DB3301-T 0371-2022 一體化智能化公共數(shù)據(jù)平臺(tái)日志規(guī)范-（高清最新）

1、ICS 35.020CCS L 723301浙 江 省 杭 州 市 地 方 標(biāo) 準(zhǔn)DB 3301/T03712022一體化智能化公共數(shù)據(jù)平臺(tái)日志規(guī)范20222022083020220930杭州市市場監(jiān)督管理局發(fā) 布DB 3301/T 0371DB 3301/T 03712022DB 3301/T 0371DB 3301/T 03712022目次前言II范圍1規(guī)范性引用文件1術(shù)語和定義1日志采集要求1概述2日志采集格式2日志采集方式2日志存儲(chǔ)要求2日志分析要求2概述2規(guī)則策略3關(guān)聯(lián)分析3行為分析4主機(jī)操作系統(tǒng)日志5數(shù)據(jù)庫日志7對(duì)象存儲(chǔ)日志10主機(jī)操作系統(tǒng)日志5數(shù)據(jù)庫日志7對(duì)象存儲(chǔ)日志10云管理控

2、制臺(tái)日志12網(wǎng)絡(luò)設(shè)備日志13安全設(shè)備日志15應(yīng)用系統(tǒng)日志16I前言本文件按照GB/T 1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。 本文件由杭州市數(shù)據(jù)資源管理局提出、歸口并組織實(shí)施。本文件主要起草單位：杭州市大數(shù)據(jù)管理服務(wù)中心（杭州市人民政府電子政務(wù)中心）、拱墅區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司。本文件主要起草人：齊同軍、張斌、李國喜、吳光靜、孫茂陽、胡瓊達(dá)、姜云洲、李杰、金江鋒、 邊贏、孫戴博、吳晨、吳怡、徐龍華、樊興悅。IIII一體化智能化公共數(shù)據(jù)平臺(tái)日志規(guī)范范圍本文件

3、規(guī)定了一體化智能化公共數(shù)據(jù)平臺(tái)的日志采集要求、日志存儲(chǔ)要求、日志分析要求。 本文件適用于一體化智能化公共數(shù)據(jù)平臺(tái)日志采集、存儲(chǔ)和分析工作。規(guī)范性引用文件GB/T 250692022 信息安全技術(shù) 術(shù)語GB/T 352952017 信息技術(shù) 大數(shù)據(jù) 術(shù)語DB33/T 23502021 數(shù)字化改革術(shù)語定義術(shù)語和定義GB/T 250692022GB/T 352952017、DB33/T 23502021界定的以及下列術(shù)語和定義適用于本文件。3.1一體化智能化公共數(shù)據(jù)平臺(tái) integrated intelligent public data platform注 1：該平臺(tái)用于支撐黨政機(jī)關(guān)整體智治、數(shù)字

4、政府、數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)、數(shù)字法治的實(shí)現(xiàn)。注 2：該平臺(tái)組成包括“四橫四縱”體系和“兩個(gè)前端”，縱向貫通省市縣鄉(xiāng)各層級(jí)。3來源：DB33/T 23502021，3.2日志 log系統(tǒng)中記錄關(guān)于硬件、軟件和系統(tǒng)操作及故障的信息。3.3云平臺(tái) cloud platform云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上服務(wù)軟件的集合。3.4對(duì)象存儲(chǔ) object storage以對(duì)象作為存儲(chǔ)單元,并提供對(duì)象級(jí)訪問接口的云存儲(chǔ)。GB/T 31916.12015，3.1.4日志采集要求1概述日志采集格式附錄AAA.1A.2A.3A.4A.5A.6APIA.7日志采集方式支持全量、歷史數(shù)據(jù)的外送采集服務(wù)；支持實(shí)時(shí)或定時(shí)增

5、量日志外送采集服務(wù)；支持按照過濾條件的日志外送采集服務(wù)，例如字段內(nèi)容；支持全量、歷史數(shù)據(jù)的外送采集服務(wù)；支持實(shí)時(shí)或定時(shí)增量日志外送采集服務(wù)；支持按照過濾條件的日志外送采集服務(wù)，例如字段內(nèi)容；支持外送失敗報(bào)警服務(wù)、失敗重發(fā)服務(wù)。5 日志存儲(chǔ)要求在保障安全前提下做好日志存儲(chǔ)工作，日志的存儲(chǔ)滿足下列條件：嚴(yán)格控制日志的訪問權(quán)限，確保日志的授權(quán)訪問；具備增量備份和恢復(fù)能力，當(dāng)有異地備份要求時(shí)，應(yīng)進(jìn)行異地備份；與統(tǒng)一的標(biāo)準(zhǔn)時(shí)間源保持同步。6 日志分析要求6.1 概 述2規(guī)則策略主機(jī)日志分析主機(jī)日志分析包括但不限于：異常登錄，包括未經(jīng)授權(quán)登錄、多次登錄失敗、頻繁登錄、非工作時(shí)間登錄等；高危端口開啟、被利用

6、情況；用戶賬號(hào)和權(quán)限變更；操作系統(tǒng)的啟動(dòng)、停止信息；系統(tǒng)服務(wù)和配置修改；特殊權(quán)限使用和操作。數(shù)據(jù)庫日志分析數(shù)據(jù)庫日志分析包括但不限于：數(shù)據(jù)庫異常登錄行為，如多次登錄失敗、頻繁登錄、非工作時(shí)間登錄、異地登錄、頻繁變更IP數(shù)據(jù)庫越權(quán)操作，如對(duì)未經(jīng)授權(quán)的敏感數(shù)據(jù)進(jìn)行增刪改查、導(dǎo)入導(dǎo)出等；用戶的關(guān)鍵變更操作，如增刪改用戶及其權(quán)限；數(shù)據(jù)庫服務(wù)啟動(dòng)和停止；數(shù)據(jù)庫系統(tǒng)核心配置文件的修改；高風(fēng)險(xiǎn)操作，如對(duì)批量數(shù)據(jù)的導(dǎo)入導(dǎo)出等。安全設(shè)備日志分析安全設(shè)備日志分析包括但不限于：堡壘機(jī)日志分析，包括長期未登錄使用的賬號(hào)、活躍度異常的賬號(hào)、異常、高風(fēng)險(xiǎn)操作行為、 多人共用賬號(hào)等；VPN其他安全設(shè)備，應(yīng)重點(diǎn)分析設(shè)備的異常

7、告警行為。應(yīng)用系統(tǒng)日志分析應(yīng)用系統(tǒng)日志分析包括但不限于：重要操作記錄，對(duì)關(guān)鍵配置信息和業(yè)務(wù)數(shù)據(jù)的增刪改操作；管理員操作行為，如增刪改系統(tǒng)用戶及其權(quán)限；操作人員查詢敏感信息的行為；操作人員異常登錄和異常操作的行為；應(yīng)用系統(tǒng)的高危漏洞被利用情況；數(shù)據(jù)接口異常調(diào)用等。關(guān)聯(lián)分析對(duì)多種類型、多個(gè)設(shè)備的日志結(jié)合實(shí)際場景開展進(jìn)行綜合關(guān)聯(lián)分析，包括但不限于：操作人員未通過堡壘機(jī)直接登錄主機(jī)/服務(wù)器、連接數(shù)據(jù)庫/大數(shù)據(jù)處理分析平臺(tái)的行為；操作人員遠(yuǎn)程上傳文件、遠(yuǎn)程安裝的行為；3通過分析數(shù)據(jù)下載、分發(fā)的情況，發(fā)現(xiàn)可能的數(shù)據(jù)泄漏（被非法竊取）風(fēng)險(xiǎn)；對(duì)操作人員的高危指令、異常操作、敏感數(shù)據(jù)查詢等行為進(jìn)行威脅感知。行為

8、分析通過持續(xù)對(duì)全量日志進(jìn)行關(guān)聯(lián)綜合分析，掌握操作人員關(guān)鍵特征要素，迭代繪制出用戶行為基線， 并持續(xù)根據(jù)用戶操作行為的波動(dòng)情況加以動(dòng)態(tài)調(diào)整。行為分析特征維度包括但不限于：特定時(shí)間段內(nèi)，指定用戶整體行為狀態(tài)與該用戶整體行為基線的對(duì)比分析；特定時(shí)間段內(nèi)，指定用戶單維度行為狀態(tài)與該用戶單維度行為基線的對(duì)比分析；指定用戶行為基線與同組其他用戶的平均行為基線對(duì)比分析；API44附 錄A（規(guī)范性）一體化智能化公共數(shù)據(jù)平臺(tái)日志主機(jī)操作系統(tǒng)日志主機(jī)操作系統(tǒng)登錄日志A.1表 A.1 主機(jī)操作系統(tǒng)登錄日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)

9、生時(shí)間戳2log_id日志 ID字符20必填日志 ID3log_type日志類型字符20必填日志類型（Windows）4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name事件名稱字符20必填事件或事件類型的簡短描述，如用戶登錄成功8eventMessage事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansanIP9severity事件等級(jí)整數(shù)5可選絡(luò)安全可能造成的破壞個(gè)介于01010resu

10、lt事件結(jié)果枚舉10必填OFI、Attempt。11user_id用戶 ID字符100必填登錄系統(tǒng)帳號(hào) ID12user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名稱，如：Administrator13login_id登錄 ID字符255必填I(lǐng)D0 xE084E8714login_type登錄方法字符20必填登錄方法：賬號(hào)密碼登證、狀態(tài)保持15login_mode登錄方式字符20必填（Lcl、遠(yuǎn)程（Remote）16src_address來源地址字符20必填來源地址17src_port來源端口字符10必填來源端口55表 A.1 主機(jī)操作系統(tǒng)登錄日志數(shù)據(jù)格式描述表（續(xù)）序號(hào)字段名稱中文名稱字段說

11、明字段長度必填/可選說明18dest_address目的地址字符20必填目的地址19dest_port目的端口字符10必填目的端口A.2表 A.2 主機(jī)操作系統(tǒng)操作日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志ID字符20必填日志ID3log_type日志類型字符20必填日志類型（Windows）4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必

12、填數(shù)據(jù)來源廠商7event_name事件名稱字符20必填事件或事件類型的簡短8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansan 登IP9severity事件等級(jí)整數(shù)5可選絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10必填OFI、 AttemptOK11user_id用戶ID字符100必填登錄系統(tǒng)帳號(hào)ID12user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名稱，如：Administrator13command操作指令字符1000必填操作指令：ping 14directory操作目錄字符1000可選操作目錄15src_ip來源地址字

13、符20必填來源地址16src_port來源端口字符10必填來源端口17dest_ip目的地址字符20必填目的地址18dest_port目的端口字符10必填目的端口A.1.2 主機(jī)操作系統(tǒng)任務(wù)計(jì)劃日志A.1.2 主機(jī)操作系統(tǒng)任務(wù)計(jì)劃日志表A.3規(guī)定了主機(jī)操作系統(tǒng)任務(wù)計(jì)劃日志數(shù)據(jù)格式。6表 A.3 主機(jī)操作系統(tǒng)任務(wù)計(jì)劃日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志 ID3log_type日志類型字符20必填日志類型4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來

14、源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name事件名稱字符20必填事件或事件類型的簡短8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansanIP9severity事件等級(jí)整數(shù)5可選絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10必填OFI、Attempt。11user_id用戶 ID字符100必填登錄系統(tǒng)帳號(hào) ID12user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名稱，如：Administrator13p

15、rocess_id目的進(jìn)程 ID字符255必填新進(jìn)程 ID，如：0 x2f14process_name目的進(jìn)程名稱字符255可選新進(jìn)程名稱，如：dllhost.exe15file_name文件名稱字符255可選新進(jìn)程整體文件名稱及路 徑 ， 如 ： C:WindowsSystem32dllhost.exe16src_ip來源地址字符20必填來源地址17src_port來源端口字符10必填來源端口18dest_ip目的地址字符20必填目的地址19dest_port目的端口字符10必填目的端口數(shù)據(jù)庫日志數(shù)據(jù)庫日志數(shù)據(jù)庫登錄日志表A.4規(guī)定了數(shù)據(jù)庫登錄日志數(shù)據(jù)格式。7表 A.4 數(shù)據(jù)庫登錄日志數(shù)據(jù)格

16、式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志 ID3log_type日志類型字符20必填日志類型（DB）4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name事件名稱字符20必填事件或事件類型的簡短描述，如：用戶登錄成功8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶

17、 zhansan 登錄成功，來源 IP：9severity事件等級(jí)整數(shù)5可選絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10必填OFI、 AttemptOK11db_name數(shù)據(jù)庫名字符50必填操作數(shù)據(jù)庫名12db_type數(shù)據(jù)庫類型字符20必填數(shù)據(jù)庫類型13db_version數(shù)據(jù)庫版本字符20必填操作的數(shù)據(jù)庫版本，如：1.114app_protocol應(yīng)用協(xié)議字符20可選（msoal協(xié)議15client_prg客戶端工具名字符20可選連接數(shù)據(jù)庫的客戶端工具名稱16user_id用戶 ID字符100可選登錄系統(tǒng)帳號(hào) ID17user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名

18、稱，如：Administrator18login_id登錄 ID字符255必填登錄會(huì)話 ID，如：0 xE084E8788表 A.4 數(shù)據(jù)庫登錄日志數(shù)據(jù)格式描述表（續(xù)）序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明19login_type登錄方法字符20可選交互20login_mode登錄方式字符20必填（Lcl，遠(yuǎn)程（Remote）21src_ip來源地址字符20必填來源地址22src_port來源端口字符10必填來源端口23dest_ip目的地址字符20必填目的地址24dest_port目的端口字符10必填目的端口A.2.2 數(shù)據(jù)庫操作日志表A.5規(guī)定了數(shù)據(jù)庫操作日志數(shù)據(jù)格式。表 A.

19、5 數(shù)據(jù)庫操作日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志ID字符20必填日志 ID3log_type日志類型字符20必填日志類型（DB）4src_ip源 IP字符20必填源 IP5src_host_name源主機(jī)名字符50可選源主機(jī)名6dest_ip目的IP字符20必填目的 IP7dest_port目的端口字符20必填目的端口8db_type數(shù)據(jù)庫類型字符20必填數(shù)據(jù)庫類型9db_name數(shù)據(jù)庫名/實(shí)例名字符20必填數(shù)據(jù)庫名/實(shí)例名10table_name表名字符50必填表名11field_na

20、me字段名字符50可選字段名12session_id會(huì)話ID字符50必填會(huì)話 ID13payloadSQL 報(bào)文字符1000必填SQL 報(bào)文14effect_row影響行數(shù)整數(shù)10必填影響行數(shù)15data_set返回?cái)?shù)據(jù)集字符1000必填返回?cái)?shù)據(jù)集16data_set_size返回?cái)?shù)據(jù)集長度整數(shù)10必填返回?cái)?shù)據(jù)集長度17cost_time執(zhí)行時(shí)長整數(shù)50必填執(zhí)行時(shí)長（s）18sql_code執(zhí)行結(jié)果碼字符20必填執(zhí)行結(jié)果碼99A.3 對(duì)象存儲(chǔ)日志表A.6規(guī)定了對(duì)象存儲(chǔ)日志數(shù)據(jù)格式。A.6A.3 對(duì)象存儲(chǔ)日志表A.6規(guī)定了對(duì)象存儲(chǔ)日志數(shù)據(jù)格式。A.610序號(hào)字段名稱中文名稱字段說明字段長度必填/

21、可選說明19sql_op_typeSQL 操作類型字符100必填SQL（例如： SELECTINSERTUPDATE、DELETETRUNCATEDROP等）20db_user數(shù)據(jù)庫用戶名字符20必填數(shù)據(jù)庫用戶名21client_prg客戶端工具名字符50可選客戶端工具名22client_user操作系統(tǒng)用戶名字符20可選操作系統(tǒng)用戶名23src_device_ip源設(shè)備 IP字符20必填源設(shè)備 IP24src_device_type源設(shè)備類型字符50必填源設(shè)備類型25src_device_vendor源設(shè)備廠家字符50必填源設(shè)備廠家26direction流量方向字符10可選（0001， 外訪

22、問內(nèi)取值 10，外訪問外取值 11）27data_level數(shù)據(jù)分級(jí)屬性字符10必填數(shù)據(jù)分級(jí)屬性：按數(shù)據(jù)的敏感級(jí)別28data_classificatio n數(shù)據(jù)分類屬性字符10必填數(shù)據(jù)分類屬性：按數(shù)據(jù)的管理維度、業(yè)務(wù)維度、安全維度進(jìn)行分類序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1remote_addr客戶端IP字符20必填客戶端 IP 地址2remote_port客戶端的端口號(hào)字符10必填客戶端 IP 端口號(hào)3remote_user客戶端用戶字符50必填由 HTTP 協(xié)議決定的用戶和對(duì)象存儲(chǔ)沒有關(guān)系4time本地時(shí)間字符20必填本地時(shí)間5requestHTTP 請(qǐng)求字符200必填H

23、TTP 協(xié)議請(qǐng)求，包括METHOD URI 協(xié)議標(biāo)準(zhǔn)6statusHTTP 狀態(tài)碼字符10必填HTTP 的狀態(tài)碼7body_bytes_sent讀出請(qǐng)求的字節(jié)數(shù)字符1000必填從對(duì)象存儲(chǔ) Server 端返回的字節(jié)數(shù)8request_time_msec整體請(qǐng)求耗時(shí)整數(shù)10必填整體請(qǐng)求耗時(shí)9http_referer請(qǐng)求的 HTTPReferer字符200必填請(qǐng)求的 HTTP Referer表 A.6 對(duì)象存儲(chǔ)日志數(shù)據(jù)格式描述表（續(xù)）序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明10http_user_agent請(qǐng)求的附加信UeAet字符200可選客戶端發(fā)送的標(biāo)志，由客戶端填寫11host請(qǐng)求

24、的對(duì)象存儲(chǔ)的host字符100可選請(qǐng)求的對(duì)象存儲(chǔ)的 host12upstream_http_x_oss_request_id請(qǐng)求的唯一ID字符30必填Request ID13upstream_http_x_oss_bucket_log_enable是否開通Logging 功能字符10可選是否開通 Logging 功能14upstream_http_x_oss_requester對(duì)象存儲(chǔ)請(qǐng)求者 UID整數(shù)30必填對(duì)象存儲(chǔ)請(qǐng)求者UID15upstream_http_x_oss_operation對(duì)象存儲(chǔ)的請(qǐng)求類型字符10必填對(duì)象存儲(chǔ)請(qǐng)求類型16upstream_http_x_oss_buck et

25、_name操作的對(duì)象存儲(chǔ) Bucket字符50必填操作的對(duì)象存儲(chǔ) Bucket名17upstream_http_x_oss_object_name操作的對(duì)象存儲(chǔ) Object整數(shù)50必填操作的對(duì)象存儲(chǔ) Object名稱18upstream_http_x_oss_ object_size操作的對(duì)象存儲(chǔ) Object 大小整數(shù)10必填讀操作的時(shí)候才會(huì)顯示19upstream_http_x_oss_ turn_around_time對(duì)象存儲(chǔ)后端處理此次請(qǐng)求消耗的時(shí)間整數(shù)10必填SQL（例如： SELECTINSERTUPDATE、DELETETRUNCATEDROP等）20upstream_http

26、_x_oss_error_code錯(cuò)誤碼字符10必填錯(cuò)誤碼21request_length寫入請(qǐng)求的字節(jié)數(shù)整數(shù)10必填一般是對(duì)于寫來說，向?qū)ο蟠鎯?chǔ) Server 端發(fā)送的長度22upstream_http_x_oss_ bucket_owner對(duì)象存儲(chǔ)Bucket owner的 UID字符50必填對(duì)象存儲(chǔ) Bucket Owner 的UID23upstream_http_x_oss_ quota_delta_size此次操作后相對(duì)上一次Object 的Size 的變化整數(shù)10必填ObjectSize24upstream_http_x_oss_sync_request是否是對(duì)象存儲(chǔ)同步請(qǐng)求字符1

27、0必填是否是對(duì)象存儲(chǔ)同步請(qǐng)求25upstream_http_x_oss_location對(duì)象存儲(chǔ)Location字符20必填Bucket 所在的數(shù)據(jù)中心標(biāo)識(shí)1111A.4 云管理控制臺(tái)日志表A.7規(guī)定了云管理控制臺(tái)日志數(shù)據(jù)格式。A.7A.4 云管理控制臺(tái)日志表A.7規(guī)定了云管理控制臺(tái)日志數(shù)據(jù)格式。A.712序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明26upstream_http_x_oss_bucket_version對(duì)象存儲(chǔ)Bucket 版本字符20可選對(duì)象存儲(chǔ) Bucket 版本27vpcidVPC ID字符20必填VPC ID28vpcaddrVPC 地址字符20必填VPC 地址

28、29upstream_http_x_oss_bucket_storage_t ype對(duì)象存儲(chǔ)Bucket 存儲(chǔ)類型字符10必填對(duì)象存儲(chǔ) Bucket 存儲(chǔ)類型30schemeHTTP scheme字符30必填HTTP scheme31upstream_http_x_oss_process_type對(duì)象存儲(chǔ)process 類型字符10必填對(duì)象存儲(chǔ)process 類型32content_lengthHTTP 請(qǐng)求的content 長度整數(shù)10可選HTTP 請(qǐng)求的 content 長度33sent_http_content_length發(fā)送的 http 請(qǐng)求的內(nèi)容長度整數(shù)1000可選發(fā)送的 http

29、 請(qǐng)求的內(nèi)容長度34upstream_http_x_oss_access_id訪問者的accessID字符30必填訪問者的 access ID35upstream_http_x_oss_sign_type訪問者登錄模式字符20必填訪問者登錄模式36http_x_oss_sync_direction同步方向字符20必填同步方向37http_x_oss_sync_transfer_type同步傳輸類型字符20必填同步傳輸類型38http_x_oss_sync_source_bucket同步的源bucket字符50必填同步的源bucket序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_t

30、ime日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志 ID3log_type日志類型字符20必填日志類型(云管理控制臺(tái))4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name事件名稱字符20必填事件或事件類型的簡短描述，如：用戶登錄成功A.5 網(wǎng)絡(luò)設(shè)備日志表A.8規(guī)定了網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)格式。A.8A.5 網(wǎng)絡(luò)設(shè)備日志表A.8規(guī)定了網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)格式。A.813序號(hào)字段名稱中

31、文名稱字段說明字段長度必填/可選說明8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansan 登錄成功，來源 IP：9severity事件等級(jí)整數(shù)5必填絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10必填OFI、Attempt11user_id用戶 ID字符100必填登錄系統(tǒng)帳號(hào) ID12user_name用戶名字符100必填13login_id登錄 ID字符255必填登錄會(huì)話 ID，如：0 xE084E8714login_type登錄方法字符20可選登錄方法：賬號(hào)密碼登證、狀態(tài)保持15login_mode登錄方式字符20可選（Lcl，遠(yuǎn)

32、程（Remote）16src_address來源地址字符20必填來源地址17src_port來源端口字符10可選來源端口18dest_address目的地址字符20必填目的地址19dest_port目的端口字符10可選目的端口序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志 ID3log_type日志類型字符20必填日志類型，如路由器、交換機(jī)、負(fù)載均衡等4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備

33、類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商表 A.8 網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)格式描述表（續(xù)）序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明7event_name事件名稱字符20可選事件或事件類型的簡短描述，如：用戶登錄成功8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansan 登錄成功，來源 IP：9severity事件等級(jí)整數(shù)5可選絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10可選OFI、 AttemptOK11user_id用戶 ID字符100可選登錄系統(tǒng)帳號(hào) ID12user_name用戶名字符1

34、00可選登錄系統(tǒng)帳號(hào)名稱，如：Administrator13login_id登錄 ID字符255可選登錄會(huì)話 ID，如：0 xE084E8714src_ip來源地址字符20可選來源地址15src_port來源端口字符10可選來源端口16dest_ip目的地址字符20可選目的地址17dest_port目的端口字符10可選目的端口18command操作指令字符1000可選操作指令：ping 19tcp_bytesTCP 總字節(jié)數(shù)整數(shù)20可選TCP（字節(jié)）20udp_bytesUDP 總字節(jié)數(shù)整數(shù)20可選UDP（字節(jié)）21icmp_bytesICMP 總字節(jié)數(shù)整數(shù)20可選表示統(tǒng)計(jì)時(shí)間的 ICMP 流

35、量，包括上網(wǎng)流量，單位（字節(jié)）22src_vlan_id來源 VLNAID字符20可選MAC 跳變對(duì)應(yīng)的來源VLAN 的ID23src_vlan_name來源 VLNA 名稱字符20可選MAC 跳變對(duì)應(yīng)的來源VLAN 名稱24src_url來源接口名稱字符20可選與事件關(guān)聯(lián)的網(wǎng)絡(luò)通信跳變對(duì)應(yīng)的來源接口名稱1414表 A.8 網(wǎng)絡(luò)設(shè)備日志數(shù)據(jù)格式描述表（續(xù)）序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明25dest_vlan_id目的 VLNAID字符20可選MAC 跳變對(duì)應(yīng)的目的VLAN 的 ID26dest_vlan_name目的 VLNA 名稱字符20可選MAC 跳變對(duì)應(yīng)的目的VLAN

36、 名稱27dest_url目的接口名稱字符20可選與事件關(guān)聯(lián)的網(wǎng)絡(luò)通信跳變對(duì)應(yīng)的目的接口名稱A.6 安全設(shè)備日志表A.9規(guī)定了安全設(shè)備日志數(shù)據(jù)格式。表 A.9 安全設(shè)備日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志ID3log_type日志類型字符20必填I(lǐng)DS)、入侵防護(hù)系統(tǒng)(IPS)Web 應(yīng)用防火墻(WAF)、流量監(jiān)測設(shè)備、防泄密系統(tǒng)、主機(jī)掃描器等4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備IP 地址5src_device_type源設(shè)備類型

37、字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name事件名稱字符20可選事件或事件類型的簡短描述，如：用戶登錄成功8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansan 登錄成功。來源IP：9severity事件等級(jí)整數(shù)5必填絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10可選OFI、 AttemptOK1515應(yīng)用系統(tǒng)日志表A.10應(yīng)用系統(tǒng)日志表A.10A.1016序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明11user_id用戶 ID字符100可選登錄系統(tǒng)帳號(hào) I

38、D12user_name用戶名字符100可選登錄系統(tǒng)帳號(hào)名稱，如：Administrator13login_id登錄 ID字符255可選登錄會(huì)話 ID，如：0 xE084E8714src_ip來源地址字符20必填來源地址15src_port來源端口字符10必填來源端口16dest_ip目的地址字符20必填目的地址17dest_port目的端口字符10必填目的端口18trans_protocol傳輸協(xié)議字符10必填從網(wǎng)絡(luò)傳輸角度看，與事件關(guān)聯(lián)的傳輸數(shù)據(jù)格式（如 TCP、UDP）19app_name應(yīng)用名稱字符10可選表示網(wǎng)絡(luò)應(yīng)用的名稱20app_protocol應(yīng)用協(xié)議字符10可選從應(yīng)用層角度看

39、，與事件關(guān)聯(lián)的傳輸數(shù)據(jù)格式（如http、ftp）21policy_id策略 ID字符20可選訪問數(shù)據(jù)包匹配到的策略 ID22policy_name策略名稱字符20可選訪問數(shù)據(jù)包匹配到的策略名稱23virus_type病毒類型字符20可選發(fā)現(xiàn)的病毒對(duì)應(yīng)的病毒類型歸類24virus_name病毒名稱字符20可選發(fā)現(xiàn)的病毒文件對(duì)應(yīng)的病毒名稱25dvc_action設(shè)備動(dòng)作字符10可選與事件關(guān)聯(lián)的一些設(shè)備設(shè)備的動(dòng)作，如：deny序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志 ID3log_type日志類

40、型字符20必填服務(wù)器、應(yīng)用服務(wù)器等A.7.2 表A.11A.7.2 表A.11A.1117序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name事件名稱字符20必填事件或事件類型的簡短描述，如：用戶登錄成功8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansan 登錄成功，來源 IP：9severity事件等級(jí)整數(shù)5可

41、選絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10必填OFI、 AttemptOK11user_id用戶 ID字符100必填登錄系統(tǒng)帳號(hào) ID12user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名稱，如：Administrator13login_id登錄 ID字符255必填登錄會(huì)話 ID，如：0 xE084E8714login_type登錄方法字符20必填交互15login_mode登錄方式字符20必填（Lcl，遠(yuǎn)程（Remote）16src_ip來源地址字符20必填來源地址17src_port來源端口字符10必填來源端口18dest_ip目的地址字符20必填目的地址19de

42、st_port目的端口字符10必填目的端口序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填日志 ID表 A.11 應(yīng)用系統(tǒng)業(yè)務(wù)操作日志數(shù)據(jù)格式描述表（續(xù)）序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明3log_type日志類型字符20必填服務(wù)器、應(yīng)用服務(wù)器等4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7event_name

43、事件名稱字符20必填事件或事件類型的簡短描述，如：用戶登錄成功8event_message事件消息字符255必填事件詳細(xì)描述和失敗原因，如用戶 zhansan 登錄成功，來源 IP：9severity事件等級(jí)整數(shù)5必填絡(luò)安全可能造成的破壞個(gè)介于01010result事件結(jié)果枚舉10必填OFI、 AttemptOK11operation業(yè)務(wù)操作字符1000必填業(yè)務(wù)操作12start_time操作開始時(shí)間字符20必填操作開始時(shí)間13end_time操作結(jié)束時(shí)間字符20必填操作結(jié)束時(shí)間14user_id用戶 ID字符100可選登錄系統(tǒng)帳號(hào) ID15user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名

44、稱，如：Administrator16user_role用戶角色字符100可選用戶角色17user_permission用戶權(quán)限字符100可選用戶權(quán)限18src_ip來源地址字符20必填來源地址19src_port來源端口字符10可選來源端口20dest_ip目的地址字符20必填目的地址21dest_port目的端口字符10可選目的端口A.7.3A.7.3 表A.12規(guī)定了數(shù)據(jù)歸集任務(wù)執(zhí)行日志數(shù)據(jù)格式。18表 A.12 數(shù)據(jù)歸集任務(wù)執(zhí)行日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志 ID字符20必填

45、日志 ID3log_type日志類型字符20必填服務(wù)器、應(yīng)用服務(wù)器等4src_device_ip數(shù)據(jù)來源設(shè)備IP 地址字符20必填數(shù)據(jù)來源設(shè)備 IP 地址5src_device_type源設(shè)備類型字符50必填源設(shè)備類型6src_device_vendor數(shù)據(jù)來源廠商字符20必填數(shù)據(jù)來源廠商7user_id用戶 ID字符100可選登錄系統(tǒng)帳號(hào) ID8user_name用戶名字符100必填登錄系統(tǒng)帳號(hào)名稱，如：Administrator9src_db_name來源數(shù)據(jù)庫名字符50必填來源數(shù)據(jù)庫名10src_db_type來源數(shù)據(jù)庫類型字符20必填來源數(shù)據(jù)庫類型11dest_db_name目的數(shù)據(jù)庫

46、名字符50必填目的數(shù)據(jù)庫名12dest_db_type目的數(shù)據(jù)庫類型字符20必填目的數(shù)據(jù)庫類型13process_id任務(wù)執(zhí)行 ID字符255必填任務(wù)執(zhí)行 ID，如：0 x2f14process_name任務(wù)執(zhí)行名稱字符255可選任務(wù)執(zhí)行名稱，如：dllhost.exe15effect_row影響行數(shù)整數(shù)10必填查詢/更新/變更條數(shù)16result_code執(zhí)行結(jié)果碼字符20必填執(zhí)行結(jié)果碼17result_desc結(jié)果描述字符200可選執(zhí)行結(jié)果描述（執(zhí)行錯(cuò)誤情況，必填）18start_time任務(wù)開始時(shí)間字符20必填任務(wù)開始時(shí)間19end_time任務(wù)結(jié)束時(shí)間字符20必填任務(wù)結(jié)束時(shí)間20src

47、_ip來源 IP字符20必填來源 IP21src_port來源端口字符10必填來源端口22dest_ip目的 IP字符20必填目的 IP23dest_port目的端口字符10必填目的端口24data_level數(shù)據(jù)分級(jí)屬性字符10必填內(nèi)部、秘密、機(jī)密25data_classificatio n數(shù)據(jù)分類屬性字符10必填數(shù)據(jù)分類屬性，如：用戶數(shù)據(jù)、公司數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)A.7.4A.7.4 表A.13規(guī)定了數(shù)據(jù)治理操作日志數(shù)據(jù)格式。19表 A.13 數(shù)據(jù)治理操作日志數(shù)據(jù)格式描述表序號(hào)字段名稱中文名稱字段說明字段長度必填/可選說明1log_time日志產(chǎn)生時(shí)間字符20必填日志產(chǎn)生時(shí)間戳2log_id日志

48、ID字符20必填日志 ID3log_type日志類型字符20必填日志類型（DB）4src_ip源 IP字符20必填源 IP5src_host_name源主機(jī)名字符50可選源主機(jī)名6dest_ip目的IP字符20必填目的 IP7dest_port目的端口字符20必填目的端口8db_type數(shù)據(jù)庫類型字符20必填數(shù)據(jù)庫類型9db_name數(shù)據(jù)庫名/實(shí)例名字符20必填數(shù)據(jù)庫名/實(shí)例名10table_name表名字符50必填表名11field_name字段名字符50可選字段名12session_id會(huì)話ID字符50必填會(huì)話 ID13payloadSQL 報(bào)文字符1000必填SQL 報(bào)文14effect_row影響行數(shù)整數(shù)10必填影響行數(shù)15data_set返回?cái)?shù)據(jù)集字符1000必填返回?cái)?shù)據(jù)集16data_set_size返回?cái)?shù)據(jù)集長度整數(shù)10必填返回?cái)?shù)據(jù)集長度17cost_time執(zhí)行時(shí)長整數(shù)50必填執(zhí)行時(shí)長（s）18sql_code執(zhí)行結(jié)果碼字符20必填執(zhí)行結(jié)果碼19sql_op_typeSQL 操作類型字符100必填SQL（例如： SELEC