入侵防御日志

PDF

聚焦模式

字号

最后更新时间： 2026-04-02 17:58:07

字段标识
字段类型
字段名称
字段描述
参考值
细分类型
instance_id
string
受害者相关资产 ID
-
probe-okqbewghgc6e
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
time
int64
告警发生时间
告警发生时间（UTC+8）
1742109846
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_ip
string
源 IP
-
192.168.0.1
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
dst_ip
string
目的 IP
-
192.168.0.1
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_port
int64/int
源端口
-
54321
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
dst_port
int64/int
目的端口
-
80
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
direction
int64
方向
0：出站
1：入站
TCP 协议告警：为会话方向
非会话协议：为流量方向
0
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
protocol
string
协议
-
TCP
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
strategy
string
告警动作
告警的处置动作
0：观察
1：阻断
2：放行
3：欺骗
0
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
strategy_res
string
告警动作标识 ID
-
Observe
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
event_name
string
攻击事件类型
-
Log4j2漏洞利用
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
eventname_res（event_name_res）
string
攻击事件类型标识 ID
-
log4j2_exploit
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
dst_domain
string
外联域名
-
www.example.com
HoneyPotHost、HoneyPotNetwork、BlockList、TiLog、BaseLineLog
level
string
告警级别
告警的严重程度
严重
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
level_res
string
告警级别标识 ID
-
level_serious
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
level_int
int
告警级别数字
-
5
HoneyPotHost、HoneyPotNetwork
address
string
攻击 IP 的所处城市
-
日本东京都东京
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
address_en
string
攻击 IP 的所处城市
-
Tokyo，Japan
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
insert_time
int64
告警入库时间
告警入库时间（UTC+8）
1742022307
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
service_id
string
网络蜜罐 ID
-
hp-qlavpg5iwcaq
HoneyPotHost、HoneyPotNetwork
type
string
告警子类型标识
-
ti
HoneyPotHost、HoneyPotNetwork、TiLog、BaseLineLog
sub_source_type
string
告警子类型
告警分类，包括：虚拟补丁、基础防御、封禁列表、网络蜜罐等
虚拟补丁
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
sub_source_type_res
string
告警子类型标识 ID
告警子类型标识 ID，source_virtualpatch 虚拟补丁，source_basicrule 基础防御等
source_virtualpatch
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
payload
string
攻击 payload
攻击流量的载荷信息
Hex Message:...
HoneyPotHost、HoneyPotNetwork、IdsLog、TiLog
cmdline
string
执行命令
网络蜜罐主机事件，蜜罐内执行的敏感命令
bash -c ifconfig execve /bin/bash|m=100755|o=0:0
HoneyPotHost
template_id
string
网络蜜罐模板 ID
-
hp-qlavpg5iwcaq
HoneyPotHost
docker_id
string
网络蜜罐唯一 ID
-
hp-qlavpg5iwcaq
HoneyPotHost、HoneyPotNetwork
proc_chan
string
进程树
网络蜜罐主机事件进程树
bashP{
HoneyPotHost
kill_chain
string
攻击链
攻击链，告警事件所处攻击阶段
漏洞利用
HoneyPotHost、HoneyPotNetwork
kill_chain_res
string
攻击链标识 ID
-
kill_chain_exploit
HoneyPotHost、HoneyPotNetwork
event_id
string
告警 ID
-
b5871755da5f0d151f3e51b971c8bccd
HoneyPotHost、HoneyPotNetwork
exe
string
执行文件路径
-
/sbin/ifconfig
HoneyPotHost
probe_id
string
探针 ID
-
probe-id
HoneyPotHost、HoneyPotNetwork
service_type
string
网络蜜罐类型
网络蜜罐类型
SSH 蜜罐
HoneyPotHost、HoneyPotNetwork
service_type_res
string
网络蜜罐类型标识 ID
-
ssh_honeypot
HoneyPotHost、HoneyPotNetwork
script_name
string
网络蜜罐剧本名称
-
SSH 蜜罐
HoneyPotHost、HoneyPotNetwork
log_source
string
数据来源
VPC 间防火墙的告警和内网蜜罐告警值为 move
蜜罐主机告警值为 host
蜜罐公网告警值为 network
move
HoneyPotHost、HoneyPotNetwork、IdsLog
login_user
string
攻击登录用户
-
[root, 1qaz!QAZ]
HoneyPotHost、HoneyPotNetwork
visible_tag
int
可见性
0：隐藏
1：可见
1
HoneyPotHost、HoneyPotNetwork
timestamp
string
告警时间戳
告警时间戳（UTC+8）
2023-01-01T00:00:00+08:00
HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_type
string
关联情报威胁类型标签（告警中自带）
-
["SSH 蜜罐攻击","常规网络爆破","暴力破解"]
HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_type_en
string
关联情报威胁类型标签（告警中自带）
-
["SSH honeypot attack","General network cracking","Brute force"]
HoneyPotNetwork、BlockList、IdsLog、TiLog
ti_white
string
白名单标签（告警中自带）
-
情报白名单
HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_white_res
string
白名单标签（告警中自带）标识 ID
-
intelligence_allowlist
HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_country
string
源国家
源 IP 的所处国家
美国
BlockList、IdsLog、TiLog、BaseLineLog
src_country_en
string
源国家-英文
源 IP 的所处国家-英文
United States of America
BlockList、IdsLog、TiLog
dst_country
string
目的国家
目的 IP 的所处国家
美国
BlockList、IdsLog、TiLog、BaseLineLog
dst_country_en
string
目的国家-英文
目的 IP 的所处国家-英文
United States of America
BlockList、IdsLog、TiLog
attack_vector
string
攻击利用方法
-
code-exec
IdsLog
attack_count
int
告警数量
-
156
IdsLog
nat_ip
string
NAT 的 IP
NAT 的公网 IP 地址
8.8.8.8
IdsLog、TiLog、BaseLineLog
nat_port
int
NAT 的端口
NAT 的公网端口
19095
IdsLog、TiLog、BaseLineLog
fws_id
string
防火墙 ID
-
cfws-e5b4bf5f3f
IdsLog
fw_type
string
防火墙类型
防火墙类型，包括：
vpc：VPC 间防火墙
nat：NAT 防火墙
sg：企业安全组
空：互联网边界
nat
IdsLog
src_vpc
string
攻击者资产 VPCID
-
vpc-xxx
IdsLog
dst_vpc
string
受害者资产 VPCID
-
vpc-dl16mzr7
IdsLog
src_ins_id
string
攻击者相关资产 ID
-
ins-xxx
IdsLog
dst_ins_id
string
受害者相关资产 ID
-
ins-yyy
IdsLog
nat_ins_id
string
NAT 的实例 ID
-
cfwnat-3944e08e
TiLog、BaseLineLog
nat_ins_name
string
NAT 的实例名称
-
出口 NAT
TiLog
﻿

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

云防火墙

入侵防御日志

帮助和支持

字段标识	字段类型	字段名称	字段描述	参考值	细分类型
instance_id	string	受害者相关资产 ID	-	probe-okqbewghgc6e	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
time	int64	告警发生时间	告警发生时间（UTC+8）	1742109846	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_ip	string	源 IP	-	192.168.0.1	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
dst_ip	string	目的 IP	-	192.168.0.1	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_port	int64/int	源端口	-	54321	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
dst_port	int64/int	目的端口	-	80	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
direction	int64	方向	0：出站 1：入站 TCP 协议告警：为会话方向非会话协议：为流量方向	0	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
protocol	string	协议	-	TCP	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
strategy	string	告警动作	告警的处置动作 0：观察 1：阻断 2：放行 3：欺骗	0	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
strategy_res	string	告警动作标识 ID	-	Observe	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
event_name	string	攻击事件类型	-	Log4j2漏洞利用	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
eventname_res（event_name_res）	string	攻击事件类型标识 ID	-	log4j2_exploit	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
dst_domain	string	外联域名	-	www.example.com	HoneyPotHost、HoneyPotNetwork、BlockList、TiLog、BaseLineLog
level	string	告警级别	告警的严重程度	严重	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
level_res	string	告警级别标识 ID	-	level_serious	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
level_int	int	告警级别数字	-	5	HoneyPotHost、HoneyPotNetwork
address	string	攻击 IP 的所处城市	-	日本东京都东京	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
address_en	string	攻击 IP 的所处城市	-	Tokyo，Japan	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
insert_time	int64	告警入库时间	告警入库时间（UTC+8）	1742022307	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
service_id	string	网络蜜罐 ID	-	hp-qlavpg5iwcaq	HoneyPotHost、HoneyPotNetwork
type	string	告警子类型标识	-	ti	HoneyPotHost、HoneyPotNetwork、TiLog、BaseLineLog
sub_source_type	string	告警子类型	告警分类，包括：虚拟补丁、基础防御、封禁列表、网络蜜罐等	虚拟补丁	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
sub_source_type_res	string	告警子类型标识 ID	告警子类型标识 ID，source_virtualpatch 虚拟补丁，source_basicrule 基础防御等	source_virtualpatch	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog
payload	string	攻击 payload	攻击流量的载荷信息	Hex Message:...	HoneyPotHost、HoneyPotNetwork、IdsLog、TiLog
cmdline	string	执行命令	网络蜜罐主机事件，蜜罐内执行的敏感命令	bash -c ifconfig execve /bin/bash\|m=100755\|o=0:0	HoneyPotHost
template_id	string	网络蜜罐模板 ID	-	hp-qlavpg5iwcaq	HoneyPotHost
docker_id	string	网络蜜罐唯一 ID	-	hp-qlavpg5iwcaq	HoneyPotHost、HoneyPotNetwork
proc_chan	string	进程树	网络蜜罐主机事件进程树	bashP{	HoneyPotHost
kill_chain	string	攻击链	攻击链，告警事件所处攻击阶段	漏洞利用	HoneyPotHost、HoneyPotNetwork
kill_chain_res	string	攻击链标识 ID	-	kill_chain_exploit	HoneyPotHost、HoneyPotNetwork
event_id	string	告警 ID	-	b5871755da5f0d151f3e51b971c8bccd	HoneyPotHost、HoneyPotNetwork
exe	string	执行文件路径	-	/sbin/ifconfig	HoneyPotHost
probe_id	string	探针 ID	-	probe-id	HoneyPotHost、HoneyPotNetwork
service_type	string	网络蜜罐类型	网络蜜罐类型	SSH 蜜罐	HoneyPotHost、HoneyPotNetwork
service_type_res	string	网络蜜罐类型标识 ID	-	ssh_honeypot	HoneyPotHost、HoneyPotNetwork
script_name	string	网络蜜罐剧本名称	-	SSH 蜜罐	HoneyPotHost、HoneyPotNetwork
log_source	string	数据来源	VPC 间防火墙的告警和内网蜜罐告警值为 move 蜜罐主机告警值为 host 蜜罐公网告警值为 network	move	HoneyPotHost、HoneyPotNetwork、IdsLog
login_user	string	攻击登录用户	-	[root, 1qaz!QAZ]	HoneyPotHost、HoneyPotNetwork
visible_tag	int	可见性	0：隐藏 1：可见	1	HoneyPotHost、HoneyPotNetwork
timestamp	string	告警时间戳	告警时间戳（UTC+8）	2023-01-01T00:00:00+08:00	HoneyPotHost、HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_type	string	关联情报威胁类型标签（告警中自带）	-	["SSH 蜜罐攻击","常规网络爆破","暴力破解"]	HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_type_en	string	关联情报威胁类型标签（告警中自带）	-	["SSH honeypot attack","General network cracking","Brute force"]	HoneyPotNetwork、BlockList、IdsLog、TiLog
ti_white	string	白名单标签（告警中自带）	-	情报白名单	HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
ti_white_res	string	白名单标签（告警中自带）标识 ID	-	intelligence_allowlist	HoneyPotNetwork、BlockList、IdsLog、TiLog、BaseLineLog
src_country	string	源国家	源 IP 的所处国家	美国	BlockList、IdsLog、TiLog、BaseLineLog
src_country_en	string	源国家-英文	源 IP 的所处国家-英文	United States of America	BlockList、IdsLog、TiLog
dst_country	string	目的国家	目的 IP 的所处国家	美国	BlockList、IdsLog、TiLog、BaseLineLog
dst_country_en	string	目的国家-英文	目的 IP 的所处国家-英文	United States of America	BlockList、IdsLog、TiLog
attack_vector	string	攻击利用方法	-	code-exec	IdsLog
attack_count	int	告警数量	-	156	IdsLog
nat_ip	string	NAT 的 IP	NAT 的公网 IP 地址	8.8.8.8	IdsLog、TiLog、BaseLineLog
nat_port	int	NAT 的端口	NAT 的公网端口	19095	IdsLog、TiLog、BaseLineLog
fws_id	string	防火墙 ID	-	cfws-e5b4bf5f3f	IdsLog
fw_type	string	防火墙类型	防火墙类型，包括： vpc：VPC 间防火墙 nat：NAT 防火墙 sg：企业安全组空：互联网边界	nat	IdsLog
src_vpc	string	攻击者资产 VPCID	-	vpc-xxx	IdsLog
dst_vpc	string	受害者资产 VPCID	-	vpc-dl16mzr7	IdsLog
src_ins_id	string	攻击者相关资产 ID	-	ins-xxx	IdsLog
dst_ins_id	string	受害者相关资产 ID	-	ins-yyy	IdsLog
nat_ins_id	string	NAT 的实例 ID	-	cfwnat-3944e08e	TiLog、BaseLineLog
nat_ins_name	string	NAT 的实例名称	-	出口 NAT	TiLog