安全云脑 SECMASTER-日志字段含义:sec-hss-log

时间:2024-11-19 19:07:19

sec-hss-log

主机安全日志字段含义如下所示:

表9 sec-hss-log

字段

类型

字段含义

agentUuid

String

agent的UUID。

alarmCsn

String

告警UUID。

alarmKey

String

告警关键字。对于告警,当前透传agent上报的信息msg_id;对于漏洞,由master生成。

alarmVersion

String

agent版本号。

occurTime

Long

事件发生时间(ms)。

severity

Long

风险等级。

hostUuid

String

受影响主机UUID。

hostName

String

受影响主机名。

hostIp

String

受影响主机通信IP。

ipList

String

受影响主机IP列表。

cloudId

String

cloudagent sn。

region

String

受影响主机所在区域。

projectId

String

受影响租户ID。

enterpriseProjectId

String

受影响企业租户ID。

appendInfo

Object

告警详情。

appendInfo

agent_id

String

AGENT ID。

version

String

事件版本。

container_name

String

容器ID( 容器安全 场景)。

image_name

String

镜像名称(容器安全场景)。

event_id

String

事件ID,GUID。

event_name

String

事件名称。

event_classid

String

事件唯一标识。

occur_time

Long

发生时间(秒)。

recent_time

Long

最近一次发生时间(秒)。

event_category

Integer

事件大类。

event_type

Integer

事件类型。

event_count

Integer

事件次数。

severity

Integer

严重级别。

attack_phase

Integer

攻击阶段。

attack_tag

Integer

攻击标识。

confidence

Integer

置信度。

action

Integer

动作类型。

detect_module

String

检测模块。

report_source

String

上报源。

related_events

String

相关事件ID。

resource_info

Object

资源信息。

network_info

Object

网络信息。

app_info

Object

应用信息。

system_info

Object

系统信息。

process_info

list

进程信息。

user_info

list

用户信息。

file_info

list

文件信息。

geo_info

Object

地理信息。

malware_info

Object

恶意软件信息。

forensic_info

String

取证字段。

recommendation

String

处置建议。

extend_info

String

事件扩展信息。

resource_info

project_id

String

项目ID。

region_name

String

Region名称。

vpc_id

String

VPC ID。

host_name

String

主机名称。

host_ip

String

主机IP。

host_id

String

主机ID(E CS 对应ID)。

cloud_id

String

CloudAgent SN。

vm_name

String

虚拟机名称。

vm_uuid

String

虚拟机UUID。

container_id

String

容器id。

image_id

String

镜像id。

sys_arch

String

系统CPU架构。

os_bit

String

操作系统位数。

os_type

String

操作系统类型。

os_name

String

操作系统名称。

os_version

String

操作系统版本。

network_info

local_address

String

本地地址。

local_port

Integer

本地端口。

remote_address

String

远程地址。

remote_port

Integer

远程端口。

src_ip

String

源IP。

src_port

Integer

源端口。

src_domain

String

源域。

dest_ip

String

目的IP。

dest_port

Integer

目的端口。

dest_domain

String

目的域。

protocol

String

协议。

app_protocol

String

应用层协议。

flow_direction

String

流量方向。

app_info

sql

String

执行的sql语句。

domain_name

String

DNS 域名

url_path

String

URL路径。

url_method

String

URL方法。

req_refer

String

URL请求refer信息。

email_subject

String

邮件主题。

email_sender

String

邮件发送者。

email_receiver

String

邮件接收者。

email_keyword

String

邮件关键字。

process_info

process_name

String

进程名称。

process_path

String

进程文件路径。

process_pid

Integer

进程id。

process_uid

Integer

进程用户id。

process_username

String

运行进程的用户名。

process_cmdline

String

进程文件命令行。

process_filename

String

进程文件名。

process_start_time

Long

进程启动时间。

process_gid

Integer

进程组ID。

process_egid

Integer

进程有效组ID。

process_euid

Integer

进程有效用户ID。

parent_process_name

String

父进程名称。

parent_process_path

String

父进程文件路径。

parent_process_pid

Integer

父进程id。

parent_process_uid

Integer

父进程用户id。

parent_process_cmdline

String

父进程文件命令行。

parent_process_filename

String

父进程文件名。

parent_process_start_time

Long

父进程启动时间。

parent_process_gid

Integer

父进程组ID。

parent_process_egid

Integer

父进程有效组ID。

parent_process_euid

Integer

父进程有效用户ID。

child_process_name

String

子进程名称。

child_process_path

String

子进程文件路径。

child_process_pid

Integer

子进程id。

child_process_uid

Integer

子进程用户id。

child_process_cmdline

String

子进程文件命令行。

child_process_filename

String

子进程文件名。

child_process_start_time

Long

子进程启动时间。

child_process_gid

Integer

子进程组ID。

child_process_egid

Integer

子进程有效组ID。

child_process_euid

Integer

子进程有效用户ID。

virt_cmd

String

虚拟化命令。

virt_process_name

String

虚拟化进程名称。

escape mode

String

逃逸方式。

escape cmd

String

逃逸后执行的命令。

user_info

user_id

Integer

用户uid。

user_gid

Integer

用户gid。

user_name

String

用户名称。

user_group_name

String

用户组名称。

user_home_dir

String

用户home目录。

login_ip

String

用户登录ip。

service_type

String

登录的服务类型。

service_port

Integer

登录服务端口。

login_mode

String

登录方式。

login_lasttime

Long

用户最后一次登录时间。

login_fail_count

Integer

用户登录失败次数。

pwd_hash

String

口令hash。

pwd_with_fuzzing

String

匿名化处理后的口令。

pwd_used_days

Integer

密码使用的天数。

pwd_min_days

Integer

口令的最短有效期限。

pwd_max_days

Integer

口令的最长有效期限。

pwd_warn_left_days

Integer

口令无效时提前告警天数。

file_info

file_path

String

文件路径/名称。

file_alias

String

文件别名。

file_size

Integer

文件大小。

file_mtime

Long

文件最后一次修改时间。

file_atime

Long

文件最后一次访问时间。

file_ctime

Long

文件最后一次状态改变时间。

file_hash

String

文件hash。

file_md5

String

文件md5。

file_sha256

String

文件sha256。

file_type

String

文件类型。

file_content

String

文件内容。

file_attr

String

文件属性。

file_operation

String

文件操作类型。

file_change_attr

String

变更前后的属性。

file_new_path

String

新文件路径。

file_desc

String

文件描述。

file_key_word

String

文件关键字。

is_dir

Boolean

是否目录。

fd_info

String

文件句柄信息。

fd_count

Integer

文件句柄数量。

forensic_info

monitor_process

String

监控进程。

escape_mode

String

逃逸方式。

abnormal_port

String

异常端口。

geo_info

src_country

String

源国家。

src_city

String

源城市。

src_latitude

Long

源纬度。

src_longitude

Long

源经度。

dest_country

String

目的国家。

dest_city

String

目的城市。

dest_latitude

Long

目的纬度。

dest_longitude

Long

目的经度。

malware_info

malware_family

String

恶意家族。

malware_class

String

恶意软件分类。

system_info

pwd_valid

Boolean

口令结果是否有效。

pwd_min_len

Integer

口令长度。

pwd_digit_credit

Integer

口令中数字要求。

pwd_uppercase_letter

Integer

口令中大写字母。

pwd_lowercase_letter

Integer

口令中小写字母。

pwd_special_characters

Integer

口令中特殊字符。

extend_info

hit_rule

String

特征规则。

rule_name

String

规则名称。

rulesetname

String

规则集名称。

report_type

String

上报数据类型。

ti_info

ti_source

String

情报来源。

ti_class

String

情报分类。

ti_threat_type

String

情报威胁类型。

ti_first_time

Long

第一次发现时间。

ti_last_time

Long

最近一次发现时间。

support.huaweicloud.com/usermanual-secmaster/secmaster_01_0140.html