华为云用户手册

自建集群 如果您的集群是通过Kubernetes官方二进制文件或Kubeadm等部署工具搭建的标准集群，可直接使用以下方法获取KubeConfig文件。 该方法不适用于云服务商提供的商用集群，商用集群的KubeConfig文件获取请参考第三方云厂商集群。 登录集群Master节点。 查看集群访问凭证。默认情况下，自建集群的配置文件路径为Master节点的“$HOME/.kube/config”，如您的集群指定了其他KubeConfig配置文件，请自行更换路径。 cat $HOME/.kube/config 复制该凭证内容。 在本地创建一个YAML文件，将上一步中复制的凭证内容粘贴至该文件并保存。 使用4中的YAML文件接入集群，详细步骤请继续参考注册附着集群（公网接入）或注册附着集群（私网接入）。

镜像迁移操作步骤 准备镜像仓库访问权限文件：auth.json。 新建一个auth.json文件，并按照格式修改，如果是匿名访问仓库，则不需要填写用户名、密码等信息。将文件放置在image-migrator所在目录下。 示例： { "quay.io/coreos": { }, "swr.cn-north-4.myhuaweicloud.com": { "username": "cn-north-4@RVHVMX******", "password": "***************", "insecure": true } } 详细的参数说明请参见“auth.json”文件。 准备镜像列表文件：images.json。 通过kubectl连接源集群。具体方法可参考使用kubectl连接集群。 执行镜像迁移config子命令，生成images.json文件。 您可以参考image-migrator config使用方法中的方法和示例，不指定命名空间，或者指定一个、多个命名空间来获取源集群应用中使用的镜像。 根据需求调整images.json文件内容，但要遵循“images.json”文件中所讲的八项要求。 镜像迁移。 您可以执行默认的./image-migrator-linux-amd64命令进行镜像迁移，也可以根据需要设置image-migrator的参数。 例如以下命令： ./image-migrator-linux-amd64 --workers=5 --auth=./auth.json --images=./images.json --namespace=test --registry=swr.cn-north-4.myhuaweicloud.com --retries=2 示例： $ ./image-migrator-linux-amd64 Start to generate images tasks, please wait ... Start to handle images tasks, please wait ... Images(38) migration finished, 0 images tasks failed, 0 tasks generate failed 结果查看。 上述命令执行完毕后，回显如下类似信息： Images(38) migration finished, 0 images tasks failed, 0 tasks generate failed 表示按照配置，成功将38个镜像迁移到SWR仓库中。

image-migrator工作原理 图1 image-migrator工作原理 使用image-migrator工具将镜像迁移到SWR时，需要准备两个文件，一个为镜像仓库访问权限文件“auth.json”，该文件中的两个对象分别为源镜像仓库和目标镜像仓库（即Registry）的账号和密码；另一个为镜像列表文件“images.json”，文件内容由多条镜像同步规则组成，每一条规则包括一个源镜像仓库（键）和一个目标镜像仓库（值）。将这两个文件准备好以后，放在image-migrator工具所在目录下，执行一条简单的命令，就可以完成镜像的迁移。关于两个文件的详细介绍如下： “auth.json”文件 “auth.json”为镜像仓库访问权限文件，其中每个对象为一个registry的用户名和密码。通常源镜像仓库需要具有pull以及访问tags权限，目标镜像仓库需要拥有push以及创建仓库权限。如果是匿名访问镜像仓库，则不需要填写用户名、密码等信息。“auth.json”文件的结构如下： { "源镜像仓库地址": { }, "目标镜像仓库地址": { "username": "xxxxxx", "password": "***************", "insecure": true } } 其中， “源镜像仓库地址”和“目标镜像仓库地址”支持“registry”和“registry/namespace”两种形式，需要跟下述“images.json”中的registry或registry/namespace对应。images中被匹配到的url会使用对应用户名密码进行镜像同步，优先匹配“registry/namespace”的形式。 目标镜像仓库地址如果为“registry”形式，可以从SWR控制台页面获取，具体方法如下：在“总览”页面单击右上角“登录指令”，登录指令末尾的域名即为SWR镜像仓库地址，例如swr.cn-north-4.myhuaweicloud.com。注意每个Region的地址不同，请切换到对应Region获取。如果为“registry/namespace”形式，还要将namespace替换为SWR的组织名称。 username：（可选）用户名，values可以填写具体取值，也可以使用“${env}”或者“$env”类型的字符串引用环境变量。 password：（可选）密码，values可以填写具体取值，也可以使用“${env}”或者“$env”类型的字符串引用环境变量。 insecure：（可选）registry是否为http服务，如果是，insecure为true；默认是false。 目标镜像仓库SWR的用户名形式为：区域项目名称@AK；密码为AK和SK经过加密处理后的登录密钥，详细指导请参考获取长期有效登录指令。 示例： { "quay.io/coreos": { }, "swr.cn-north-4.myhuaweicloud.com": { "username": "cn-north-4@RVHVMX******", "password": "***************", "insecure": true } } “images.json”文件 该文件本质上是一个待迁移的镜像清单，由多条镜像同步规则组成，每一条规则包括一个源镜像仓库（键）和一个目标镜像仓库（值）。具体的要求如下： 同步的最大单位是仓库（repository），不支持通过一条规则同步整个namespace以及registry。 源仓库和目标仓库的格式与docker pull/push命令使用的镜像url类似（registry/namespace/repository:tag）。 源仓库和目标仓库（如果目标仓库不为空字符串）都至少包含registry/namespace/repository。 源仓库字段不能为空，如果需要将一个源仓库同步到多个目标仓库需要配置多条规则。 目标仓库名可以和源仓库名不同，此时同步功能类似于：docker pull + docker tag + docker push。 当源仓库字段中不包含tag时，表示将该仓库所有tag同步到目标仓库，此时目标仓库不能包含tag。 当源仓库字段中包含tag时，表示只同步源仓库中的一个tag到目标仓库，如果目标仓库中不包含tag，则默认使用源tag。 当目标仓库为空字符串时，会将源镜像同步到默认registry的默认namespace下，并且repository以及tag与源仓库相同，默认registry和默认namespace可以通过命令行参数以及环境变量配置。 示例如下： { "quay.io/coreos/etcd:1.0.0": "swr.cn-north-4.myhuaweicloud.com/test/etcd:1.0.0", "quay.io/coreos/etcd": "swr.cn-north-4.myhuaweicloud.com/test/etcd", "quay.io/coreos/etcd:2.7.3": "swr.cn-north-4.myhuaweicloud.com/test/etcd" } 使用image-migrator工具的config子命令可自动获取集群中工作负载正在使用的镜像，具体用法请参见image-migrator config使用方法。得到images.json文件后，您还可以根据需要进行修改、添加或删除。

image-migrator使用方法 image-migrator工具支持在Linux（x86、arm）和Windows环境中运行，使用方法相似。本文将以Linux（x86）环境为例进行介绍。 若使用Linux（arm）或Windows环境，请将下述命令中的image-migrator-linux-amd64分别替换为image-migrator-linux-arm64或image-migrator-windows-amd64.exe。 在image-migrator工具所在目录下执行./image-migrator-linux-amd64 -h，可以查看image-migrator工具的使用方法。 --auth：指定auth.json的路径，默认在image-migrator所在目录下。 --images：指定images.json的路径，默认在image-migrator所在目录下。 --log：指定image-migrator生成日志的路径，默认是image-migrator当前目录下的image-migrator.log。 --namespace：默认的目标仓库的namespace，也就是说，如果images.json中没有指定目标仓库中的namespace，可以在执行迁移命令时指定。 --registry：默认的目标仓库的registry，也就是说，如果images.json中没有指定目标仓库中的registry，可以在执行迁移命令时指定。 --retries：迁移失败时的重试次数，默认为3。 --workers：镜像搬迁的worker数量（并发数），默认是7。 $ ./image-migrator-linux-amd64 -h A Fast and Flexible docker registry image images tool implement by Go. Usage: image-migrator [flags] Aliases: image-migrator, image-migrator Flags: --auth string auth file path. This flag need to be pair used with --images. (default "./auth.json") -h, --help help for image-migrator --images string images file path. This flag need to be pair used with --auth (default "./images.json") --log string log file path (default "./image-migrator.log") --namespace string default target namespace when target namespace is not given in the images config file, can also be set with DEFAULT_NAMESPACE environment value --registry string default target registry url when target registry is not given in the images config file, can also be set with DEFAULT_REGISTRY environment value -r, --retries int times to retry failed tasks (default 3) -w, --workers int numbers of working goroutines (default 7) $./image-migrator --workers=5 --auth=./auth.json --images=./images.json --namespace=test \ --registry=swr.cn-north-4.myhuaweicloud.com --retries=2 $ ./image-migrator Start to generate images tasks, please wait ... Start to handle images tasks, please wait ... Images(38) migration finished, 0 images tasks failed, 0 tasks generate failed 示例如下： ./image-migrator --workers=5 --auth=./auth.json --images=./images.json --namespace=test --registry=swr.cn-north-4.myhuaweicloud.com --retries=2 该命令表示将“images.json”文件中的镜像迁移至“swr.cn-north-4.myhuaweicloud.com/test”镜像仓库下，迁移失败时可以重试2次，一次可以同时搬迁5个镜像。

image-migrator config使用方法 image-migrator工具的config子命令可用于获取集群应用中使用的镜像，在工具所在目录下生成images.json。执行./image-migrator-linux-amd64 config -h命令可以查看config子命令的使用方法。 -k, --kubeconfig：指定kubectl的kubeConfig位置，默认是$HOME/.kube/config。kubeConfig文件：用于配置对Kubernetes集群的访问，KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint（访问地址），详细介绍可参见Kubernetes文档。 -n, --namespaces：指定获取镜像的命名空间，多个命名空间用逗号分隔（如：ns1,ns2,ns3)，默认是""，表示获取所有命名空间的镜像。 -t, --repo：指定目标仓库的地址（registry/namespace）。 $ ./image-migrator-linux-amd64 config -h generate images.json Usage: image-migrator config [flags] Flags: -h, --help help for config -k, --kubeconfig string The kubeconfig of k8s cluster's. Default is the $HOME/.kube/config. (default "/root/.kube/config") -n, --namespaces string Specify a namespace for information collection. If multiple namespaces are specified, separate them with commas (,), such as ns1,ns2. default("") is all namespaces -t, --repo string target repo,such as swr.cn-north-4.myhuaweicloud.com/test 示例如下： 指定一个命名空间 ./image-migrator-linux-amd64 config -n default -t swr.cn-north-4.myhuaweicloud.com/test 指定多个命名空间 ./image-migrator-linux-amd64 config -n default,kube-system -t swr.cn-north-4.myhuaweicloud.com/test 不指定命名空间（表示获取所有命名空间的镜像） ./image-migrator-linux-amd64 config -t swr.cn-north-4.myhuaweicloud.com/test

GitOps优势 简单易学：Git易于被开发者接受，易于集成，无需额外学习成本。 安全性高：开发者使用GitOps无需任何Kubernetes集群权限，仅需要Git仓库权限，保证集群安全可靠。 可靠性强：提供原生Kubernetes资源、Helm Chart资源、Kustomize等资源交付清单的版本管理，方便用户进行部署应用、增量变化和应用配置的回滚。 应用持续部署：Kubernetes集群和Git仓库中的应用状态自动同步，保持一致，实现应用持续部署。

GitOps实现方式 开发运维人员基于Git工作流，可将现有流程，从应用开发扩展到到部署、应用生命周期管理和基础架构配置，开箱即用，客户无须运维Gitops工具。 Gitops插件通过内置Kustomize结合Base/overlay制品组织方式和HelmRelease结合valuesFrom/valuesFiles等方式的能力，满足客户差异化的配置管理诉求。 将Git仓库中最新合入的制品配置信息同步部署至多个集群中，同时对应用发布行为进行版本化管理和权限控制，提供发布回滚和版本迭代控制，并进行审计跟踪。 所需的基础架构状态会自动应用于基础架构，而无需任何手动干预，持续监控并确保基础架构始终遵循Git存储库中的配置，确保基础设施处于理想状态。 图1 GitOps实现方式

GitOps概述 GitOps是使用Git仓库来管理应用的部署模板，将Git仓库作为Kubernetes集群中部署应用的唯一来源，实现应用的持续部署，实现多集群的GitOps持续交付，满足应用的高可用部署、系统组件多集群分发等需求。GitOps假设每一个基础设施都被表示为一个具有版本控制功能的存储系统中的文件，并且有一个自动化的过程可以无缝地将更改的应用同步到应用程序运行环境。 而结合Kubernetes生态中的声明式API、Controller Loop可以更好得实现这一思想，该系统从一开始就遵循声明性规范以及最终一致性和收敛性的原则。

k8clone恢复使用方法 k8clone工具支持在Linux（x86、arm）和Windows环境中运行，使用方法相似。本文将以Linux（x86）环境为例进行介绍。 若使用Linux（arm）或Windows环境，请将下述命令中的k8clone-linux-amd64分别替换为k8clone-linux-arm64或k8clone-windows-amd64.exe。 在k8clone工具所在目录下执行./k8clone-linux-amd64 restore -h，可以查看k8clone工具恢复的使用方法。 -k, --kubeconfig：指定kubectl的KubeConfig位置，默认是$HOME/.kube/config。kubeConfig文件：用于配置对Kubernetes集群的访问，KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint（访问地址），详细介绍可参见Kubernetes文档。 -s, --api-server：Kubernetes API Server URL，默认是""。 -q, --context：Kubernetes Configuration Context，默认是""。 -f, --restore-conf：指定restore.json的路径，默认是k8clone工具所在目录下。 -d, --local-dir：备份数据放置的路径，默认是k8clone工具所在目录下。 $ ./k8clone-linux-amd64 restore -h ProcessRestore from backup Usage: k8clone restore [flags] Flags: -s, --api-server string Kubernetes api-server url -q, --context string Kubernetes configuration context -h, --help help for restore -k, --kubeconfig string The kubeconfig of k8s cluster's. Default is the $HOME/.kube/config. -d, --local-dir string Where to restore (default "./k8clone-dump.zip") -f, --restore-conf string restore conf file (default "./restore.json") 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

k8clone数据恢复原理 数据恢复的流程参考如下： 图1 数据恢复流程 在执行恢复操作前，需要准备一个数据恢复配置文件“restore.json”，目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称，以及工作负载所使用镜像的Repository地址。 文件内容如下： { "StorageClass": "OldStorageClassName": "NewStorageClassName" //支持修改PVC、StatefulSet的StorageClassName字段 "ImageRepo": "OldImageRepo1": "NewImageRepo1", //eg:"dockerhub.com": "cn-north-4.swr.huaweicloud.com" "OldImageRepo2": "NewImageRepo2", //eg:"dockerhub.com/org1": "cn-north-4.swr.huaweicloud.com/org2" "NoRepo": "NewImageRepo3" //eg:"golang": "swr.cn-north-4.myhuaweicloud.com/paas/golang" } StorageClass：支持PVC、有状态应用VolumeClaimTemplates中存储类名称按照配置进行自动更换。 ImageRepo：支持工作负载所使用镜像的Repository地址的更换，工作负载包括Deployment（含initContainer）、StatefulSet、Orphaned Pod、Job、CronJob、Replica Set、Replication Controller、DaemonSet。

应用恢复操作步骤 通过kubectl连接目标集群。具体方法可参考使用kubectl连接集群。 准备数据恢复配置文件：restore.json。 新建一个restore.json文件，按照格式修改，并将文件放置在k8clone工具所在目录下。 示例： { "StorageClass": { "csi-disk": "csi-disk-new" }, "ImageRepo": { "quay.io/coreos": "swr.cn-north-4.myhuaweicloud.com/paas" } } 进入k8clone工具所在目录，执行恢复命令，将备份数据恢复到目标集群。 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

配置无条件触发自动切流 集群管理员进行集群升级等操作，若出现升级策略不恰当、升级配置有误、操作人员执行失误等问题，可能会导致集群不可用。本小节指导您在进行集群升级前，通过创建无条件触发的Remedy对象，将MCI流量从目标集群上摘除。 创建Remedy对象可在特定触发条件下执行特定动作。集群管理员准备升级目标集群时（如member1），可以创建如下Remedy对象，将MCI流量从member1上摘除。 示例YAML定义了一个Remedy对象，触发条件为空，表示无条件触发，集群联邦控制器会立即将member1上的流量摘除。在集群升级成功之后，删除该Remedy对象，member1上的流量会自动恢复，由此保证单集群的升级不会影响服务的高可用。详细的Remedy对象参数说明请参见表1。 apiVersion: remedy.karmada.io/v1alpha1 kind: Remedy metadata: name: foo spec: clusterAffinity: clusterNames: - member1 actions: - TrafficControl 表1 Remedy参数说明 参数 描述 spec.clusterAffinity.clusterNames 策略关注的集群名列表。仅在该列表中的集群会执行指定动作，为空时不会执行任何动作。 spec.decisionMatches 触发条件列表。当上述集群列表中指定的集群满足任一触发条件时，即会执行指定动作。当列表为空时，表示无条件触发。 conditionType 触发条件的类型。当前仅支持ServiceDomainNameResolutionReady类型，即CPD上报的CoreDNS域名解析状态。 operator 判断逻辑，仅支持Equal和NotEqual两种值，即等于和不等于。 conditionStatus 触发条件的状态。 actions 策略要执行的动作，目前仅支持TrafficControl，即流量控制。 父主题： 配置MCI自动切流

k8clone恢复使用方法 k8clone工具支持在Linux（x86、arm）和Windows环境中运行，使用方法相似。本文将以Linux（x86）环境为例进行介绍。 若使用Linux（arm）或Windows环境，请将下述命令中的k8clone-linux-amd64分别替换为k8clone-linux-arm64或k8clone-windows-amd64.exe。 在k8clone工具所在目录下执行./k8clone-linux-amd64 restore -h，可以查看k8clone工具恢复的使用方法。 -k, --kubeconfig：指定kubectl的KubeConfig位置，默认是$HOME/.kube/config。kubeConfig文件：用于配置对Kubernetes集群的访问，KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint（访问地址），详细介绍可参见Kubernetes文档。 -s, --api-server：Kubernetes API Server URL，默认是""。 -q, --context：Kubernetes Configuration Context，默认是""。 -f, --restore-conf：指定restore.json的路径，默认是k8clone工具所在目录下。 -d, --local-dir：备份数据放置的路径，默认是k8clone工具所在目录下。 $ ./k8clone-linux-amd64 restore -h ProcessRestore from backup Usage: k8clone restore [flags] Flags: -s, --api-server string Kubernetes api-server url -q, --context string Kubernetes configuration context -h, --help help for restore -k, --kubeconfig string The kubeconfig of k8s cluster's. Default is the $HOME/.kube/config. -d, --local-dir string Where to restore (default "./k8clone-dump.zip") -f, --restore-conf string restore conf file (default "./restore.json") 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

应用恢复操作步骤 通过kubectl连接目标集群。具体方法可参考使用kubectl连接集群。 准备数据恢复配置文件：restore.json。 新建一个restore.json文件，按照格式修改，并将文件放置在k8clone工具所在目录下。 示例： { "StorageClass": { "csi-disk": "csi-disk-new" }, "ImageRepo": { "quay.io/coreos": "swr.cn-north-4.myhuaweicloud.com/paas" } } 进入k8clone工具所在目录，执行恢复命令，将备份数据恢复到目标集群。 示例： ./k8clone-linux-amd64 restore -d ./k8clone-dump.zip -f ./restore.json

k8clone数据恢复原理 数据恢复的流程参考如下： 图1 数据恢复流程 在执行恢复操作前，需要准备一个数据恢复配置文件“restore.json”，目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称，以及工作负载所使用镜像的Repository地址。 文件内容如下： { "StorageClass": "OldStorageClassName": "NewStorageClassName" //支持修改PVC、StatefulSet的StorageClassName字段 "ImageRepo": "OldImageRepo1": "NewImageRepo1", //eg:"dockerhub.com": "cn-north-4.swr.huaweicloud.com" "OldImageRepo2": "NewImageRepo2", //eg:"dockerhub.com/org1": "cn-north-4.swr.huaweicloud.com/org2" "NoRepo": "NewImageRepo3" //eg:"golang": "swr.cn-north-4.myhuaweicloud.com/paas/golang" } StorageClass：支持PVC、有状态应用VolumeClaimTemplates中存储类名称按照配置进行自动更换。 ImageRepo：支持工作负载所使用镜像的Repository地址的更换，工作负载包括Deployment（含initContainer）、StatefulSet、Orphaned Pod、Job、CronJob、Replica Set、Replication Controller、DaemonSet。

功能优势 全球合规治理经验服务化 安全治理以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放华为云安全治理模板，将法规条款、标准要求转化为业务语言、IT语言，帮助客户识别自身合规状态。 提升获得法规及行业标准认证的效率 安全治理开放PCI DSS、ISO27701、ISO27001等安全治理模板，内含合规策略和自评估检查项；合规策略将自动化、持续性扫描租户云上资产的合规状态，自评估检查项将帮助租户快速梳理业务情况；并且安全治理提供证据链管理功能，支持一键导出报表，可极大提升租户获得法规及行业标准认证的效率。 高效实施安全治理动作 安全治理通过数据看板将所有的合规情况集中展示，向用户显示当前的安全性与合规性状态。租户可以轻松发现识别潜在问题，并根据华为专家建议采取必要的安全治理动作。

什么是安全治理？ 安全治理是安全云脑中的一个自动化合规评估和安全治理功能，以华为内部“云服务网络安全与合规标准”（Cloud Service Cybersecurity & Compliance Standard，3CS）为基座，将华为积累的全球安全合规经验服务化，开放PCI DSS、ISO27701、ISO27001等安全治理模板，将合规语言IT化实现自动化扫描，可视化呈现合规状态，一键生成合规遵从性报告，帮助用户快速实现云上业务的安全遵从，提升租户获得法规及行业标准认证的效率。 使用安全治理功能前，需先提交工单申请开通使用权限。

功能特性 安全治理为您提供安全治理模板与合规策略扫描服务，将安全遵从包内的法规标准条款转化成检查项。 提供安全遵从包 华为开放的安全治理模板，包含法规标准条款原文、扫描策略、自评估检查项以及华为专家的改进建议，覆盖PCI DSS、ISO27701、ISO27001、隐私等法规标准。用户可以订阅、取消订阅安全遵从包，查看合规评估与治理结果。 合规策略扫描 Policy as Code，将安全遵从包内的法规标准条款代码化，周期性、自动化扫描云上资产的合规情况，可视化看板呈现风险，提供华为专家改进建议。 自评估检查项 将安全遵从包内的法规标准条款转化成检查项，租户可根据检查项完成自身业务的合规评估，查看历史评估结果，进行证据上传和下载，根据华为专家改进建议进行治理。 合规结果可视 可视化呈现合规评估结果与安全治理情况，包括租户订阅的法规、标准条款遵从概况，各安全遵从包状态，各策略扫描概况。

sec-mtd-alarm MTD告警日志字段含义如下所示： 表20 sec-mtd-alarm 字段 类型 字段含义 version String 事件对象的版本，该字段的值必须为服务确定的官方发布版本之一。 在当前版本中，事件对象格式的版本为1.2.0。 environment Object 事件产生的环境坐标信息。 environment type string 环境供应商。 domain_id string HWC special，域名ID。 region_id string HWC special，区域ID。 project_id string HWC special，项目ID。 data_source Object 数据源。 data_source type Int 数据源类型。取值范围如下： 1：华为产品 2：第三方产品 3：租户私有产品 domain_id String 数据源产品所属账号的ID，最大36个字符。 project_id String 数据源产品所属项目的ID，最大36个字符。 region_id String 数据源产品所在区域，具体取值范围查看华为云地区和终端节点定义，例如cn-north-4a。 company_name String 数据源产品所属公司的名称，最大16个字符。 product_name String 数据源产品的名称，最大24个字符。 product_feature String 产品功能特性名称，用来指明检测到当前事件的产品的功能特性，最大24个字符。 first_observed_time Timestamp 首次发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 last_observed_time Timestamp 最近发现时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 create_time Timestamp 记录时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 arrive_time Timestamp 接收时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 event_id String 事件唯一标识，UUID格式，最大36个字符。 title String 事件标题，最大255字符。 title_en String 事件标题英文，最大255字符。 title_zh String 事件标题中文，最大255字符。 description String 事件描述信息，最大1024个字符。 source_url String 事件URL链接，指向数据源产品中有关当前事件说明的页面。 count Int 事件发生次数。 confidence Int 事件的置信度，置信度的定义旨在说明识别的行为或问题的可能性。 取值范围：0-100。 severity Object 严重性。 severity label String 严重性等级，取值范围： TIPS：未发现任何问题。 LOW：无需针对问题执行任何操作。 MEDIUM：问题需要处理，但不紧急。 HIGH：问题必须优先处理。 FATAL：问题必须立即处理，以防止产生进一步的损害。 normalize_score Int 严重性评分，取值范围：0-100。与严重性等级的对应关系： TIPS：0 LOW：1-39 MEDIUM：40-69 HIGH：70-89 FATAL：90-100 original_score Int 严重性原始评分，指在数据源产品中的评分。 criticality Int 关键性，是指事件涉及的资源的重要性级别。 取值范围：0-100，0表示资源不关键，100表示最关键资源。 type Object 事件分类。 type business String 安全运营过程，弱点的分类维度 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 namespace String 安全运营过程，弱点的分类维度。 事件所属业务领域标签，可选类别如下： attack：攻击 vulnerability：漏洞 compliance check：合规检查 risk：风险 public opinion：舆情 illegal&violation：违法违规 security bulletin：公告 category String 类别，推荐使用预定义的类型分类。 classifier String 分类器，推荐使用预定义的分类器。如果指定了分类器，则必须指定类别。 tech_domain String 技术领域标签： OS：主机 APP：应用 NET：网络 CS：云服务 CSP：平台云服务 properties Object 见对象type.properties type.properties killchain String Kill chain事件分类，仅当 namespace为ATTACK有效。 ttps String Mitre Array 事件分类，仅当namespace为ATTACK有效。 effects String 影响，全部类型。 compliance Object 合规检查信息。 compliance checkitem_id String 检查项（检查规则）编号。 checkpoint_id String 检查点（检查结果）编号，检查项对同一个资源的检查结果。 spec_id String 检查规范编号，默认选第一个。 reason String 原因。 status String 合规检查结果，取值定义： QUALIFIED：没有失败的，也没有有风险的就是合格的。 RISK：没有失败的，但是只要有一个有风险的就是有风险的。 FAILED：只要有一个失败的就是失败。 properties Object 主机基线字段全量维持（不固定，包含主机基线和sa基线）。 network Object 网络信息。 network direction String 方向，取值范围：IN | OUT protocol String 协议。 src_ip String 源IP地址。 src_port int 源端口，0–65535。 src_domain String 源域名，最大128个字符。 src_geo Object 源IP的地理位置信息。 dest_ip String 目标IP地址。 dest_port int 目标端口，0–65535。 dest_domain String 目标域名，最大128个字符。 dest_geo Object 目标IP的地理位置信息。 geo latitude Float 纬度。 longitude Float 经度。 city_code String 城市编码。 country_code String 国家简码ISO。 vulnerability_patch Object 漏洞补丁信息。 vulnerability_patch patch_id String 补丁编号。 patch_name String 补丁名称。 type String 补丁类型。 0：linux 1：windows 2：web-cms major_level String 重要等级。 status String 补丁状态。 release_time Timestamp 发布时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息 为事件发生时区，无法解析时区的时间，默认时区填东八区。 repair_cmd String 修复命令。 repair_necessity Int 修复必要程度。 1：需立刻修复 2：可延后修复 3：暂可以不修复 vendor_name String 漏洞报告提供者信息（厂商）。 vulnerable_package String 受影响软件版本列表。 reference_url String 参考链接。 cve_ids String 漏洞列表。 malware Object 恶意软件。 malware name String 恶意软件名称，最大64个字符。 sha256 String 恶意软件sha256。 type String 恶意软件类型，遵循STIX规范： adware|backdoor|bot|bootkit|ddos|downloader|dropper|exploit-kit|keylogger|ransomware|remote-access-trojan|resource-exploitation|rogue-security-software|rootkit|screen-capture|spyware|trojan|unknown|virus|webshell|wiper|worm path String 恶意软件在系统中的路径，最大512个字符（包含软件名称）。 state String 恶意软件状态，取值范围：OBSERVED | REMOVAL_FAILED | REMOVED。 properties Object 见对象malware.properties。 malware.properties pid String 进程ID。 user String 系统角色（例如：root，service）。 mod String 系统权限（例如：777，755）。 start_time String 进程启动时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。 时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 threat_intel Object 威胁情报。 threat_intel id String 情报ID。 indicator_type String 威胁情报类型。 labels String 标签。 confidence Int 置信度，不同来源目前置信度分值定义不一样（分数）。 information_source String 威胁情报源。 severity Int 严重程度，不同渠道定义值不一样（分数）。 value String 威胁情报指标值，最大512个字符，如：ip、url、domain等。 description_en string 威胁情报描述-英文。 description_zh String 威胁情报描述-中文。 description String 威胁情报描述。 modified Timestamp 威胁情报的更新时间，格式ISO8601：YYYY-MM-DDTHH:mm:ss.ms+timezone。时区信息为事件发生时区，无法解析时区的时间，默认时区填东八区。 valid_from String 有效期开始（可读字符串）。 valid_until String 有效期结束（可读字符串）。 properties Object 见对象threat_intel.properties。 threat_intel.properties file_md5 String 恶意软件Md5。 file_sha1 String 恶意软件Sha1。 file_sha256 String 恶意软件Sha256值。 file_name String 文件名称。 create_time Timestamp 编译时间。 file_class String 文件类别，TEXT、XCODE。 file_family String 家族，例如：wannacry（勒索软件）。 file_maltype String 类别，例如：trojan（特洛伊）。 ip_resolves_to_refs String mac地址。 belongs_to_refs String IP AS 自治系统 ip_location String 地区。格式：country/province/city/lngwgs/latwgs。 domain_family String 域名家族。 domain_resolves_to_refs String 解析的IP地址。 domain_dns_type String DNS类别。 url_host String URL地址。 url_resolves_to_refs String IP地址。 display_name String 显示名称。 url_belongs_to_ref String 邮箱账户，@之前部分。 resource Object 受影响资源。 resource id String 云服务资源ID。 name String 资源名称；最大长度255个字符。 type String 资源类型，引用RMS type字段。 provider String 云服务名称，引用RMS provider字段。 region_id String 区域。 domain_id String 资源所属账号ID，UUID。 project_id String 资源所属项目ID，UUID。 ep_id String 企业项目id。 ep_name String 企业项目名称。 tags Object 资源标签。 最多50个key/values对。 values：最大255字符，取值范围：字母数字,空格,+, -, =, ., _, :, /,@ remediation Object 补救措施。 remediation recommendation_zh String 推荐处理方法-中文。 recommendation_en String 推荐处理方法-英文。 recommendation String 推荐处理方法。 url String 链接，指向该事件的一般修复信息。该URL必须可以从公网访问，不需要提供凭证。 data_source_fields Object 数据源自定义信息，最多支持50个key/value对，约束条件： 该对象不能包含冗余数据，并且不能与已定义的事件格式字段冲突。 字段名称可以包含字母数字字符、空格和以下符号：_ . / = + \ - @。 示例： "data_source_fields": { "key1": "value1", "key2", "value2", } verification_state String 验证状态，标识事件的准确性。可选类型如下： Unknown：未知 True_Positive：确认 False_Positive：误报 默认填写Unknown。 handle_status String 事件处理状态，可选类型如下： New：未知 Ignored：忽略 Resolved：已解决 默认填写New。 phase String 阶段：Preparation|Detection and Analysis|Containment，Eradication& Recovery| Post-Incident-Activity sla Int 约束闭环时间，单位：天。设置风险接受持续时间。

sec-cfw-block 云防火墙访问控制日志字段含义如下所示： 表14 sec-cfw-block 字段 类型 字段含义 hit_time Date 访问发生的时间。 action String 云防火墙当前的响应动作： permit：放行 deny：阻断 app String 应用类型。 dst_ip String 目的IP地址。 dst_port String 目的端口号。 protocol String 协议类型。 rule_id String 触发规则的ID。 src_ip String 源IP地址。 src_port String 源端口号。

sec-apig-access API网关访问日志字段含义如下所示： 表15 sec-apig-access 字段 类型 字段含义 region_id String 局点。 api_id String API ID。 body_bytes_sent String 返回Body大小。 bytes_sent String 整个返回大小。 domain String 公网域名。 errorType String 是否被流控（1：被流控）。 http_user_agent String 用户代理标识。 http_x_forwarded_for String X-Forwarded-For头。 opsuba_api_url String 请求的URI。 out_times String 网关内部与周边组件交互耗时。 remote_addr String 远端ip。 request_id String 请求id。 request_length String 整个请求大小。 request_method String HTTP请求方法。 request_time String 访问耗时。 scheme String 协议。 server_protocol String 请求协议。 status String 状态。 time_local Date 时间。 upstream_addr String 远端ip。 upstream_connect_time String 远端连接耗时。 upstream_header_time String 远端头耗时。 upstream_response_time String 远端返回耗时。 upstream_status String 远端状态。 upstream_uri String 请求后端的URI。 user_name String 用户projectid或appid。

sec-cfw-flow 云防火墙流量日志字段含义如下所示： 表13 sec-cfw-flow 字段 类型 字段含义 app String 应用类型。 dst_ip String 目的IP地址。 dst_port String 目的端口号。 end_time Date 流结束时间。 protocol String 协议类型。 to_c_bytes String 服务端向客户端发送的字节数。 to_c_pkts String 服务端向客户端发送的报文数。 to_s_bytes String 客户端向服务端发送的字节数。 to_s_pkts String 服务端向客户端发送的报文数。 src_ip String 源IP地址。 src_port String 源端口号。 start_time Date 流开始时间。

sec-dbss-alarm DBSS告警日志字段含义如下所示： 表16 dbss-alarm 字段 类型 字段含义 domain_id String 账号ID。 project_id String 项目ID。 region String region tenant_vpc_id String 租户的VPC ID。 tenant_subnet_id String 租户的子网ID。 instance_id String 实例ID。 instance_name String 实例名。 alarm Object 告警对象。 source_type String dbss。 alarm alarm_risk String 告警等级。 client_ip String 连接IP。 database_ip String 数据库访问IP。 count Long 告警次数。 user_name String 数据库用户名。 schema String oracle schema。 rule_name String 规则名称。 rule_id String 规则ID。 sql_type String SQL执行类型。 sql_result String SQL执行结果。 db_type String 数据库类型。

sec-cfw-risk 云防火墙攻击事件日志字段含义如下所示： 表12 sec-cfw-risk 字段 类型 字段含义 event_time Date 检测到的攻击时间。 action String 云防火墙当前的响应动作。 permit：放行 deny：阻断 app String 应用类型。 attack_rule String 检测到攻击的防御规则。 attack_rule_id String 检测到攻击的防御规则ID号。 attack_type String 发生攻击的类型： Vulnerability Exploit Attack：漏洞攻击 Vulnerability Scan：漏洞扫描 Trojan：木马病毒 Worm：蠕虫病毒 Phishing：网络钓鱼攻击 Web Attack：Web攻击 Application DDoS：DDoS攻击 Buffer Overflow：缓冲区溢出攻击 Password Attack：密码攻击 Mail：邮件相关类型的攻击行为 Access Control：访问控制行为 Hacking Tool：黑客工具 Hijacking：劫持行为 Protocol Exception：存在异常协议 Spam：存在垃圾邮件 Spyware：存在间谍软件 DDoS Flood：DDoS泛洪攻击 Suspicious DNS Activity：可疑DNS活动 Other Suspicious Behavior：其他可疑行为 dst_ip String 目的IP地址。 dst_port String 目的端口号。 packet String 攻击日志的原始数据包。 protocol String 协议类型。 level String 表示检测到威胁的等级： CRITICAL：严重 HIGH：高 MIDDLE：中 LOW：低 source String 检测到攻击的防御模式： 0：基础防御 1：虚拟补丁 src_ip String 源IP地址。 src_port String 源端口号。 direction String 流量方向： out2in：入方向 in2out：出方向

sec-cts-audit 云审计服务日志字段含义如下所示： 表11 sec-cts-audit 字段 类型 字段含义 time Date 事件发生时间。以当地标准时间（采用格林威治时间加当地时区形式）进行展示，例如：2022/11/08 11:24:04 GMT+08:00。 user Object 发起操作的云账户信息。 request Object 操作的请求内容。 response Object 操作的响应内容。 service_type String 操作来源。 resource_type String 资源类型。 resource_name String 资源名称。 resource_id String 资源的唯一标识。 source_ip String 发起本次操作的用户的IP，如果为系统内调用，则为空。 trace_name String 操作名称。 trace_rating String 操作事件等级，分为以下等级： normal：代表本次操作成功。 warning：代表本次操作失败。 incident：代表本次操作引起了比失败更严重的后果，比如会造成节点故障或用户业务故障等情况。 trace_type String 操作类型，分为以下几种： ConsoleAction：表示通过管理控制台执行的操作。 SystemAction：表示系统内部触发的操作。 ApiCall：表示调用ApiGateway触发的操作。 ObsSDK：表示通过调用OBS 提供的SDK 触发的关于OBS桶相关操作。 Others：表示除去通过“ObsSDK”触发的关于OBS桶相关的操作。 api_version String 作为操作来源的云服务的API版本号。 message Object 备注信息。 record_time Long 记录操作的时间，表示方式为时间戳。 trace_id String 操作的唯一标识。 code Integer 事件http返回码，例如200，400。 request_id String 记录本次请求的request id。 location_info String 记录本次请求出错后，问题定位所需要的辅助信息。 endpoint String 该操作涉及云资源的详情页面的endpoint。 resource_url String 该操作涉及云资源的详情页面的访问链接（不含endpoint）。 user_agent String OBS桶相关操作中非ObsSDK方式调用时的操作类型。 content_length Long OBS桶相关操作中请求消息体的长度。 total_time Long OBS桶相关操作中请求的响应时间。

sec-ddos-attack DDoS攻击日志字段含义如下所示： 表10 sec-ddos-attack 字段 类型 字段含义 log_type String 日志类型。 time Date 本地时间。 device_ip String 设备IP。 device_type String 设备类型（清洗：CLEAN；检测：DETECT）。 direction String 日志方向（inbound，outbound）。 zone_id String 防护对象ID。 zone_name String 防护对象名称。 zone_ip String IP。 biz_id String 业务ID。 is_deszone String 是否网段流量（是：true；否：false）。 is_ipLocation String 是否地址位置流量（是：true，否：false）。 ipLocation_id String 地理位置ID。 total_pps String 总pps。 total_kbps String 总Kbps。 tcp_pps String 到目标的TCP总包速率pps。 tcp_kbps String 到目标的TCP总流量Kbps。 tcpfrag_pps String 到目标的TCP碎片包速率pps。 tcpfrag_kbps String 到目标的TCP碎片流量Kbps。 udp_pps String 到目标的UDP总包速率pps。 udp_kbps String 到目标的UDP总流量Kbps。 udpfrag_pps String 到目标的UDP碎片包速率pps。 udpfrag_kbps String 到目标的UDP碎片流量Kbps。 icmp_pps String 到目标的ICMP总包速率pps。 icmp_kbps String 到目标的ICMP总流量Kbps。 other_pps String 到目标的Other总包速率pps。 other_kbps String 到目标的Other总流量Kbps。 syn_pps String 到目标的SYN报文数。 synack_pps String 到目标的SYN/ACK报文数pps。 ack_pps String 到目标的ACK报文数pps。 finrst_pps String 到目标的FIN/Rst报文数pps。 http_pps String 到目标的HTTP总包速率pps。 http_kbps String 到目标的HTTP总流量Kbps。 http_get_pps String 到目标的HTTP请求总包速率pps。 https_pps String 到目标的HTTPS总包速率pps。 https_kbps String 到目标的HTTPS总流量Kbps。 dns_request_pps String 到目标业务DNS Query包速率pps。 dns_request_kbps String 到目标业务DNS Query总流量Kbps。 dns_reply_pps String 到目标业务DNS Reply包速率pps。 dns_reply_kbps String 到目标业务DNS Reply总流量Kbps。 sip_invite_pps String 到目标业SIP包速率pps。 sip_invite_kbps String 到目标业务SIP总流量Kbps。 tcp_increase_con String 到目标的tcp每秒新建连接数统计。 udp_increase_con String 到目标的udp每秒新建连接数统计。 icmp_increase_con String 到目标的icmp每秒新建连接数统计。 other_increase_con String 到目标的other协议每秒新建连接数统计。 tcp_concur_con String 到目标的tcp并发连接数统计。 udp_concur_con String 到目标的udp并发连接数统计。 icmp_concur_con String 到目标的icmp并发连接数统计。 other_concur_con String 到目标的other协议并发连接数统计。 total_average_pps String 到目标的所有流量的平均pps。 total_average_kbps String 到目标的所有流量的平均Kbps。

sec-hss-log 主机安全日志字段含义如下所示： 表9 sec-hss-log 字段 类型 字段含义 agentUuid String agent的UUID。 alarmCsn String 告警UUID。 alarmKey String 告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。 alarmVersion String agent版本号。 occurTime Long 事件发生时间（ms）。 severity Long 风险等级。 hostUuid String 受影响主机UUID。 hostName String 受影响主机名。 hostIp String 受影响主机通信IP。 ipList String 受影响主机IP列表。 cloudId String cloudagent sn。 region String 受影响主机所在区域。 projectId String 受影响租户ID。 enterpriseProjectId String 受影响企业租户ID。 appendInfo Object 告警详情。 appendInfo agent_id String AGENT ID。 version String 事件版本。 container_name String 容器ID（容器安全场景）。 image_name String 镜像名称（容器安全场景）。 event_id String 事件ID，GUID。 event_name String 事件名称。 event_classid String 事件唯一标识。 occur_time Long 发生时间（秒）。 recent_time Long 最近一次发生时间（秒）。 event_category Integer 事件大类。 event_type Integer 事件类型。 event_count Integer 事件次数。 severity Integer 严重级别。 attack_phase Integer 攻击阶段。 attack_tag Integer 攻击标识。 confidence Integer 置信度。 action Integer 动作类型。 detect_module String 检测模块。 report_source String 上报源。 related_events String 相关事件ID。 resource_info Object 资源信息。 network_info Object 网络信息。 app_info Object 应用信息。 system_info Object 系统信息。 process_info list 进程信息。 user_info list 用户信息。 file_info list 文件信息。 geo_info Object 地理信息。 malware_info Object 恶意软件信息。 forensic_info String 取证字段。 recommendation String 处置建议。 extend_info String 事件扩展信息。 resource_info project_id String 项目ID。 region_name String Region名称。 vpc_id String VPC ID。 host_name String 主机名称。 host_ip String 主机IP。 host_id String 主机ID（ECS对应ID）。 cloud_id String CloudAgent SN。 vm_name String 虚拟机名称。 vm_uuid String 虚拟机UUID。 container_id String 容器id。 image_id String 镜像id。 sys_arch String 系统CPU架构。 os_bit String 操作系统位数。 os_type String 操作系统类型。 os_name String 操作系统名称。 os_version String 操作系统版本。 network_info local_address String 本地地址。 local_port Integer 本地端口。 remote_address String 远程地址。 remote_port Integer 远程端口。 src_ip String 源IP。 src_port Integer 源端口。 src_domain String 源域。 dest_ip String 目的IP。 dest_port Integer 目的端口。 dest_domain String 目的域。 protocol String 协议。 app_protocol String 应用层协议。 flow_direction String 流量方向。 app_info sql String 执行的sql语句。 domain_name String DNS域名。 url_path String URL路径。 url_method String URL方法。 req_refer String URL请求refer信息。 email_subject String 邮件主题。 email_sender String 邮件发送者。 email_receiver String 邮件接收者。 email_keyword String 邮件关键字。 process_info process_name String 进程名称。 process_path String 进程文件路径。 process_pid Integer 进程id。 process_uid Integer 进程用户id。 process_username String 运行进程的用户名。 process_cmdline String 进程文件命令行。 process_filename String 进程文件名。 process_start_time Long 进程启动时间。 process_gid Integer 进程组ID。 process_egid Integer 进程有效组ID。 process_euid Integer 进程有效用户ID。 parent_process_name String 父进程名称。 parent_process_path String 父进程文件路径。 parent_process_pid Integer 父进程id。 parent_process_uid Integer 父进程用户id。 parent_process_cmdline String 父进程文件命令行。 parent_process_filename String 父进程文件名。 parent_process_start_time Long 父进程启动时间。 parent_process_gid Integer 父进程组ID。 parent_process_egid Integer 父进程有效组ID。 parent_process_euid Integer 父进程有效用户ID。 child_process_name String 子进程名称。 child_process_path String 子进程文件路径。 child_process_pid Integer 子进程id。 child_process_uid Integer 子进程用户id。 child_process_cmdline String 子进程文件命令行。 child_process_filename String 子进程文件名。 child_process_start_time Long 子进程启动时间。 child_process_gid Integer 子进程组ID。 child_process_egid Integer 子进程有效组ID。 child_process_euid Integer 子进程有效用户ID。 virt_cmd String 虚拟化命令。 virt_process_name String 虚拟化进程名称。 escape mode String 逃逸方式。 escape cmd String 逃逸后执行的命令。 user_info user_id Integer 用户uid。 user_gid Integer 用户gid。 user_name String 用户名称。 user_group_name String 用户组名称。 user_home_dir String 用户home目录。 login_ip String 用户登录ip。 service_type String 登录的服务类型。 service_port Integer 登录服务端口。 login_mode String 登录方式。 login_lasttime Long 用户最后一次登录时间。 login_fail_count Integer 用户登录失败次数。 pwd_hash String 口令hash。 pwd_with_fuzzing String 匿名化处理后的口令。 pwd_used_days Integer 密码使用的天数。 pwd_min_days Integer 口令的最短有效期限。 pwd_max_days Integer 口令的最长有效期限。 pwd_warn_left_days Integer 口令无效时提前告警天数。 file_info file_path String 文件路径/名称。 file_alias String 文件别名。 file_size Integer 文件大小。 file_mtime Long 文件最后一次修改时间。 file_atime Long 文件最后一次访问时间。 file_ctime Long 文件最后一次状态改变时间。 file_hash String 文件hash。 file_md5 String 文件md5。 file_sha256 String 文件sha256。 file_type String 文件类型。 file_content String 文件内容。 file_attr String 文件属性。 file_operation String 文件操作类型。 file_change_attr String 变更前后的属性。 file_new_path String 新文件路径。 file_desc String 文件描述。 file_key_word String 文件关键字。 is_dir Boolean 是否目录。 fd_info String 文件句柄信息。 fd_count Integer 文件句柄数量。 forensic_info monitor_process String 监控进程。 escape_mode String 逃逸方式。 abnormal_port String 异常端口。 geo_info src_country String 源国家。 src_city String 源城市。 src_latitude Long 源纬度。 src_longitude Long 源经度。 dest_country String 目的国家。 dest_city String 目的城市。 dest_latitude Long 目的纬度。 dest_longitude Long 目的经度。 malware_info malware_family String 恶意家族。 malware_class String 恶意软件分类。 system_info pwd_valid Boolean 口令结果是否有效。 pwd_min_len Integer 口令长度。 pwd_digit_credit Integer 口令中数字要求。 pwd_uppercase_letter Integer 口令中大写字母。 pwd_lowercase_letter Integer 口令中小写字母。 pwd_special_characters Integer 口令中特殊字符。 extend_info hit_rule String 特征规则。 rule_name String 规则名称。 rulesetname String 规则集名称。 report_type String 上报数据类型。 ti_info ti_source String 情报来源。 ti_class String 情报分类。 ti_threat_type String 情报威胁类型。 ti_first_time Long 第一次发现时间。 ti_last_time Long 最近一次发现时间。

sec-hss-alarm 主机安全告警日志字段含义如下所示： 表8 sec-hss-alarm 字段 类型 字段含义 agentUuid String agent的UUID。 alarmCsn String 告警UUID。 alarmKey String 告警关键字。对于告警，当前透传agent上报的信息msg_id；对于漏洞，由master生成。 alarmVersion String agent版本号。 occurTime Long 事件发生时间（ms）。 severity Long 风险等级。 hostUuid String 受影响主机UUID。 hostName String 受影响主机名。 hostIp String 受影响主机通信IP。 ipList String 受影响主机IP列表。 cloudId String cloudagent sn。 region String 受影响主机所在区域。 projectId String 受影响租户ID。 enterpriseProjectId String 受影响企业租户ID。 appendInfo Object 告警详情。 appendInfo agent_id String AGENT ID。 version String 事件版本。 container_name String 容器ID（容器安全场景）。 image_name String 镜像名称（容器安全场景）。 event_id String 事件ID，GUID。 event_name String 事件名称。 event_classid String 事件唯一标识。 occur_time Long 发生时间（秒）。 recent_time Long 最近一次发生时间（秒）。 event_category Integer 事件大类。 event_type Integer 事件类型。 event_count Integer 事件次数。 severity Integer 严重级别。 attack_phase Integer 攻击阶段。 attack_tag Integer 攻击标识。 confidence Integer 置信度。 action Integer 动作类型。 detect_module String 检测模块。 report_source String 上报源。 related_events String 相关事件ID。 resource_info Object 资源信息。 network_info Object 网络信息。 app_info Object 应用信息。 system_info Object 系统信息。 process_info list 进程信息。 user_info list 用户信息。 file_info list 文件信息。 geo_info Object 地理信息。 malware_info Object 恶意软件信息。 forensic_info String 取证字段。 recommendation String 处置建议。 extend_info String 事件扩展信息。 resource_info project_id String 项目ID。 region_name String Region名称。 vpc_id String VPC ID。 host_name String 主机名称。 host_ip String 主机IP。 host_id String 主机ID（ECS对应ID）。 cloud_id String CloudAgent SN。 vm_name String 虚拟机名称。 vm_uuid String 虚拟机UUID。 container_id String 容器id。 image_id String 镜像id。 sys_arch String 系统CPU架构。 os_bit String 操作系统位数。 os_type String 操作系统类型。 os_name String 操作系统名称。 os_version String 操作系统版本。 network_info local_address String 本地地址。 local_port Integer 本地端口。 remote_address String 远程地址。 remote_port Integer 远程端口。 src_ip String 源IP。 src_port Integer 源端口。 src_domain String 源域。 dest_ip String 目的IP。 dest_port Integer 目的端口。 dest_domain String 目的域。 protocol String 协议。 app_protocol String 应用层协议。 flow_direction String 流量方向。 app_info sql String 执行的sql语句。 domain_name String DNS域名。 url_path String URL路径。 url_method String URL方法。 req_refer String URL请求refer信息。 email_subject String 邮件主题。 email_sender String 邮件发送者。 email_receiver String 邮件接收者。 email_keyword String 邮件关键字。 process_info process_name String 进程名称。 process_path String 进程文件路径。 process_pid Integer 进程id。 process_uid Integer 进程用户id。 process_username String 运行进程的用户名。 process_cmdline String 进程文件命令行。 process_filename String 进程文件名。 process_start_time Long 进程启动时间。 process_gid Integer 进程组ID。 process_egid Integer 进程有效组ID。 process_euid Integer 进程有效用户ID。 parent_process_name String 父进程名称。 parent_process_path String 父进程文件路径。 parent_process_pid Integer 父进程id。 parent_process_uid Integer 父进程用户id。 parent_process_cmdline String 父进程文件命令行。 parent_process_filename String 父进程文件名。 parent_process_start_time Long 父进程启动时间。 parent_process_gid Integer 父进程组ID。 parent_process_egid Integer 父进程有效组ID。 parent_process_euid Integer 父进程有效用户ID。 child_process_name String 子进程名称。 child_process_path String 子进程文件路径。 child_process_pid Integer 子进程id。 child_process_uid Integer 子进程用户id。 child_process_cmdline String 子进程文件命令行。 child_process_filename String 子进程文件名。 child_process_start_time Long 子进程启动时间。 child_process_gid Integer 子进程组ID。 child_process_egid Integer 子进程有效组ID。 child_process_euid Integer 子进程有效用户ID。 virt_cmd String 虚拟化命令。 virt_process_name String 虚拟化进程名称。 escape mode String 逃逸方式。 escape cmd String 逃逸后执行的命令。 user_info user_id Integer 用户uid。 user_gid Integer 用户gid。 user_name String 用户名称。 user_group_name String 用户组名称。 user_home_dir String 用户home目录。 login_ip String 用户登录ip。 service_type String 登录的服务类型。 service_port Integer 登录服务端口。 login_mode String 登录方式。 login_lasttime Long 用户最后一次登录时间。 login_fail_count Integer 用户登录失败次数。 pwd_hash String 口令hash。 pwd_with_fuzzing String 匿名化处理后的口令。 pwd_used_days Integer 密码使用的天数。 pwd_min_days Integer 口令的最短有效期限。 pwd_max_days Integer 口令的最长有效期限。 pwd_warn_left_days Integer 口令无效时提前告警天数。 file_info file_path String 文件路径/名称。 file_alias String 文件别名。 file_size Integer 文件大小。 file_mtime Long 文件最后一次修改时间。 file_atime Long 文件最后一次访问时间。 file_ctime Long 文件最后一次状态改变时间。 file_hash String 文件hash。 file_md5 String 文件md5。 file_sha256 String 文件sha256。 file_type String 文件类型。 file_content String 文件内容。 file_attr String 文件属性。 file_operation String 文件操作类型。 file_change_attr String 变更前后的属性。 file_new_path String 新文件路径。 file_desc String 文件描述。 file_key_word String 文件关键字。 is_dir Boolean 是否目录。 fd_info String 文件句柄信息。 fd_count Integer 文件句柄数量。 forensic_info monitor_process String 监控进程。 escape_mode String 逃逸方式。 abnormal_port String 异常端口。 geo_info src_country String 源国家。 src_city String 源城市。 src_latitude Long 源纬度。 src_longitude Long 源经度。 dest_country String 目的国家。 dest_city String 目的城市。 dest_latitude Long 目的纬度。 dest_longitude Long 目的经度。 malware_info malware_family String 恶意家族。 malware_class String 恶意软件分类。 system_info pwd_valid Boolean 口令结果是否有效。 pwd_min_len Integer 口令长度。 pwd_digit_credit Integer 口令中数字要求。 pwd_uppercase_letter Integer 口令中大写字母。 pwd_lowercase_letter Integer 口令中小写字母。 pwd_special_characters Integer 口令中特殊字符。 extend_info hit_rule String 特征规则。 rule_name String 规则名称。 rulesetname String 规则集名称。 report_type String 上报数据类型。 ti_info ti_source String 情报来源。 ti_class String 情报分类。 ti_threat_type String 情报威胁类型。 ti_first_time Long 第一次发现时间。 ti_last_time Long 最近一次发现时间。

sec-iam-audit 统一身份认证审计日志字段含义如下所示： 表6 sec-iam-audit 字段 类型 字段含义 uid String 用户id。 un String 用户名。 did String 租户id。 dn String 租户名。 src String 请求域名。 opl String 操作级别。 op String 操作类型。 res String IAM服务调用结果。 ter String 源ip。 dtl String iam认证详情。 tn Date 发生时间。 ts Long iam服务调用的发生时间戳。 tid String traceid。 evnt String 事件。 tobj String 操作服务。

sec-nip-attack IPS攻击日志字段含义如下所示： 表5 sec-nip-attack 字段 类型 字段含义 SyslogId String 日志序号。 Vsys String 虚拟系统名称。 Policy String 安全策略名称。 SrcIp String 报文的源IP地址 DstIp String 报文的目的IP地址 SrcPort String 报文的源端口（对于ICMP报文，该字段为0）。 DstPort String 报文的目的端口（对于ICMP报文，该字段为0）。 SrcZone String 报文的源安全域。 DstZone String 报文的目的安全域。 User String 用户名。 Protocol String 签名检测到的报文所属协议。 Application String 签名检测到的报文所属应用。 Profile String 配置文件的名称。 SignName String 签名的名称。 SignId String 签名的ID。 EventNum String 日志归并引入字段，是否归并需根据归并频率及日志归并条件来确定，不发生归并则为1。 Target String 签名所检测的报文所攻击的对象。具体情况如下： server：攻击对象为服务端。 client：攻击对象为客户端。 both：攻击对象为服务端和客户端。 Severity String 签名所检测的报文所造成攻击的严重性。具体情况如下： information：表示严重性为提示。 low：表示严重性为低。 medium：表示严重性为中。 high：表示严重性为高。 Os String 签名所检测的报文所攻击的操作系统。具体情况如下： all：所有系统。 android：安卓系统。 ios：苹果系统。 unix-like：Unix系统。 windows：Windows系统。 other：其他系统。 Category String 签名检测到的报文攻击特征所属的威胁分类。 Action String 签名动作。 alert：签名动作为告警。 block：签名动作为阻断。 Reference String 签名的参考信息。 Extend String 增强模式下的取证字段。