一体化智能化公共数据平台日志规范(DB3301-T 0371—2022).pdf

《一体化智能化公共数据平台日志规范(DB3301-T 0371—2022).pdf》由会员分享，可在线阅读，更多相关《一体化智能化公共数据平台日志规范(DB3301-T 0371—2022).pdf（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.020CCS L 723301浙江省杭州市地方标准DB 3301/T 03712022一体化智能化公共数据平台日志规范2022-08-30 发布2022-09-30 实施杭州市市场监督管理局发 布DB 3301/T 03712022I目次前言.II1范围.12规范性引用文件.13术语和定义.14日志采集要求.14.1概述.24.2日志采集格式.24.3日志采集方式.25日志存储要求.26日志分析要求.26.1概述.26.2规则策略.36.3关联分析.36.4行为分析.4附录 A（规范性）一体化智能化公共数据平台日志.5A.1主机操作系统日志.5A.2数据库日志.7A.3对象存储日志

2、.10A.4云管理控制台日志.12A.5网络设备日志.13A.6安全设备日志.15A.7应用系统日志.16DB 3301/T 03712022II前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由杭州市数据资源管理局提出、归口并组织实施。本文件主要起草单位：杭州市大数据管理服务中心（杭州市人民政府电子政务中心）、拱墅区数据资源管理局、杭州安恒信息技术股份有限公司。本文件主要起草人：齐同军、张斌、李国喜、吴光静、孙茂阳、胡琼达、姜云洲、李杰、金江锋、边赢、孙戴博

3、、吴晨、吴怡、徐龙华、樊兴悦。DB 3301/T 037120221一体化智能化公共数据平台日志规范1范围本文件规定了一体化智能化公共数据平台的日志采集要求、日志存储要求、日志分析要求。本文件适用于一体化智能化公共数据平台日志采集、存储和分析工作。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692022信息安全技术术语GB/T 352952017信息技术 大数据 术语DB33/T 23502021数字化改革术语定义3术语和定义GB/T 2506920

4、22、GB/T352952017、DB33/T 23502021界定的以及下列术语和定义适用于本文件。3.1一体化智能化公共数据平台 integrated intelligent public data platform以云计算、大数据、人工智能、互联网等技术为支撑，是省域治理全过程数据感知、数据共享、数据计算的基础平台。注 1：该平台用于支撑党政机关整体智治、数字政府、数字经济、数字社会、数字法治的实现。注 2：该平台组成包括“四横四纵”体系和“两个前端”，纵向贯通省市县乡各层级。注 3：“四横”是指：基础设施、数据资源、应用支撑、业务应用；“四纵”是指：政策制度、标准规范、组织保障、政务网

5、络安全；“两个前端”是指：“浙里办”和“浙政钉”。来源：DB33/T 23502021，3.1.1.23.2日志 log系统中记录关于硬件、软件和系统操作及故障的信息。3.3云平台 cloud platform云服务商提供的云基础设施及其上服务软件的集合。3.4对象存储 object storage以对象作为存储单元,并提供对象级访问接口的云存储。GB/T 31916.12015，3.1.44日志采集要求DB 3301/T 0371202224.1概述一体化智能化公共数据平台日志采集范围包含但不限于主机系统、数据库、对象存储、云平台管理控制台、网络设备、安全设备、应用系统的日志，并通过Sysl

6、og、API接口等方式采集和外送日志。4.2日志采集格式附录A规定了一体化智能化公共数据平台日志数据内容，除附录A规定以外，可根据实际情况自定义扩展字段。主要包括：a)主机操作系统日志包括但不限于操作系统的用户登录日志、操作日志、任务日志，按 A.1 执行；b)数据库日志包括但不限于数据库的用户登录日志、操作日志，按 A.2 执行；c)对象存储日志包括但不限于对象存储的用户登录日志、操作日志，按 A.3 执行；d)云平台管理控制台日志包括但不限于云平台管理控制台的用户登录日志、操作日志、云虚拟机CPU 使用率、内存使用率、磁盘空间占有率，按 A.4 执行；e)网络设备日志包括但不限于网络设备的

7、用户登录日志、配置变更日志，按 A.5 执行；f)安全设备日志包括但不限于安全设备的用户登录日志、配置变更日志、入侵事件日志、设备管理日志和会话日志，按 A.6 执行；g)应用系统日志包括但不限于各类生产业务、管理决策和支撑服务系统的用户登录日志、业务操作日志、数据归集任务执行日志、数据治理操作日志和 API 接口调用日志，按 A.7 执行。4.3日志采集方式日志采集方式包括但不限于Syslog、API接口等方式外送日志数据，并应满足下列要求：a)支持全量、历史数据的外送采集服务；b)支持实时或定时增量日志外送采集服务；c)支持按照过滤条件的日志外送采集服务，例如字段内容；d)支持外送失败报警

8、服务、失败重发服务。5日志存储要求在保障安全前提下做好日志存储工作，日志的存储满足下列条件：a)日志保存的时限不应少于六个月，应对日志进行分类存储，涉及核心业务的日志如另有日志存储时限要求的，原则上从其规定；b)日志具有保密性要求时，应采取加密机制保证日志数据保密性，加密机制应符合相关法律法规要求；c)日志具有完整性要求时，应采取校验机制，保证日志数据完整性，校验机制应符合相关法律法规要求；d)严格控制日志的访问权限，确保日志的授权访问；e)具备增量备份和恢复能力，当有异地备份要求时，应进行异地备份；f)与统一的标准时间源保持同步。6日志分析要求6.1概述DB 3301/T 037120223

9、采集的日志可基于规则策略、关联分析、行为分析等不同的维度开展日志分析工作，反映系统运行状态及使用情况，发现安全风险隐患和安全事件溯源。6.2规则策略6.2.1主机日志分析主机日志分析包括但不限于：a)异常登录，包括未经授权登录、多次登录失败、频繁登录、非工作时间登录等；b)高危端口开启、被利用情况；c)用户账号和权限变更；d)操作系统的启动、停止信息；e)系统服务和配置修改；f)特殊权限使用和操作。6.2.2数据库日志分析数据库日志分析包括但不限于：a)数据库异常登录行为，如多次登录失败、频繁登录、非工作时间登录、异地登录、频繁变更登录 IP 等；b)数据库越权操作，如对未经授权的敏感数据进行

10、增删改查、导入导出等；c)用户的关键变更操作，如增删改用户及其权限；d)数据库服务启动和停止；e)数据库系统核心配置文件的修改；f)高风险操作，如对批量数据的导入导出等。6.2.3安全设备日志分析安全设备日志分析包括但不限于：a)堡垒机日志分析，包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、多人共用账号等；b)VPN 系统日志分析，包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等；c)其他安全设备，应重点分析设备的异常告警行为。6.2.4应用系统日志分析应用系统日志分析包括但不限于：a)重要操作记录，对关键配置信息和业务数据的增删改操作；b)管理员操作行为，如

11、增删改系统用户及其权限；c)操作人员查询敏感信息的行为；d)操作人员异常登录和异常操作的行为；e)应用系统的高危漏洞被利用情况；f)数据接口异常调用等。6.3关联分析对多种类型、多个设备的日志结合实际场景开展进行综合关联分析，包括但不限于：a)操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为；b)操作人员远程上传文件、远程安装的行为；DB 3301/T 037120224c)通过分析数据下载、分发的情况，发现可能的数据泄漏（被非法窃取）风险；d)对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。6.4行为分析通过持续对全量日志进行关联综合分析，掌握操

12、作人员关键特征要素，迭代绘制出用户行为基线，并持续根据用户操作行为的波动情况加以动态调整。行为分析特征维度包括但不限于：a)特定时间段内，指定用户整体行为状态与该用户整体行为基线的对比分析；b)特定时间段内，指定用户单维度行为状态与该用户单维度行为基线的对比分析；c)指定用户行为基线与同组其他用户的平均行为基线对比分析；d)在特定时间段内，指定用户或应用系统调用同一 API 接口的频率对比分析。DB 3301/T 037120225AA附录A（规范性）一体化智能化公共数据平台日志A.1主机操作系统日志A.1.1主机操作系统登录日志A.1.1.1表 A.1 规定了主机操作系统登录日志数据格式。表

13、 A.1 主机操作系统登录日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型（Windows）4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商7event_name事件名称字符20必填事件或事件类型的简短描述，如用户登录成功8eventMessage事件消息字

14、符255必填事件详细描述和失败原因，如用户 zhansan 登录 成 功，来 源 IP：1.1.1.19severity事件等级整数5可选事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结果枚举10必填事件结果取值：OK、FAIL、Attempt。11user_id用户 ID字符100必填登录系统帐号 ID12user_name用户名字符100必填登录系统帐号名称，如：Administrator13login_id登录 ID字符255必填登 录 会 话 ID，如：0 xE084E8714login_type登录方法字符20必填登录方法

15、：账号密码登录、扫码登录、验证码登录、凭证登录、多因素认证、状态保持15login_mode登录方式字符20必填登录方式：本地（Local）、远程（Remote）16src_address来源地址字符20必填来源地址17src_port来源端口字符10必填来源端口DB 3301/T 037120226表 A.1 主机操作系统登录日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明18dest_address目的地址字符20必填目的地址19dest_port目的端口字符10必填目的端口A.1.1.2表 A.2 规定了主机操作系统操作日志数据格式。表 A.2 主机操作系统操作

16、日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型（Windows）4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商7event_name事件名称字符20必填事件或事件类型的简短描述，如：用户登录成功8event_message事件消息字符255必填事件详细描

17、述和失败原因，如用户 zhansan 登录 成 功，来 源 IP：1.1.1.19severity事件等级整数5可选事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结果枚举10必填事件结果取值：OK、FAIL、Attempt。登录成功取值：OK11user_id用户 ID字符100必填登录系统帐号 ID12user_name用户名字符100必填登录系统帐号名称，如：Administrator13command操作指令字符1000必填操作指令：ping 1.1.1.114directory操作目录字符1000可选操作目录15src_ip

18、来源地址字符20必填来源地址16src_port来源端口字符10必填来源端口17dest_ip目的地址字符20必填目的地址18dest_port目的端口字符10必填目的端口A.1.2主机操作系统任务计划日志表A.3规定了主机操作系统任务计划日志数据格式。DB 3301/T 037120227表 A.3 主机操作系统任务计划日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型4src_device_ip数据来源设备IP 地址字符20必

19、填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商7event_name事件名称字符20必填事件或事件类型的简短描述，如：用户登录成功8event_message事件消息字符255必填事件详细描述和失败原因，如用户 zhansan 登录 成 功。来 源 IP：1.1.1.19severity事件等级整数5可选事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结果枚举10必填事件结果取值：OK、FAIL、Attempt。11us

20、er_id用户 ID字符100必填登录系统帐号 ID12user_name用户名字符100必填登录系统帐号名称，如：Administrator13process_id目的进程 ID字符255必填新进程 ID，如：0 x2f14process_name目的进程名称字符255可选新进程名称，如：dllhost.exe15file_name文件名称字符255可选新进程整体文件名称及路径，如：C:WindowsSystem32dllhost.exe16src_ip来源地址字符20必填来源地址17src_port来源端口字符10必填来源端口18dest_ip目的地址字符20必填目的地址19dest_po

21、rt目的端口字符10必填目的端口A.2数据库日志A.2.1数据库登录日志表A.4规定了数据库登录日志数据格式。DB 3301/T 037120228表 A.4 数据库登录日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型（DB）4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20

22、必填数据来源厂商7event_name事件名称字符20必填事件或事件类型的简短描述，如：用户登录成功8event_message事件消息字符255必填事件详细描述和失败原因，如用户 zhansan 登录成功，来源 IP：1.1.1.19severity事件等级整数5可选事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结果枚举10必填事件结果取值：OK、FAIL、Attempt。登录成功取值：OK11db_name数据库名字符50必填操作数据库名12db_type数据库类型字符20必填数据库类型13db_version数据库版本字符20

23、必填操作的数据库版本，如：1.114app_protocol应用协议字符20可选从应用层角度看，与事件关联的传输数据格式（如mysql、oracle），这里指的是数据库使用的应用协议15client_prg客户端工具名字符20可选连接数据库的客户端工具名称16user_id用户 ID字符100可选登录系统帐号 ID17user_name用户名字符100必填登录系统帐号名称，如：Administrator18login_id登录 ID字符255必填登录会话 ID，如：0 xE084E87DB 3301/T 037120229表 A.4 数据库登录日志数据格式描述表（续）序号字段名称中文名称字段说

24、明字段长度必填/可选说明19login_type登录方法字符20可选登录方法：网络、批处理、服务、解锁、网络明文、新凭证、远程交互、缓存交互20login_mode登录方式字符20必填登录方式，本地（Local），远程（Remote）21src_ip来源地址字符20必填来源地址22src_port来源端口字符10必填来源端口23dest_ip目的地址字符20必填目的地址24dest_port目的端口字符10必填目的端口A.2.2数据库操作日志表A.5规定了数据库操作日志数据格式。表 A.5 数据库操作日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生

25、时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型（DB）4src_ip源 IP字符20必填源 IP5src_host_name源主机名字符50可选源主机名6dest_ip目的 IP字符20必填目的 IP7dest_port目的端口字符20必填目的端口8db_type数据库类型字符20必填数据库类型9db_name数据库名/实例名字符20必填数据库名/实例名10table_name表名字符50必填表名11field_name字段名字符50可选字段名12session_id会话 ID字符50必填会话 ID13payloadS

26、QL 报文字符1000必填SQL 报文14effect_row影响行数整数10必填影响行数15data_set返回数据集字符1000必填返回数据集16data_set_size返回数据集长度整数10必填返回数据集长度17cost_time执行时长整数50必填执行时长（s）18sql_code执行结果码字符20必填执行结果码DB 3301/T 0371202210表 A.5 数据库操作日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明19sql_op_typeSQL 操作类型字符100必填SQL 操作类型（例如：SELECT、INSERT、UPDATE、DELETE、TR

27、UNCATE、DROP等）20db_user数据库用户名字符20必填数据库用户名21client_prg客户端工具名字符50可选客户端工具名22client_user操作系统用户名字符20可选操作系统用户名23src_device_ip源设备 IP字符20必填源设备 IP24src_device_type源设备类型字符50必填源设备类型25src_device_vendor源设备厂家字符50必填源设备厂家26direction流量方向字符10可选流量方向（内访问内取值00，内访问外取值 01，外访问内取值 10，外访问外取值 11）27data_level数据分级属性字符10必填数据分级属性：

28、按数据的敏感级别28data_classification数据分类属性字符10必填数据分类属性：按数据的管理维度、业务维度、安全维度进行分类A.3对象存储日志表A.6规定了对象存储日志数据格式。表 A.6 对象存储日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1remote_addr客户端 IP字符20必填客户端 IP 地址2remote_port客户端的端口号字符10必填客户端 IP 端口号3remote_user客户端用户字符50必填由 HTTP 协议决定的用户和对象存储没有关系4time本地时间字符20必填本地时间5requestHTTP 请求字符200必填HTTP

29、 协议请求，包括METHOD URI 协议标准6statusHTTP 状态码字符10必填HTTP 的状态码7body_bytes_sent读出请求的字节数字符1000必填从对象存储 Server端返回的字节数8request_time_msec整体请求耗时整数10必填整体请求耗时9http_referer请求的 HTTPReferer字符200必填请求的 HTTP RefererDB 3301/T 0371202211表 A.6 对象存储日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明10http_user_agent请求的附加信息，UserAgent字符200可选客

30、户端发送的标志，由客户端填写11host请求的对象存储的 host字符100可选请求的对象存储的 host12upstream_http_x_oss_request_id请求的唯一ID字符30必填Request ID13upstream_http_x_oss_bucket_log_enable是否开通Logging 功能字符10可选是否开通 Logging 功能14upstream_http_x_oss_requester对象存储请求者 UID整数30必填对象存储请求者 UID15upstream_http_x_oss_operation对象存储的请求类型字符10必填对象存储请求类型16ups

31、tream_http_x_oss_buck et_name操作的对象存储 Bucket 名字符50必填操作的对象存储 Bucket名17upstream_http_x_oss_object_name操作的对象存储 Object 名整数50必填操作的对象存储 Object名称18upstream_http_x_oss_object_size操作的对象存储 Object 大小整数10必填读操作的时候才会显示19upstream_http_x_oss_turn_around_time对象存储后端处理此次请求消耗的时间整数10必填SQL 操作类型（例如：SELECT、INSERT、UPDATE、DEL

32、ETE、TRUNCATE、DROP等）20upstream_http_x_oss_error_code错误码字符10必填错误码21request_length写入请求的字节数整数10必填一般是对于写来说，向对象存储 Server 端发送的长度22upstream_http_x_oss_bucket_owner对象存储Bucket owner的 UID字符50必填对象存储 Bucket Owner的 UID23upstream_http_x_oss_quota_delta_size此次操作后相对上一次Object 的Size 的变化整数10必填此次操作后相对上一次Object 的 Size 的变

33、化24upstream_http_x_oss_sync_request是否是对象存储同步请求字符10必填是否是对象存储同步请求25upstream_http_x_oss_location对象存储Location字符20必填Bucket 所在的数据中心标识DB 3301/T 0371202212表 A.6 对象存储日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明26upstream_http_x_oss_bucket_version对象存储Bucket 版本字符20可选对象存储 Bucket 版本27vpcidVPC ID字符20必填VPC ID28vpcaddrVPC

34、 地址字符20必填VPC 地址29upstream_http_x_oss_bucket_storage_type对象存储Bucket 存储类型字符10必填对象存储 Bucket 存储类型30schemeHTTP scheme字符30必填HTTP scheme31upstream_http_x_oss_process_type对象存储process 类型字符10必填对象存储 process 类型32content_lengthHTTP 请求的content 长度整数10可选HTTP 请求的 content 长度33sent_http_content_length发送的 http 请求的内容长度整

35、数1000可选发送的 http 请求的内容长度34upstream_http_x_oss_access_id访问者的access ID字符30必填访问者的 access ID35upstream_http_x_oss_sign_type访问者登录模式字符20必填访问者登录模式36http_x_oss_sync_direction同步方向字符20必填同步方向37http_x_oss_sync_transfer_type同步传输类型字符20必填同步传输类型38http_x_oss_sync_source_bucket同步的源bucket字符50必填同步的源 bucketA.4云管理控制台日志表A.

36、7规定了云管理控制台日志数据格式。表 A.7 云管理控制台日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型(云管理控制台)4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商7event_name事件名称字符20必填事件或事件类型的简短描述，如：用户登录成功DB

37、 3301/T 0371202213表 A.7 云管理控制台日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明8event_message事件消息字符255必填事件详细描述和失败原因，如用户 zhansan 登录成功，来源 IP：1.1.1.19severity事件等级整数5必填事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结果枚举10必填事件结果取值：OK、FAIL、Attempt。登录成功取值：OK11user_id用户 ID字符100必填登录系统帐号 ID12user_name用户名字符100必填13l

38、ogin_id登录 ID字符255必填登录会话 ID，如：0 xE084E8714login_type登录方法字符20可选登录方法：账号密码登录、扫码登录、验证码登录、凭证登录，多因素认证、状态保持15login_mode登录方式字符20可选登录方式，本地（Local），远程（Remote）16src_address来源地址字符20必填来源地址17src_port来源端口字符10可选来源端口18dest_address目的地址字符20必填目的地址19dest_port目的端口字符10可选目的端口A.5网络设备日志表A.8规定了网络设备日志数据格式。表 A.8 网络设备日志数据格式描述表序号字段

39、名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型，如路由器、交换机、负载均衡等4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商DB 3301/T 0371202214表 A.8 网络设备日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明7event_name事

40、件名称字符20可选事件或事件类型的简短描述，如：用户登录成功8event_message事件消息字符255必填事件详细描述和失败原因，如用户 zhansan 登录成功，来源 IP：1.1.1.19severity事件等级整数5可选事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结果枚举10可选事件结果取值：OK、FAIL、Attempt。登录成功取值：OK11user_id用户 ID字符100可选登录系统帐号 ID12user_name用户名字符100可选登录系统帐号名称，如：Administrator13login_id登录 ID字

41、符255可选登录会话 ID，如：0 xE084E8714src_ip来源地址字符20可选来源地址15src_port来源端口字符10可选来源端口16dest_ip目的地址字符20可选目的地址17dest_port目的端口字符10可选目的端口18command操作指令字符1000可选操作指令：ping 1.1.1.119tcp_bytesTCP 总字节数整数20可选表示统计时间的 TCP 流量，包括进网流量，单位（字节）20udp_bytesUDP 总字节数整数20可选表示统计时间的 UDP 流量，包括进网流量，单位（字节）21icmp_bytesICMP 总字节数整数20可选表示统计时间的 I

42、CMP 流量，包括上网流量，单位（字节）22src_vlan_id来源 VLNAID字符20可选MAC 跳变对应的来源VLAN 的 ID23src_vlan_name来源 VLNA 名称字符20可选MAC 跳变对应的来源VLAN 名称24src_url来源接口名称字符20可选与事件关联的网络通信数据的设备接口 ID，MAC跳变对应的来源接口名称DB 3301/T 0371202215表 A.8 网络设备日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明25dest_vlan_id目的 VLNAID字符20可选MAC 跳变对应的目的VLAN 的 ID26dest_vlan

43、_name目的 VLNA 名称字符20可选MAC 跳变对应的目的VLAN 名称27dest_url目的接口名称字符20可选与事件关联的网络通信数据的设备接口 ID，MAC跳变对应的目的接口名称A.6安全设备日志表A.9规定了安全设备日志数据格式。表 A.9 安全设备日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型，如防火墙、网闸、入侵检测系统(IDS)、入侵防护系统(IPS)、Web应用防火墙(WAF)、流量监测设备、防泄密系统

44、、主机扫描器等4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商7event_name事件名称字符20可选事件或事件类型的简短描述，如：用户登录成功8event_message事件消息字符255必填事件详细描述和失败原因，如用户 zhansan 登录成功。来源 IP：1.1.1.19severity事件等级整数5必填事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介于0到10之间的值。10result事件结

45、果枚举10可选事件结果取值：OK、FAIL、Attempt。登录成功取值：OKDB 3301/T 0371202216表 A.9 安全设备日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明11user_id用户 ID字符100可选登录系统帐号 ID12user_name用户名字符100可选登录系统帐号名称，如：Administrator13login_id登录 ID字符255可选登录会话 ID，如：0 xE084E8714src_ip来源地址字符20必填来源地址15src_port来源端口字符10必填来源端口16dest_ip目的地址字符20必填目的地址17dest_p

46、ort目的端口字符10必填目的端口18trans_protocol传输协议字符10必填从网络传输角度看，与事件关联的传输数据格式（如 TCP、UDP）19app_name应用名称字符10可选表示网络应用的名称20app_protocol应用协议字符10可选从应用层角度看，与事件关联的传输数据格式（如http、ftp）21policy_id策略 ID字符20可选访问数据包匹配到的策略 ID22policy_name策略名称字符20可选访问数据包匹配到的策略名称23virus_type病毒类型字符20可选发现的病毒对应的病毒类型归类24virus_name病毒名称字符20可选发现的病毒文件对应的病

47、毒名称25dvc_action设备动作字符10可选与事件关联的一些设备活动特定的描述，防火墙设备的动作，如：denyA.7应用系统日志A.7.1表A.10 规定了应用系统登录日志数据格式。表 A.10 应用系统登录日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 ID3log_type日志类型字符20必填日志类型，如：WEB 服务器、数据库服务器、邮件服务器、存储服务器、FTP服务器、应用服务器等DB 3301/T 0371202217表 A.10 应用系统登录日志数据格式描述表

48、（续）序号字段名称中文名称字段说明字段长度必填/可选说明4src_device_ip数据来源设备IP 地址字符20必填数据来源设备 IP 地址5src_device_type源设备类型字符50必填源设备类型6src_device_vendor数据来源厂商字符20必填数据来源厂商7event_name事件名称字符20必填事件或事件类型的简短描述，如：用户登录成功8event_message事件消息字符255必填事件详细描述和失败原因，如用户 zhansan 登录成功，来源 IP：1.1.1.19severity事件等级整数5可选事件严重程度，事件对网络安全可能造成的破坏性的相对度量值，它是一个介

49、于0到10之间的值。10result事件结果枚举10必填事件结果取值：OK、FAIL、Attempt。登录成功取值：OK11user_id用户 ID字符100必填登录系统帐号 ID12user_name用户名字符100必填登录系统帐号名称，如：Administrator13login_id登录 ID字符255必填登录会话 ID，如：0 xE084E8714login_type登录方法字符20必填登录方法：网络、批处理、服务、解锁、网络明文、新凭证、远程交互、缓存交互15login_mode登录方式字符20必填登录方式，本地（Local），远程（Remote）16src_ip来源地址字符20必填

50、来源地址17src_port来源端口字符10必填来源端口18dest_ip目的地址字符20必填目的地址19dest_port目的端口字符10必填目的端口A.7.2表A.11 规定了应用系统业务操作日志数据格式。表 A.11 应用系统业务操作日志数据格式描述表序号字段名称中文名称字段说明字段长度必填/可选说明1log_time日志产生时间字符20必填日志产生时间戳2log_id日志 ID字符20必填日志 IDDB 3301/T 0371202218表 A.11 应用系统业务操作日志数据格式描述表（续）序号字段名称中文名称字段说明字段长度必填/可选说明3log_type日志类型字符20必填日志类型