飞连
飞连
- 文档首页
飞连管理员指南日志审计日志审计与外发配置指南
文档反馈
问问助手飞连为您提供全面的日志审计能力,覆盖身份、网络、终端及通用协作四大维度。管理员不仅可以在线查看分散在各业务模块的活动记录,还可以通过日志外发功能,将审计数据实时推送至企业自有的日志服务器(Syslog)或 Elasticsearch 集群,以满足等保合规存放、统一安全分析或长周期溯源的需求。
全场景业务日志审计分布与配置索引
飞连日志涵盖了企业身份认证、网络访问准入、终端安全合规等全链路环节。下表展示了飞连全量日志的分布与详情,管理员可根据此表:
- 快速定位:明确各类业务日志在管理后台的具体查询路径。
- 评估范围:了解飞连在不同业务场景下的审计深度与记录内容。
- 管理数据周期:根据各日志类型的默认保留时长,结合企业合规需求,判断是否需要开启外发。如需外发,请参考配置日志外发说明。
日志分类 | 日志类型 | 业务场景 | 查看位置 | 管理后台存储时长(天) | 是否支持外发(搜索项名称) |
|---|---|---|---|---|---|
身份管理 | 员工信息导出日志 | 留存管理员在管理后台导出组织架构及员工信息的操作记录。 | 身份 > 部门与成员 > 导出数据查询 | 永久 | 支持 |
通用 | 工作流审批附件 | 留存员工在发起入网申请、策略例外、权限变更等审批流程时,作为补充材料上传的图片、文档等附件。 | 企业设置 > 工作流 > 运行记录 > 审批详情 > 申请附件 | 永久 | 不支持 |
管理员操作日志 | 全量记录管理员在管理控制台执行的策略变更、系统配置修改及人员权限调整行为。 | 日志审计 > 管理员操作日志 | 永久 | 不支持 | |
员工活动日志 | 留存员工执行登录、修改信息、访问门户应用等操作记录。 | 日志审计 > 员工活动日志 | 365 | 支持 | |
用户反馈事件 | 留存终端用户通过飞连客户端提交的故障反馈记录。 | 企业设置 > 管理中心 > 用户反馈 | 永久 | 不支持 | |
API 调用日志 | 记录全量的 API 调用事件。 | 系统设置 > 集成管理 > API 管理 > 日志查询 | 180 | 支持 | |
Wi-Fi 管理 | 员工 Wi-Fi 连接日志 | 留存员工终端接入办公 Wi-Fi 的记录。 | 日志审计 > 员工 Wi-Fi 连接日志 | 180 | 支持 |
访客 Wi-Fi 连接日志 | 留存外来访客设备接入访客 Wi-Fi 的记录。 | 日志审计 > 访客 Wi-Fi 连接日志 | 180 | 支持 | |
哑终端 Wi-Fi 连接日志 | 监控打印机、摄像头等无代理设备的网络接入状态并留存记录。 | 日志审计 > 哑终端网络连接日志 | 180 | 支持 | |
VPN 管理 | 员工 VPN 访问日志 | 留存终端建立 VPN 隧道后,访问具体资源的流量日志。 | 日志审计 > 员工 VPN 访问日志 | 由于该类日志数据量巨大,因此不支持在飞连管理后台存储和检索。如需审计此类数据,请务必提前配置日志外发。 | 支持 |
员工 VPN 连接日志 | 留存终端 VPN 会话的成功建立和断开记录。 | 日志审计 > 员工 VPN 连接日志 | 180 | 支持 | |
分支网关访问日志 | 记录跨地域分支机构通过网关访问总部的网络行为。 | 日志审计 > 分支网关访问日志 | 7 | 支持 | |
终端基线 | 终端基线事件 | 留存终端设备命中终端基线检测策略的告警事件。 | 终端 > 终端管理 > 终端基线 > 告警事件 | 永久 | 不支持 |
外设管控告警 | 留存终端设备命中外设管控策略的告警事件。 | 管理后台 > 数据安全 > 外设管控 > 告警事件 | 180 | 不支持 | |
终端防火墙日志 | 留存终端触发本地防火墙规则的告警事件。 | 终端安全 > 终端防火墙 > 告警事件 | 永久 | 不支持 | |
终端管理 | 设备登录日志 | 留存员工在受控设备上登录登出记录。 | 终端 > 终端资产 > 终端列表 > 设备详情 > 登录登出 | 永久 | 不支持 |
终端采集日志 | 留存管理员在管理后台下发采集客户端日志指令后,终端采集到并上报后台的日志文件。 | 终端 > 终端资产 > 终端列表 > 设备详情 > 平台管理 > 日志采集 | 90 | 不支持 | |
终端安全 | 病毒查杀告警 | 留存管理后台配置防病毒检测策略后,在终端设备上检测到的全部病毒事件记录。 | 终端安全 > 终端防病毒 > 告警事件 > 病毒查杀 | 180 | 支持 |
系统防御告警 | 留存针对终端可疑 PowerShell 脚本执行行为的检测记录。 | 终端安全 > 终端防病毒 > 告警事件 > 系统防御 | 180 | 支持 | |
病毒库更新 | 留存终端病毒特征库的版本更新记录。 | 终端安全 > 终端防病毒 > 告警事件 > 病毒库信息 | 180 | 不支持 | |
设备漏洞修复记录 | 记录系统漏洞的扫描发现及补丁安装结果。 | 终端 > 终端管理 > 补丁管理 > 补丁/设备视图 | 180 | 不支持 | |
病毒源文件 | 留存管理员在管理后台下发采集客户端病毒源文件后,终端采集到并上报后台的文件。 | 终端安全 > 终端防病毒 > 告警事件 > 病毒查杀 > 告警处置 > 任务中心 | 永久 | 不支持 | |
病毒扫描任务 | 留存防病毒检测策略触发的扫描任务执行记录。 | 数据看板 > 安全态势 > 终端防病毒 > 扫描任务执行情况 | 180 | 不支持 | |
数据防泄漏 | DLP 外发审计日志 | 留存终端命中文件外发管控策略的告警事件。 | 数据安全 > 调查审计 > 审计日志 > 文件外发日志 | 180 | 支持 |
DLP 通道阻断告警 | 留存终端命中通道阻断策略的告警事件。 | 数据安全 > 调查审计 > 审计日志 > 通道阻断日志 | 180 | 支持 | |
DLP 取证文件和截图 | 留存外发审计中捕获的屏幕截图和外发原始文件副本。 | 数据安全 > 调查审计 > 审计日志 > 文件外发日志 > 外发文件 | 180 | 不支持 | |
DLP AI 智能分析日志 | 开启数据安全智能体后,留存 AI 敏感数据分析策略触发的告警日志。 | 数据安全 > 调查审计 > 审计日志 > 文件外发日志中 AI 驱动的部分 | 180 | 支持 | |
DLP AI 风险洞察事件 | 开启数据安全智能体后,留存 AI 风险行为洞察策略触发的风险事件。 | 数据安全 > 调查审计 > 风险事件 | 180 | 支持 | |
终端敏感文件采集任务 | 管理后台配置了终端采集策略后,记录对终端本地硬盘进行的敏感文件扫描结果。 | 数据安全 > 数据态势 > 数据采集策略 > 查看任务 | 180 | 支持 | |
动态控制 | 动态控制事件触发记录 | 留存终端命中动态控制策略的告警事件。 | 动态控制 > 告警事件 | 180 | 支持 |
零信任 | 应用网关访问日志 | 记录用户通过零信任网关访问内部 Web 系统的访问日志。 | 零信任接入 > 接入网关 > 应用网关日志 > 日志详情 | 15 | 支持 |
配置日志外发
日志外发是实现数据私有化存储与长效审计的关键步骤。飞连支持按业务场景将结构化日志实时同步至企业私有化存储或安全分析平台。管理员可根据实际需求,结合上表中各场景日志的存储和外发支持情况,针对性地开启外发任务。
前置准备
在配置之前,请确保您的接收端服务器满足以下网络条件:
- 连通性:您的 Syslog 服务器或 Elasticsearch 集群必须具有公网 IP,或通过专线与飞连云端互通。
- 防火墙策略:请在您的企业防火墙上放行来自飞连云端服务器的入站流量,目标端口取决于下方的配置。
操作步骤
登录管理后台。
在左侧导航栏,选择日志审计。
在日志审计页面的右上角,单击日志外发管理。
在日志外发管理页面的场景列表中,选择需要外发的日志类型,并单击右上角的编辑,进入协议参数配置。
您可以同时配置多种协议,请根据接收端类型填写参数。
配置 Syslog 协议
开启协议:点击 Syslog 卡片右上角的开关按钮。
地址配置:
参数
说明
传输协议
在地址栏左侧,点击按钮选择 TCP(推荐,更可靠)或 UDP。
地址
填写指向 Syslog 程序所在服务器的 IP 地址和监听端口。请按照
IP:端口的格式输入,例如192.168.1.50:514或log.example.com:6514。
配置 Elasticsearch 协议
开启协议:点击 Elasticsearch 卡片右上角的开关按钮。
参数配置:
参数
说明
服务地址
指向 Elasticsearch 服务的完整 URL 连接地址。请务必包含协议头(
http/https)及端口号,例如http://192.168.1.100:9200或https://es.example.com:9200。索引名称
用于存储日志的 Index Name,建议使用小写字母和下划线。示例:
feilian_device_logs用户名/密码
请输入具有该索引写入权限的用户名和密码。
确认参数配置无误后,点击页面右上角的保存使配置生效。
开启开关后,系统将开始推送新产生的日志,开启前的历史日志不会被同步。
说明
- 开启日志外发后,日志会在其产生后的 1 分钟内进行外发。若因用户操作停止或网络异常,则会在工作任务恢复后从上次外发成功的最后一条日志开始。
- 了解外发日志包含的具体字段,请参考附录:日志外发字段格式。
附录:日志外发字段格式
DLP 相关日志的外发字段说明请参考DLP 日志外发字段格式。
管理员操作日志
<14>1 2024-10-24T21:11:08+08:00 - xxx 2511297 - - { "tenant_id": "b7******", "x_key": "admin_audit_log", "user": { "open_id": "ou_XqQW******", "username": "张三", "user_email": "zhangsan@example.com", "departments": ["xxx/RD"] }, "env": { "os": "web", "client_ip": "10.x.x.x", "user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.0.0 Safari/537.36" }, "option": { "module": "101", "module_message": "动态控制", "sub_module": "1", "sub_module_message": "动态决策", "action": "admin/dynamic_security/engine/groups/1615", "action_message": "更新规则组" }, "events": [{ "status": "success", "model": "dynamic_rule_group", "model_message": "规则组", "action": "update", "action_message": "更新了规则组", "updates": [{ "ids": null, "updates": { "策略名称": { "from": "", "to": "审计规则" }, "触发方式": { "from": null, "to": "应用风险" } } }] }, { "status": "success", "model": "dynamic_rule_group", "model_message": "规则组", "action": "update", "action_message": "更新了规则组", "updates": [{ "ids": null, "updates": { "启用策略": { "from": "", "to": "审计规则" } } }] }], "success": true, "timestamp": 1729775468 }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | string | admin_audit_log | 日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
user | object | - | 用户信息 |
-- open_id | string | ou_xxx | 用户 open id, 格式为 ou_xx |
-- user_name | string | 张三 | 用户名称 |
-- user_email | string | zhangsan@example.com | 用户邮箱 |
-- departments | string[] | ["xxx/RD"] | 用户所属部门列表 |
env | object | - | 操作执行环境信息 |
-- os | string | web | 操作系统 |
-- client_ip | string | 8.8.8.8 | 客户端 IP |
-- user_agent | string | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 | UA,登录的客户端的标识信息 |
option | object | - | 操作信息 |
-- module | string | 101 | 操作模块 |
-- module_message | string | 动态控制 | 操作模块说明 |
-- sub_module | string | 1 | 操作子模块 |
-- sub_module_message | string | 动态决策 | 操作子模块说明 |
-- action | string | admin/dynamic_security/engine/groups/1615 | 执行操作 |
-- action_message | string | 更新规则组 | 执行操作说明 |
events | object[] | - | 变更事件详情 |
-- status | string | success | 事件变更状态 |
-- model | string | dynamic_rule_group | 变更对象 |
-- model_message | string | 规则组 | 变更对象说明 |
-- action | string | update | 变更动作 |
-- action_message | string | 更新了规则组 | 变更动作说明 |
-- updates | object[] | - | 变更详情 |
---- ids | object | null | 发生变更实体 |
---- updates | object | - | 发送变更内容 |
------ key | string | 策略名称 | 变更内容 key |
------ from | string | 空 | 原始内容 |
------ to | string | 审计规则 | 变更内容 |
success | bool | true | 是否成功 |
timestamp | number | 1600000000 | 操作进行的时间戳 |
VPN 连接日志
<14>1 2023-05-24T12:48:48+08:00 - xxx 19461 - - { "x_key": "vpn_connect_log", "open_id": "ou_dV***zYA", "user_name": "张三", "user_email": "zhangsan@example.com", "client_ip": "10.10.*.*", "device_id": "641162*****58ff43f991312093", "device_os": "Mac 13.2.1", "device_model": "Apple/MacBookPro16,2", "vpn_id": 1, "vpn_ip": "10.*.*.*", "connect_time": "2023-05-24T12:48:45+08:00", "app_version": "Mac v2.1.12", "option": "connect" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | vpn_connect_log | 标识日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
open_id | String | ou_xxx | 用户 OpenID,可用于 OpenAPI 查询,格式为 |
user_name | String | 张三 | 用户名 |
user_email | String | example@xxx.cn | 用户邮箱 |
client_ip | String | 10.10.10.* | 客户端 IP 地址 |
device_id | String | 00000000000000 | 客户端设备 ID |
device_os | String | Mac 12.4 | 客户端系统 |
device_model | String | Apple/MacBookPro16,2 | 客户端系统信息 |
vpn_id | Number | 1 | VPN 节点 ID |
vpn_ip | String | 10.0.0.* | VPN 节点内网 IP 地址 |
vpn_ipv6 | String | 00::0 | VPN 节点内网 IPv6 地址 |
connect_time | String | 2006-01-02T15:04:05Z07:00 | VPN 连接的建立时间 |
disconnect_time | String | 2006-01-02T15:04:05Z07:00 | VPN 连接的断开时间,仅断开时的日志有值 |
app_version | String | 2.1.10 | 版本号 |
option | String | connect | 日志类型,枚举值,包括 connect 和 disconnect |
VPN 访问日志
<14>1 2023-05-24T12:58:43+08:00 - xxx 13643 - - { "x_key": "vpn_conntrack", "user": "USER_ou_dV1jLvVzYA", "uip": "10.10.*.*:55299", "sip": "10.241.*.*", "dip": "142.251.*.*", "sport": "63031", "dport": "443", "protocol": "tcp", "host": "www.example.com", "action": "accept", "timestamp": "1684904321" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | vpn_conntrack | 标识日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
String | admin@example.local | 用户邮箱 | |
mobile | String | 18800****** | 用户手机号 |
did | String | 62d9065661a6e66*****0ec839b | 设备 ID |
smac | String | 3c:22:fb:33:86:70 | 源 MAC 地址 |
os | String | Mac | 设备操作系统 |
os_version | String | 12.4 | 操作系统版本 |
device_brand | String | Apple | 设备品牌 |
device_model | String | MacBookPro15,4 | 设备型号 |
app_version | String | v2.0.11 | 版本号 |
user | String | USER_ou_xxx | 用户,格式为 |
uip | String | 10.10.. | 用户 IP |
sip | String | 20.20.. | 源 IP |
dip | String | 10.92.. | 目的 IP |
sport | String | 51293 | 源端口 |
dport | String | 18009 | 目的端口 |
protocol | String | udp | 协议 |
host | String | example.com | 域名 |
action | String | accept | 处置动作 |
timestamp | String | 1684904321 | 访问时间,Unix 秒时间戳 |
员工 Wi-Fi 连接日志/访客 Wi-Fi 连接日志/哑终端网络连接日志
说明
- 员工 Wi-Fi 连接日志、访客 Wi-Fi 连接日志和哑终端网络连接日志使用的是相同的数据结构,通过
x_key和account_type字段内容来表示不同网络连接记录。 - 服务端 3.0.7 及以上版本支持
x_key字段。
<14>1 2023-05-24T12:48:48+08:00 - xxx 19461 - - { "x_key": "wifi_connect_employee", "radius_id": 1, "connect_time": "2006-01-02T15:04:05Z07:00", "disconnect_time": "2006-01-02T15:04:05Z07:00", "connection_result": 1, "connection_group_id": "DEFAULT", "connection_ip": "10.0.0.*", "account_id": 1, "account_username": "zhangsan", "account_type": 1, "device_id": "0000000000", "device_name": "xxxxx", "calling_station_id": "3a:af:28:df:f8:79", "called_station_id": "20:4c:03:2b:30:6c", "creators": "1", "creators_ex": [{ "open_id": "ou_xxx", "user_name": "张三", "user_email": "zhangsan@example.com" }], "remark": "", "option": "connect" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | wifi_connect_employee | 日志类型
|
radius_id | Number | 1 | RADIUS 节点 ID |
connect_time | String | 2006-01-02T15:04:05Z07:00 | Wi-Fi 连接的建立时间 |
disconnect_time | String | 2006-01-02T15:04:05Z07:00 | Wi-Fi 连接的断开时间,仅断开时的日志有值 |
connection_result | Number | 1 | 连接的状态:
|
connection_group_id | String | DEFAULT | 连接的权限字符串 |
connection_ip | String | 10.0.0.* | DHCP 分配的 IP |
account_id | Number | 1 | Wi-Fi 账号 ID |
account_username | String | zhangsan | Wi-Fi 账号用户名 |
account_type | Number | 1 | Wi-Fi 账号类型:
|
portal_login_type | String | xxx | 员工 portal 认证类型 |
nas_identifier | String | xxx | 认证携带的 nas 标识符 |
nas_id | Number | 1 | 认证匹配到的网络设备 id |
nas_port_id | String | nas 端口信息 | |
session_id | String | 认证日志标识id | |
ssid | String | feilian-inc | 无线信号标识符 |
device_id | String | 00000000000000 | 认证设备的 DID |
device_name | String | xxx | 认证设备的设备名 |
calling_station_id | String | 3a:af:28:df:f8:79 | NAS 的 MAC |
called_station_id | String | 20:4c:03:2b:30:6c | 认证设备的 MAC 地址 |
creators | String | 1 |
|
creators_ex | Array of Object | [] | 数组类型,依次解释 creators 里每个用户的信息 |
. open_id | String | ou_xxx | 用户 OpenID,可用于 OpenAPI 查询,格式为 |
. user_name | String | 张三 | 用户名 |
. user_email | String | zhangsan@xxx.cn | 用户邮箱 |
remarks | String | null |
|
option | String | connect | 日志类型,枚举值,包括 connect、disconnect 和 update |
员工登录日志
<14>1 2023-05-24T12:38:32+08:00 - xxx 19461 - - { "x_key": "employee_login", "open_id": "ou_dV1**zYA", "user_name": "张X", "user_email": "zhangx@example.com", "client_ip": "10.10.*.*", "user_agent": "Mac/2.1.12(CorpLink/2.1.12 (darwin; Mac 13.2.1; zh))", "app_version": "2.1.12", "device_model": "Apple/MacBookPro16,2", "events": "[{\"success\":true,\"error_code\":\"\",\"error_message\":\"\",\"error_message_en\":\"\",\"name\":\"users\",\"action\":\"logout\",\"changes\":[{\"ids\":[2198],\"attrs\":null}]}]", "action": "logout", "success": true, "timestamp": 1684903112 }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | employee_login | 日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
open_id | String | ou_xxx | 用户的 ID, 格式为 |
user_name | String | 张三 | 用户名称 |
user_email | String | zhangsan@example.com | 用户邮箱 |
client_ip | String | 10.10.10.* | 客户端 IP |
user_agent | String | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 | UA,登录的客户端的标识信息 |
app_version | String | 2.1.0 | 版本号 |
device_model | String | Apple/MacBookPro16,2 | 设备类型 |
events | String | [{"success":true,"error_code":"","error_message":"","error_message_en":"","name":"users","action":"logout","changes":[{"ids":[2198],"attrs":null}]}] | 事件详情 |
action | String | login | 操作类型,包括login、logout、login/code/verify |
success | bool | true | 登录是否成功 |
timestamp | Number | 1600000000 | 登录的时间,格式为 Unix 秒时间戳 |
动态控制日志
<14>1 2023-05-24T13:05:05+08:00 - xxx 19461 - - { "x_key": "dynamic_engine", "id": "738e8595-ff45-4343-8326-bb3***088", "open_id": "ou_dV1***zYA", "username": "张三", "user_email": "zhangsan.9612@example.com", "did": "62c24a*****17be079189b968bb7d7", "trigger": "period_5_min", "trigger_label": "", "action_key": "wifi-device-downgrade", "timestamp": 1684904700, "action_record_type": 1, "context": { "user_id": 2198, "user_agent": "", "did": "62c24a3***b968bb7d7", "ip": "", "event": {}, "params": { "user_id": 21 ** 8 }, "result": null }, "is_manual": false, "undo": false, "result_code": 0, "group_id": 49, "rule_id": 406 }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | dynamic_engine | 日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
action_key | String | abort-request | 处置动作 |
action_record_type | String | 1 | 处置类型:
|
context | String | {"user_id":7,"user_agent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.6.1 Safari/605.1.15","did":"","ip":"10.10..","event":{},"params":{"roles":[1]},"result":[{"name":"abort_request","undo":false,"args":"[\"用户所属角色被管理员禁止登录\",\"role has been limited\"]"}]} | 上下文,JSON 字符串,包含处置时的参数及处置结果 |
did | String | 62d90656******0ec839b | 设备 ID |
id | String | 101 | 处置记录 ID |
is_manual | String | false | 是否是手动 |
result_code | String | 0 | 执行结果:
|
timestamp | String | 1662626747 | 操作的时间,格式为 Unix 时间戳 |
trigger | String | web_login | 触发点 |
trigger_label | String | 门户登录(登录尝试) | 触发点(中文) |
undo | String | false | 是否是自动恢复 |
user_id | String | ou_W9Y***r8e | 用户 ID |
group_id | String | 45 | 触发规则组 ID |
rule_id | String | 461 | 触发规则 ID |
终端防病毒-病毒查杀日志
<14>1 2023-05-24T13:10:14+08:00 - xxx 19461 - - { "x_key": "anti_virus", "event_id": "xxxx", "open_id": "xxx", "username": "", "user_email": "example.xxx.cn", "mobile": "", "timestamp": 17012345678, "report_time": 17012345678, "config_key": "xxx", "config_name": "xxx", "device_ip": "10.0.*.*", "device_id": "xxxxxxxx", "scan_mode": "realtime_scan", "scan_scene": "sensitive_file_protect", "scan_id": "xxx", "threat_object_flag": "av_object_file", "threat_object_id": "c:\users\mimikatz.exe+7862ac21eb3****247c188c5f8179f", "threat_file_path": "", "threat_file_hash": "xxx", "threat_file_size": 123, "threat_file_type": "win32exe", "process_name": "", "threat_type": "virus", "raw_malware_name": "Generic.Trojan.Mimikatz.Marte.!s!.A.301958EE", "threat_level": 1, "remediation": "remind_only" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | anti_virus | 日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
event_id | String | 9312dc30-b0a4-43d2-add1-6707ec****** | 事件 ID |
open_id | String | ou_W9Yz***8e | 用户 ID,格式为 |
username | String | 张三 | 用户名称 |
user_email | String | example@xxx.cn | 用户邮箱 |
mobile | String | 18800****** | 用户手机号 |
timestamp | Number | 1662626747 | 事件发生时间,格式为 Unix 时间戳 |
report_time | Number | 1662626747 | 事件上报时间,格式为 Unix 时间戳 |
config_key | String | 2212dc30-2222-1111-00aa-6707ecf2c1c0 | 终端防病毒策略的 key |
config_name | String | 策略 AAA | 终端防病毒策略的名称 |
device_ip | String | 10.10.10.* | 设备 IP |
device_id | String | 62d9065661a6e66*****0ec839b | 设备 ID |
device_name | String | Example's Device | 设备名 |
device_hostname | String | CORPLINK-PC | 设备主机名 |
device_serial_Number | String | 5053565a4331384b365****64e4e48384a | 设备序列号 |
device_os | String | windows | 操作系统,包括 windows、mac、linux |
app_version | String | 2.1.0 | 版本号 |
scan_mode | String | realtime_scan | 检测模式 |
scan_scene | String | sensitive_file_protect | 扫描场景 |
scan_id | String | e21b829f-18a5-4437-b7e0-0192a0****** | 扫描任务 ID |
threat_object_flag | String | av_object_file | 可疑对象的种类 |
threat_object_id | String | c:\users\mimikatz.exe+7862ac21e****c188c5f8179f | 可疑对象ID |
threat_file_path | String | c:\users\mimikatz.exe | 可疑文件在用户机器上的路径 |
threat_file_hash | String | 7862ac21eb3f8c4e8247c188c5f8179f | 可疑文件 hash |
threat_file_size | String | 1355680 | 可疑文件大小 |
threat_file_type | String | win32exe | 可疑文件类型 |
process_name | String | mimikatz.exe.zip | 相关进程名称 |
threat_type | String | virus | 威胁分类 |
raw_malware_name | String | Generic.Trojan.Mimikatz.Marte.!s!.A.301958EE | 原始威胁名称 |
threat_level | Number | 1 | 威胁等级 |
remediation | String | remind_only | 默认处置方式
|
disposition_action | Number | 1 | 0 // 报毒 |
设备信息日志
<14>1 2023-05-24T13:10:14+08:00 - xxx 19461 - - { "x_key": "device_info", "did": "668d9d86e6f****8a98e62725", "device_name": "JWVQRXWYXL", "os": "Mac", "os_ver": "14.6.1", "os_model": "macOS 14.6.1", "os_detail_version": "23G93", "app_ver": "3014", "brand": "Apple", "model": "Mac15,6", "language": "en-US", "client_ip": "10.10.*.*", "mac_addrs": "[\"4e:80:b2:60:15:8f\",\"66:6e:fe:47:42:2c\",\"66:6e:fe:47:42:2d\",\"a2:a9:97:42:15:e0\",\"36:0c:ed:a4:76:c0\",\"80:a9:97:42:15:e0\",\"66:6e:fe:47:42:0c\",\"36:0c:ed:a4:76:c4\",\"36:0c:ed:a4:76:c8\",\"66:6e:fe:47:42:0d\"]", "serial_number": "JWVQRXWYXL", "created_at": "2024-07-16T15:31:57+08:00", "updated_at": "2024-08-26T17:07:07+08:00", "is_live": true, "device_status": 1, "device_info": { "product_id": "", "serial_number": "JWVQRXWYXL", "memory_total": 36864, "memory_available": 11619, "disk_total": 471482, "disk_available": 385065, "cpu_model": "Apple M3 Pro", "cpu_serial_number": "", "gpu_model": "Apple M3 Pro", "nic_type": "Wi-Fi (0x14E4, 0x4388)", "login_user": "admin", "is_vm": false, "nic_detail_list": [{ "nic_type": "en2", "mac_addr": "36:0c:ed:a4:76:c4", "active": false, "description": "en2", "has_traffic": false, "ipv4": "", "ipv6": [], "is_default": "0" }, { "nic_type": "en4", "mac_addr": "66:6e:fe:47:42:0c", "active": false, "description": "en4", "has_traffic": false, "ipv4": "", "ipv6": [], "is_default": "0" }], "os_install_date": 1720556814, "ssd_serial_numbers": ["0ba0225c433cd629"] }, "ext_attr_list": [{ "id": 86, "def": { "id": 86, "name": "是否是公司设备", "key": "是否是公司设备", "desc": "", "type": 3, "is_required": false, "is_unique": false }, "value": true }], "groups": [{ "id": 6, "name": "公司资产", "mode": 2 }, { "id": 107, "name": "设备分组示例", "mode": 2 }], "user_id": "ou_PO1***P2Va", "full_name": "username", "mobile": "", "email": "abc@def.com", "department_id": "od_yN***vzz", "status": 1, "department_path": "example/xxxx/yyyy", "icon_url": "https://xxxxxxx", "roles": [{ "name": "Employees", "id": "or_N1**EV" }], "third_party_user_id": "92**3e1" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | device_info | 日志类型 说明 服务端 3.0.7 及以上版本支持该字段。 |
did | String | 62d9065661a6e66*****0ec839b | 设备 did |
device_name | String | Example's Device | 设备名称 |
os | String | Windows | 操作系统 |
os_ver | String | 10 | 系统版本 |
os_model | String | macOS 14.6.1 | 操作系统类型 |
os_detail_version | String | 23G93 | 操作系统详细版本 |
app_ver | String | 2.0.13 | 版本号 |
brand | String | Apple | 品牌 |
model | String | MacBookPro16,2 | 型号 |
language | String | zh-CN | 语言 |
client_ip | String | 10.10.10.* | 客户端 IP |
mac_addrs | String | 4e:80:b2:60:15:8f | MAC 地址 |
serial_Number | String | 5053565a4331384b365134373... | 设备序列号 |
created_at | String | 2006-01-02 15:04:05.999 -0700 MST | 创建时间 |
updated_at | String | 2006-01-02 15:04:05.999 -0700 MST | 更新时间 |
software_num | Number | 1 | 软件数量 |
is_live | bool | 1 | 是否活跃 |
device_status | Number | 0 | 设备状态:
|
device_info | Object | - | 设备信息 |
. product_id | String | 1 | 产品 ID |
. serial_Number | String | JWVQRXWYXL | 序列号 |
. memory_total | Number | 36864 | 总内存大小,单位 MB |
. memory_available | Number | 11619 | 可用内存大小,单位 MB |
. mem_serial_Numbers | Array of String | null | 内存序列号 |
. disk_total | Number | 500000 | 总磁盘大小,单位 MB |
. disk_available | Number | 100000 | 可用磁盘大小,单位 MB |
. cpu_model | String | Apple M3 Pro | CPU 型号 |
. cpu_serial_Number | String | 1 | CPU 序列号 |
. gpu_model | String | Apple M3 Pro | GPU 型号 |
. nic_type | String | en4 | 网卡型号 |
. login_user | String | admin | 用户名称 |
. is_vm | bool | false | 是否虚拟机 |
. nic_detail_list | Array of Object | - | 网卡详情 |
.. nic_type | String | en2 | 网卡类型 |
.. mac_addr | String | 36:0c:ed:a4:76:c4 | MAC 地址 |
.. active | bool | false | 是否活跃 |
.. description | String | en2 | 描述 |
. os_install_date | String | 1662626747 | 安装时间,格式为 Unix 时间戳(秒) |
. hdd_serial_Numbers | Array of String | null | 磁盘序列号 |
. ssd_serial_Numbers | Array of String | ["0ba0225c433cd629"] | 磁盘序列号(固态) |
ext_attr_list | Array of Object | - | 拓展属性列表 |
. id | Number | 86 | 属性值 ID |
. def | Object | {"id":86,"name":"是否是公司设备","key":"是否是公司设备","desc":"","type":3,"is_required":false,"is_unique":false} | 属性定义 |
. value | any | city | 属性值 |
groups | Array of Object | - | 设备分组 |
. id | Number | 1 | 主键 ID |
. name | String | xxx | 分组名称 |
. mode | Number | 1 | 区分手动/自动 |
user_id | String | ou_xxx | 用户的ID,格式为: |
full_name | String | 张三 | 用户姓名 |
mobile | String | 18800****** | 用户手机号 |
String | zhangsan@example.com | 用户邮箱 | |
department_id | String | od_xxx | 部门的 ID,格式为: |
status | Number | 1 | 用户状态:
|
department_path | String | /1/2 | 所属部门路径 |
icon_url | String | /api/v1/attach/download?key=xxxxx | 用户头像 |
third_party_user_id | String | 1 | 三方用户 ID |
roles | Array of Object | - | 角色 |
. name | String | 角色 A | 角色名称 |
. id | String | or_xxx | 角色 ID,格式为: |
CPE 访问日志
<14>1 2023-05-24T13:10:14+08:00 - xxx 19461 - - { "x_key": "cpe_conntrack", "sip": "169.254.*.*", "dip": "100.64.*.*", "sport": "59618", "dport": "80", "protocol": "tcp", "host": "100.64.*.*", "action": "continue", "timestamp": "1752837441", "user": "*", "identity": "*", "uip": "111.19.*.*:6192", "rule": "rule-1" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | cpe_conntrack | 日志类型 说明 服务端 3.1.5 及以上版本支持该字段。 |
sip | String | 169.254.. | 源 IP |
dip | String | 100.64.. | 目标 IP |
sport | String | 59618 | 源端口 |
dport | String | 80 | 目标端口 |
protocol | String | tcp | 通信协议 |
host | String | 100.64.. | HTTP 地址 |
action | String | continue | 访问结果
|
timestamp | String | 1752837441 | 访问时间,Unix 时间戳,单位秒 |
user | String | 预留字段,可忽略 | |
identity | String | 预留字段,可忽略 | |
uip | String | 111.19..:6192 | 预留字段,可忽略 |
rule | String | rule-1 | 预留字段,可忽略 |
应用网关访问日志
<14>1 2025-11-28T15:24:10+08:00 - xxx 9493 - - { "tenant_id": "00000000", "x_key": "agw_access_log", "sip": "114.251.*.*", "sport": "63074", "protocol": "HTTP/1.1", "schema": "https", "method": "POST", "host": "fakebaidu.com", "uri": "/EWS/Exchange.asmx", "intranet_ip": "127.0.0.1", "referer": "", "user_agent": "AppleExchangeWebServices/835 ExchangeSync/2007", "status": 401, "size": 0, "duration": 0.01093102, "level": "error", "timestamp": 1764314646, "trace_id": "fb4d8abe-d2b1-4a47-b848-c2abf5******", "user": { "open_id": "ou_JwBN******", "username": "张三", "user_email": "zhangsan@example.com", "departments": ["测试"] }, "api_resource_groups": [{ "id": 5, "name": "全部资源", "app_id": 37, "api_resources": [{ "headers": ["GET", "POST", "PUT", "DELETE", "OPTIONS"], "path": "/*" }] }], "app_name": "网关测试", "app_gateway_name": "测试节点" }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
x_key | String | agw_access_log | 日志类型 说明 服务端 3.1.5 及以上版本支持该字段。 |
sip | string | 114.251.. | 源IP,请求网关的客户端IP地址 |
sport | string | 62596 | 源端口,请求网关的客户端端口 |
protocol | string | HTTP/1.1 | HTTP协议版本 |
schema | string | http | 协议头,http或https |
method | string | POST | 请求方法 |
host | string | fakebaidu.com | 请求域名 |
uri | string | /firm/pricvate | 请求路径 |
intranet_ip | string | 127.0.0.1 | 网关服务器的内网IP地址 |
referer | string | http://fakebaidu.com/firm/private | http请求头中的字段 |
user_agent | string | Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/141.0.0.0 Safari/537.36 | http请求头中的字段 |
status | int32 | 200 | http请求返回的状态字段 |
size | int32 | 93264 | http请求大小 |
duration | float64 | 0.319 | http请求耗时 |
level | string | info | 网关日志级别 |
timestamp | int64 | 1760605802 | 时间戳 |
trace_id | string | fb4d8abe-d2b1-4a47-b848-c2abf5****** | 追踪ID |
user.open_id | String | ou_xd7J****** | 用户的 ID, 格式为 ou_xx |
user.username | String | 张三 | 用户名称 |
user.user_email | String | zhangsan@example.com | 用户邮箱 |
user.departments | []string | 测试 | 用户所属部门 |
api_resource_groups | []APIResourceGroup | { | 当前请求所属的API资源 |
app_name | string | 网关测试 | 当前请求所属的网关应用 |
app_gateway_name | string | 测试节点 | 当前请求所属的网关 |
API 调用日志
<14>1 2024-10-24T21:11:08+08:00 - xxx 2511297 - - { "tenant_id": "********", "x_key": "openapi_request_log", "timestamp": 1770985595105, "create_time": 1770985599746313000, "request_id": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "user_agent": "Mac/2.1.12(CorpLink/2.1.12 (darwin; Mac 13.2.1; zh))", "request_content_type": "application/json", "response_content_type": "application/json; charset=utf-8", "client_ip": "xxx.xxx.xxx.xxx", "method": "POST", "canonical_path": "/api/open/v1/user/batch_create", "execution_time": 1634, "request_path": "/api/open/v1/user/batch_create?department_id=od_********", "access_key_id": "*", "http_status": 200, "error_message": "参数错误", "error_code": 40000, "request_payload": "{\"email\":\"test_user@example.com\",\"mobile\":\"138********\"}", "response_body": "{\"code\":40000,\"action\":\"alert\",\"message\":\"参数错误\"}", "flags": 12, "is_success": false }
字段 | 类型 | 示例 | 描述 |
|---|---|---|---|
tenant_id | string | b7f5**** | 租户唯一标识 ID。 |
x_key | string | openapi_request_log | 日志类型标识。 |
create_time | number | 1770985599746313000 | 日志记录在服务端生成的纳秒级时间戳。 |
access_key_id | number | 6 | 调用 API 时使用的 AK/SK。 |
timestamp | number | 1770985595105 | 接口请求发生的毫秒级时间戳(Unix Timestamp)。 |
request_id | string | 3c64ee48---****-a21e0d483692 | 请求唯一标识符,对应 HTTP Header 中的 |
user_agent | string | Mac/2.1.12(CorpLink/2.1.12 (darwin; Mac 13.2.1; zh)) | 访问客户端的 User-Agent 信息,用于识别发起请求的系统及版本。 |
request_content_type | string | application/json | 请求体的内容类型。 |
response_content_type | string | application/json; charset=utf-8 | 响应体的内容类型。 |
client_ip | string | 114.251.xxx.xxx | 发起请求的客户端公网 IP。 |
method | string | POST | 接口访问使用的 HTTP 方法。 |
canonical_path | string | /api/open/v1/security/edlp/events/evidence/:type | API 的规范路径,用于唯一识别该接口功能。 |
execution_time | uint64 | 1543 | 接口请求的执行总耗时,单位为毫秒(ms)。 |
request_path | string | /api/open/v1/security/edlp/events/evidence/screenshot?event_id=xxxx | 实际请求的完整路径,包含 Query 查询参数。 |
http_status | int16 | 200 | 标准 HTTP 协议响应状态码。 |
error_message | string | 服务器错误 | 接口返回的错误描述信息。 |
error_code | int32 | 50000 | 错误码。 |
request_payload | string | {"email":"z***@example.com","mobile":"130****"} | 请求体原文数据。最大记录 2 KB,超过限制将被截断。 |
response_body | string | {"code":40000,"action":"alert","message":"参数错误"} | 响应体原文数据。最大记录 12 KB,超过限制将被截断。 |
flags | number | 12 | 日志采集状态位掩码,用于追踪数据捕获情况:
|
is_success | bool | false | 请求是否成功的判定依据。逻辑: |
FAQ
日志外发是实时外发吗?
正常情况下,日志会在其产生后的 1 分钟内进行外发。若因用户操作停止或网络异常,则会在工作任务恢复后从上次外发成功的最后一条日志开始。若为首次配置,仅外发最新日志,不会追溯到之前的历史日志。
网络异常时,日志外发会重发吗?
当遇到网络错误时,暂无重试次数上限,请确保网络环境良好。
- 对于
ElasticSearch外发模式,若ElasticSearch服务返回参数错误,则会丢弃此日志,不再重试。 - 对于
SYSLOG UDP外发模式,由于 UDP 协议无法保证通信成功,因此始终只会发送一次,不再重试。