一体化智能化公共数据平台日志规范

DB3301/TXXXX—XXXX

一体化智能化公共数据平台日志规范

1范围

本文件规定了一体化智能化公共数据平台的日志采集要求、日志存储要求、日志分析要求。

本文件适用于一体化智能化公共数据平台日志采集、存储和分析工作。

2规范性引用文件

下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T35295—2017信息技术大数据术语

DB33/T2350—2021数字化改革术语定义

3术语和定义

GB/T25069—2022、GB/T35295—2017、DB33/T2350—2021界定的以及下列术语和定义适用于

本文件。

3.1

一体化智能化公共数据平台integratedintelligentpublicdataplatform

以云计算、大数据、人工智能、互联网等技术为支撑，是省域治理全过程数据感知、数据共享、数

据计算的基础平台。

注1：该平台用于支撑党政机关整体智治、数字政府、数字经济、数字社会、数字法治的实现。

注2：该平台组成包括“四横四纵”体系和“两个前端”，纵向贯通省市县乡各层级。

注3：“四横”是指：基础设施、数据资源、应用支撑、业务应用；“四纵”是指：政策制度、标

准规范、组织保障、政务网络安全；“两个前端”是指：“浙里办”和“浙政钉”。

[来源：DB33/T2350—2021，]

3.2

日志log

系统中记录关于硬件、软件和系统操作及故障的信息。

3.3

云平台cloudplatform

云服务商提供的云基础设施及其上服务软件的集合。

3.4

对象存储objectstorage

以对象作为存储单元,并提供对象级访问接口的云存储。

[GB/T31916.1—2015，3.1.4]

4日志采集要求

1

DB3301/TXXXX—XXXX

4.1概述

一体化智能化公共数据平台日志采集范围包含但不限于主机系统、数据库、对象存储、云平台管理

控制台、网络设备、安全设备、应用系统的日志，并通过Syslog、API接口等方式采集和外送日志。

4.2日志采集格式

附录A规定了一体化智能化公共数据平台日志数据内容，除附录A规定以外，可根据实际情况自定义

扩展字段。主要包括：

a)主机操作系统日志包括但不限于操作系统的用户登录日志、操作日志、任务日志，按A.1执行；

b)数据库日志包括但不限于数据库的用户登录日志、操作日志，按A.2执行；

c)对象存储日志包括但不限于对象存储的用户登录日志、操作日志，按A.3执行；

d)云平台管理控制台日志包括但不限于云平台管理控制台的用户登录日志、操作日志、云虚拟机

CPU使用率、内存使用率、磁盘空间占有率，按A.4执行；

e)网络设备日志包括但不限于网络设备的用户登录日志、配置变更日志，按A.5执行；

f)安全设备日志包括但不限于安全设备的用户登录日志、配置变更日志、入侵事件日志、设备管

理日志和会话日志，按A.6执行；

g)应用系统日志包括但不限于各类生产业务、管理决策和支撑服务系统的用户登录日志、业务操

作日志、数据归集任务执行日志、数据治理操作日志和API接口调用日志，按A.7执行。

4.3日志采集方式

日志采集方式包括但不限于Syslog、API接口等方式外送日志数据，并应满足下列要求：

a)支持全量、历史数据的外送采集服务；

b)支持实时或定时增量日志外送采集服务；

c)支持按照过滤条件的日志外送采集服务，例如字段内容；

d)支持外送失败报警服务、失败重发服务。

5日志存储要求

在保障安全前提下做好日志存储工作，日志的存储满足下列条件：

a)日志保存的时限不应少于六个月，应对日志进行分类存储，涉及核心业务的日志如另有日志存

储时限要求的，原则上从其规定；

b)日志具有保密性要求时，应采取加密机制保证日志数据保密性，加密机制应符合相关法律法规

要求；

c)日志具有完整性要求时，应采取校验机制，保证日志数据完整性，校验机制应符合相关法律法

规要求；

d)严格控制日志的访问权限，确保日志的授权访问；

e)具备增量备份和恢复能力，当有异地备份要求时，应进行异地备份；

f)与统一的标准时间源保持同步。

6这么日志分析要求

6.1概述

2

DB3301/TXXXX—XXXX

采集的日志可基于规则策略、关联分析、行为分析等不同的维度开展日志分析工作，反映系统运行

状态及使用情况，发现安全风险隐患和安全事件溯源。

6.2规则策略

基于规则策略的日志分析，主要包括：

——主机日志分析；

——数据库日志分析；

——安全设备日志分析；

——应用系统日志分析。

6.2.1主机日志分析

主机日志分析包括但不限于：

a)未经授权的登录；

b)用户账号和权限变更；

c)操作系统的启动、停止信息；

d)系统服务和配置修改；

e)用户操作后，内存占用过高；

f)特殊权限使用和操作。

6.2.2数据库日志分析

数据库日志分析包括但不限于：

a)未经授权的数据库非法连接；

b)未经授权直连数据库后的增删改等操作；

c)用户的关键变更操作，如增删改用户及其权限；

d)数据库服务启动和停止；

e)数据库系统核心配置文件的修改；

f)高风险操作，如对批量数据的导入、导出等。

6.2.3安全设备日志分析

安全设备日志分析包括但不限于：

a)堡垒机日志分析，包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、

多人共用账号等；

b)VPN系统日志分析，包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等；

c)其他安全设备，应重点分析设备的异常告警行为。

6.2.4应用系统日志分析

应用系统日志分析包括但不限于：

a)重要操作记录，对关键配置信息和业务数据的增删改等高危操作；

b)管理员高危操作行为，如增删改系统用户及其权限；

c)操作人员高频查询、违规下载敏感信息等行为；

d)API接口异常,包括但不限于API接口连接通信异常、API接口调用异常骤增骤减、违规获取大

量数据等；

e)多次或连续性登录失败行为。

3

DB3301/TXXXX—XXXX

6.3关联分析

对多种类型、多个设备的日志结合实际场景开展进行综合关联分析，包括但不限于：

a)操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为；

b)操作人员远程上传文件、远程安装的行为；

c)通过分析数据下载、分发的情况，发现可能的数据泄漏（被非法窃取）风险；

d)对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。

6.4行为分析

通过持续对全量日志进行关联综合分析，掌握操作人员关键特征要素，迭代绘制出用户行为基线，

并持续根据用户操作行为的波动情况加以动态调整。行为分析特征维度包括但不限于：

a)特定时间段内，指定用户整体行为状态与该用户整体行为基线的对比分析；

b)特定时间段内，指定用户单维度行为状态与该用户单维度行为基线的对比分析；

c)指定用户行为基线与同组其他用户的平均行为基线对比分析；

d)在特定时间段内，指定用户或应用系统调用同一API接口的频率对比分析。

4

DB3301/TXXXX—XXXX

A

A

附录A

（规范性）

一体化智能化公共数据平台日志

A.1主机操作系统日志

A.1.1主机操作系统登录日志

A.1.1.1表A.1规定了主机操作系统登录日志数据格式。

表A.1主机操作系统登录日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（Windows）

数据来源设备

4src_device_ip字符20必填数据来源设备IP地址

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8eventMessage事件消息字符255必填

录成功，来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填

Attempt。

11user_id用户ID字符100必填登录系统帐号ID

登录系统帐号名称，如：

12user_name用户名字符100必填

Administrator

登录会话ID，如：

13login_id登录ID字符255必填

0xE084E87

登录方法：账号密码登

录、扫码登录、验证码登

14login_type登录方法字符20必填

录、凭证登录、多因素认

证、状态保持

登录方式：本地（Local）、

15login_mode登录方式字符20必填

远程（Remote）

16src_address来源地址字符20必填来源地址

17src_port来源端口字符10必填来源端口

5

DB3301/TXXXX—XXXX

表A.1主机操作系统登录日志数据格式描述表（续）

序号字段名称中文名称字段说明字段长度必填/可选说明

18dest_address目的地址字符20必填目的地址

19dest_port目的端口字符10必填目的端口

A.1.1.2表A.2规定了主机操作系统操作日志数据格式。

表A.2主机操作系统操作日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（Windows）

数据来源设备

4src_device_ip字符20必填数据来源设备IP地址

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如：用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8event_message事件消息字符255必填

录成功，来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填Attempt。登录成功取值：

OK

11user_id用户ID字符100必填登录系统帐号ID

登录系统帐号名称，如：

12user_name用户名字符100必填

Administrator

13command操作指令字符1000必填操作指令：ping

14directory操作目录字符1000可选操作目录

15src_ip来源地址字符20必填来源地址

16src_port来源端口字符10必填来源端口

17dest_ip目的地址字符20必填目的地址

18dest_port目的端口字符10必填目的端口

A.1.2主机操作系统任务计划日志

表A.3规定了主机操作系统任务计划日志数据格式。

6

DB3301/TXXXX—XXXX

表A.3主机操作系统任务计划日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型

数据来源设备

4src_device_ip字符20必填数据来源设备IP地址

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如：用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8event_message事件消息字符255必填

录成功。来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填

Attempt。

11user_id用户ID字符100必填登录系统帐号ID

登录系统帐号名称，如：

12user_name用户名字符100必填

Administrator

13process_id目的进程ID字符255必填新进程ID，如：0x2f

新进程名称，如：

14process_name目的进程名称字符255可选

dllhost.exe

新进程整体文件名称及

路径，如：

15file_name文件名称字符255可选

C:\Windows\System32\d

llhost.exe

16src_ip来源地址字符20必填来源地址

17src_port来源端口字符10必填来源端口

18dest_ip目的地址字符20必填目的地址

19dest_port目的端口字符10必填目的端口

A.2数据库日志

A.2.1数据库登录日志

表A.4规定了数据库登录日志数据格式。

7

DB3301/TXXXX—XXXX

表A.4数据库登录日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（DB）

数据来源设备数据来源设备IP地址

4src_device_ip字符20必填

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如：用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8event_message事件消息字符255必填

录成功，来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填Attempt。登录成功取值：

OK

11db_name数据库名字符50必填操作数据库名

12db_type数据库类型字符20必填数据库类型

操作的数据库版本，如：

13db_version数据库版本字符20必填

1.1

从应用层角度看，与事件

关联的传输数据格式（如

14app_protocol应用协议字符20可选mysql、oracle），这里指

的是数据库使用的应用

协议

连接数据库的客户端工

15client_prg客户端工具名字符20可选

具名称

16user_id用户ID字符100可选登录系统帐号ID

登录系统帐号名称，如：

17user_name用户名字符100必填

Administrator

登录会话ID，如：

18login_id登录ID字符255必填

0xE084E87

8

DB3301/TXXXX—XXXX

表A.4数据库登录日志数据格式描述表（续）

序号字段名称中文名称字段说明字段长度必填/可选说明

登录方法：网络、批处理、

服务、解锁、网络明文、

19login_type登录方法字符20可选

新凭证、远程交互、缓存

交互

登录方式，本地（Local），

20login_mode登录方式字符20必填

远程（Remote）

21src_ip来源地址字符20必填来源地址

22src_port来源端口字符10必填来源端口

23dest_ip目的地址字符20必填目的地址

24dest_port目的端口字符10必填目的端口

A.2.2数据库操作日志

表A.5规定了数据库操作日志数据格式。

表A.5数据库操作日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（DB）

4src_ip源IP字符20必填源IP

5src_host_name源主机名字符50可选源主机名

6dest_ip目的IP字符20必填目的IP

7dest_port目的端口字符20必填目的端口

8db_type数据库类型字符20必填数据库类型

数据库名/实

9db_name字符20必填数据库名/实例名

例名

10table_name表名字符50必填表名

11field_name字段名字符50可选字段名

12session_id会话ID字符50必填会话ID

13payloadSQL报文字符1000必填SQL报文

14effect_row影响行数整数10必填影响行数

15data_set返回数据集字符1000必填返回数据集

返回数据集长

16data_set_size整数10必填返回数据集长度

度

17cost_time执行时长整数50必填执行时长（μs）

18sql_code执行结果码字符20必填执行结果码

9

DB3301/TXXXX—XXXX

表A.5数据库操作日志数据格式描述表（续）

序号字段名称中文名称字段说明字段长度必填/可选说明

SQL操作类型（例如：

SELECT、INSERT、UPDATE、

19sql_op_typeSQL操作类型字符100必填

DELETE、TRUNCATE、DROP

等）

20db_user数据库用户名字符20必填数据库用户名

21client_prg客户端工具名字符50可选客户端工具名

操作系统用户

22client_user字符20可选操作系统用户名

名

23src_device_ip源设备IP字符20必填源设备IP

24src_device_type源设备类型字符50必填源设备类型

25src_device_vendor源设备厂家字符50必填源设备厂家

流量方向（内访问内取值

00，内访问外取值01，

26direction流量方向字符10可选

外访问内取值10，外访

问外取值11）