飞连日志外发和审计--飞连-火山引擎

文档中心

立即注册

导航

飞连日志外发和审计

最近更新时间：2025.02.17 15:44:42首次发布时间：2022.11.29 10:24:03

飞连管理后台的日志审计功能为您提供了一个全面的日志查看和外发管理平台，您可以配置不同场景的日志外发，以及查看包括员工活动日志、管理员操作日志，以及VPN和Wi-Fi相关的员工与设备连接日志。

注意事项

日志记录是事件驱动的，只有在员工或设备有活动时才会生成日志。例如，新员工入职并连接访客 Wi-Fi 时，系统会自动生成访客 Wi-Fi 连接日志。
部门日志列表包含多个列字段，您可以通过左右滑动页面来查看所有列字段。

配置日志外发

在日志审计页面，飞连支持将日志外发至 Syslog 或者 Elasticsearch 服务上进行存储。

说明

只同步配置日志外发之后的日志，之前的历史日志不会同步。

登录飞连管理后台。
在左侧导航栏，选择系统设置 ＞ 日志审计。
在日志审计页面的右上角，单击日志外发管理。
在日志外发管理页面，选择需要外发的目标场景，并单击右上角的编辑，进入协议配置界面。

在配置外发协议类型区域，选择并配置以下外发协议类型：
您可以为各种场景配置一种以上的外发协议，包括 Syslog 和 Elasticsearch。

外发协议	配置项	说明
Syslog	地址	地址是指向 Syslog 程序所在服务器的 TCP/UDP 地址，输入相应的服务器地址，例如 `127.0.0.1`。
Elasticsearch	服务地址	输入 Elasticsearch 程序所在服务器的地址，例如 `http://12.6.106:9200`。
	索引名称	输入用于存储日志数据的索引名称，通常由字母和下划线组成。
	用户名	输入访问 Elasticsearch 服务所需的用户名。
	密码	输入相应的密码。

完成协议配置后，点击协议右上角的开启按钮以激活协议。
启用协议后，点击页面右上角的保存，保存当前的协议配置。点击场景名称右侧的开启按钮，启动该场景的日志外发功能。

查看日志审计

日志审计页面支持查看员工活动日志、管理员操作日志、VPN 和 Wi-Fi 连接日志等多种类型的日志。所有日志类型均支持条件过滤和关键词搜索，以便您快速定位特定日志条目。员工活动日志的数据记录可以被清除，您可以通过设置过滤条件来筛选需要清除的日志数据，然后在页面右上角点击清除日志执行操作。请注意，清除操作是不可逆的。

说明

不同业务日志存储时长不同，存储时间过期后，飞连将自动清理日志数据且无法在管理后台搜索或者下载对应日志。各类日志的默认保留时长请参见业务日志默认保留多久？

登录飞连管理后台。
在左侧导航栏，选择系统设置 ＞ 日志审计。
在日志审计页面，支持查看以下信息。
- 员工活动日志：包含员工登录登出、修改个人信息、访问应用操作类型的日志，支持条件过滤或者关键词搜索指定日志，您也可以单击自定义筛选设置筛选条件。
  员工活动日志的数据记录支持清除。您可以通过设置过滤条件筛选需要清除的日志数据，筛选后在页面右上角单击清除日志。例如，过滤条件：操作系统选择修改个人信息、账号状态选择正常运行、操作系统选择 iOS、飞连版本选择 v2.1.0。成功过滤后单击清除日志，可将当前日志列表的数据清除。
  注意
  日志清除后数据无法恢复，请谨慎操作。
- 管理员操作日志：包含企业管理员在飞连管理后台各个模块操作的日志，支持条件过滤或者关键词搜索指定日志，您也可以单击自定义筛选设置筛选条件。
- 员工 VPN 连接日志：包含企业员工通过客户端连接飞连 VPN 节点的日志信息，支持条件过滤或者关键词搜索指定日志，您也可以单击自定义筛选设置筛选条件。
  说明
  单击导出，可将当前员工 VPN 连接日志的数据导出至本地。
  在员工 VPN 连接日志列表中，未完全展示所有列字段，您可以单击列表右侧 ···，自定义列字段信息。
- 员工 VPN 访问日志：包含企业员工连接飞连 VPN 节点后，访问网络资源的日志信息。该类型的日志数据量较大，仅支持通过 Elasticsearch 或 Syslog 协议外发后查看，因此您必须配置日志外发。具体配置操作，请参见配置日志外发。
  说明
  员工 VPN 访问日志列表的列字段支持自定义，单击点击修改下载字段进行配置。
- 员工 Wi-Fi 连接日志：包含企业员工连接员工 Wi-Fi 的日志信息，支持条件过滤或者关键词搜索指定日志，您也可以单击自定义筛选设置筛选条件。
  在日志列表右侧的详情列单击日志详情，可进入相应员工的设备详情页。
  - 查看设备基础信息、网络连接信息、网络设备信息以及 RADIUS 信息。
  - 在页面右上角单击查看设备详情，可跳转至终端管理中的设备详情页查看。
- 访客 Wi-Fi 连接日志：包含企业新员工或者到访人员连接访客 Wi-Fi 的日志信息，支持条件过滤或者关键词搜索指定日志，您也可以单击自定义筛选设置筛选条件。
- 哑终端网络连接日志：包含企业哑终端设备入网的日志信息，支持条件过滤或者关键词搜索指定日志，您也可以单击自定义筛选设置筛选条件。
  在日志列表右侧的详情列单击日志详情，可进入哑终端设备详情页，查看设备、入网认证、RADIUS 认证等信息。

日志字段格式说明

员工 VPN 连接日志

<14>1 2023-05-24T12:48:48+08:00 - feilian 19461 - - {
        "x_key": "vpn_connect_log",
        "open_id": "ou_dV***zYA",
        "user_name": "张三",
        "user_email": "zhangsan@example.com",
        "client_ip": "10.10.*.*",
        "device_id": "641162*****58ff43f991312093",
        "device_os": "Mac 13.2.1",
        "device_model": "Apple/MacBookPro16,2",
        "vpn_id": 1,
        "vpn_ip": "10.*.*.*",
        "connect_time": "2023-05-24T12:48:45+08:00",
        "app_version": "Mac v2.1.12",
        "option": "connect"
}

字段	类型	示例	描述
x_key	String	vpn_connect_log	标识日志类型说明飞连 3.0.7 及以上版本支持该字段。
open_id	String	ou_xxx	用户 OpenID，可用于 OpenAPI 查询，格式为 `ou_xx`
user_name	String	张三	用户名
user_email	String	example@feilian.cn	用户邮箱
client_ip	String	10.10.10.*	客户端 IP 地址
device_id	String	00000000000000	客户端设备 ID
device_os	String	Mac 12.4	客户端系统
device_model	String	Apple/MacBookPro16,2	客户端系统信息
vpn_id	Number	1	VPN 节点 ID
vpn_ip	String	10.0.0.*	VPN 节点内网 IP 地址
vpn_ipv6	String	00::0	VPN 节点内网 IPv6 地址
connect_time	String	2006-01-02T15:04:05Z07:00	VPN 连接的建立时间
disconnect_time	String	2006-01-02T15:04:05Z07:00	VPN 连接的断开时间，仅断开时的日志有值
app_version	String	2.1.10	飞连的版本号
option	String	connect	日志类型，枚举值，包括 connect 和 disconnect

员工 VPN 访问日志

<14>1 2023-05-24T12:58:43+08:00 - feilian 13643 - - {
        "x_key": "vpn_conntrack",
        "user": "USER_ou_dV1jLvVzYA",
        "uip": "10.10.*.*:55299",
        "sip": "10.241.*.*",
        "dip": "142.251.*.*",
        "sport": "63031",
        "dport": "443",
        "protocol": "tcp",
        "host": "www.example.com",
        "action": "accept",
        "timestamp": "1684904321"
}

字段	类型	示例	描述
x_key	String	vpn_conntrack	标识日志类型说明飞连 3.0.7 及以上版本支持该字段。
email	String	admin@feilian.local	用户邮箱
mobile	String	18800001111	用户手机号
did	String	62d9065661a6e66*****0ec839b	设备 ID
smac	String	3c:22:fb:33:86:70	源 MAC 地址
os	String	Mac	设备操作系统
os_version	String	12.4	操作系统版本
device_brand	String	Apple	设备品牌
device_model	String	MacBookPro15,4	设备型号
app_version	String	v2.0.11	飞连的版本号
user	String	USER_ou_xxx	用户，格式为 `USER_{open_id}`
uip	String	10.10..	用户 IP
sip	String	20.20..	源 IP
dip	String	10.92..	目的 IP
sport	String	51293	源端口
dport	String	18009	目的端口
protocol	String	udp	协议
host	String	example.com	域名
action	String	accept	处置动作
timestamp	String	1684904321	访问时间，Unix 秒时间戳

员工 Wi-Fi 连接日志/访客 Wi-Fi 连接日志和哑终端网络连接日志

说明

员工 Wi-Fi 连接日志、访客 Wi-Fi 连接日志和哑终端网络连接日志使用的是相同的数据结构，通过 x_key 和account_type 字段内容来表示不同网络连接记录。
飞连 3.0.7 及以上版本支持x_key字段。

<14>1 2023-05-24T12:48:48+08:00 - feilian 19461 - - {
        "x_key": "wifi_connect_employee",
        "radius_id": 1,
        "connect_time": "2006-01-02T15:04:05Z07:00",
        "disconnect_time": "2006-01-02T15:04:05Z07:00",
        "connection_result": 1,
        "connection_group_id": "DEFAULT",
        "connection_ip": "10.0.0.*",
        "account_id": 1,
        "account_username": "zhangsan",
        "account_type": 1,
        "device_id": "0000000000",
        "device_name": "xxxxx",
        "calling_station_id": "3a:af:28:df:f8:79",
        "called_station_id": "20:4c:03:2b:30:6c",
        "creators": "1",
        "creators_ex": [{
                "open_id": "ou_xxx",
                "user_name": "张三",
                "user_email": "aaa@example.com"
        }],
        "remark": "",
        "option": "connect"
}

字段	类型	示例	描述
x_key	String	wifi_connect_employee	日志类型 `wifi_connect_employee`：员工 Wi-Fi 连接日志： `wifi_connect_guest`：访客 Wi-Fi 连接日志 `wifi_connect_terminal`：哑终端网络连接日志
radius_id	Number	1	RADIUS 节点 ID
connect_time	String	2006-01-02T15:04:05Z07:00	Wi-Fi 连接的建立时间
disconnect_time	String	2006-01-02T15:04:05Z07:00	Wi-Fi 连接的断开时间，仅断开时的日志有值
connection_result	Number	1	连接的状态： 1：成功 2：失败 3：降级
connection_group_id	String	DEFAULT	连接的权限字符串
connection_ip	String	10.0.0.*	DHCP 分配的 IP
account_id	Number	1	Wi-Fi 账号 ID
account_username	String	zhangsan	Wi-Fi 账号用户名
account_type	Number	1	Wi-Fi 账号类型： 1：访客 Wi-Fi 2：员工 Wi-Fi 3：员工有线 4：哑终端
device_id	String	00000000000000	认证设备的 DID
device_name	String	xxx	认证设备的设备名
calling_station_id	String	3a:af:28:df:f8:79	NAS 的 MAC
called_station_id	String	20:4c:03:2b:30:6c	认证设备的 MAC 地址
creators	String	1	对于员工 Wi-Fi 和员工有线，此字段表示账号的用户 ID 对于访客 Wi-Fi，此字段表示申请者 ID（多 ID 之间以`\|` 分隔）
creators_ex	Array of Object	[]	数组类型，依次解释 creators 里每个用户的信息
. open_id	String	ou_xxx	用户 OpenID，可用于 OpenAPI 查询，格式为 `ou_xx`
. user_name	String	张三	用户名
. user_email	String	example@feilian.cn	用户邮箱
remarks	String	null	若连接失败，此字段显示失败原因若连接成功，此字段为空
option	String	connect	日志类型，枚举值，包括 connect、disconnect 和 update

员工登录日志

<14>1 2023-05-24T12:38:32+08:00 - feilian 19461 - - {
        "x_key": "employee_login",
        "open_id": "ou_dV1**zYA",
        "user_name": "张X",
        "user_email": "zhangx@example.com",
        "client_ip": "10.10.*.*",
        "user_agent": "Mac/2.1.12(CorpLink/2.1.12 (darwin; Mac 13.2.1; zh))",
        "app_version": "2.1.12",
        "device_model": "Apple/MacBookPro16,2",
        "events": "[{\"success\":true,\"error_code\":\"\",\"error_message\":\"\",\"error_message_en\":\"\",\"name\":\"users\",\"action\":\"logout\",\"changes\":[{\"ids\":[2198],\"attrs\":null}]}]",
        "action": "logout",
        "success": true,
        "timestamp": 1684903112
}

字段	类型	示例	描述
x_key	String	employee_login	日志类型说明飞连 3.0.7 及以上版本支持该字段。
open_id	String	ou_xxx	用户的 ID，格式为 `ou_xx`
user_name	String	张三	用户名称
user_email	String	zhangsan@example.com	用户邮箱
client_ip	String	10.10.10.*	客户端 IP
user_agent	String	Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36	UA，登录的客户端的标识信息
app_version	String	2.1.0	飞连的版本号
device_model	String	Apple/MacBookPro16,2	设备类型
events	String	[{"success":true,"error_code":"","error_message":"","error_message_en":"","name":"users","action":"logout","changes":[{"ids":[2198],"attrs":null}]}]	事件详情
action	String	login	操作类型，包括login、logout、login/code/verify
success	bool	true	登录是否成功
timestamp	Number	1600000000	登录的时间，格式为 Unix 秒时间戳

动态控制日志

<14>1 2023-05-24T13:05:05+08:00 - feilian 19461 - - {
        "x_key": "dynamic_engine",
        "id": "738e8595-ff45-4343-8326-bb3***088",
        "open_id": "ou_dV1***zYA",
        "username": "张三",
        "user_email": "zhangsan.9612@example.com",
        "did": "62c24a*****17be079189b968bb7d7",
        "trigger": "period_5_min",
        "trigger_label": "",
        "action_key": "wifi-device-downgrade",
        "timestamp": 1684904700,
        "action_record_type": 1,
        "context": {
                "user_id": 2198,
                "user_agent": "",
                "did": "62c24a3***b968bb7d7",
                "ip": "",
                "event": {},
                "params": {
                        "user_id": 21 ** 8
                },
                "result": null
        },
        "is_manual": false,
        "undo": false,
        "result_code": 0,
        "group_id": 49,
        "rule_id": 406
}

字段	类型	示例	描述
x_key	String	dynamic_engine	日志类型说明飞连 3.0.7 及以上版本支持该字段。
action_key	String	abort-request	处置动作
action_record_type	String	1	处置类型： 1：执行 2：自动恢复 3：手动恢复
context	String	{"user_id":7,"user_agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7） AppleWebKit/605.1.15 （KHTML， like Gecko） Version/15.6.1 Safari/605.1.15"，"did":""，"ip":"10.10.."，"event":{}，"params":{"roles":[1]}，"result":[{"name":"abort_request"，"undo":false，"args":"[\"用户所属角色被管理员禁止登录\"，\"role has been limited\"]"}]}	上下文，JSON 字符串，包含处置时的参数及处置结果
did	String	62d90656******0ec839b	设备 ID
id	String	101	处置记录 ID
is_manual	String	false	是否是手动
result_code	String	0	执行结果： 0：执行成功 1：被限流 2：已手动恢复 99：未知错误
timestamp	String	1662626747	操作的时间，格式为 Unix 时间戳
trigger	String	web_login	触发点
trigger_label	String	门户登录（登录尝试）	触发点（中文）
undo	String	false	是否是自动恢复
user_id	String	ou_W9Y***r8e	用户 ID
group_id	String	45	触发规则组 ID
rule_id	String	461	触发规则 ID

终端防病毒日志

<14>1 2023-05-24T13:10:14+08:00 - feilian 19461 - - {
        "x_key": "anti_virus",
        "event_id": "xxxx",
        "open_id": "xxx",
        "username": "",
        "user_email": "example.feilian.cn",
        "mobile": "",
        "timestamp": 17012345678,
        "report_time": 17012345678,
        "config_key": "xxx",
        "config_name": "xxx",
        "device_ip": "10.0.*.*",
        "device_id": "xxxxxxxx",
        "scan_mode": "realtime_scan",
        "scan_scene": "sensitive_file_protect",
        "scan_id": "xxx",
        "threat_object_flag": "av_object_file",
        "threat_object_id": "c:\users\mimikatz.exe+7862ac21eb3****247c188c5f8179f",
        "threat_file_path": "",
        "threat_file_hash": "xxx",
        "threat_file_size": 123,
        "threat_file_type": "win32exe",
        "process_name": "",
        "threat_type": "virus",
        "raw_malware_name": "Generic.Trojan.Mimikatz.Marte.!s!.A.301958EE",
        "threat_level": 1,
        "remediation": "remind_only"
}

字段	类型	示例	描述
x_key	String	anti_virus	日志类型说明飞连 3.0.7 及以上版本支持该字段。
event_id	String	9312dc30-b0a4-43d2-add1-6707ecf2c1c9	事件 ID
open_id	String	ou_W9Yz***8e	用户 ID，格式为 `ou_xx`
username	String	张三	用户名称
user_email	String	example@feilian.cn	用户邮箱
mobile	String	18800001111	用户手机号
timestamp	Number	1662626747	事件发生时间，格式为 Unix 时间戳
report_time	Number	1662626747	事件上报时间，格式为 Unix 时间戳
config_key	String	2212dc30-2222-1111-00aa-6707ecf2c1c0	终端防病毒策略的 key
config_name	String	策略 AAA	终端防病毒策略的名称
device_ip	String	10.10.10.*	设备 IP
device_id	String	62d9065661a6e66*****0ec839b	设备 ID
device_name	String	Example's Device	设备名
device_hostname	String	CORPLINK-PC	设备主机名
device_serial_Number	String	5053565a4331384b365****64e4e48384a	设备序列号
device_os	String	windows	操作系统，包括 windows、mac、linux
app_version	String	2.1.0	飞连的版本号
scan_mode	String	realtime_scan	检测模式
scan_scene	String	sensitive_file_protect	扫描场景
scan_id	String	e21b829f-18a5-4437-b7e0-0192a0202d63	扫描任务 ID
threat_object_flag	String	av_object_file	可疑对象的种类
threat_object_id	String	c:\users\mimikatz.exe+7862ac21e****c188c5f8179f	可疑对象ID
threat_file_path	String	c:\users\mimikatz.exe	可疑文件在用户机器上的路径
threat_file_hash	String	7862ac21eb3f8c4e8247c188c5f8179f	可疑文件 hash
threat_file_size	String	1355680	可疑文件大小
threat_file_type	String	win32exe	可疑文件类型
process_name	String	mimikatz.exe.zip	相关进程名称
threat_type	String	virus	威胁分类
raw_malware_name	String	Generic.Trojan.Mimikatz.Marte.!s!.A.301958EE	原始威胁名称
threat_level	Number	1	威胁等级
remediation	String	remind_only	默认处置方式

设备信息日志

<14>1 2023-05-24T13:10:14+08:00 - feilian 19461 - - {
        "x_key": "device_info",
        "did": "668d9d86e6f****8a98e62725",
        "device_name": "JWVQRXWYXL",
        "os": "Mac",
        "os_ver": "14.6.1",
        "os_model": "macOS 14.6.1",
        "os_detail_version": "23G93",
        "app_ver": "3014",
        "brand": "Apple",
        "model": "Mac15,6",
        "language": "en-US",
        "client_ip": "10.10.*.*",
        "mac_addrs": "[\"4e:80:b2:60:15:8f\",\"66:6e:fe:47:42:2c\",\"66:6e:fe:47:42:2d\",\"a2:a9:97:42:15:e0\",\"36:0c:ed:a4:76:c0\",\"80:a9:97:42:15:e0\",\"66:6e:fe:47:42:0c\",\"36:0c:ed:a4:76:c4\",\"36:0c:ed:a4:76:c8\",\"66:6e:fe:47:42:0d\"]",
        "serial_number": "JWVQRXWYXL",
        "created_at": "2024-07-16T15:31:57+08:00",
        "updated_at": "2024-08-26T17:07:07+08:00",
        "is_live": true,
        "device_status": 1,
        "device_info": {
                "product_id": "",
                "serial_number": "JWVQRXWYXL",
                "memory_total": 36864,
                "memory_available": 11619,
                "disk_total": 471482,
                "disk_available": 385065,
                "cpu_model": "Apple M3 Pro",
                "cpu_serial_number": "",
                "gpu_model": "Apple M3 Pro",
                "nic_type": "Wi-Fi  (0x14E4, 0x4388)",
                "login_user": "admin",
                "is_vm": false,
                "nic_detail_list": [{
                        "nic_type": "en2",
                        "mac_addr": "36:0c:ed:a4:76:c4",
                        "active": false,
                        "description": "en2",
                        "has_traffic": false,
                        "ipv4": "",
                        "ipv6": [],
                        "is_default": "0"
                }, {
                        "nic_type": "en4",
                        "mac_addr": "66:6e:fe:47:42:0c",
                        "active": false,
                        "description": "en4",
                        "has_traffic": false,
                        "ipv4": "",
                        "ipv6": [],
                        "is_default": "0"
                }],
                "os_install_date": 1720556814,
                "ssd_serial_numbers": ["0ba0225c433cd629"]
        },
        "ext_attr_list": [{
                "id": 86,
                "def": {
                        "id": 86,
                        "name": "是否是公司设备",
                        "key": "是否是公司设备",
                        "desc": "",
                        "type": 3,
                        "is_required": false,
                        "is_unique": false
                },
                "value": true
        }],
        "groups": [{
                "id": 6,
                "name": "公司资产",
                "mode": 2
        }, {
                "id": 107,
                "name": "设备分组示例",
                "mode": 2
        }],
        "user_id": "ou_PO1***P2Va",
        "full_name": "username",
        "mobile": "",
        "email": "abc@def.com",
        "department_id": "od_yN***vzz",
        "status": 1,
        "department_path": "example/xxxx/yyyy",
        "icon_url": "https://xxxxxxx",
        "roles": [{
                "name": "Employees",
                "id": "or_N1**EV"
        }],
        "third_party_user_id": "92**3e1"
}

字段	类型	示例	描述
x_key	String	device_info	日志类型说明飞连 3.0.7 及以上版本支持该字段。
did	String	62d9065661a6e66*****0ec839b	设备 did
device_name	String	Example's Device	设备名称
os	String	Windows	操作系统
os_ver	String	10	系统版本
os_model	String	macOS 14.6.1	操作系统类型
os_detail_version	String	23G93	操作系统详细版本
app_ver	String	2.0.13	飞连的版本号
brand	String	Apple	品牌
model	String	MacBookPro16,2	型号
language	String	zh-CN	语言
client_ip	String	10.10.10.*	客户端 IP
mac_addrs	String	4e:80:b2:60:15:8f	MAC 地址
serial_Number	String	5053565a4331384b365134373...	设备序列号
created_at	String	2006-01-02 15:04:05.999 -0700 MST	创建时间
updated_at	String	2006-01-02 15:04:05.999 -0700 MST	更新时间
software_num	Number	1	软件数量
is_live	bool	1	是否活跃
device_status	Number	0	设备状态： 0：设备失效 1：设备活跃 2：设备休眠
device_info	Object	-	设备信息
. product_id	String	1	产品 ID
. serial_Number	String	JWVQRXWYXL	序列号
. memory_total	Number	36864	总内存大小，单位 MB
. memory_available	Number	11619	可用内存大小，单位 MB
. mem_serial_Numbers	Array of String	null	内存序列号
. disk_total	Number	500000	总磁盘大小，单位 MB
. disk_available	Number	100000	可用磁盘大小，单位 MB
. cpu_model	String	Apple M3 Pro	CPU 型号
. cpu_serial_Number	String	1	CPU 序列号
. gpu_model	String	Apple M3 Pro	GPU 型号
. nic_type	String	en4	网卡型号
. login_user	String	admin	用户名称
. is_vm	bool	false	是否虚拟机
. nic_detail_list	Array of Object	-	网卡详情
.. nic_type	String	en2	网卡类型
.. mac_addr	String	36:0c:ed:a4:76:c4	MAC 地址
.. active	bool	false	是否活跃
.. description	String	en2	描述
. os_install_date	String	1662626747	安装时间，格式为 Unix 时间戳（秒）
. hdd_serial_Numbers	Array of String	null	磁盘序列号
. ssd_serial_Numbers	Array of String	["0ba0225c433cd629"]	磁盘序列号（固态）
ext_attr_list	Array of Object	-	拓展属性列表
. id	Number	86	属性值 ID
. def	Object	{"id":86,"name":"是否是公司设备","key":"是否是公司设备","desc":"","type":3,"is_required":false,"is_unique":false}	属性定义
. value	any	city	属性值
groups	Array of Object	-	设备分组
. id	Number	1	主键 ID
. name	String	xxx	分组名称
. mode	Number	1	区分手动/自动
user_id	String	ou_xxx	用户的ID，格式为： `ou_xxx`
full_name	String	张三	用户姓名
mobile	String	18800001111	用户手机号
email	String	zhangsan@example.com	用户邮箱
department_id	String	od_xxx	部门的 ID，格式为： `od_xxx`
status	Number	1	用户状态： 1：启用 2 ：禁用 3 ：离职
department_path	String	/1/2	所属部门路径
icon_url	String	/api/v1/attach/download?key=xxxxx	用户头像
third_party_user_id	String	1	三方用户 ID
roles	Array of Object	-	角色
. name	String	角色 A	角色名称
. id	String	or_xxx	角色 ID，格式为：`or_xxx`

FAQ

日志外发是实时外发吗？

正常情况下，日志会在其产生后的 1 分钟内进行外发。若因用户操作停止或网络异常，则会在工作任务恢复后从上次外发成功的最后一条日志开始。若为首次配置，仅外发最新日志，不会追溯到之前的历史日志。

网络异常时，日志外发会重发吗？

当遇到网络错误时，暂无重试次数上限，请确保网络环境良好。

对于 ElasticSearch 外发模式，若ElasticSearch服务返回参数错误，则会丢弃此日志，不再重试。
对于 SYSLOG UDP 外发模式，由于 UDP 协议无法保证通信成功，因此始终只会发送一次，不再重试。