响应示例 状态码： 200 创建事件返回body体 { "code" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "message" : "Error message", "data" : { "data_object" : { "version" : "1.0", "environment" : { "vendor_type" : "MyXXX", "domain_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "region_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" }, "data_source" : { "source_type" : 3, "domain_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "region_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" }, "first_observed_time" : "2021-01-30T23:00:00Z+0800", "last_observed_time" : "2021-01-30T23:00:00Z+0800", "create_time" : "2021-01-30T23:00:00Z+0800", "arrive_time" : "2021-01-30T23:00:00Z+0800", "title" : "MyXXX", "description" : "This my XXXX", "source_url" : "http://xxx", "count" : 4, "confidence" : 4, "severity" : "TIPS", "criticality" : 4, "incident_type" : { }, "network_list" : [ { "direction" : { "IN" : null }, "protocol" : "TCP", "src_ip" : "192.168.0.1", "src_port" : "1", "src_domain" : "xxx", "dest_ip" : "192.168.0.1", "dest_port" : "1", "dest_domain" : "xxx", "src_geo" : { "latitude" : 90, "longitude" : 180 }, "dest_geo" : { "latitude" : 90, "longitude" : 180 } } ], "resource_list" : [ { "id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "name" : "MyXXX", "type" : "MyXXX", "domain_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "region_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "ep_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "ep_name" : "MyXXX", "tags" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" } ], "remediation" : { "recommendation" : "MyXXX", "url" : "MyXXX" }, "verification_state" : "Unknown – 未知，True_Positive – 确认，False_Positive – 误报。默认填写Unknown", "handle_status" : "Open – 打开，Block – 阻塞，Closed – 关闭。默认填写Open", "sla" : 60000, "update_time" : "2021-01-30T23:00:00Z+0800", "close_time" : "2021-01-30T23:00:00Z+0800", "ipdrr_phase" : "Prepartion|Detection and Analysis|Containm，Eradication& Recovery| Post-Incident-Activity", "simulation" : "false", "actor" : "刘一博", "owner" : "MyXXX", "creator" : "MyXXX", "close_reason" : "误检;已解决;重复;其他", "close_comment" : "误检;已解决;重复;其他", "malware" : { "malware_family" : "family", "malware_class" : "恶意占用内存" }, "system_info" : { }, "process" : [ { "process_name" : "MyXXX", "process_path" : "MyXXX", "process_pid" : 123, "process_uid" : 123, "process_cmdline" : "MyXXX" } ], "user_info" : [ { "user_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "user_name" : "MyXXX" } ], "file_info" : [ { "file_path" : "MyXXX", "file_content" : "MyXXX", "file_new_path" : "MyXXX", "file_hash" : "MyXXX", "file_md5" : "MyXXX", "file_sha256" : "MyXXX", "file_attr" : "MyXXX" } ], "id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "workspace_id" : "909494e3-558e-46b6-a9eb-07a8e18ca620" }, "create_time" : "2021-01-30T23:00:00Z+0800", "update_time" : "2021-01-30T23:00:00Z+0800", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "workspace_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" } }

请求示例 创建一条事件，事件标题为MyXXX，标签为MyXXX，严重级别为tips，发生次数为4次。 { "data_object" : { "version" : "1.0", "environment" : { "vendor_type" : "MyXXX", "domain_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "region_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" }, "data_source" : { "source_type" : 3, "domain_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "region_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "product_name" : "test", "product_feature" : "test" }, "first_observed_time" : "2021-01-30T23:00:00Z+0800", "last_observed_time" : "2021-01-30T23:00:00Z+0800", "create_time" : "2021-01-30T23:00:00Z+0800", "arrive_time" : "2021-01-30T23:00:00Z+0800", "title" : "MyXXX", "labels" : "MyXXX", "description" : "This my XXXX", "source_url" : "http://xxx", "count" : 4, "confidence" : 4, "severity" : "TIPS", "criticality" : 4, "incident_type" : { "incident_type" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "category" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" }, "network_list" : [ { "direction" : { "IN" : null }, "protocol" : "TCP", "src_ip" : "192.168.0.1", "src_port" : "1", "src_domain" : "xxx", "dest_ip" : "192.168.0.1", "dest_port" : "1", "dest_domain" : "xxx", "src_geo" : { "latitude" : 90, "longitude" : 180 }, "dest_geo" : { "latitude" : 90, "longitude" : 180 } } ], "resource_list" : [ { "id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "name" : "MyXXX", "type" : "MyXXX", "domain_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "project_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "region_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "ep_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "ep_name" : "MyXXX", "tags" : "909494e3-558e-46b6-a9eb-07a8e18ca62f" } ], "remediation" : { "recommendation" : "MyXXX", "url" : "MyXXX" }, "verification_state" : "Unknown – 未知，True_Positive – 确认，False_Positive – 误报。默认填写Unknown", "handle_status" : "Open – 打开，Block – 阻塞，Closed – 关闭。默认填写Open", "sla" : 60000, "update_time" : "2021-01-30T23:00:00Z+0800", "close_time" : "2021-01-30T23:00:00Z+0800", "ipdrr_phase" : "Prepartion|Detection and Analysis|Containm，Eradication& Recovery| Post-Incident-Activity", "simulation" : "false", "actor" : "刘一博", "owner" : "MyXXX", "creator" : "MyXXX", "close_reason" : "误检;已解决;重复;其他", "close_comment" : "误检;已解决;重复;其他", "malware" : { "malware_family" : "family", "malware_class" : "恶意占用内存" }, "system_info" : { }, "process" : [ { "process_name" : "MyXXX", "process_path" : "MyXXX", "process_pid" : 123, "process_uid" : 123, "process_cmdline" : "MyXXX" } ], "user_info" : [ { "user_id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "user_name" : "MyXXX" } ], "file_info" : [ { "file_path" : "MyXXX", "file_content" : "MyXXX", "file_new_path" : "MyXXX", "file_hash" : "MyXXX", "file_md5" : "MyXXX", "file_sha256" : "MyXXX", "file_attr" : "MyXXX" } ], "id" : "909494e3-558e-46b6-a9eb-07a8e18ca62f", "workspace_id" : "909494e3-558e-46b6-a9eb-07a8e18ca620" } }

响应参数 状态码： 200 表17 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID,格式为：request_uuid-timestamp-hostname 表18 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误信息 data IncidentDetail object 事件详情对象 表19 IncidentDetail 参数 参数类型 描述 create_time String 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 data_object Incident object 事件实体信息 dataclass_ref dataclass_ref object 数据类对象 format_version Integer 格式版本 id String 事件唯一标识，UUID格式，最大36个字符 project_id String 当前项目的id update_time String 更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为告警发生时区，无法解析时区的时间，默认时区填东八区 version Integer 版本 workspace_id String 当前的工作空间id 表20 Incident 参数 参数类型 描述 version String 事件对象的版本，该字段的值必须为云SSA服务确定的官方发布版本之一 id String 事件唯一标识，UUID格式，最大36个字符 domain_id String 数据投递后，被委托用户的domain_id region_id String 数据投递后，被委托用户的region_id workspace_id String 当前的工作空间id labels String 标签，仅展示 environment environment object 事件产生的环境坐标信息 data_source data_source object 首次上报数据源 first_observed_time String 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 last_observed_time String 最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 create_time String 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 arrive_time String 接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 title String 事件标题 description String 事件描述信息 source_url String 事件URL链接，指向数据源产品中有关当前事件说明的页面 count Integer 事件发生次数 confidence Integer 事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100% severity String 严重性等级，取值范围：Tips | Low | Medium | High | Fatal 说明： 0: Tips – 未发现任何问题。 1: Low – 无需针对问题执行任何操作。 2: Medium – 问题需要处理，但不紧急。 3: High – 问题必须优先处理。 4: Fatal – 问题必须立即处理，以防止产生进一步的损害 criticality Integer 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源 incident_type incident_type object 事件分类，详细定义参考《告警事件类型定义》 network_list Array of network_list objects 网络信息 resource_list Array of resource_list objects 受影响资源 remediation remediation object 补救措施 verification_state String 验证状态，标识事件的准确性。可选类型如下： Unknown – 未知 True_Positive – 确认 False_Positive – 误报 默认填写Unknown handle_status String 事件处理状态，可选类型如下： Open – 打开，默认 Block – 阻塞 Closed – 关闭 默认填写Open sla Integer 约束闭环时间：设置风险接受持续时间。单位：小时 update_time String 更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 close_time String 关闭时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 ipdrr_phase String 周期/处置阶段编号 Prepartion|Detection and Analysis|Containm，Eradication& Recovery|Post-Incident-Activity simulation String 调试字段 actor String 事件调查员 owner String 责任人、服务责任人 creator String 创建人 close_reason String 关闭原因: 误检 - False detection 已解决 - Resolved 重复 - Repeated 其他 - Other close_comment String 关闭评论 malware malware object 恶意软件 system_info Object 系统信息 process Array of process objects 进程信息 user_info Array of user_info objects 用户信息 file_info Array of file_info objects 文件信息 system_alert_table Object 事件管理列表的布局字段 表21 environment 参数 参数类型 描述 vendor_type String 环境供应商 domain_id String 租户id region_id String 区域id，全局服务global cross_workspace_id String 数据投递前的源工作空间id，在源空间下值为null，投递后为被委托用户的id project_id String 项目id， 全局服务默认null 表22 data_source 参数 参数类型 描述 source_type Integer 数据源类型，取值范围如下： 1 - 云上产品 2 - 第三方产品 3 - 租户私有产品 domain_id String 数据源产品所属账号的id project_id String 数据源产品所属项目的id region_id String 数据源产品所在区域，具体取值范围查看云地区和终端节点定义，例如cn-north-1 company_name String 数据源产品所属公司的名称 product_name String 数据源产品的名称 product_feature String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性 product_module String 检测模块列表 表23 incident_type 参数 参数类型 描述 category String 类别 incident_type String 事件类型 表24 network_list 参数 参数类型 描述 direction String 方向，取值范围：IN | OUT protocol String 协议，包含7层和4层的协议 参考：IANA registered name https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml src_ip String 源IP地址 src_port Integer 源端口，0–65535 src_domain String 源 域名 src_geo src_geo object 源IP的地理位置信息 dest_ip String 目的IP地址 dest_port String 目的端口，0–65535 dest_domain String 目的域名 dest_geo dest_geo object 目标IP的地理位置信息 表25 src_geo 参数 参数类型 描述 latitude Number 纬度 longitude Number 经度 city_code String 城市编码，Beijing | Shanghai country_code String 国家简码，参考ISO 3166-1 alpha-2，例如：CN | US | DE | IT | SG 表26 dest_geo 参数 参数类型 描述 latitude Number 纬度 longitude Number 经度 city_code String 城市编码，Beijing | Shanghai country_code String 国家简码，参考ISO 3166-1 alpha-2，例如：CN | US | DE | IT | SG 表27 resource_list 参数 参数类型 描述 id String 云服务资源id name String 资源名称 type String 资源类型；引用云 RMS type字段 provider String 云服务名称；引用云RMS provider字段 region_id String 区域；按照云regionId填写，如cn-north-1等 domain_id String 资源所属账号ID，UUID格式 project_id String 资源所属项目ID，UUID格式 ep_id String 企业项目id ep_name String 企业项目名称 tags String 资源标签 1、最多50个key/values对 2、values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ 表28 remediation 参数 参数类型 描述 recommendation String 推荐处理方法 url String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证 表29 malware 参数 参数类型 描述 malware_family String 恶意家族 malware_class String 恶意软件分类 表30 process 参数 参数类型 描述 process_name String 进程名 process_path String 进程执行文件路径 process_pid Integer 进程id process_uid Integer 进程用户id process_cmdline String 进程命令行 process_parent_name String 父进程名称 process_parent_path String 父进程执行文件路径 process_parent_pid Integer 父进程id process_parent_uid Integer 父进程用户id process_parent_cmdline String 父进程命令行 process_child_name String 子进程名称 process_child_path String 子进程执行文件路径 process_child_pid Integer 子进程id process_child_uid Integer 子进程用户id process_child_cmdline String 子进程命令行 process_launche_time String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 process_terminate_time String 进程结束时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 表31 user_info 参数 参数类型 描述 user_id String 用户uid user_name String 用户名称 表32 file_info 参数 参数类型 描述 file_path String 文件路径/名称 file_content String 文件内容 file_new_path String 文件新路径/名称 file_hash String 文件hash file_md5 String 文件md5 file_sha256 String 文件sha256 file_attr String 文件属性 表33 dataclass_ref 参数 参数类型 描述 id String 数据类唯一标识，UUID格式，最大36个字符 name String 数据类名称 状态码： 400 表34 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID,格式为：request_uuid-timestamp-hostname 表35 响应Body参数 参数 参数类型 描述 code String 错误码 message String 错误描述

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） content-type 是 String 内容类型 表3 请求Body参数 参数 是否必选 参数类型 描述 data_object 否 Incident object 事件实体信息 表4 Incident 参数 是否必选 参数类型 描述 version 否 String 事件对象的版本，该字段的值必须为云SSA服务确定的官方发布版本之一 id 否 String 事件唯一标识，UUID格式，最大36个字符 domain_id 否 String 数据投递后，被委托用户的domain_id region_id 否 String 数据投递后，被委托用户的region_id workspace_id 否 String 当前的工作空间id labels 否 String 标签，仅展示 environment 否 environment object 事件产生的环境坐标信息 data_source 否 data_source object 首次上报数据源 first_observed_time 否 String 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 last_observed_time 否 String 最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 create_time 否 String 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 arrive_time 否 String 接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 title 否 String 事件标题 description 否 String 事件描述信息 source_url 否 String 事件URL链接，指向数据源产品中有关当前事件说明的页面 count 否 Integer 事件发生次数 confidence 否 Integer 事件的置信度。置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100，0表示置信度为0%，100表示置信度为100% severity 否 String 严重性等级，取值范围：Tips | Low | Medium | High | Fatal 说明： 0: Tips – 未发现任何问题。 1: Low – 无需针对问题执行任何操作。 2: Medium – 问题需要处理，但不紧急。 3: High – 问题必须优先处理。 4: Fatal – 问题必须立即处理，以防止产生进一步的损害 criticality 否 Integer 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源 incident_type 否 incident_type object 事件分类，详细定义参考《告警事件类型定义》 network_list 否 Array of network_list objects 网络信息 resource_list 否 Array of resource_list objects 受影响资源 remediation 否 remediation object 补救措施 verification_state 否 String 验证状态，标识事件的准确性。可选类型如下： Unknown – 未知 True_Positive – 确认 False_Positive – 误报 默认填写Unknown handle_status 否 String 事件处理状态，可选类型如下： Open – 打开，默认 Block – 阻塞 Closed – 关闭 默认填写Open sla 否 Integer 约束闭环时间：设置风险接受持续时间。单位：小时 update_time 否 String 更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 close_time 否 String 关闭时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 ipdrr_phase 否 String 周期/处置阶段编号 Prepartion|Detection and Analysis|Containm，Eradication& Recovery|Post-Incident-Activity simulation 否 String 调试字段 actor 否 String 事件调查员 owner 否 String 责任人、服务责任人 creator 否 String 创建人 close_reason 否 String 关闭原因: 误检 - False detection 已解决 - Resolved 重复 - Repeated 其他 - Other close_comment 否 String 关闭评论 malware 否 malware object 恶意软件 system_info 否 Object 系统信息 process 否 Array of process objects 进程信息 user_info 否 Array of user_info objects 用户信息 file_info 否 Array of file_info objects 文件信息 system_alert_table 否 Object 事件管理列表的布局字段 表5 environment 参数 是否必选 参数类型 描述 vendor_type 否 String 环境供应商 domain_id 否 String 租户id region_id 否 String 区域id，全局服务global cross_workspace_id 否 String 数据投递前的源工作空间id，在源空间下值为null，投递后为被委托用户的id project_id 否 String 项目id， 全局服务默认null 表6 data_source 参数 是否必选 参数类型 描述 source_type 否 Integer 数据源类型，取值范围如下： 1 - 云上产品 2 - 第三方产品 3 - 租户私有产品 domain_id 否 String 数据源产品所属账号的id project_id 否 String 数据源产品所属项目的id region_id 否 String 数据源产品所在区域，具体取值范围查看云地区和终端节点定义，例如cn-north-1 company_name 否 String 数据源产品所属公司的名称 product_name 否 String 数据源产品的名称 product_feature 否 String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性 product_module 否 String 检测模块列表 表7 incident_type 参数 是否必选 参数类型 描述 category 否 String 类别 incident_type 否 String 事件类型 表8 network_list 参数 是否必选 参数类型 描述 direction 否 String 方向，取值范围：IN | OUT protocol 否 String 协议，包含7层和4层的协议 参考：IANA registered name https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml src_ip 否 String 源IP地址 src_port 否 Integer 源端口，0–65535 src_domain 否 String 源域名 src_geo 否 src_geo object 源IP的地理位置信息 dest_ip 否 String 目的IP地址 dest_port 否 String 目的端口，0–65535 dest_domain 否 String 目的域名 dest_geo 否 dest_geo object 目标IP的地理位置信息 表9 src_geo 参数 是否必选 参数类型 描述 latitude 否 Number 纬度 longitude 否 Number 经度 city_code 否 String 城市编码，Beijing | Shanghai country_code 否 String 国家简码，参考ISO 3166-1 alpha-2，例如：CN | US | DE | IT | SG 表10 dest_geo 参数 是否必选 参数类型 描述 latitude 否 Number 纬度 longitude 否 Number 经度 city_code 否 String 城市编码，Beijing | Shanghai country_code 否 String 国家简码，参考ISO 3166-1 alpha-2，例如：CN | US | DE | IT | SG 表11 resource_list 参数 是否必选 参数类型 描述 id 否 String 云服务资源id name 否 String 资源名称 type 否 String 资源类型；引用云RMS type字段 provider 否 String 云服务名称；引用云RMS provider字段 region_id 否 String 区域；按照云regionId填写，如cn-north-1等 domain_id 否 String 资源所属账号ID，UUID格式 project_id 否 String 资源所属项目ID，UUID格式 ep_id 否 String 企业项目id ep_name 否 String 企业项目名称 tags 否 String 资源标签 1、最多50个key/values对 2、values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ 表12 remediation 参数 是否必选 参数类型 描述 recommendation 否 String 推荐处理方法 url 否 String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证 表13 malware 参数 是否必选 参数类型 描述 malware_family 否 String 恶意家族 malware_class 否 String 恶意软件分类 表14 process 参数 是否必选 参数类型 描述 process_name 否 String 进程名 process_path 否 String 进程执行文件路径 process_pid 否 Integer 进程id process_uid 否 Integer 进程用户id process_cmdline 否 String 进程命令行 process_parent_name 否 String 父进程名称 process_parent_path 否 String 父进程执行文件路径 process_parent_pid 否 Integer 父进程id process_parent_uid 否 Integer 父进程用户id process_parent_cmdline 否 String 父进程命令行 process_child_name 否 String 子进程名称 process_child_path 否 String 子进程执行文件路径 process_child_pid 否 Integer 子进程id process_child_uid 否 Integer 子进程用户id process_child_cmdline 否 String 子进程命令行 process_launche_time 否 String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 process_terminate_time 否 String 进程结束时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区 表15 user_info 参数 是否必选 参数类型 描述 user_id 否 String 用户uid user_name 否 String 用户名称 表16 file_info 参数 是否必选 参数类型 描述 file_path 否 String 文件路径/名称 file_content 否 String 文件内容 file_new_path 否 String 文件新路径/名称 file_hash 否 String 文件hash file_md5 否 String 文件md5 file_sha256 否 String 文件sha256 file_attr 否 String 文件属性

操作场景 事件是一个广泛的概念，可以包括告警，但不限于此，它可以是系统正常操作的一部分，也可以是异常或错误。在运维和安全领域，事件通常指的是已经发生并需要被关注、调查和处理的问题或故障。事件可能由一条或多条告警触发，也可能由其他因素（如用户操作、系统日志等）引发。 事件的目的是为了记录、分析、报告或审计，通常用于记录和报告系统的历史行为，以便于分析和审计。 在 安全云脑 的事件管理页面，可以通过查看事件列表了解近360天的事件的统计信息列表，列表内容包括事件的名称、类型、等级和发生时间等。并可通过自定义过滤条件，如事件名称、事件等级和发生时间等，快速查询到相应事件的统计信息。 本章节主要介绍如何查看事件信息。

响应示例 状态码： 200 请求已成功 { "events" : [ { "state" : "ENABLED", "name" : "TestEvent1", "event_id" : "120eeafd-eca5-4098-8733-c1b369f3a450", "event_types" : [ "SECRET_VERSION_CREATED", "SECRET_VERSION_EXPIRED", "SECRET_VERSION_NEAR_EXPIRY", "SECRET_DELETED" ], "create_time" : 1669042498000, "update_time" : 1669042498000, "notification" : { "target_type" : " SMN ", "target_id" : "urn:smn:cn-north-4:dc3b7c85759141a991da17423c0f2068:smn-target-name", "target_name" : "smn-target-name" } }, { "state" : "ENABLED", "name" : "TestEvent2", "event_id" : "1d251c99-37d2-4396-86ce-f000d3aa9850", "event_types" : [ "SECRET_VERSION_CREATED", "SECRET_VERSION_EXPIRED", "SECRET_VERSION_NEAR_EXPIRY", "SECRET_DELETED" ], "create_time" : 1669041491000, "update_time" : 1669041491000, "notification" : { "target_type" : "SMN", "target_id" : "urn:smn:cn-north-4:dc3b7c85759141a991da17423c0f2068:smn-target-name", "target_name" : "smn-target-name" } } ], "page_info" : { "next_marker" : "TestEvent2", "previous_marker" : "TestEvent3", "current_count" : 2 } }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 events Array of Event objects 事件详情列表。 page_info PageInfo object 分页信息。 表5 Event 参数 参数类型 描述 name String 事件通知名称。 event_id String 事件通知的资源标识符。 event_types Array of strings 设置事件的基础事件类型列表,。 约束：数组大小：最小1，最大12。 state String 事件通知状态，取值如下。 ENABLED：表示启用状态 DISABLED：表示禁用状态 create_time Long 事件通知创建时间，时间戳，即从1970年1月1日至该时间的总秒数。 update_time Long 事件通知上次更新时间，时间戳，即从1970年1月1日至该时间的总秒数。 notification Notification object 通知主题对象。 表6 Notification 参数 参数类型 描述 target_type String 事件通知的对象类型。 target_id String 事件通知的对象ID。 target_name String 事件通知的对象名称。 表7 PageInfo 参数 参数类型 描述 next_marker String 下一页查询地址（本页的末尾凭据名称，下一页起始凭据名称）。 previous_marker String 本页的起始凭据名称，上一页末尾凭据名称。 current_count Integer 本页返回条目数量。 状态码： 400 表8 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表9 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息 状态码： 401 表10 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表11 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息 状态码： 403 表12 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表13 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息 状态码： 404 表14 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表15 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息 状态码： 500 表16 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表17 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息 状态码： 502 表18 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表19 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息 状态码： 504 表20 响应Body参数 参数 参数类型 描述 error ErrorDetail object 错误信息返回体。 表21 ErrorDetail 参数 参数类型 描述 error_code String 错误请求返回的错误码 error_msg String 错误请求返回的错误信息

事件流程 事件被创建后状态为“未受理”状态，未受理状态下可进行“转发”、“驳回”、“受理”等操作。 事件单被驳回后为“被驳回”状态，创建人可关闭事件或更新事件信息后重新提交。 事件单被受理后为“已受理”状态，已受理状态下可进行“事件处理”、“升降级”、“添加备注”、“启动warroom”等操作。 事件单被处理后，进入“已解决待验证”状态，已解决待验证状态下可进行“验证”操作，验证通过后事件单进入“已完成”状态，验证不通过后，重新进入“已受理”状态。 若需要增加事件级暂停功能，可参考基础配置-事件流程 图1 事件流程图 父主题： 事件管理

响应示例 状态码： 201 Created { "send_config" : { "channel" : { "by_lte_pc5" : false, "by_lte_uu" : false }, "target_list" : { "target_rsu_ids" : [ "rsu0123456789" ], "target_obu_ids" : [ "obu0123456789" ] } }, "immediate_event" : { "time_stamp" : "2015-12-12T12:12:12.356Z", "event_class" : "traffic sign", "event_type" : 39, "event_source" : "internet", "event_source_id" : "0123456789", "event_confidence" : 100, "event_position" : { "lat" : 40.1234567, "lon" : 116.1234567, "ele" : 1000 }, "event_radius" : 1000, "event_description" : "0123456789", "event_priority" : 3, "reference_paths" : [ { "active_path" : [ { "lat" : 40.1234567, "lon" : 116.1234567, "ele" : 1000 }, { "lat" : 50.1234567, "lon" : 136.1234567, "ele" : 1000 } ], "path_radius" : 1000 } ], "coordinate" : "WGS84" } }

请求示例 POST https://{endpoint}/v1/{project_id}/immediate-event Content-Type:application/json X-Auth-Token:******** Instance-Id:******** { "send_config" : { "channel" : { "by_lte_pc5" : false, "by_lte_uu" : false }, "target_list" : { "target_rsu_ids" : [ "rsu0123456789" ], "target_obu_ids" : [ "obu0123456789" ] } }, "immediate_event" : { "time_stamp" : "2015-12-12T12:12:12.356Z", "event_class" : "traffic sign", "event_type" : 39, "event_source" : "internet", "event_source_id" : 123456789, "event_confidence" : 100, "event_position" : { "lat" : 40.1234567, "lon" : 116.1234567, "ele" : 1000 }, "event_radius" : 1000, "event_description" : 123456789, "event_priority" : 3, "coordinate" : "WGS84", "reference_paths" : [ { "active_path" : [ { "lat" : 40.1234567, "lon" : 116.1234567, "ele" : 1000 }, { "lat" : 50.1234567, "lon" : 136.1234567, "ele" : 1000 } ], "path_radius" : 1000 } ] } }

请求示例 GET https://{endpoint}/v1/{project_id}/traffic-events?limit={limit}&status={status}&area_code={area_code}&offset={offset}&event_type={event_type}&event_source_type={event_source_type}&event_class={event_class}&event_id={event_id}&from_time={from_time}&to_time={to_time}&sort_key={sort_key}&sort_dir={sort_dir} Content-Type:application/json X-Auth-Token:******** Instance-Id:********

响应示例 状态码： 200 OK { "count" : 1, "events" : [ { "status" : "Active", "event_id" : "bdd0da88-a22c-4259-8679-947b772512a3", "event_source_type" : "v2xServer", "event_source_id" : 301, "event_class" : "AbnormalVehicle", "event_type" : 903, "area_code" : 440330, "event_level" : 0, "event_params" : { "additionalProp1" : "50" }, "event_position" : { "lat" : 22.123456, "lon" : 114.123456 }, "event_description" : "q CS YD6jdXBLlm65GB9TguIV1ra80Mc0k", "reference_paths" : [ { "active_path" : [ { "lat" : 22.123456, "lon" : 114.123456 } ], "path_radius" : 1000 } ], "event_position_name" : "F4(V2X 办公区域) ", "start_time" : "2021-12-23T08:32:51.618Z", "end_time" : "2021-12-23T08:32:51.618Z", "note" : "note", "event_confidence" : 100, "coordinate" : "WGS84", "created_time" : "2021-12-23T08:32:51.618Z", "last_modified_time" : "2021-12-23T08:32:51.618Z" } ] }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 page_info PagedInfo object 分页信息。 metadata_events Array of MetadataEvent objects 元数据事件列表。 表5 PagedInfo 参数 参数类型 描述 current_count Integer 本次返回的对象个数。最小值为0，最大值为2000。 next_marker String 下一页查询地址。当不存在下一页，则值为null，当值为null时，响应Body无该参数。 previous_marker String 上一页查询地址。当不存在上一页，则值为null，当值为null时，响应Body无该参数。 表6 MetadataEvent 参数 参数类型 描述 event_time String 事件发生时间对应的UTC时间。 metadata_action_type String 元数据操作类型：CREATE_CATA LOG -创建Catalog、CREATE_DATABASE-创建数据库、 CREATE_TABLE-创建表、CREATE_FUNCTION-创建函数、CREATE_PARTITION-添加分区、UPDATE_CATALOG-修改Catalog、UPDATE_DATABASE-修改数据库、UPDATE_TABLE-修改表、UPDATE_FUNCTION-修改函数、UPDATE_PARTITION-修改分区、DELETE_TABLE-删除表、 DELETE_DATABASE-删除数据库、DELETE_CATALOG-删除Catalog、DELETE_FUNCTION-删除函数、DELETE_PARTITION-删除分区。 枚举值： CREATE_CATALOG CREATE_DATABASE CREATE_TABLE CREATE_FUNCTION CREATE_PARTITION UPDATE_CATALOG UPDATE_DATABASE UPDATE_TABLE UPDATE_FUNCTION UPDATE_PARTITION DELETE_CATALOG DELETE_DATABASE DELETE_TABLE DELETE_FUNCTION DELETE_PARTITION metadata_object Object 元数据对象，包含元数据操作类型对应的元数据信息，如库、表信息等。 状态码： 400 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码： 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。

响应示例 状态码： 200 OK { "page_info" : { "current_count" : 1, "next_marker" : "006f492b-xxxx", "previous_marker" : "003e6eba-xxxx" }, "metadata_events" : [ { "event_time" : "2022-12-31T23:59:59.000+00:00", "metadata_action_type" : "CREATE_CATALOG", "metadata_object" : { "catalog_id" : "123", "catalog_name" : "hive", "description" : "Default catalog, for Hive", "location" : "obs://lakeformation/test", "database_location_list" : null, "owner" : "admin", "owner_type" : "USER", "owner_source" : "IAM" } } ] } 状态码： 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码： 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码： 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码： 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码： 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码： 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }

URI GET /v1/{project_id}/instances/{instance_id}/metadata-event 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法，请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如：2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 begin_time 否 String 开始时间对应的UTC时间，返回该时间之后的元数据事件。 end_time 否 String 结束时间对应的UTC时间，返回该时间之前的元数据事件。 limit 否 Integer 查询返回条数。 marker 否 String 查询的起始记录ID。 reverse_page 否 Boolean 是否查询上一页。