最近更新时间:2023.09.27 15:48:12
首次发布时间:2023.09.27 15:48:12
高级网络威胁检测系统详细记录了网络流量日志和攻击告警日志。日志中包含多个字段,您可以根据需要选取相应的日志字段进行查询分析。
| 日志字段 | 含义及说明 | 取值样例 |
|---|---|---|
| timestamp | 日志上报时间 | 1678293146 |
| log_type | 日志类型,包含session(互联网边界流量日志) 、alert(互联网边界告警日志) 、vpc_alert(VPC间告警日志) | session |
| src_ip | 访问源IP | 1.1.1.1 |
| src_port | 访问源端口 | 35678 |
| dst_ip | 访问目的IP | 1.1.1.2 |
| dst_port | 访问目的端口 | 80 |
| dir_flag | 互联网边界访问方向,in(入向) / out (出向) | in |
| country_name | 外部IP所属国家或地区 | 中国 |
| province_name | 外部IP所属城市 | 北京 |
| asset_name | 互联网边界流量中的资产名 | ecsa |
| app_protocol | 应用层或传输层协议,如HTTP、FTP、TCP等 | HTTP |
| protocol | IP协议类型,如tcp/udp/icmp | tcp |
| host | 域名 | www.xxx.com |
| session_begintime | 访问开始时间 | 1678293146 |
| session_endtime | 访问结束时间 | 1678293146 |
| reqpkts | 请求报文数 | 7 |
| rsppkts | 响应报文数 | 5 |
| reqflow | 请求流量(bytes) | 1111 |
| rspflow | 响应流量(bytes) | 1111 |
| src_vpc | vpc流量的源vpc id或dcgw id | vpc-xxxxxxxxxxxxxxxxxxxxxxxxx |
| dst_vpc | vpc流量的目的vpc id或dcgw id | vpc-xxxxxxxxxxxxxxxxxxxxxxxxx |
| src_vpc_name | vpc流量的源vpc name或dcgw name | vpcname1 |
| dst_vpc_name | vpc流量的目的vpc name或dcgw name | vpcname2 |
| alert_basetype | 检出入侵防御告警的判断来源 | 基础防御 |
| rule_type | 检出入侵防御告警的威胁类型 | 软件漏洞 |
| sub_type | 检出入侵防御告警的详细威胁类型 | CVE-2023-33246 |
| rule_thread_level | 检出入侵防御告警的风险等级 | 高危 |
| payload_ascii | 攻击payload | +&�Cookie: mstshash=hello |
| hidsinfo_json | 挖矿告警关联主机进程信息 | argv进程命令行,exe进程二进制文件(-3表示未获取到文件hash),timestamp检测时间,pid_tree进程调用链路(-3表示未能获取),agent_id主机安全agnet,sip监听IP |
| uri | 请求路径 | /index.html |
| httpstat | HTTP响应状态码 | 200 |
| attack_result | 入侵防御告警攻击结果,成功/失败/尝试/拦截/失陷 | 成功 |