
vul_category | string | 漏洞分类(Web 应用漏洞、系统组件漏洞、Linux 系统漏洞、Windows 系统漏洞) |
descript | string | 漏洞事件详情 |
path | string | 漏洞文件路径 |
remark | string | 漏洞备注 |
name | string | 漏洞名称 |
fix | string | 修复说明 |
cve_id | string | cve 编号 |
reference | string | 参考说明 |
level | string | 漏洞级别(低危、中危、高危、提示) |
is_emergency | string | 是否紧急 |
基线字段说明
字段 | 类型 | 说明 |
name | string | 基线名称 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
status | string | 状态(未通过、已忽略、通过、已删除、检测中) |
level | string | 级别(低危、中危、高危、严重) |
descript | string | 描述 |
remark | string | 备注 |
rule_id | string | 所属基线分类 ID |
category_name | string | 基线分类名称 |
item_id | string | 基线规则 ID |
fix | string | 修复建议 |
网络攻击字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
dst_port | int | 目的端口 |
src_ip | string | 来源 IP |
type | string | 类型,尝试攻击/攻击成功 |
status | string | 事件状态,待处理/已处理/已加白名单/已忽略/已删除/已开启防御 |
count | int | 事件合并计数次数 |
svc_ps | string | 服务进程详情,json 格式 |
net_payload | string | 攻击数据包(明文格式) |
merge_time | string | 事件合并时间(最近检测时间) |
host_op_type | string | 异常行为类型,无失陷行为/rce(命令执行)/dnslog/writefile |
host_op_pstree | string | 异常行为进程树,json 格式 |
host_op | string | 异常行为内容 |
hostip | string | 主机 IP |
Java 内存马字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
type | string | 木马类型(Filter 型、Listener 型、Servlet 型 、Interceptors 型、Agent 型、其他) |
exe | string | Java 进程路径 |
argv | string | Java 进程命令行 |
pid | string | Java 进程 ID |
class_name | string | 内存马 class_name |
loader_class_name | string | 内存马 loader_class_name |
super_class_name | string | 内存马父类 super_class_name |
interfaces | string | 内存马 interfaces |
recent_found_time | string | 最近检出时间 |
status | string | 状态(待处理、已加白、已删除、已忽略、已手动处理) |
file_exist | string | 文件是否存在(文件不存在、文件存在) |
class_file | string | class 所在文件路径 |
核心文件监控字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
hostip | string | 主机 IP |
hostname | string | 主机名称 |
process_exe | string | 进程路径 |
process_argv | string | 进程命令行参数 |
target | string | 目标文件路径 |
status | string | 状态(待处理、已加白、已删除 、已忽略、已手动处理) |
event_count | string | 事件产生次数 |
rule_name | string | 规则名称 |
event_detail | string | 事件详情,json 格式 |
pstree | string | 进程树 |
rule | string | 规则组详情,json 格式 |
level | string | 级别(无、高危、中危、低危) |
网页防篡改事件字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
path | string | 文件路径 |
recover_type | string | 恢复类型(内容被修改恢复、权限被修改恢复、归属被修改恢复、被删除恢复、新增删除) |
has_recovered | string | 是否恢复(未恢复、已恢复) |
recover_time | string | 恢复时间 |
is_manual_recover | string | 是否用户手动恢复(否、是) |
is_deleted | string | 是否已删除(未删除、已删除) |
status | string | 状态(待处理、确认恶意、确认误报) |
file_type | string | 文件类型(常规文件、目录、软链接) |
网页防篡改异常字段说明
字段 | 类型 | 说明 |
quuid | string | 机器 uuid |
exception | string | 异常类型(无异常、超出限制、Agent 离线、超时、磁盘不足、机器已销毁、备份时文件变化、备份时文件不存在、超出限制,监控路径不是一个目录、超出限制,文件类型不支持、超出限制,文件数量超出限制、超出限制,路径太长、超出限制,文件太大、超出限制,文件读取失败、超出限制,防护目录、子目录数量过多、其他) |
exception_message | string | 异常提示 |
客户端卸载字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
pstree | string | 进程树 |
uninstall_time | string | 卸载时间 |
客户端离线字段说明
字段 | 类型 | 说明 |
uuid | string | 机器 uuid |
offline_time | string | 机器离线时间 |
资产日志字段说明
公共字段说明
字段 | 类型 | 说明 |
id | string | 数据库记录 ID |
appid | string | 用户 appid |
host_name | string | 主机名称 |
host_ip | string | 主机内网 IP |
wan_ip | string | 主机外网 IP |
instance_id | string | 实例 ID |
os_name | string | 操作系统名称 |
os_type | string | 操作系统类型(Unknow、CentOS、Debian、Gentoo、RedHat、Ubuntu、WindowsServer、TencentOS、CoreOS、FreeBSD、SUSE) |
create_time | int | 创建时间,时间戳格式 |
update_time | int | 资产更新时间,时间戳格式 |
cls_event_type | string | 事件类型 |
event_status | string | 事件状态(create、modify、delete) |
主机列表字段说明
字段 | 类型 | 说明 |
quuid | string | 机器 quuid |
machine_type | string | 机器类型(CVM、LH、Other、ECM) |
region | string | 地域 |
project_id | int | 实例所属项目 ID |
instance_id | string | 实例 ID |
instance_state | string | 实例状态(PENDING、LAUNCH_FAILED、RUNNING、STOPPED、STARTING、STOPPING、REBOOTING、SHUTDOWN、TERMINATING、TERMINATED) |
restrict_state | string | 业务状态(NORMAL、EXPIRED、PROTECTIVELY_ISOLATED、TERMINATED_PRO_VERSION) |
instance_name | string | 实例名称 |
private_ip_addresses | string | 实例内网地址 |
public_ip_addresses | string | 实例外网地址 |
ipv6_addresses | string | 实例 IPv6 地址 |
vpc_id | string | vpc id |
os_name | string | 操作系统名称 |
os_type | string | 操作系统类型(Unknow、CentOS、Debian、Gentoo、RedHat、Ubuntu、WindowsServer、TencentOS、CoreOS、FreeBSD、SUSE) |
installed_cwp | int | 是否安装主机安全客户端(0:未安装、1:已安装) |
latest_sync_time | string | 最近同步时间 |
资源监控字段说明
字段 | 类型 | 说明 |
core_version | string | 内核版本 |
boot_time | int | 系统启动时间,unix 时间戳 |
cpu_info | string | CPU 信息 |
cpu_size | int | CPU 数量 |
cpu_load | float | CPU 使用率 |
memory_size | int | 内存数量:单位 MB |
memory_load | float | 内存使用率 |
disk_size | int | 硬盘数量:单位 MB |
disk_load | float | 硬盘使用率 |
账号字段说明
字段 | 类型 | 说明 |
group_name | string | 账号 GroupName |
status | string | 账号状态(禁用、启用) |
is_root | string | 是否有 root 权限 |
name | string | 账号名称 |
type | string | 账号类型(访客用户、标准用户、管理员用户) |
home_path | string | Home 目录 |
shell | string | Shell 路径 |
password_change_time | string | 密码修改时间 |
password_due_days | int | 密码多少天后到期,-1为永不过期 |
password_lock_days | int | 密码锁定时间,单位天,-1为无限 |
password_warn_days | int | 密码过期提醒,单位天 |
password_change_type | string | 密码修改设置(不可修改、可修改) |
password_status | string | 密码状态(正常、即将过期、已过期、已锁定) |
login_type | string | 登录方式(不可登录、只允许 key 登录、只允许密码登录、允许 key 和密码) |
last_login_time | int | 上次登录时间 |
last_login_terminal | string | 最近登录终端 |
last_login_ip | string | 最近登录 IP |
disable_time | string | 账号到期时间 |
端口字段说明
字段 | 类型 | 说明 |
name | string | 进程名称 |
version | string | 进程版本 |
path | string | 进程路径 |
parent_process_name | string | 父进程名称 |
pid | string | 进程 ID |
user | string | 运行用户 |
group_name | string | 所属用户组 |
start_time | int | 启动时间,unix 时间戳 |
param | string | 启动参数 |
tty | string | 进程 TTY |
port | string | 端口 |
ppid | string | 父进程 ID |
proto | string | 端口协议 |
软件应用字段说明
字段 | 类型 | 说明 |
name | string | 应用名称 |
type | string | 应用类型(运维工具、数据库、安全应用、可疑应用、系统架构、系统应用、WEB 运维、其他) |
bin_path | string | 二进制路径 |
config_path | string | 配置文件路径 |
process_count | int | 关联进程数 |
version | string | 版本号 |
进程字段说明
字段 | 类型 | 说明 |
name | string | 进程名称 |
group_name | string | 进程用户组 |
desc | string | 进程描述 |
path | string | 进程路径 |
pid | string | 进程 ID |
ppid | string | 父进程 ID |
parent_process_name | string | 父进程名称 |
user | string | 运行用户 |
start_time | int | 启动时间 |
param | string | 启动参数 |
tty | string | 进程 TTY |
version | string | 进程版本 |
status | string | 进程状态(无、可执行、可中断、不可中断、暂停状态或跟踪状态、僵尸状态、将被销毁、空闲、等待分配内存) |
package_name | string | 软件包名 |
数据库字段说明
字段 | 类型 | 说明 |
name | string | 数据库名 |
version | string | 版本 |
port | string | 端口 |
proto | string | 协议 |
user | string | 运行用户 |
ip | string | 绑定 IP |
config_path | string | 配置文件路径 |
log_path | string | 日志文件路径 |
data_path | string | 数据路径 |
permission | string | 运行权限 |
error_log_path | string | 错误日志路径 |
plugin_path | string | 插件路径 |
bin_path | string | 二进制路径 |
param | string | 启动参数 |
Web 应用字段说明
字段 | 类型 | 说明 |
name | string | 应用名 |
desc | string | 应用描述 |
version | string | 版本 |
root_path | string | 根路径 |
service_type | string | 服务类型 |
domain | string | 站点域名 |
virtual_path | string | 虚拟路径 |
plugin_count | int | 插件数 |
Web 服务字段说明
字段 | 类型 | 说明 |
name | string | 框架名 |
version | string | 版本 |
bin_path | string | 二进制路径 |
service_type | string | 服务类型 |
user | string | 启动用户 |
install_path | string | 安装路径 |
config_path | string | 配置路径 |
process_count | int | 关联进程数 |
Web 框架字段说明
字段 | 类型 | 说明 |
name | string | 框架名 |
version | string | 版本 |
lang | string | 语言 |
service_type | string | 服务类型 |
path | string | 应用路径 |
Web 站点字段说明
字段 | 类型 | 说明 |
name | string | 域名 |
port | string | 站点端口 |
proto | string | 站点协议 |
service_type | string | 服务类型 |
path_count | int | 站点路径数 |
user | string | 运行用户 |
ip | string | 绑定 IP |
command | string | 启动命令 |
Jar 包字段说明
字段 | 类型 | 说明 |
name | string | 名称 |
type | string | 类型(应用程序、系统类库、Web 服务自带库、其他) |
status | string | 是否可执行 |
version | string | 版本 |
path | string | 路径 |
启动服务字段说明
字段 | 类型 | 说明 |
name | string | 名称 |
type | string | 类型 |
status | string | 默认启用状态(启用、未启用) |
user | string | 启动用户 |
path | string | 路径 |
计划任务字段说明
字段 | 类型 | 说明 |
status | string | 默认启用状态(启用、未启用) |
cycle | string | 执行周期 |
command | string | 执行命令或脚本 |
user | string | 启动用户 |
config_path | string | 配置文件路径 |
os_info | string | 操作系统 |
环境变量字段说明
字段 | 类型 | 说明 |
name | string | 名称 |
type | string | 类型(用户、系统) |
user | string | 启动用户 |
value | string | 环境变量值 |
内核模块字段说明
字段 | 类型 | 说明 |
name | string | 名称 |
desc | string | 描述 |
path | string | 路径 |
version | string | 版本 |
size | int | 大小 |
系统安装包字段说明
字段 | 类型 | 说明 |
name | string | 安装包名 |
desc | string | 描述 |
version | string | 版本 |
install_time | int | 安装时间,unix 时间戳 |
type | string | 类型 |
客户端上报日志字段说明
原始日志字段说明
字段 | 类型 | 说明 |
appid | int | 用户 appid |
uuid | string | 机器 uuid |
path | string | 日志文件路径 |
tag | string | 标签(将来用户定义) |
time | string | 日志时间 |
log | string | 日志内容 |
DNS 日志字段说明
字段 | 类型 | 说明 |
appid | int | 用户 appid |
quuid | string | 机器 quuid |
uuid | string | 机器 uuid |
recv_time | int | 时间戳 |
domain | string | 域名 |
hostip | string | 主机 IP |
platform | string | 平台:Linux,Windows |
pid | int | 进程 ID |
process_path | string | 进程路径 |
cmdline | string | 进程命令行参数 |
count | int | 上报周期内访问次数 |
进程快照日志字段说明
字段 | 类型 | 字段描述 |
appid | string | 账户 appid |
quuid | string | 主机 quuid(对应 cvm uuid) |
uuid | string | 主机 uuid |
hostip | string | 主机 ip(与后台连接 ip) |
instance_id | string | 实例 id |
event_name | string | 事件类型:process - 进程事件 |
pid | int | 进程 ID |
ppid | int | 父进程 ID |
sid | int | 进程会话 ID(仅 Linux 支持) |
uid | int | 进程 uid(仅 Linux 支持) |
gid | int | 进程 gid(仅 Linux 支持) |
euid | int | 进程 euid(仅 Linux 支持) |
egid | int | 进程 egid(仅 Linux 支持) |
report_type | int | 上报类型:0-实时进程 1-进程快照 |
parent_proc_name | string | 父进程名 |
process_name | string | 进程名 |
process_path | string | 进程路径 |
cmdline | string | 进程命令行 |
user_name | string | 进程启动用户 |
process_md5 | string | 进程 md5 |
platform | string | 平台:Linux,Windows |
time | int | 事件采集时间戳 |
timestamp | string | 事件入库时间日期 |
insert_time | int | 事件入库时间戳 |
网络五元组日志字段说明
字段 | 类型 | 字段描述 |
appid | string | 账户 appid |
quuid | string | 主机 quuid(对应 cvm uuid) |
uuid | string | 主机 uuid |
hostip | string | 主机 ip(与后台连接 ip) |
instance_id | string | 实例 id |
event_name | string | 事件类型:net - 网络五元组 |
pid | int | 进程 pid |
proc_path | string | 进程路径 |
argv | string | 进程执行参数 |
username | string | 进程所属用户:用户组 |
src_ip | string | 源 ip |
src_port | int | 源端口 |
dst_ip | string | 目的 ip |
dst_port | int | 目的端口 |
first_time | int | 上报周期内第一次触发时间 |
last_time | int | 上报周期内最后一次触发时间 |
count | int | 上报周期内触发次数 |
time | int | 事件采集时间戳 |
timestamp | string | 事件入库时间日期 |
insert_time | int | 事件入库时间戳 |
文件监控日志字段说明
字段 | 类型 | 字段描述 |
appid | string | 账户 appid |
quuid | string | 主机 quuid(对应 cvm uuid) |
uuid | string | 主机 uuid |
hostip | string | 主机 ip(与后台连接 ip) |
instance_id | string | 实例 id |
event_name | string | 事件类型:file - 文件操作事件 |
pid | int | 进程 ID |
ppid | int | 父进程 ID |
session_id | int | 进程会话 ID(仅 Linux 支持) |
uid | int | 进程 uid(仅 Linux 支持) |
gid | int | 进程 gid(仅 Linux 支持) |
file_path | string | 操作文件路径 |
cwd | string | 进程当前执行路径 |
proc_path | string | 进程路径 |
argv | string | 进程命令行 |
username | string | 文件操作用户 |
parent_proc_name | string | 父进程名 |
proc_name | string | 进程名 |
proc_md5 | string | 进程 md5 |
proc_perm | string | 进程文件执行权限 |
proc_mtime | int | 进程文件 modify time |
proc_ctime | int | 进程文件 change time |
proc_atime | int | 进程文件 access time |
operation | string | 文件操作类型: write-写 rename-重命名 |
file_size | int | 文件大小 |
file_mtime | int | 操作文件 modify time |
file_ctime | int | 操作文件 change time |
file_atime | int | 操作文件 access time |
file_perm | string | 操作文件权限 |
file_owner | string | 操作文件用户归属 |
time | int | 事件采集时间戳 |
timestamp | string | 事件入库时间日期 |
insert_time | int | 事件入库时间戳 |
登录流水日志字段说明
字段 | 类型 | 字段描述 |
appid | string | 账户 appid |
quuid | string | 主机 quuid(对应 cvm uuid) |
uuid | string | 主机 uuid |
hostip | string | 主机 ip(与后台连接 ip) |
instance_id | string | 实例 id |
event_name | string | 事件类型:login - 登录事件 |
src_ip | string | 登录源 ip |
dst_port | int | 登录目标端口 |
protocol | string | 登录协议 |
count | int | 登录次数 |
event_type | string | 事件状态:success:登录成功 fail:登录失败 |
time | int | 事件采集时间戳 |
insert_time | int | 事件入库时间戳 |
是
否
本页内容是否解决了您的问题?