进行日志检索分析时,您可能会使用不同的日志主题及对应字段查询相应结果。本文为您介绍多云安全平台日志管理模块涉及的日志主题和字段详情。
多云安全平台日志模块涉及以下主题 (topic),包括OCSF-Findings, OCSF-System-Activity,OCSF-Network-Activity,和OCSF-Application-Activity。下文分别介绍不同主题对应的日志字段。
OCSF-Findings 事件上报由安全防护产品执行的发现、检测、异常、告警或其他操作。
字段 | 字段类型 | 字段说明 |
|---|---|---|
activity_id | Integer | 事件活动ID |
activity_name | String | 事件活动名称 |
api | 云API相关信息 | |
api.operation | String | 请求操作 |
api.request | API请求信息 | |
api.request.uid | String | 请求uid |
api.response | API响应信息 | |
api.response.code | String | 响应码 |
category_name | String | 分类名称 |
category_uid | Integer | 分类ID |
class_name | String | 事件类名称 |
class_uid | Integer | 事件类ID |
cloud | 云相关信息 | |
cloud.account | 云账号信息 | |
cloud.account.type | String | 云账号类型 |
cloud.account.type_id | Integer | 云账号类型ID |
cloud.account.uid | String | 云账号UID |
cloud.provider | String | 云厂商名称 |
data_sources | String Array | 数据来源(多个) |
finding | 事件明细对象 | |
finding.created_time | Timestamp | 事件创建时间 |
finding.desc | String | 事件描述 |
finding.first_seen_time | Timestamp | 首次检测时间 |
finding.last_seen_time | Timestamp | 最近检测时间 |
finding.modified_time | Timestamp | 最近修改时间 |
finding.supporting_data | JSON | 安全发现详情信息 |
finding.supporting_data.connection_info | Network Connection Information | 网络连接信息 |
finding.supporting_data.connection_info.direction_id | Integer | 网络的建连方向 |
finding.supporting_data.connection_info.protocol_name | String | iana标准定义的网络协议,小写字母。如tcp/udp/icmp |
finding.supporting_data.dst_endpoint | HTTP请求目标端 | |
finding.supporting_data.dst_endpoint.hostname | String | 目标网络终端域名 |
finding.supporting_data.dst_endpoint.ip | String | 目标网络终端ip |
finding.supporting_data.dst_endpoint.port | Integer | 目标网络终端端口 |
finding.supporting_data.dst_endpoint.vpc_name | String | 目标网络终端vpc名称 |
finding.supporting_data.dst_endpoint.vpc_uid | String | 目标网络终端vpc uid |
finding.supporting_data.http_request | HTTP请求信息 | |
finding.supporting_data.http_request.url | URL | |
finding.supporting_data.http_request.url.hostname | Hostname | 请求接口域名 |
finding.supporting_data.http_request.url.path | String | 请求接口Path |
finding.supporting_data.http_request.url.query_string | String | 请求参数 |
finding.supporting_data.http_request.url.scheme | String | 请求schema |
finding.supporting_data.http_request.url.url_string | String | 请求接口全路径 |
finding.title | String | 安全发现上报标题 |
finding.uid | String | 安全发现上报uid |
metadata | Metadata | 事件元信息 |
metadata.event_code | String | 事件ID或者事件编码 |
metadata.extension | 创建事件涉及的扩展schema | |
metadata.extension.name | String | 扩展schema名称 |
metadata.extension.uid | String | 扩展schemaUID |
metadata.extension.version | String | 扩展schema版本号 |
metadata.modified_time | Timestamp | 事件最近修改时间 |
metadata.modified_time_dt | Datetime | 事件最近修改时间 |
metadata.original_time | Timestamp | 事件来源的原始时间 |
metadata.processed_time | Timestamp | 事件最近处理时间 比如ETL |
metadata.processed_time_dt | Datetime | 事件最近处理时间 比如ETL |
metadata.product | Product | 上报该事件的产品信息 |
metadata.product.feature | 产品功能特性 | |
metadata.product.feature.name | String | 功能特性名称 |
metadata.product.name | String | 产品名称 |
metadata.product.vendor_name | String | 产品所属云厂商名称 |
metadata.product.version | String | 产品版本 |
metadata.profiles | String Array | 创建事件的配置文件列表 |
metadata.version | String | ocsf协议的版本 |
process | 进程信息 | |
process.cmd_line | String | 启动命令行 |
process.container | 容器信息 | |
process.container.image | 容器镜像 | |
process.container.image.name | String | 容器镜像名称 |
process.container.image.uid | String | 容器镜像UID |
process.container.name | String | 容器名称 |
process.container.network_driver | String | 网络驱动程序 |
process.container.pod_uuid | UUID | Pod uuid |
process.container.runtime | String | 运行容器的后端 |
process.container.uid | String | 容器实例UID |
process.file | 进程文件 | |
process.lineage | String Array | 祖先进程列表 |
process.loaded_modules | String Array | 已加载模块名称列表 |
process.name | String | 进程名称 |
process.parent_process | 父进程对象 | |
process.parent_process.cmd_line | String | 启动命令行 |
process.parent_process.pid | String | 进程ID(操作系统层面) |
process.pid | String | 进程ID(操作系统层面) |
process.user | 进程所属的用户 | |
process.user.name | String | 用户名 |
process.user.type | String | 用户类型 |
process.user.type_id | Integer | 用户类型ID enum |
process.user.uid | String | 用户UID |
raw_data | String | 来自事件源的原始数据 |
risk_level | String | 风险等级 |
risk_level_id | Integer | 风险等级ID |
severity | String | 事件严重性名称 |
severity_id | Integer | 事件严重性ID |
start_time | Timestamp | 事件发生时间 |
state | String | 事件的状态名称 |
state_id | Integer | 事件的状态ID |
time | Timestamp | 事件发生的毫秒级时间戳 |
time_dt | Datetime | 事件发生的时间 |
type_name | String | 事件类型名称 |
type_uid | Integer | 事件类型ID |
OCSF-System-Activity 上报系统活动事件,例如文件系统活动、内核扩展活动、存储活动等。
字段 | 字段类型 | 字段说明 |
|---|---|---|
activity_id | Integer | 事件活动ID |
activity_name | String | 事件活动名称 |
actor | 活动源参与者信息 | |
actor.user | 发起活动的用户信息 | |
actor.user.name | String | 用户名 |
actor.user.type | String | 用户类型 |
actor.user.type_id | Integer | 用户类型ID enum |
actor.user.uid | String | 用户UID |
category_name | String | 分类名称 |
category_uid | Integer | 分类ID |
class_name | String | 事件类名称 |
class_uid | Integer | 事件类ID |
cloud | 云相关信息 | |
cloud.account | 云账号信息 | |
cloud.account.type | String | 云账号类型名称 |
cloud.account.type_id | Integer | 云账号类型ID |
cloud.account.uid | String | 云账号UID |
cloud.provider | String | 云厂商名称 |
device | 可寻址设备 计算机系统或者主机 | |
device.hostname | Hostname | 主机名称 |
device.instance_uid | String | 虚拟机实例ID |
device.name | String | 备选设备名称 |
device.type | String | 设备类型名称 |
device.type_id | Integer | 设备类型ID |
device.uid | String | 设备UID |
disposition_id | Integer | 安全处置类型ID |
job | 任务信息 | |
job.cmd_line | String | 任务命令行 |
job.desc | String | 任务描述 |
job.file | 任务所在文件信息 | |
job.file.creator | 文件创建用户 | |
job.file.creator.name | String | 用户名 |
job.file.creator.type | String | 用户类型 |
job.file.creator.type_id | Integer | 用户类型ID enum |
job.file.name | String | 文件名称 |
job.file.path | String | 文件完整路径 |
job.file.type | String | 文件类型 |
job.file.type_id | Integer | 文件类型ID |
job.name | String | 任务名称 |
job.user | 任务创建用户 | |
job.user.name | String | 用户名 |
job.user.type | String | 用户类型名称 |
job.user.type_id | Integer | 用户类型ID enum |
metadata | Metadata | 事件元信息 |
metadata.extension | 创建事件涉及的扩展schema | |
metadata.extension.name | String | 扩展schema名称 |
metadata.extension.uid | String | 扩展schemaUID |
metadata.extension.version | String | 扩展schema版本号 |
metadata.modified_time | Timestamp | 事件最近修改时间 |
metadata.modified_time_dt | Datetime | 事件最近修改时间 |
metadata.original_time | String | 事件来源的原始时间 |
metadata.processed_time | Timestamp | 事件最近处理时间 比如ETL |
metadata.processed_time_dt | Datetime | 事件最近处理时间 比如ETL |
metadata.product | Product | 上报该事件的产品信息 |
metadata.product.feature | 产品功能特性 | |
metadata.product.feature.name | String | 功能特性名称 |
metadata.product.feature.version | String | 产品特性版本 |
metadata.product.name | String | 产品名称 |
metadata.product.vendor_name | String | 产品所属云厂商名称 |
metadata.product.version | String | 产品版本号 |
metadata.profiles | String Array | 创建事件的配置文件列表 |
metadata.version | String | ocsf协议的版本 |
process | 进程信息 | |
process.account | Account | 用户账号信息 |
process.account.name | String | 用户账号名称 |
process.account.type | String | 用户账号类型 |
process.account.type_id | Integer | 用户账号类型ID |
process.account.uid | String | 用户账号ID |
process.cmd_line | String | 启动命令行 |
process.container | 容器信息 | |
process.container.name | String | 容器名称 |
process.container.uid | String | 容器实例UID |
process.created_time | Timestamp | 启动时间 |
process.file | 进程文件 | |
process.file.creator | 文件创建用户 | |
process.file.creator.name | String | 用户名 |
process.file.creator.type | String | 用户类型 |
process.file.creator.type_id | Integer | 用户类型ID enum |
process.file.creator.uid | String | 用户UID |
process.group | Group | 进程组信息 |
process.group.uid | String | 进程组ID |
process.name | String | 进程名称 |
process.parent_process | 父进程对象 | |
process.parent_process.cmd_line | String | 父进程的命令行 |
process.parent_process.pid | Integer | 父进程ID |
process.pid | Integer | 操作系统进程ID |
process.session | 进程所在会话 | |
process.session.uid | String | 会话UID |
process.user | 进程所属的用户 | |
process.user.name | String | 用户名 |
process.user.type | String | 用户类型 |
process.user.type_id | Integer | 用户类型ID enum |
process.user.uid | String | 用户UID |
raw_data | String | 来自事件源的原始数据 |
severity | String | 事件严重性名称 |
severity_id | Integer | 事件严重性ID |
start_time | Timestamp | 事件发生时间 |
time | Timestamp | 事件发生的毫秒级时间戳 |
time_dt | Datetime | 事件发生的时间 |
type_name | String | 事件类型名称 |
type_uid | Integer | 事件类型ID |
OCSF-Network-Activity 上报网络活动事件,例如网络活动(网络连接状态、流量情况等)、HTTP 活动(HTTP 连接和流量信息)、邮件活动、FTP 活动(服务器和客户端间的文件传输)等。
字段 | 字段类型 | 字段说明 |
|---|---|---|
activity_id | Integer | 事件活动ID |
activity_name | String | 事件活动名称 |
actor | 活动源参与者信息 | |
actor.user | 发起活动的用户信息 | |
actor.user.account | Account | 用户账号信息 |
actor.user.account.name | String | 用户账号名称 |
actor.user.account.type | String | 用户账号类型名称 |
actor.user.account.type_id | Integer | 用户账号类型ID |
actor.user.name | String | 用户名 |
actor.user.type | String | 用户类型 |
actor.user.type_id | Integer | 用户类型ID enum |
api | 云API相关信息 | |
api.operation | String | 请求操作 |
api.request | API请求信息 | |
api.request.uid | String | 请求uid |
api.response | API响应信息 | |
api.response.code | String | 响应码 |
category_name | String | 分类名称 |
category_uid | Integer | 分类ID |
class_name | String | 事件类名称 |
class_uid | Integer | 事件类ID |
cloud | 云相关信息 | |
cloud.account | 云账号信息 | |
cloud.account.type | String | 云账号类型 |
cloud.account.type_id | Integer | 云账号类型ID |
cloud.account.uid | String | 云账号UID |
cloud.provider | String | 云厂商名称 |
connection_info | 网络连接信息 | |
connection_info.direction_id | Integer | 连接方向:出方向、入方向等 |
connection_info.protocol_name | String | iana标准定义的网络协议,小写字母。如tcp/udp/icmp |
device | Device | 可寻址的设备信息,如主机设备等。 |
device.hostname | String | 设备主机名 |
device.instance_uid | String | 虚拟机实例ID |
device.name | String | 备选设备名称 |
device.type | String | 设备类型名称 |
device.type_id | Integer | 设备类型ID |
disposition_id | Integer | 安全处置类型ID |
dst_endpoint | 网络连接响应服务器信息 | |
dst_endpoint.domain | String | 域名 |
dst_endpoint.hostname | String | 目标网络终端主机名 |
dst_endpoint.instance_uid | String | 虚拟机实例UID |
dst_endpoint.ip | IP Address | 服务器IP |
dst_endpoint.port | Integer | 目标网络终端端口 |
dst_endpoint.uid | String | 服务器UID |
dst_endpoint.vpc_uid | String | 目标网络终端vpc uid |
duration | Integer | 持续时间 |
end_time | Timestamp | 结束时间戳 |
http_request | HTTP请求信息 | |
http_request.http_method | String | 请求方法 |
http_request.uid | String | HTTP请求UID |
http_request.url | URL | |
http_request.url.hostname | Hostname | 请求接口域名 |
http_request.url.path | String | 请求接口Path |
http_request.url.port | String | 端口 |
http_request.url.query_string | String | 请求参数 |
http_request.url.scheme | String | 请求schema |
http_request.url.url_string | String | 请求接口全路径 |
http_response | HTTP请求的响应信息 | |
http_response.code | Integer | 响应code |
http_response.content_type | String | 响应头:content-type |
http_status | Integer | HTTP响应码 |
metadata | Metadata | 事件元信息 |
metadata.event_code | String | 事件ID或者事件编码 |
metadata.extension | 创建事件涉及的扩展schema | |
metadata.extension.name | String | 扩展schema名称 |
metadata.extension.uid | String | 扩展schemaUID |
metadata.extension.version | String | 扩展schema版本号 |
metadata.modified_time | Timestamp | 事件最近修改时间 |
metadata.modified_time_dt | Datetime | 事件最近修改时间 |
metadata.original_time | String | 事件来源的原始时间 |
metadata.processed_time | Timestamp | 事件最近处理时间 比如ETL |
metadata.processed_time_dt | Datetime | 事件最近处理时间 比如ETL |
metadata.product | Product | 上报该事件的产品信息 |
metadata.product.feature | 产品功能特性 | |
metadata.product.feature.name | String | 功能特性名称 |
metadata.product.feature.version | String | 产品特性版本 |
metadata.product.name | String | 产品名称 |
metadata.product.vendor_name | String | 产品所属云厂商名称 |
metadata.profiles | String Array | 创建事件的配置文件列表 |
metadata.version | String | ocsf协议的版本 |
raw_data | String | 来自事件源的原始数据 |
severity | String | 事件严重性名称 |
severity_id | Integer | 事件严重性ID |
src_endpoint | 网络连接源端 | |
src_endpoint.ip | IP Address | 源端IP |
src_endpoint.location | Geo Location | 源网络终端地理位置信息 |
src_endpoint.location.desc | String | 源网络终端地理位置信息描述 |
src_endpoint.port | Port | 源端端口 |
src_endpoint.vpc_uid | String | 源网络终端vpc uid |
start_time | Timestamp | 开始时间戳 |
status | String | 事件状态 |
status_id | Integer | 标准化事件状态ID |
time | Timestamp | 事件发生的毫秒级时间戳 |
time_dt | Datetime | 事件发生的时间 |
traffic | Network Traffic | 网络流量统计 |
traffic.bytes_in | Long | 入流量(bytes) |
traffic.bytes_out | Long | 出流量(bytes) |
traffic.packets_in | Long | 入流量(packets) |
traffic.packets_out | Long | 出流量(packets) |
type_name | String | 事件类型名称 |
type_uid | Integer | 事件类型ID |
OCSF-Application-Activity 上报应用和服务的行为信息细节,例如 Web 资源活动(Web 资源上的执行动作)、应用生命周期(应用或服务的安装、移除、启用和停止)、API 活动(API 的创建、读取、更新和删除)、Web 资源访问活动(通过 HTTP 访问 Web 资源的成功/失败尝试)等。
字段 | 字段类型 | 字段说明 |
|---|---|---|
category_uid | Integer | ocsf事件分类id |
category_name | String | ocsf事件分类名称 |
class_uid | Integer | ocsf事件分类下子类型id |
class_name | String | ocsf事件分类下子类型名称 |
activity_id | Integer | ocsf事件活动类型id |
activity_name | String | ocsf事件活动类型名称 |
type_uid | Integer | 事件类型id。 |
type_name | String | 事件类型名称 |
severity_id | Integer | 严重性类型id |
severity | String | 严重性类型 |
time | Timestamp | 事件发生的毫秒级时间戳 |
src_endpoint | Network Endpoint | 源网络终端详情 |
src_endpoint.ip | String | 源网络终端ip |
metadata.version | String | ocsf协议的版本 |
metadata.product | Product | 上报该事件的产品信息 |
metadata.product.vendor_name | String | 产品所属云厂商名称 |
metadata.product.name | String | 上报该事件的产品名称 |
metadata.uid | String | 由日志系统分配的事件ID |
metadata.event_code | String | 产品用于描述该事件的ID |
metadata.log_version | String | 事件日志的版本 |
cloud | Cloud | 云环境详情 |
cloud.region | String | 云环境region |
cloud.provider | String | 云服务供应商 |
actor | Actor | 该事件所属的用户/角色/进程等信息 |
actor.user | User | 用户详情 |
actor.user.type_id | Integer | 用户类型 |
actor.user.uid | String | 用户唯一UID。类似AWS的用户ARN |
actor.user.name | String | 用户名称 |
actor.user.uid_alt | String | 备用用户UID,类似AWS的Principal ID. |
actor.user.credential_uid | String | 用户凭证唯一ID |
actor.user.account | Account | 用户账号详情 |
actor.user.account.type_id | String | 用户账号类型 |
actor.user.account.uid | String | 用户账号唯一ID。类似火山云主账号ID |
api | API | API详情 |
api.operation | String | API请求的操作 |
api.request | Request Elements | API请求详情 |
api.request.uid | String | API请求UID |
api.version | String | API版本 |
api.service | Service | 提供API的服务相关信息 |
api.service.uid | String | API服务唯一标识 |
api.service.name | String | API服务名称 |
http_request | HTTP Request | HTTP请求详情 |
http_request.uid | String | HTTP请求UID |
http_request.user_agent | String | HTTP请求中的user agent header。描述请求者的浏览器和操作系统信息 |