高级网络威胁检测系统详细记录了网络流量日志和攻击告警日志。日志中包含多个字段,您可以根据需要选取相应的日志字段进行查询分析。
日志字段 | 含义及说明 | 取值样例 |
---|---|---|
timestamp | 日志上报时间 | 1678293146 |
log_type | 日志类型,包含session(互联网边界流量日志) 、alert(互联网边界告警日志) 、vpc_alert(VPC间告警日志) | session |
src_ip | 访问源IP | 1.1.1.1 |
src_port | 访问源端口 | 35678 |
dst_ip | 访问目的IP | 1.1.1.2 |
dst_port | 访问目的端口 | 80 |
dir_flag | 互联网边界访问方向,in(入向) / out (出向) | in |
country_name | 外部IP所属国家或地区 | 中国 |
province_name | 外部IP所属城市 | 北京 |
asset_name | 互联网边界流量中的资产名 | ecsa |
app_protocol | 应用层或传输层协议,如HTTP、FTP、TCP等 | HTTP |
protocol | IP协议类型,如tcp/udp/icmp | tcp |
host | 域名 | www.xxx.com |
session_begintime | 访问开始时间 | 1678293146 |
session_endtime | 访问结束时间 | 1678293146 |
reqpkts | 请求报文数 | 7 |
rsppkts | 响应报文数 | 5 |
reqflow | 请求流量(bytes) | 1111 |
rspflow | 响应流量(bytes) | 1111 |
src_vpc | vpc流量的源vpc id或dcgw id | vpc-xxxxxxxxxxxxxxxxxxxxxxxxx |
dst_vpc | vpc流量的目的vpc id或dcgw id | vpc-xxxxxxxxxxxxxxxxxxxxxxxxx |
src_vpc_name | vpc流量的源vpc name或dcgw name | vpcname1 |
dst_vpc_name | vpc流量的目的vpc name或dcgw name | vpcname2 |
alert_basetype | 检出入侵防御告警的判断来源 | 基础防御 |
rule_type | 检出入侵防御告警的威胁类型 | 软件漏洞 |
sub_type | 检出入侵防御告警的详细威胁类型 | CVE-2023-33246 |
rule_thread_level | 检出入侵防御告警的风险等级 | 高危 |
payload_ascii | 攻击payload | +&�Cookie: mstshash=hello |
hidsinfo_json | 挖矿告警关联主机进程信息 | argv进程命令行,exe进程二进制文件(-3表示未获取到文件hash),timestamp检测时间,pid_tree进程调用链路(-3表示未能获取),agent_id主机安全agnet,sip监听IP |
uri | 请求路径 | /index.html |
httpstat | HTTP响应状态码 | 200 |
attack_result | 入侵防御告警攻击结果,成功/失败/尝试/拦截/失陷 | 成功 |