采集器「阿里云-CLOUDFW」配置手册
阅读本文前,请先阅读:
使用本采集器前,必须安装「观测云集成 Core 核心包」及其配套的第三方依赖包
1. 配置结构
本采集器配置结构如下:
字段 | 类型 | 是否必须 | 说明 |
---|---|---|---|
regions |
list | 必须 | 所需采集的地域列表 |
regions[#] |
str | 必须 | 地域 ID。如:'cn-hangzhou' 总表见附录 |
2. 配置示例
指定地域
采集杭州地域的数据
Python | |
---|---|
1 2 3 |
|
3. 数据上报格式
数据正常同步后,可以在观测云的「日志」中查看数据。
上报的数据示例如下:
JSON | |
---|---|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
|
部分参数说明如下:
AttackType
(入侵防御事件的攻击类型)取值含义:
取值 | 说明 |
---|---|
1 |
表示异常连接 |
2 |
表示命令执行 |
3 |
表示暴力破解 |
4 |
表示扫描 |
5 |
表示其它 |
6 |
表示信息泄露 |
7 |
表示 Dos 攻击 |
8 |
表示溢出攻击 |
9 |
表示 Web 攻击 |
10 |
表示木马后门 |
11 |
表示病毒蠕虫 |
12 |
表示挖矿行为 |
13 |
表示反弹 Shell |
ResourceType
(该入侵防御事件的公网 IP 类型)取值含义:
取值 | 说明 |
---|---|
EIP |
表示弹性公网 IP |
EcsPublicIP |
表示 ECS 公网 IP |
EcsEIP |
表示 ECS EIP |
NatPublicIP |
表示 NAT 公网 IP |
NatEIP |
表示 NAT EIP |
RuleResult
(防御状态)取值含义:
取值 | 说明 |
---|---|
1 |
表示告警 |
2 |
表示拦截 |
RuleSource
(本次入侵防御事件的检测规则来源)取值含义:
取值 | 说明 |
---|---|
1 |
表示基础防御 |
2 |
表示虚拟补丁 |
4 |
表示威胁情报 |
VulLevel
(该入侵防御事件的安全等级)取值含义:
取值 | 说明 |
---|---|
1 |
表示低危 |
2 |
表示中危 |
4 |
表示高危 |
tags、fields 中的字段可能会随后续更新有所变动
fields.message 为 JSON 序列化后字符串
X. 附录
请参考阿里云官方文档: