日志分析
更新时间:2026-04-30
本手册旨在说明系统上报的各类日志及其字段含义。
主机日志
资产指纹
对应日志集名称:**csc-log-asset-finger_XXXXXX**
记录主机运行时的硬件及系统底层信息,用于资产清查。
| 字段名 | 说明 | 示例 |
|---|---|---|
| os | 操作系统信息 | {"type":"Linux","distribution":"Ubuntu","release_version":"20.04","kernel_version":"5.4.0-135-generic","machine":"x86_64","boot_time":1710000000} |
| cpu | CPU 信息 | {"physical_count":2,"core_count":8,"processor_count":16,"model_name":"Intel(R) Xeon(R) CPU E5-2680 v4 @ 2.40GHz"} |
| network | 网络信息,含网卡列表、路由表、DNS | {"interfaces":[{"iface":"eth0","mac":"fa:16:3e:xx:xx:xx","ipv4":"10.0.0.1","running":true}],"dns":["114.114.114.114"]} |
| mem | 内存信息(mem_total:总内存大小,字节) | {"mem_total":17179869184} |
| usbs | USB 外设信息(bus / device / vendor / product / desc_manufacture / desc_product) | {"items":[]} |
| disks | 磁盘信息(name / type / serial / disk_size / free_size) | {"items":[{"name":"vda","type":"SSD","disk_size":107374182400,"free_size":53687091200}]} |
| devs | 其他外设信息(name / type,类型如 DVD/USB) | {"items":[]} |
| vmcore | vmcore-dmesg.txt 内容 | {"content":""} |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
登录流水日志
对应日志集名称:csc-log-login-flow_XXXXXX
记录主机登录行为的详细流水。
| 字段名 | 说明 | 示例 |
|---|---|---|
| report_time | 上报时间(Unix 时间戳) | 1710000000 |
| logins | 登录记录列表 | [{"time":1710000000,"type":"ssh","user":"work","host":"10.0.0.2","result":1,"status":1,"flag":1}] |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
暴力破解日志
对应日志集名称:**csc-log-brute-force_XXXXXX**
记录针对主机的暴力破解(爆破)攻击行为,每条记录对应一次暴力破解尝试或成功事件。
| 字段名 | 说明 | 示例 |
|---|---|---|
| time | 登录时间(Unix 时间戳) | 1710000000 |
| type | 登录类型(如 ssh) | "ssh" |
| user | 登录用户名 | "root" |
| host | 登录来源主机(攻击方 IP) | "1.2.3.4" |
| target | 目标主机 | "10.0.0.1" |
| message | 登录消息原文 | "Failed password for root from 1.2.3.4 port 51234 ssh2" |
| result | 登录结果 | 2 |
| status | 登录状态 | 2 |
| repeat | 重复次数 | 30 |
| flag | 事件类型,暴力破解场景固定为 5 | 5 |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
网络快照日志
对应日志集名称:**csc-log-network-snapshot_XXXXXX**
记录主机当前的网络连接快照。
| 字段名 | 说明 | 示例 |
|---|---|---|
| report_at | 上报时间 | 1710000000 |
| tcp_links | TCP 连接列表 | [{"local_ip":"0.0.0.0","local_port":22,"state":10,"pid":1234,"exe":"sshd"}] |
| udp_links | UDP 连接列表 | [{"local_ip":"0.0.0.0","local_port":53,"pid":800,"exe":"systemd-resolve"}] |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
安全日志
安全告警日志
对应日志集名称:**csc-log-security-alert_XXXXXX**
记录系统检测到的入侵威胁、异常进程行为等。
| 字段名 | 说明 | 示例 |
|---|---|---|
| proc_chain | 进程链信息(见下表) | {"current":{"pid":5678,"exe":"/bin/bash","cmdline":"bash -i","user":"work"},"ancestors":[{"pid":1234,"exe":"/usr/sbin/sshd"}]} |
| peer | 连接信息(domain / host / port) | {"host":"10.0.0.3","port":4444} |
| file | 关联文件信息(path / md5 / sha256 / stat 等) | {"path":"/tmp/shell.sh","md5":"d41d8cd98f00b204e9800998ecf8427e"} |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
基线检查
对应日志集名称:**csc-log-baseline-check_XXXXXX**
记录主机配置项的安全合规扫描结果。
| 字段名 | 说明 | 示例 |
|---|---|---|
| task_id | 任务 ID | "task-20240301-001" |
| start_time | 任务开始时间 | 1710000000 |
| results | 各模板的执行结果列表 | [{"template_id":1001,"template_status":0,"check_results":[{"check_id":2001,"is_pass":false,"check_msg":"SSH PermitRootLogin 未禁用"}]}] |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
漏洞扫描
对应日志集名称:csc-log-vulnerability-scan_XXXXXX
以漏洞维度或受影响组件维度上报扫描结果。
漏洞维度字段:
| 字段名 | 说明 | 示例 |
|---|---|---|
| vuln_name | 漏洞名称 | "CVE-2023-0286" |
| title | 漏洞标题(中文) | "OpenSSL 类型混淆漏洞" |
| title_en | 漏洞标题(英文) | "OpenSSL Type Confusion Vulnerability" |
| id | 漏洞 ID(CVE / CNNVD 等) | "CVE-2023-0286" |
| description | 漏洞描述(中文) | "OpenSSL 中存在类型混淆漏洞,攻击者可能借此触发拒绝服务或信息泄露。" |
| description_en | 漏洞描述(英文) | "A type confusion vulnerability exists in OpenSSL..." |
| patch | Patch 信息 | "升级至 OpenSSL 3.0.8 或更高版本" |
| type | 漏洞类型 | "denial-of-service" |
| cvss_score | CVSS 分数 | 7.4 |
| cvss_vector | CVSS 向量 | "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:H" |
| level | 漏洞等级 | "high" |
| unique_id | 唯一 ID | "vuln-xxxxxxxxxxxx" |
| published_date | 披露时间(Unix 时间戳) | 1674691200 |
| last_modified_date | 最后修改时间 | 1677369600 |
| scan_time | 扫描时间 | 1710000000 |
| references | 漏洞引用链接 | [{"name":"NVD","url":"https://nvd.nist.gov/vuln/detail/CVE-2023-0286"}] |
| packages | 相关包信息 | [{"name":"openssl","version":"1.1.1f-1ubuntu2.19","min_fixed_version":"1.1.1f-1ubuntu2.20"}] |
| poc | 是否有 PoC | false |
| package_count | 关联组件数量 | 1 |
| effect_version | 受影响版本 | "< 3.0.8" |
| min_fixed_version | 最小修复版本 | "3.0.8" |
| solutions | 解决方案列表 | [{"description":"升级软件包","type":"package","content":"apt-get install openssl=3.0.8"}] |
| with_min_fixed_version | 是否存在最小修复版本 | true |
| repository | 发行版信息 | "ubuntu20.04" |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
组件维度字段:
| 字段名 | 说明 | 示例 |
|---|---|---|
| pkg_name | 组件名称 | "openssl" |
| pkg_version | 组件版本 | "1.1.1f-1ubuntu2.19" |
| suggest_level | 漏洞建议修复等级 | 2 |
| unique_id | 唯一 ID | "pkg-xxxxxxxxxxxx" |
| published_date | 披露时间 | 1674691200 |
| last_modified_date | 最后修改时间 | 1677369600 |
| scan_time | 扫描时间 | 1710000000 |
| vuln_list_count | 漏洞列表数量 | 2 |
| exploit_requirement_cost | 利用成本 | 30 |
| scope_influence | 影响范围 | 30 |
| poc | 是否有 PoC | false |
| min_fixed_version | 最小修复版本 | "1.1.1f-1ubuntu2.20" |
| vuln_list | 漏洞列表 | [{"title":"OpenSSL 类型混淆漏洞","cve_id":"CVE-2023-0286","cvss_score":7.4,"level":"high"}] |
| solutions | 解决方案 | [{"description":"升级软件包","type":"package","content":"apt-get install openssl=1.1.1f-1ubuntu2.20"}] |
| with_min_fixed_version | 是否存在最小修复版本 | true |
| repository | 发行版信息 | "ubuntu20.04" |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
文件完整性
对应日志集名称:**csc-log-file-integrity_XXXXXX**
监控关键目录或文件的变更情况。
| 字段名 | 说明 | 示例 |
|---|---|---|
| time | 上报时间 | 1710000000 |
| dir | 目录 | "/etc/" |
| filename | 文件名 | "passwd" |
| action | 事件类型(数值编码) | 2 |
| description | 事件描述 | "文件被修改" |
| hash | 文件哈希值 | "d41d8cd98f00b204e9800998ecf8427e" |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
NDR
对应日志集名称:**csc-log-ndr_XXXXXX**
接收来自流量检测引擎的告警。
| 字段名 | 说明 | 示例 |
|---|---|---|
| alarm_type | 告警类型 | "恶意扫描" |
| detail | 详情字段集合(JSON 字符串) | "{\"src_ip\":\"10.0.0.3\",\"dst_ip\":\"10.0.0.1\",\"proto\":\"TCP\"}" |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
病毒查杀
对应日志集名称:**csc-log-virus-scan_XXXXXX**
上报由进程检测或文件扫描发现的恶意文件。
| 字段名 | 说明 | 示例 |
|---|---|---|
| files | 恶意文件列表 | [{"file":{"path":"/tmp/malware.elf","md5":"44d88612fea8a8f36de82e1278abb02f"},"local_scan_result":2,"local_scan_virus_name":"Trojan.Linux.Generic"}] |
| scan_task_id | 文件扫描任务 ID | "scan-20240301-001" |
| total_count | 预计上传云端的文件总数 | 1 |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
网站后门
对应日志集名称:**csc-log-webshell_XXXXXX**
上报 Web 目录中检测到的可疑文件。
| 字段名 | 说明 | 示例 |
|---|---|---|
| webs | Web 服务器文件组列表 | [{"webserver_name":"nginx","webserver_version":"1.18.0","web_files":[{"file":{"path":"/var/www/html/shell.php"},"hit_rule":2}]}] |
| scan_task_id | 扫描任务 ID | "scan-20240301-002" |
| total_count | 预计上传云端的文件总数 | 1 |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
蜜罐
对应日志集名称:**csc-log-honeypot_XXXXXX**
记录攻击者触碰蜜罐诱饵后产生的连接及交互行为。
| 字段名 | 说明 | 示例 |
|---|---|---|
| events | 蜜罐事件列表 | [{"config_id":10,"src_ip":"1.2.3.4","src_port":51234,"local_port":6379,"honeypot_type":2,"timestamp":1710000000}] |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
防篡改
对应日志集名称:**csc-log-anti-tamper_XXXXXX**
记录针对受保护目录的非法修改事件及自动恢复结果。
| 字段名 | 说明 | 示例 |
|---|---|---|
| time | 告警发生时间(秒级 Unix 时间戳) | 1710000000 |
| config_id | 防篡改任务 ID | 100 |
| config_dir | 任务监控目录 | "/var/www/html/" |
| config_auto_recover | 任务是否允许自动恢复 | true |
| tamper_dir | 被篡改的目录 | "/var/www/html/" |
| tamper_filename | 被篡改的文件名 | "index.php" |
| action | 事件类型 | 2 |
| description | 篡改描述 | "文件被修改" |
| hash | 文件哈希值 | "d41d8cd98f00b204e9800998ecf8427e" |
| is_recovered | 是否已完成恢复 | true |
| reason | 恢复失败原因(允许自动恢复且恢复失败时才不为空) | "" |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"}} |
容器基线
对应日志集名称:**csc-log-container-security_XXXXXX**
记录容器配置的安全合规基线检测结果。
| 字段名 | 说明 | 示例 |
|---|---|---|
| time | 检测时间 | 1710000000 |
| is_scan_task | 是否为实时扫描任务上报 | true |
| template_id | 模板 ID | 2001 |
| standard | 检测标准:CIS_DOCKER(0) / CIS_K8S(1) | 0 |
| id | 检测用例 ID | 101 |
| case_num | 检测用例编号(如 1.1.1) | "2.1" |
| status | 检测用例状态:PASS / INFO / WARN / FAIL | "FAIL" |
| reason | 检测用例失败原因 | "Docker daemon 未配置用户命名空间" |
| expected | 期望结果 | "userns-remap 已配置" |
| meta | 消息元数据 | {"agent":{"hostname":"host-001","ip":"10.0.0.1"},"container":{"id":"abc123","name":"web-app","image":"nginx:1.18"}} |
评价此篇文章