DecoyMini - Syslog 日志格式定义
DecoyMini - Syslog 日志格式定义v1.0
适用版本:DecoyMiniV1.x
支持协议: syslog TCP/UDP
日志格式:JSON
一、安全事件
1.1 基础属性
SN名称属性 ID描述
1事件 IDeventId安全事件 ID
2规则 IDruleId关联分析规则 ID
3源 IPsrcIp攻击来源IP地址
4源 IP 区域srcIpLoc攻击来源物理位置格式: 国家代码|国家名称 区域名称 城市名称
5目的 IPdestIp攻击目的IP地址
6目的 IP 区域destIpLoc攻击目的物理位置格式: 国家代码|国家名称 区域名称 城市名称
7类型type事件类型
8级别level威胁级别(1-5)1:很低2:低3:中4:高5:很高
9攻击阶段stage事件所处攻击阶段(1-5)1:攻击尝试2:单点突破3:控制通道4:横向移动5:数据窃取
10确信度cfdc事件确信度(0 - 100)0:确信度最低100:确信度最高
11事件源类型source事件来源
12事件名称name事件名称
13事件描述desc事件描述
14事件标签label事件标签
15事件时间time事件发生时间
16诱捕日志logData关联诱捕日志数据(JSON格式)
1.2 诱捕日志属性
SN名称属性 ID描述
1类型type诱捕日志类型
2诱捕器名称module诱捕器名称
3日志级别level日志级别(0-7)
0: 紧急
1: 警报
2: 严重
3: 错误
4: 警示
5: 提示
6: 信息
7: 调试
4用户名user操作用户名
5操作action操作类型
6操作结果result操作结果(0-1)
0: 成功
1: 失败
7描述desc日志描述
8序列 IDserialId序列ID
9源 IPsrcip攻击来源 IP 地址
10源 IP 区域srcipLoc攻击来源物理位置
格式: 国家代码|国家名称 区域名称 城市名称
11目的 IPdesip攻击目的 IP 地址
12目的 IP 区域desipLoc攻击目的物理位置
格式: 国家代码|国家名称 区域名称 城市名称
13文件 MD5fileMd5文件 MD5 签名
14文件名fileName原始文件名
15关联数据 IDrelateId关联数据存储 ID
16流量数据 IDdata_id流量数据存储 ID
17日志时间time日志发生时间
1.3 示例
{
"cfdc": "60",
"count": "1",
"desc": "用户登录(User: admin; Pwd: 123456)",
"destId": "XHLcmwN2NzNkXWpjULwrjA",
"destIp": "192.168.0.160",
"destIpLoc": "cn|本地",
"etime": "2021-06-02 12:51:01",
"eventId": "FXuBq4uSQ2mPPDD4cygweg",
"label": "默认规则",
"level": "3",
"name": "FTP诱捕到Auth事件",
"ruleId": "xUAUeMFMo3MG6Njyo6eGgH",
"source": "DCP.windows",
"srcId": "XHLcmwN2NzNkXWpjULwrjA",
"srcIp": "66.249.65.155",
"srcIpLoc": "US|美国 俄克拉荷马州 普赖尔",
"stage": "4",
"status": "0",
"stime": "2021-06-07 12:51:01",
"type": "FTP服务",
"logData": "{\"action\":\"Auth\",\"desc\":\"用户登录(User: admin; Pwd: 123456)\",\"destId\":\"XHLcmwN2NzNkXWpjULwrjA\",\"destIp\":\"192.168.0.160\",\"destIpLoc\":\"cn|本地\",\"destPort\":\"21\",\"evtlogId\":\"ycbTWL7TWhaGMv7T2DWzdi\",\"level\":\"4\",\"module\":\"FTP\",\"result\":\"0\",\"serialId\":\"pfdNh5vU98LpiFwvwMYJLf\",\"srcId\":\"XHLcmwN2NzNkXWpjULwrjA\",\"srcIp\":\"66.249.65.155\",\"srcIpLoc\":\"US|美国 俄克拉荷马州 普赖尔\",\"srcPort\":\"25648\",\"time\":\"2021-06-07 12:51:01\",\"type\":\"FTP服务\",\"user\":\"admin\"}"
}
页:
[1]