安全日志功能,提供对C2通信检测、 URL 过滤、防病毒、漏洞攻击防护等日志的检索能力,满足用户筛选查询日志的个性化需求,并可通过导出功能,生成日志报表。
1、登录云图,在【我的产品】登入【SASE上网安全】,在左侧菜单栏选择【日志】-【安全威胁日志】-【安全日志】,进入安全日志页面。
2、支持近24小时、近7天、近30天及自定义查询日期,以及指定对应的用户,实现精细化查询日志的需求。
3、在左侧筛选栏,可对日志的类型、等级、威胁类型、动作,做相应日志筛选查询。
4、点击对应的安全日志条目,可详细查看日志详情,以及数据包的报头字段等。
5、点击导出,可将当前日志以 excel 表格形式导出,当前仅支持10000条日志导出。
第三方日志分析平台通过syslog或kafka对接获取安全日志,详细字段说明如下:
| 字段名称 | 字段类型 | 字段说明 | 备注 |
| record_id | string | 日志序列号:日志序列号标识字段 | |
| tpye | string | 日志类别:security 暂无其他类型 | |
| sub_type | string | 日志类型:安全日志类型,包括:入侵防御(页面上漏洞攻击防护),防病毒,威胁情报(页面上C2通信),URL过滤 | |
| date_time | int64 | 发生时间:攻击日志产生的具体时间, 如:1709259821672 | |
| user_id | uint64 | 用户ID:用户标识字段,默认不展示 | 控制台无展示 |
| group_id | uint64 | 用户组ID:用户标识字段,默认不展示 | 控制台无展示 |
| access_type | string | 接入方式:接入方式说明,默认不展示 | 控制台无展示 |
| branch_id | uint32 | 接入分支ID:标记接入分支ID信息,默认不展示 | 控制台无展示 |
| src_zone | string | 源区域:日志来源区域,默认不展示 | 控制台无展示 |
| dst_zone | string | 目的区域:日志目的区域,默认不展示 | 控制台无展示 |
| hst_ip | string | 源IP:请求源IP信息 | |
| dst_ip | string | 目的IP:请求目IP信息 | |
| src_port | uint32 | 源端口:请求源端口信息 | |
| dst_port | uint32 | 目的端口:请求目的端口信息 | |
| proto | string | 四层协议:请求四层协议信息 | |
| l3proto | string | IP类型标识:用于标识IPv4或IPv6,默认不展示 | 控制台无展示 |
| level | string | 威胁等级:日志威胁等级,包括:高危险,中危险,低危险,信息 | |
| attack_type | string | 威胁类型:日志威胁类型,包括:挖矿, 蠕虫, 未知, Rootkit, 病毒, 僵尸网络, 木马远控, 钓鱼软件, Mail漏洞攻击, 广告软件, Scan漏洞攻击, 间谍软件, 感染型病毒, Worm漏洞攻击, Web漏洞攻击, 黑客工具, 恶意URL过滤, 后门软件, 勒索软件, URL过滤, 流氓软件, File漏洞攻击, Shellcode漏洞攻击, Backdoor漏洞攻击, Database漏洞攻击, System漏洞攻击, 信息窃取程序, Application漏洞攻击, Webbrowse漏洞攻击, Webactivex漏洞攻击, Networkdevice漏洞攻击 | |
| net_action | uint32 | 动作:日志动作信息,包括:允许、拒绝 | |
| sub_attack_type | string | 预留字段:威胁子类型 | 控制台无展示 |
| family | string | 家族名称:威胁家族名称 | |
| flux_type | string | 流量类型:用于标识检测流量类型,值为:镜像、引流 | |
| src_attribution | string | 源归属地:源IP归属地信息,默认不展示 | 控制台无展示 |
| dst_attribution | string | 目的归属地:源IP归属地信息,默认不展示 | 控制台无展示 |
| traffic_dir | string | 流量方向:用于标识出站和入站流量,默认不展示 | 控制台无展示 |
| domain | string | 请求域名:请求访问域名 | |
| url | string | 请求URL:请求访问URL | |
| virus_name | string | 病毒名称: 病毒类日志,病毒名称 | |
| virus_file_name | string | 病毒文件名称:病毒类日志,病毒文件名称 | |
| sid | uint32 | 漏洞ID:IPS类日志,漏洞ID标识 | |
| cves | string | 漏洞编号:IPS类日志,漏洞编号 | |
| severity | string | 漏洞描述:IPS类日志,漏洞描述 | |
| cvesName | string | 漏洞名称:IPS类日志,漏洞名称 | |
| policy_id | uint32 | 策略ID:日志产生对应的策略ID,默认不展示 | 控制台无展示 |
| extend | string | 预留字段,暂未使用 | 控制台无展示 |
| url_category | string | 网站类型:请求URL类型 | |
| packet | string | 预留字段:原始报文 | |
| src_mac | string | 源MAC:请求源MAC信息 | |
| dst_mac | string | 预留字段:目的MAC | 控制台无展示 |
| pod_name | string | 预留字段:产生日志的POP点名称 | 控制台无展示 |
| app_type | uint64 | 预留字段:L7协议或应用类型,和应用识别名称一致 | 控制台无展示 |
| app_sub_type | uint64 | 预留字段:应用子类型,比如百度网盘上传,百度网盘下载 | 控制台无展示 |
| device_type | uint32 | 预留字段:引流设备类型,0-unknow,1-rt,2-sdw,3-af,4-byod,5-atrust | 控制台无展示 |
| from | string | 预留字段:邮件发件人 | 控制台无展示 |
| rcpt | string | 预留字段:邮件收件人 | 控制台无展示 |
| user_agent | string | 预留字段:HTTP User Agent请求头字段信息 | 控制台无展示 |
| mime_type | string | 预留字段:HTTP MIME Type字段,用于标识媒体类型 | 控制台无展示 |
| ssl_version | string | 预留字段:ssl 版本,字段值为 "1.2","1.3",“”非ssl | 控制台无展示 |
| mitm_type | uint32 | 预留字段:中间人代理,0-没有代理 1- tcp代理, 2-ssl解密 | 控制台无展示 |
| url_class | string | 预留字段:URL 二级类型 | 控制台无展示 |
| url_category_malicious | string | 预留字段:恶意URL分类 | 控制台无展示 |
| reputation | uint32 | 预留字段:信誉分/等级 | 控制台无展示 |
| confidence | uint32 | 预留字段:置信度 | 控制台无展示 |
| content_length | uint32 | 预留字段:HTTP内容长度 | 控制台无展示 |
| account_id | string | 租户ID:企业租户ID | |
| branch_name | string | 接入位置:日志产生的接入分支名称,移动办公用户显示为:移动用户 | |
| date_time_day | uint64 | 时间字段:天 | |
| date_time_month | uint64 | 时间字段:月 | |
| user_group_name | string | 所属部门:用户归属部门 | |
| user_name | string | 账号名:用户账号名称,未认证用户账号显示为源IP | |
| user_show_name | string | 显示名:用户显示名 |
建议使用Chrome浏览器访问!
