# 服务操作审计

**路径**: 日志 > 主机行为审计 > 服务操作审计

## 描述

记录主机上与服务相关的活动和行为日志，包括服务的启动、停止及配置变更。

## 基本信息

- **分类ID**: `host_behavior_service`
- **所属主分类**: 主机行为审计 (`host_behavior_audit`)
- **所属类型**: 日志

## 字段定义

本事件类型包含以下字段：

| 字段ID | 字段名称 | 数据类型 | 重要性 | 描述 |
|--------|---------|---------|--------|------|
| `machineCode` | 机器码 | `string` | REQUIRED | 机器码是日志来源设备的唯一标识符（设备ID），主要用于设备级联追踪。该字段值应保持全局唯一性，若无现成的设备ID，可参考硬件编码或基于许可证（license）信息生成。格式上，它必须为字符串，允许使用的字符包括大写字母（A-Z）、小写字母（a-z）和数字（0-9）。长度无固定限制，但应保证其唯一性和可管理性。 |
| `productVendorName` | 产品厂商名称 | `string` | REQUIRED | 产品厂商名称字段用于标识安全产品厂商的官方全称。格式为字符串，无特定字符集限制，但应使用厂商在工商注册或官方宣传中使用的标准名称，以确保一致性和准确性。 |
| `deviceSendProductName` | 设备产品名称 | `string` | REQUIRED | 设备产品名称用于标识生成日志的软件或硬件产品的官方标准名称。格式为字符串，需使用明确、规范的官方产品名称。 |
| `deviceName` | 设备名称 | `string` | REQUIRED | 设备名称，用于标识日志生成设备的名称，可添加资产属性（如总部、下级等）。 |
| `deviceAssetSubTypeId` | 设备子类型ID | `enum` | REQUIRED | 设备子类型ID是设备类型子分类的唯一数字标识符，用于标识具体的设备子类型。该字段为枚举类型，取值应在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `1` | Windows | Microsoft Windows操作系统 |
| `2` | Nix | 类Unix操作系统，包括Linux和BSD变种 |
| `3` | 路由器 | 网络路由设备，用于在网络之间转发数据包 |
| `4` | 交换机 | 网络交换设备，用于在局域网内连接设备并转发数据帧 |
| `5` | VPN | 虚拟专用网络设备，提供安全的远程访问和站点到站点连接 |
| `6` | 负载均衡 | 负载均衡设备，用于分发网络流量以提高性能和可靠性 |
| `7` | 防火墙 | 网络安全设备，用于控制进出网络的流量基于安全规则 |
| `8` | 网闸 | 网络隔离设备，用于在安全级别不同的网络之间进行安全数据交换 |
| `9` | 入侵检测系统(IDS) | 入侵检测系统，用于监控网络或系统活动以检测恶意行为 |
| `10` | 入侵防护系统(IPS) | 入侵防护系统，在检测到威胁时主动阻止恶意流量 |
| `11` | 统一威胁管理(UTM) | 统一威胁管理设备，集成多种安全功能如防火墙、防病毒和入侵防护 |
| `12` | 下一代防火墙 | 下一代防火墙，提供应用层检测、深度包检查和高级威胁防护 |
| `13` | Web应用防火墙(WAF) | Web应用防火墙，专门保护Web应用程序免受SQL注入、XSS等攻击 |
| `14` | 流量监测设备 | 网络流量监测设备，用于实时分析和监控网络流量模式 |
| `15` | 网页防篡改 | 网页防篡改系统，保护网站内容不被未经授权修改 |
| `16` | 抗DDoS系统 | 抗分布式拒绝服务攻击系统，缓解DDoS攻击以保护服务可用性 |
| `17` | 防病毒系统 | 防病毒系统，检测和清除恶意软件、病毒和木马 |
| `18` | 防间谍系统 | 防间谍软件系统，防止间谍软件窃取敏感信息和监控用户活动 |
| `19` | 防泄密系统 | 数据防泄密系统，监控和防止敏感数据通过各类渠道泄露 |
| `20` | 邮件审计系统 | 邮件审计系统，监控和审计电子邮件内容以符合安全策略和合规要求 |
| `21` | 身份管理系统 | 身份和访问管理系统，管理用户身份认证、授权和权限 |
| `22` | 流量清洗系统 | 流量清洗系统，过滤恶意流量以保护网络资源和业务连续性 |
| `23` | 数据库审计系统 | 数据库审计系统，监控和记录数据库访问、操作和权限变更 |
| `24` | Web审计系统 | Web审计系统，审计Web应用程序的访问、操作和安全事件 |
| `25` | 运维审计系统 | 运维审计系统，监控和记录系统运维操作，防止越权访问 |
| `26` | 上网行为审计系统 | 上网行为审计系统，监控和审计员工网络使用行为以符合安全策略 |
| `27` | 统一审计网关 | 统一审计网关，集中收集、规范化和分析各类审计日志 |
| `28` | 日志审计系统 | 日志审计系统，收集、存储、分析和告警系统安全日志 |
| `29` | 安全管理系统 | 安全管理系统，集成安全管理功能如策略管理、风险管理和事件响应 |
| `30` | 蜜罐系统 | 蜜罐系统，诱骗攻击者以收集攻击信息和分析攻击手法 |
| `31` | 应用扫描器 | 应用程序漏洞扫描器，检测Web应用和移动应用的安全漏洞 |
| `32` | 网络扫描器 | 网络漏洞扫描器，扫描网络设备、服务和端口以发现安全漏洞 |
| `33` | 主机扫描器 | 主机漏洞扫描器，扫描操作系统和应用程序漏洞及配置问题 |
| `34` | WEB服务器 | Web服务器软件，如IIS、Apache、Nginx等，托管网站和应用 |
| `35` | 数据库服务器 | 数据库服务器软件，如MySQL、Oracle、SQL Server等，存储和管理数据 |
| `36` | 邮件服务器 | 邮件服务器软件，如Exchange、Postfix等，处理电子邮件收发 |
| `37` | 存储服务器 | 存储服务器，提供数据存储、备份和共享服务 |
| `38` | FTP服务器 | FTP服务器，提供文件传输协议服务，支持文件上传下载 |
| `39` | 应用服务器 | 应用服务器，运行企业应用程序和业务逻辑，如Java EE、.NET应用 |
| `43` | Windows审计代理 | Windows系统审计代理，收集Windows事件日志和系统活动 |
| `44` | Nix审计代理 | 类Unix系统审计代理，收集Linux/Unix系统日志和审计数据 |
| `45` | WMI审计代理 | Windows管理规范审计代理，通过WMI收集系统信息和事件 |
| `51` | 采集器 | 日志采集器，从各种数据源收集和转发日志数据 |
| `52` | 通信服务器 | 通信服务器，处理网络通信、消息传递和协议转换 |
| `53` | 关联引擎 | 安全事件关联引擎，分析日志数据以检测复杂安全事件 |
| `55` | 其他 | 其他未分类的设备类型 |
| `56` | 主机安全管理系统(EDR) | 端点检测与响应系统，监控主机活动、检测威胁并响应安全事件 |
| `57` | 虚拟化设备 | 虚拟化平台设备，如VMware ESXi、Hyper-V等，运行虚拟机 |
| `58` | 网络打印机 | 网络连接的打印机设备，支持网络打印功能 |
| `59` | APT | 高级持久威胁检测系统，针对APT攻击进行监测和防护 |
| `60` | DNS服务器 | 域名系统服务器，提供域名解析服务和DNS安全防护 |
| `61` | API风险监测系统 | API风险监测系统，监控API接口的安全风险和使用异常 |
| `62` | API安全网关 | API安全网关，保护API接口免受攻击，提供认证、授权和限流 |
| `63` | 脆弱性扫描系统 | 脆弱性扫描系统，全面扫描系统、网络和应用漏洞 |
| `65` | UES | 统一端点安全系统，集成终端防护、检测和响应功能 |

| `deviceAddress` | 设备IP地址 | `string` | REQUIRED | 设备产生日志时的IP地址，用于标识日志来源设备。格式要求：必须为有效的IPv4或IPv6地址格式。 |
| `eventId` | 事件ID | `string` | REQUIRED | 事件ID是日志事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成。格式应为标准的UUID字符串，例如：550e8400-e29b-41d4-a716-446655440000。要求全局唯一，不可重复。 |
| `name` | 概要名称 | `string` | REQUIRED | 概要名称是日志或告警的简要标题或标识，用于快速识别事件内容。该字段为字符串类型，需保持简洁明了。 |
| `message` | 描述 | `string` | OPTIONAL | 用于记录日志或告警的详细描述信息，以文本字符串形式存储。内容通常包含对安全事件、系统活动或异常情况的说明、上下文及关键参数。 |
| `startTime` | 开始时间 | `string` | REQUIRED | 该字段记录事件活动开始的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `endTime` | 结束时间 | `string` | REQUIRED | 记录事件活动结束的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `deviceReceiptTime` | 设备接收时间 | `string` | REQUIRED | 该字段记录设备采集器本地接收并生成日志事件的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `collectorReceiptTime` | 采集器接收时间 | `string` | REQUIRED | 采集器接收日志事件的精确时间，时间格式必须为标准的日期时间字符串，格式要求为yyyy-mm-dd HH:mm:ss。 |
| `severity` | 安全威胁等级 | `integer` | RECOMMENDED | 标识日志或告警的安全威胁严重程度等级。该字段为整型数值，取值范围为0至10，每个数值对应特定的威胁级别：0表示无风险，1-3表示低危，4-6表示中危，7-9表示高危，10表示危急。 |
| `catOutcome` | 结果分类 | `enum` | RECOMMENDED | 该字段用于标识事件操作或攻击的最终结果状态。其值为预定义的枚举类型，当前主要可选值包括：OK（表示操作成功）、FAIL（表示操作失败）、Attempt（表示尝试性操作）。取值应严格限定在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `OK` | 成功 | 可以合理的推测事件已成功 |
| `FAIL` | 失败 | 可以合理的推测事件已失败 |
| `Attempt` | 尝试 | 事件已发生，但是无法明确成功或失败 |

| `logType` | 日志类型 | `enum` | RECOMMENDED | 该字段标识日志事件的功能或对象实体分类。其值为预定义的枚举字符串，例如：alert（告警类日志）、traffic（网络通信类日志）、process（进程操作类日志）、command（命令执行类日志）、file（文件操作类日志）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `alert` | 告警类日志 | 安全告警事件日志，包含威胁检测、异常行为和安全风险告警 |
| `traffic` | 网络通信类日志 | 网络流量和通信会话日志，记录网络连接、数据传输和协议通信 |
| `process` | 进程操作类日志 | 进程生命周期管理日志，记录进程创建、终止、注入等操作 |
| `command` | 命令执行类日志 | 命令行和脚本执行日志，记录系统命令、PowerShell和Shell命令执行 |
| `file` | 文件操作类日志 | 文件系统操作日志，记录文件创建、修改、删除、访问等操作 |
| `account` | 账号操作类日志 | 用户账户管理日志，记录用户登录、注销、权限变更和账户管理操作 |
| `config` | 配置操作类日志 | 系统配置变更日志，记录安全策略、系统设置和配置修改操作 |
| `status` | 系统状态类日志 | 系统运行状态日志，记录系统启动、关机、重启和运行状态变更 |
| `system_operation` | 系统操作类日志 | 系统级管理操作日志，记录系统维护、管理和控制操作 |
| `system_resource` | 系统资源类日志 | 系统资源使用日志，记录CPU、内存、磁盘和网络资源使用情况 |
| `domain` | 域名操作类日志 | 域名解析和查询日志，记录DNS查询、域名解析和网络定位操作 |
| `registry` | 注册表操作类日志 | Windows注册表操作日志，记录注册表键值创建、修改和删除操作 |
| `app` | 应用程序类日志 | 应用程序运行日志，记录应用程序启动、运行、错误和业务操作 |
| `service` | 服务操作类日志 | 系统服务管理日志，记录Windows/Linux服务的创建、启动、停止和配置变更 |
| `task` | 任务操作类日志 | 计划任务和作业日志，记录定时任务创建、执行、修改和删除操作 |
| `thread` | 线程操作类日志 | 线程管理日志，记录线程创建、终止、挂起和优先级变更操作 |
| `module` | 模块操作类日志 | 程序模块管理日志，记录DLL、SO等模块的加载、卸载和内存映射 |
| `driver` | 驱动操作类日志 | 设备驱动程序日志，记录内核驱动加载、卸载和运行状态 |
| `pipe` | 管道操作类日志 | 进程间通信日志，记录命名管道创建、连接、数据传输操作 |
| `wmi` | WMI操作类日志 | Windows管理规范操作日志，记录WMI查询、事件订阅和代码执行 |
| `winrm` | WinRM操作类日志 | Windows远程管理日志，记录远程PowerShell命令执行和系统管理操作 |
| `others` | 其他类型日志 | 未分类的其他日志类型，包含无法归入上述分类的日志事件 |

| `opType` | 操作类型 | `enum` | RECOMMENDED | 操作类型，标识事件中对目标对象执行的具体操作行为。本字段为枚举类型，其值必须为预定义的操作类型字符串，例如：read（读取）、write（写入）、create（创建）、delete（删除）、modify（修改）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `read` | 读取 | 读取数据操作，包括文件读取、注册表查询、内存读取等 |
| `write` | 写入 | 写入数据操作，包括文件写入、注册表修改、配置变更等 |
| `create` | 创建 | 创建新对象操作，包括文件创建、进程创建、用户账户创建等 |
| `delete` | 删除 | 删除对象操作，包括文件删除、注册表项删除、用户账户删除等 |
| `modify` | 修改 | 修改对象属性操作，包括文件属性修改、权限变更、配置调整等 |
| `login` | 登录 | 身份认证成功操作，包括系统登录、应用登录、远程访问登录等 |
| `logout` | 登出 | 会话终止操作，包括用户登出、会话超时、强制注销等 |
| `execute` | 执行 | 程序执行操作，包括进程启动、命令执行、脚本运行等 |
| `start` | 启动 | 服务启动操作，包括系统服务启动、计划任务触发、守护进程启动等 |
| `stop` | 停止 | 服务停止操作，包括系统服务停止、进程终止、任务结束等 |
| `access` | 访问 | 资源访问操作，包括进程访问、内存访问、共享资源访问等 |
| `connect` | 连接 | 网络连接操作，包括网络连接建立、会话创建、远程连接等 |
| `load` | 加载 | 模块加载操作，包括驱动加载、DLL加载、插件加载等 |
| `send` | 发送 | 数据发送操作，包括网络数据发送、邮件发送、消息发送等 |
| `receive` | 接收 | 数据接收操作，包括网络数据接收、邮件接收、消息接收等 |
| `combine` | 组合操作 | 复合操作类型，表示多个操作的组合执行 |
| `others` | 其他操作 | 未分类的其他操作类型 |
| `query` | 查询 | 数据查询操作，包括数据库查询、目录查询、信息检索等 |
| `rename` | 重命名 | 对象重命名操作，包括文件重命名、账户重命名、服务重命名等 |
| `listen` | 监听 | 网络监听操作，包括端口监听、会话监听、事件监听等 |
| `setValue` | 设置键值 | 键值设置操作，包括注册表键值设置、配置参数设置、环境变量设置等 |
| `addedGroup` | 添加至组 | 组成员添加操作，包括用户添加到组、计算机加入域等 |
| `removedGroup` | 组中移除 | 组成员移除操作，包括用户从组中移除、计算机脱离域等 |
| `changePassword` | 修改密码 | 密码修改操作，包括用户密码修改、服务账户密码变更等 |
| `resetPassword` | 重置密码 | 密码重置操作，包括管理员重置用户密码、密码恢复等 |
| `disable` | 禁用 | 对象禁用操作，包括用户账户禁用、服务禁用、策略禁用等 |
| `enable` | 启用 | 对象启用操作，包括用户账户启用、服务启用、策略启用等 |
| `lock` | 锁定 | 对象锁定操作，包括用户账户锁定、会话锁定、资源锁定等 |
| `unlock` | 解锁 | 对象解锁操作，包括用户账户解锁、会话解锁、资源解锁等 |

| `eventCount` | 事件数量 | `long` | RECOMMENDED | 事件数量字段用于统计相同类型或相关事件的发生次数。通常为非负整数。 |
| `dataSourceAddress` | 数据来源地址 | `string` | RECOMMENDED | 数据来源地址，指提供数据的设备网络地址。该字段必须是合法的IP地址格式，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如192.168.1.5），IPv6地址为冒号分隔的十六进制格式。 |
| `serviceName` | 服务名称 | `string` | RECOMMENDED | 服务名称，指在系统或应用程序中运行的服务标识。 |
| `serviceType` | 服务类型 | `string` | OPTIONAL | 服务类型，用于标识在网络侧通过端口暴露或在终端侧操作系统内部运行的应用程序服务类型。 |
| `serviceImage` | 服务路径 | `string` | RECOMMENDED | 服务所在的进程文件的完整路径及参数，采用字符串格式表示，支持包含文件名和启动参数。 |
| `startType` | 启动类型 | `string` | OPTIONAL | 该字段表示服务或程序的启动类型，用于描述其启动方式，例如自动、手动或禁用。 |
| `accountName` | 账号名 | `string` | OPTIONAL | 账号名是系统中用户账号的可读标识。格式为字符串，通常由字母、数字及部分特殊字符（如下划线、点号）组成。 |
| `oldStartType` | 原启动方式 | `string` | OPTIONAL | 该字段记录修改前的原始启动方式，用于标识系统或服务在变更前的启动配置状态。 |
| `newStartType` | 新启动方式 | `string` | OPTIONAL | 新启动方式是指服务配置修改后的新启动方式。 |
| `displayName` | 显示名称 | `string` | OPTIONAL | 显示名称用于用户友好展示的别名。 |
| `status` | 状态 | `string` | OPTIONAL | 标识操作、请求或系统组件的当前执行状态。该字段为字符串类型，通常用于表示事务或流程的结果。 |
| `hostAddress` | 主机IP | `string` | RECOMMENDED | 主机IP地址，用于标识主机在网络中的位置。必须符合IPv4或IPv6地址格式规范。IPv4地址为点分十进制格式，由四个0-255的十进制数组成，以点分隔。IPv6地址为冒号分隔的十六进制数格式。 |
| `deviceVersion` | 设备版本 | `string` | OPTIONAL | 设备版本标识设备固件、操作系统或嵌入式软件的完整版本信息。版本号通常采用多段数字格式，如主版本号.次版本号.修订号.构建号等。 |

### 字段统计

- **总字段数**: 30
- **必填字段**: 12
- **推荐字段**: 9
- **可选字段**: 9

### 数据类型分布

- **string**: 24 个字段
- **integer**: 1 个字段
- **long**: 1 个字段
- **enum**: 4 个字段