跳转至

采集器「阿里云-TDS 日志」配置手册

阅读本文前,请先阅读:

使用本采集器前,必须安装「观测云集成 Core 核心包」及其配套的第三方依赖包

1. 配置结构

本采集器无需配置

2. 数据上报格式

数据正常同步后,可以在观测云的「日志」中查看数据。

上报的数据示例如下:

安全告警处理

JSON
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
{
  "measurement": "aliyun_susp_events",
  "tags": {
    "DataSource"      : "aegis_suspicious_event",
    "Uuid"            : "aa7f688e-a0ce-xxxxx-xxxx-e45016921596",
    "InstanceName"    : "atlassian-worker-01",
    "InstanceId"      : "i-bp1c0if9xxxxx5bz2zzzm",
    "EventStatus"     : "1",
    "SaleVersion"     : "1",
    "OperateErrorCode": "",
    "Level"           : "suspicious",
    "Id"              : "1747604"
  },
  "fields": {
    "InternetIp"     : "114.55.164.217",
    "IntranetIp"     : "192.168.196.153",
    "LastTime"       : "2022-05-30 10:43:49",
    "OperateMsg"     : "",
    "CanBeDealOnLine": false,
    "Details"        : "[{异常事件的详情 JSON 数据},]",
    "Name"           : "进程异常行为-Linux 可疑命令序列",
    "message"        : "{实例 JSON 数据}"
  }
}

部分参数说明如下

字段 类型 说明
EventStatus str 异常事件的状态。取值包括:
1:PENDING(待处理)
2:IGNORE(已忽略)
4:HANDLED(已确认)
8:FAULT(已标记误报)
6:DEALING(处理中)
32:DONE(处理完毕)
64:EXPIRE(已经过期)
SaleVersion str 异常事件检测支持的产品售卖版本。取值包括:
0:基础版本
1:企业版本

tags、fields 中的字段可能会随后续更新有所变动

fields.message, fields.Details 为 JSON 序列化后字符串

基线检查

JSON
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
{
  "measurement": "aliyun_baseline_detection",
  "tags": {
    "RiskId"      : "92",
    "SubTypeAlias": "阿里云标准-Docker 安全基线检查",
    "TypeAlias"   : "容器安全",
    "RiskName"    : "阿里云标准-Docker 安全基线检查",
    "Level"       : "high"
  },
  "fields": {
    "LowWarningCount"    : 0,
    "MediumWarningCount" : 3,
    "HighWarningCount"   : 3,
    "LastFoundTime"      : "2022-06-17 03:56:13",
    "WarningMachineCount": 4,
    "CheckCount"         : 17,
    "message"            : "{实例 JSON 数据}"
  }
}

tags、fields 中的字段可能会随后续更新有所变动

fields.message 为 JSON 序列化后字符串

漏洞管理

JSON
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
{
  "measurement": "aliyun_vulnerability",
  "tags": {
    "InstanceId"  : "i-bp109znurxxxxmy5pcd",
    "InstanceName": "invest-staging-node:xxx",
    "Level"       : "serious",
    "Necessity"   : "asap",
    "RegionId"    : "cn-hangzhou",
    "Type"        : "sca",
    "Uuid"        : "e44fce33-fc07-xxxx-xxxx-511ed6f89bf4"
  },
  "fields": {
    "PrimaryId"  : 1050099807,
    "Name"       : "SCA:AVD-2022-1243027",
    "Tag"        : "1fc12eb00e9cf1d28ba415bfcd74b7d9",
    "Status"     : 1,
    "AliasName"  : "fastjson <= 1.2.80 反序列化任意代码执行漏洞",
    "AuthVersion": 3,
    "GroupId"    : 20553,
    "InternetIp" : "",
    "IntranetIp" : "10.0.xxx.152",
    "message"    : "{实例 JSON 数据}"
  }
}

tags、fields 中的字段可能会随后续更新有所变动

fields.message 为 JSON 序列化后字符串

部分参数说明如下

字段 类型 说明
Status integer 漏洞状态。取值:
1:未修复
2:修复失败
3:回滚失败
4:修复中
5:回滚中
6:验证中
7:修复成功
8:修复成功待重启
9:回滚成功
10:已忽略
11:回滚成功待重启
12:漏洞不存在
20:已失效
AuthVersion str 资产的授权版本。取值:
1:免费版
6:防病毒版
5:高级版
3:企业版
7:旗舰版
10:独立购买版

X. 附录

Aliyun-云安全中心「文档」

请参考 Aliyun 官方文档: