# 应用访问认证

**路径**: 日志 > 身份认证与访问 > 应用访问认证

## 描述

记录应用级身份认证事件的日志，包括用户登录尝试、会话管理和访问控制验证。

## 基本信息

- **分类ID**: `authentication_access_app_auth`
- **所属主分类**: 身份认证与访问 (`authentication_and_access`)
- **所属类型**: 日志

## 字段定义

本事件类型包含以下字段：

| 字段ID | 字段名称 | 数据类型 | 重要性 | 描述 |
|--------|---------|---------|--------|------|
| `machineCode` | 机器码 | `string` | REQUIRED | 机器码是日志来源设备的唯一标识符（设备ID），主要用于设备级联追踪。该字段值应保持全局唯一性，若无现成的设备ID，可参考硬件编码或基于许可证（license）信息生成。格式上，它必须为字符串，允许使用的字符包括大写字母（A-Z）、小写字母（a-z）和数字（0-9）。长度无固定限制，但应保证其唯一性和可管理性。 |
| `productVendorName` | 产品厂商名称 | `string` | REQUIRED | 产品厂商名称字段用于标识安全产品厂商的官方全称。格式为字符串，无特定字符集限制，但应使用厂商在工商注册或官方宣传中使用的标准名称，以确保一致性和准确性。 |
| `deviceSendProductName` | 设备产品名称 | `string` | REQUIRED | 设备产品名称用于标识生成日志的软件或硬件产品的官方标准名称。格式为字符串，需使用明确、规范的官方产品名称。 |
| `deviceName` | 设备名称 | `string` | REQUIRED | 设备名称，用于标识日志生成设备的名称，可添加资产属性（如总部、下级等）。 |
| `deviceAssetSubTypeId` | 设备子类型ID | `enum` | REQUIRED | 设备子类型ID是设备类型子分类的唯一数字标识符，用于标识具体的设备子类型。该字段为枚举类型，取值应在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `1` | Windows | Microsoft Windows操作系统 |
| `2` | Nix | 类Unix操作系统，包括Linux和BSD变种 |
| `3` | 路由器 | 网络路由设备，用于在网络之间转发数据包 |
| `4` | 交换机 | 网络交换设备，用于在局域网内连接设备并转发数据帧 |
| `5` | VPN | 虚拟专用网络设备，提供安全的远程访问和站点到站点连接 |
| `6` | 负载均衡 | 负载均衡设备，用于分发网络流量以提高性能和可靠性 |
| `7` | 防火墙 | 网络安全设备，用于控制进出网络的流量基于安全规则 |
| `8` | 网闸 | 网络隔离设备，用于在安全级别不同的网络之间进行安全数据交换 |
| `9` | 入侵检测系统(IDS) | 入侵检测系统，用于监控网络或系统活动以检测恶意行为 |
| `10` | 入侵防护系统(IPS) | 入侵防护系统，在检测到威胁时主动阻止恶意流量 |
| `11` | 统一威胁管理(UTM) | 统一威胁管理设备，集成多种安全功能如防火墙、防病毒和入侵防护 |
| `12` | 下一代防火墙 | 下一代防火墙，提供应用层检测、深度包检查和高级威胁防护 |
| `13` | Web应用防火墙(WAF) | Web应用防火墙，专门保护Web应用程序免受SQL注入、XSS等攻击 |
| `14` | 流量监测设备 | 网络流量监测设备，用于实时分析和监控网络流量模式 |
| `15` | 网页防篡改 | 网页防篡改系统，保护网站内容不被未经授权修改 |
| `16` | 抗DDoS系统 | 抗分布式拒绝服务攻击系统，缓解DDoS攻击以保护服务可用性 |
| `17` | 防病毒系统 | 防病毒系统，检测和清除恶意软件、病毒和木马 |
| `18` | 防间谍系统 | 防间谍软件系统，防止间谍软件窃取敏感信息和监控用户活动 |
| `19` | 防泄密系统 | 数据防泄密系统，监控和防止敏感数据通过各类渠道泄露 |
| `20` | 邮件审计系统 | 邮件审计系统，监控和审计电子邮件内容以符合安全策略和合规要求 |
| `21` | 身份管理系统 | 身份和访问管理系统，管理用户身份认证、授权和权限 |
| `22` | 流量清洗系统 | 流量清洗系统，过滤恶意流量以保护网络资源和业务连续性 |
| `23` | 数据库审计系统 | 数据库审计系统，监控和记录数据库访问、操作和权限变更 |
| `24` | Web审计系统 | Web审计系统，审计Web应用程序的访问、操作和安全事件 |
| `25` | 运维审计系统 | 运维审计系统，监控和记录系统运维操作，防止越权访问 |
| `26` | 上网行为审计系统 | 上网行为审计系统，监控和审计员工网络使用行为以符合安全策略 |
| `27` | 统一审计网关 | 统一审计网关，集中收集、规范化和分析各类审计日志 |
| `28` | 日志审计系统 | 日志审计系统，收集、存储、分析和告警系统安全日志 |
| `29` | 安全管理系统 | 安全管理系统，集成安全管理功能如策略管理、风险管理和事件响应 |
| `30` | 蜜罐系统 | 蜜罐系统，诱骗攻击者以收集攻击信息和分析攻击手法 |
| `31` | 应用扫描器 | 应用程序漏洞扫描器，检测Web应用和移动应用的安全漏洞 |
| `32` | 网络扫描器 | 网络漏洞扫描器，扫描网络设备、服务和端口以发现安全漏洞 |
| `33` | 主机扫描器 | 主机漏洞扫描器，扫描操作系统和应用程序漏洞及配置问题 |
| `34` | WEB服务器 | Web服务器软件，如IIS、Apache、Nginx等，托管网站和应用 |
| `35` | 数据库服务器 | 数据库服务器软件，如MySQL、Oracle、SQL Server等，存储和管理数据 |
| `36` | 邮件服务器 | 邮件服务器软件，如Exchange、Postfix等，处理电子邮件收发 |
| `37` | 存储服务器 | 存储服务器，提供数据存储、备份和共享服务 |
| `38` | FTP服务器 | FTP服务器，提供文件传输协议服务，支持文件上传下载 |
| `39` | 应用服务器 | 应用服务器，运行企业应用程序和业务逻辑，如Java EE、.NET应用 |
| `43` | Windows审计代理 | Windows系统审计代理，收集Windows事件日志和系统活动 |
| `44` | Nix审计代理 | 类Unix系统审计代理，收集Linux/Unix系统日志和审计数据 |
| `45` | WMI审计代理 | Windows管理规范审计代理，通过WMI收集系统信息和事件 |
| `51` | 采集器 | 日志采集器，从各种数据源收集和转发日志数据 |
| `52` | 通信服务器 | 通信服务器，处理网络通信、消息传递和协议转换 |
| `53` | 关联引擎 | 安全事件关联引擎，分析日志数据以检测复杂安全事件 |
| `55` | 其他 | 其他未分类的设备类型 |
| `56` | 主机安全管理系统(EDR) | 端点检测与响应系统，监控主机活动、检测威胁并响应安全事件 |
| `57` | 虚拟化设备 | 虚拟化平台设备，如VMware ESXi、Hyper-V等，运行虚拟机 |
| `58` | 网络打印机 | 网络连接的打印机设备，支持网络打印功能 |
| `59` | APT | 高级持久威胁检测系统，针对APT攻击进行监测和防护 |
| `60` | DNS服务器 | 域名系统服务器，提供域名解析服务和DNS安全防护 |
| `61` | API风险监测系统 | API风险监测系统，监控API接口的安全风险和使用异常 |
| `62` | API安全网关 | API安全网关，保护API接口免受攻击，提供认证、授权和限流 |
| `63` | 脆弱性扫描系统 | 脆弱性扫描系统，全面扫描系统、网络和应用漏洞 |
| `65` | UES | 统一端点安全系统，集成终端防护、检测和响应功能 |

| `deviceAddress` | 设备IP地址 | `string` | REQUIRED | 设备产生日志时的IP地址，用于标识日志来源设备。格式要求：必须为有效的IPv4或IPv6地址格式。 |
| `eventId` | 事件ID | `string` | REQUIRED | 事件ID是日志事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成。格式应为标准的UUID字符串，例如：550e8400-e29b-41d4-a716-446655440000。要求全局唯一，不可重复。 |
| `name` | 概要名称 | `string` | REQUIRED | 概要名称是日志或告警的简要标题或标识，用于快速识别事件内容。该字段为字符串类型，需保持简洁明了。 |
| `message` | 描述 | `string` | OPTIONAL | 用于记录日志或告警的详细描述信息，以文本字符串形式存储。内容通常包含对安全事件、系统活动或异常情况的说明、上下文及关键参数。 |
| `startTime` | 开始时间 | `string` | REQUIRED | 该字段记录事件活动开始的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `endTime` | 结束时间 | `string` | REQUIRED | 记录事件活动结束的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `deviceReceiptTime` | 设备接收时间 | `string` | REQUIRED | 该字段记录设备采集器本地接收并生成日志事件的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `collectorReceiptTime` | 采集器接收时间 | `string` | REQUIRED | 采集器接收日志事件的精确时间，时间格式必须为标准的日期时间字符串，格式要求为yyyy-mm-dd HH:mm:ss。 |
| `severity` | 安全威胁等级 | `integer` | RECOMMENDED | 标识日志或告警的安全威胁严重程度等级。该字段为整型数值，取值范围为0至10，每个数值对应特定的威胁级别：0表示无风险，1-3表示低危，4-6表示中危，7-9表示高危，10表示危急。 |
| `catOutcome` | 结果分类 | `enum` | RECOMMENDED | 该字段用于标识事件操作或攻击的最终结果状态。其值为预定义的枚举类型，当前主要可选值包括：OK（表示操作成功）、FAIL（表示操作失败）、Attempt（表示尝试性操作）。取值应严格限定在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `OK` | 成功 | 可以合理的推测事件已成功 |
| `FAIL` | 失败 | 可以合理的推测事件已失败 |
| `Attempt` | 尝试 | 事件已发生，但是无法明确成功或失败 |

| `logType` | 日志类型 | `enum` | RECOMMENDED | 该字段标识日志事件的功能或对象实体分类。其值为预定义的枚举字符串，例如：alert（告警类日志）、traffic（网络通信类日志）、process（进程操作类日志）、command（命令执行类日志）、file（文件操作类日志）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `alert` | 告警类日志 | 安全告警事件日志，包含威胁检测、异常行为和安全风险告警 |
| `traffic` | 网络通信类日志 | 网络流量和通信会话日志，记录网络连接、数据传输和协议通信 |
| `process` | 进程操作类日志 | 进程生命周期管理日志，记录进程创建、终止、注入等操作 |
| `command` | 命令执行类日志 | 命令行和脚本执行日志，记录系统命令、PowerShell和Shell命令执行 |
| `file` | 文件操作类日志 | 文件系统操作日志，记录文件创建、修改、删除、访问等操作 |
| `account` | 账号操作类日志 | 用户账户管理日志，记录用户登录、注销、权限变更和账户管理操作 |
| `config` | 配置操作类日志 | 系统配置变更日志，记录安全策略、系统设置和配置修改操作 |
| `status` | 系统状态类日志 | 系统运行状态日志，记录系统启动、关机、重启和运行状态变更 |
| `system_operation` | 系统操作类日志 | 系统级管理操作日志，记录系统维护、管理和控制操作 |
| `system_resource` | 系统资源类日志 | 系统资源使用日志，记录CPU、内存、磁盘和网络资源使用情况 |
| `domain` | 域名操作类日志 | 域名解析和查询日志，记录DNS查询、域名解析和网络定位操作 |
| `registry` | 注册表操作类日志 | Windows注册表操作日志，记录注册表键值创建、修改和删除操作 |
| `app` | 应用程序类日志 | 应用程序运行日志，记录应用程序启动、运行、错误和业务操作 |
| `service` | 服务操作类日志 | 系统服务管理日志，记录Windows/Linux服务的创建、启动、停止和配置变更 |
| `task` | 任务操作类日志 | 计划任务和作业日志，记录定时任务创建、执行、修改和删除操作 |
| `thread` | 线程操作类日志 | 线程管理日志，记录线程创建、终止、挂起和优先级变更操作 |
| `module` | 模块操作类日志 | 程序模块管理日志，记录DLL、SO等模块的加载、卸载和内存映射 |
| `driver` | 驱动操作类日志 | 设备驱动程序日志，记录内核驱动加载、卸载和运行状态 |
| `pipe` | 管道操作类日志 | 进程间通信日志，记录命名管道创建、连接、数据传输操作 |
| `wmi` | WMI操作类日志 | Windows管理规范操作日志，记录WMI查询、事件订阅和代码执行 |
| `winrm` | WinRM操作类日志 | Windows远程管理日志，记录远程PowerShell命令执行和系统管理操作 |
| `others` | 其他类型日志 | 未分类的其他日志类型，包含无法归入上述分类的日志事件 |

| `opType` | 操作类型 | `enum` | RECOMMENDED | 操作类型，标识事件中对目标对象执行的具体操作行为。本字段为枚举类型，其值必须为预定义的操作类型字符串，例如：read（读取）、write（写入）、create（创建）、delete（删除）、modify（修改）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `read` | 读取 | 读取数据操作，包括文件读取、注册表查询、内存读取等 |
| `write` | 写入 | 写入数据操作，包括文件写入、注册表修改、配置变更等 |
| `create` | 创建 | 创建新对象操作，包括文件创建、进程创建、用户账户创建等 |
| `delete` | 删除 | 删除对象操作，包括文件删除、注册表项删除、用户账户删除等 |
| `modify` | 修改 | 修改对象属性操作，包括文件属性修改、权限变更、配置调整等 |
| `login` | 登录 | 身份认证成功操作，包括系统登录、应用登录、远程访问登录等 |
| `logout` | 登出 | 会话终止操作，包括用户登出、会话超时、强制注销等 |
| `execute` | 执行 | 程序执行操作，包括进程启动、命令执行、脚本运行等 |
| `start` | 启动 | 服务启动操作，包括系统服务启动、计划任务触发、守护进程启动等 |
| `stop` | 停止 | 服务停止操作，包括系统服务停止、进程终止、任务结束等 |
| `access` | 访问 | 资源访问操作，包括进程访问、内存访问、共享资源访问等 |
| `connect` | 连接 | 网络连接操作，包括网络连接建立、会话创建、远程连接等 |
| `load` | 加载 | 模块加载操作，包括驱动加载、DLL加载、插件加载等 |
| `send` | 发送 | 数据发送操作，包括网络数据发送、邮件发送、消息发送等 |
| `receive` | 接收 | 数据接收操作，包括网络数据接收、邮件接收、消息接收等 |
| `combine` | 组合操作 | 复合操作类型，表示多个操作的组合执行 |
| `others` | 其他操作 | 未分类的其他操作类型 |
| `query` | 查询 | 数据查询操作，包括数据库查询、目录查询、信息检索等 |
| `rename` | 重命名 | 对象重命名操作，包括文件重命名、账户重命名、服务重命名等 |
| `listen` | 监听 | 网络监听操作，包括端口监听、会话监听、事件监听等 |
| `setValue` | 设置键值 | 键值设置操作，包括注册表键值设置、配置参数设置、环境变量设置等 |
| `addedGroup` | 添加至组 | 组成员添加操作，包括用户添加到组、计算机加入域等 |
| `removedGroup` | 组中移除 | 组成员移除操作，包括用户从组中移除、计算机脱离域等 |
| `changePassword` | 修改密码 | 密码修改操作，包括用户密码修改、服务账户密码变更等 |
| `resetPassword` | 重置密码 | 密码重置操作，包括管理员重置用户密码、密码恢复等 |
| `disable` | 禁用 | 对象禁用操作，包括用户账户禁用、服务禁用、策略禁用等 |
| `enable` | 启用 | 对象启用操作，包括用户账户启用、服务启用、策略启用等 |
| `lock` | 锁定 | 对象锁定操作，包括用户账户锁定、会话锁定、资源锁定等 |
| `unlock` | 解锁 | 对象解锁操作，包括用户账户解锁、会话解锁、资源解锁等 |

| `eventCount` | 事件数量 | `long` | RECOMMENDED | 事件数量字段用于统计相同类型或相关事件的发生次数。通常为非负整数。 |
| `dataSourceAddress` | 数据来源地址 | `string` | RECOMMENDED | 数据来源地址，指提供数据的设备网络地址。该字段必须是合法的IP地址格式，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如192.168.1.5），IPv6地址为冒号分隔的十六进制格式。 |
| `srcPort` | 源端口 | `integer` | RECOMMENDED | 源端口是指网络连接发起方的端口号，用于标识发起通信的应用程序或服务。端口号必须是整数，取值范围为0到65535，其中0通常保留，1到1023为知名端口，1024到49151为注册端口，49152到65535为动态或私有端口。 |
| `destPort` | 目的端口 | `integer` | RECOMMENDED | 目的端口是网络连接接收方的端口号，用于标识接收方应用程序或服务。该字段为整数类型，取值范围为0-65535，其中0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。 |
| `srcMacAddress` | 源MAC地址 | `string` | OPTIONAL | 源MAC地址表示网络数据帧发送方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。 |
| `destMacAddress` | 目的MAC地址 | `string` | OPTIONAL | 目的MAC地址表示网络数据帧接收方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。 |
| `srcGeoCountry` | 来源国家 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的国家或地区信息。 |
| `srcGeoRegion` | 来源地区 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的省级行政区域名称，用于标识流量的地理来源。其值应为中国省级行政区划的名称，例如“北京市”、“浙江省”、“新疆维吾尔自治区”等，或国际公认的国家及地区名称。格式为字符串，无固定长度限制，建议使用标准、完整的官方名称以确保一致性和准确性。 |
| `srcGeoCity` | 来源城市 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的城市级别行政区域名称。其值为字符串类型，该信息通常由IP地址归属地查询服务提供，无特定的格式或字符集强制要求，但建议保持名称的一致性。 |
| `srcGeoAddress` | 来源详细地址 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的详细地址描述，用于定位来源的具体物理或行政位置。其值为字符串类型，通常包含国家、省份、城市、区县、街道及门牌号等层级信息。 |
| `srcGeoLatitude` | 来源纬度 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的地理纬度坐标，以字符串格式存储。纬度坐标应遵循十进制表示法，取值范围为-90.000000到90.000000，其中北纬为正，南纬为负。 |
| `srcGeoLongitude` | 来源经度 | `string` | OPTIONAL | 来源经度表示网络连接发起方IP地址所对应的地理经度坐标。格式为十进制浮点数字符串，取值范围为-180.000000到180.000000，保留小数点后六位，使用点号（.）作为小数点分隔符，负值表示西经，正值表示东经。 |
| `destGeoCountry` | 目的国家 | `string` | OPTIONAL | 目的国家，指网络连接接收方IP地址所对应的国家名称。该字段值为国家或地区的完整中文名称，例如“中国”、“美国”等。 |
| `destGeoRegion` | 目的地区 | `string` | OPTIONAL | 该字段表示网络连接接收方IP地址所对应的中国省级行政区域名称，用于标识网络流量的地理目的地。其值应为中国省级行政区划的规范名称，例如“浙江省”、“北京市”或“新疆维吾尔自治区”等，不包含“省”、“市”、“自治区”等后缀的简称（如“浙江”、“北京”、“新疆”）也可接受。该字段为字符串类型，无特定字符集或长度限制，但应确保名称的准确性和一致性。 |
| `destGeoCity` | 目的城市 | `string` | OPTIONAL | 目的城市是指网络连接接收方IP地址所对应的城市级别行政区域名称。该字段为字符串类型，需使用标准城市名称。 |
| `destGeoAddress` | 目的详细地址 | `string` | OPTIONAL | 目的详细地址，描述网络连接接收方IP地址所对应的详细地址信息。格式为字符串，应包含国家、省/州、城市、街道等层级的详细信息，以构成一个完整的物理位置描述。 |
| `destGeoLatitude` | 目的纬度 | `string` | OPTIONAL | 目的纬度表示网络连接接收方IP地址所对应的地理纬度坐标。该值为字符串类型，通常以十进制小数形式表示，取值范围为-90.000000到90.000000。 |
| `destGeoLongitude` | 目的经度 | `string` | OPTIONAL | 目的经度是指网络连接接收方IP地址所对应的地理经度坐标。格式为十进制小数形式的字符串，取值范围为-180.000000至180.000000。 |
| `srcAddress` | 来源IP | `string` | RECOMMENDED | 来源IP地址，指网络连接或安全事件的发起方所使用的IP地址。该字段必须符合IP地址格式规范，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如：192.168.1.1），IPv6地址为冒号分隔的十六进制格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。 |
| `destAddress` | 目的IP | `string` | RECOMMENDED | 目的IP地址，标识网络通信连接的目标IP地址。格式要求：必须符合IP地址格式规范，支持IPv4（如192.168.1.1）或IPv6（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）地址表示法。 |
| `direction` | 数据流方向 | `enum` | RECOMMENDED | 基于源和目标IP地址的网络位置分类数据流方向。该字段为枚举类型，表示数据流在内外网之间的流向，具体取值及含义如下：11 表示外网访问外网；10 表示外网访问内网；01 表示内网访问外网；00 表示内网访问内网。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `11` | 外访问外 | 来源IP为外部IP，目的IP为外部IP，数据方向：外访问外 |
| `10` | 外访问内 | 来源IP为外部IP，目的IP为内部IP，数据方向：外访问内 |
| `01` | 内访问外 | 来源IP为内部IP，目的IP为外部IP，数据方向：内访问外 |
| `00` | 内访问内 | 来源IP为内部IP，目的IP为内部IP，数据方向：内访问内 |

| `transProtocol` | 传输协议 | `enum` | OPTIONAL | 传输层协议类型，表示OSI模型中传输层使用的协议。可选值包括：TCP（传输控制协议）、UDP（用户数据报协议）等标准传输层协议。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `TCP` | 传输控制协议 | 面向连接的可靠传输协议，提供数据包顺序传输、错误检测和重传机制 |
| `UDP` | 用户数据报协议 | 无连接的不可靠传输协议，提供低延迟的数据传输，适用于实时应用 |

| `appProtocol` | 应用协议 | `enum` | RECOMMENDED | 应用协议字段表示OSI模型中应用层使用的协议类型。该字段为枚举类型，取值范围应在预定义的协议标识符列表中。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `http` | http | http |
| `https` | https | https |
| `dns` | dns | dns |
| `ssh` | ssh | ssh |
| `telnet` | telnet | telnet |
| `telnets` | telnets | telnets |
| `rsync` | rsync | rsync |
| `tftp` | tftp | tftp |
| `ftp` | ftp | ftp |
| `sftp` | sftp | sftp |
| `smb` | smb | smb |
| `ntp` | ntp | ntp |
| `mysql` | mysql | mysql |
| `ms-sql-s` | ms-sql-s | ms-sql-s |
| `ms-sql-m` | ms-sql-m | ms-sql-m |
| `oracle` | oracle | oracle |
| `nfs` | nfs | nfs |
| `pop2` | pop2 | pop2 |
| `pop3` | pop3 | pop3 |
| `pop3s` | pop3s | pop3s |
| `smtp` | smtp | smtp |
| `imap` | imap | imap |
| `imaps` | imaps | imaps |
| `chargen` | chargen | chargen |
| `qotd` | qotd | qotd |
| `x11` | x11 | x11 |
| `uucp` | uucp | uucp |
| `rcp` | rcp | rcp |
| `postgres` | postgres | postgres |
| `bootps` | bootps | bootps |
| `bootpc` | bootpc | bootpc |
| `squid` | squid | squid |
| `ftps` | ftps | ftps |
| `ircs` | ircs | ircs |
| `echo` | echo | echo |
| `sunrpc` | sunrpc | sunrpc |
| `auth` | auth | auth |
| `tacacs` | tacacs | tacacs |
| `nntp` | nntp | nntp |
| `radius` | radius | radius |
| `netbios-ns` | netbios-ns | netbios-ns |
| `netbios-dgm` | netbios-dgm | netbios-dgm |
| `netbios-ssn` | netbios-ssn | netbios-ssn |
| `wins` | wins | wins |
| `snmp` | snmp | snmp |
| `snmptrap` | snmptrap | snmptrap |
| `bgp` | bgp | bgp |
| `irc` | irc | irc |
| `ldap` | ldap | ldap |
| `ldaps` | ldaps | ldaps |
| `timbuktu` | timbuktu | timbuktu |
| `nnsp` | nnsp | nnsp |
| `daytime` | daytime | daytime |
| `ircd` | ircd | ircd |
| `isakmp` | isakmp | isakmp |
| `printer` | printer | printer |
| `dhcpv6-client` | dhcpv6-client | dhcpv6-client |
| `dhcpv6-server` | dhcpv6-server | dhcpv6-server |
| `rtsp` | rtsp | rtsp |
| `nntps` | nntps | nntps |
| `discard` | discard | discard |
| `ipx` | ipx | ipx |
| `finger` | finger | finger |
| `rdp` | rdp | rdp |

| `relateAddress` | 关联IP | `string` | OPTIONAL | 关联IP是与主操作用户存在关联关系的辅助IP地址信息，用于记录三层关联情况下的网络地址信息。例如在数据库审计中的站库分离场景中，此字段可用于关联用户登录Web服务器时的网络地址。该字段值必须为有效的IPv4或IPv6地址格式。 |
| `requestUrlQuery` | 请求URI | `string` | OPTIONAL | 该字段表示HTTP请求URL中从根路径符“/”开始到查询字符串末尾的部分，即包括路径和查询参数。格式要求：必须为有效的URI路径及查询字符串，以“/”开头，可以包含字母、数字、连字符、下划线、点号以及查询参数（以“?”开头，参数间以“&”分隔）。 |
| `requestUrl` | 请求URL | `string` | OPTIONAL | 该字段表示HTTP请求URL中从根路径'/'开始到查询字符串'?'之前的部分，用于标识请求的资源路径。其值必须是一个合法的URL路径字符串，通常以'/'开头，不应包含协议、域名、端口或查询参数（即'?'及之后的内容）。字符串内容应符合URL路径的通用规范，可以包含字母、数字以及特定的安全字符（如-._~!$&'()*+,;=:@%）。 |
| `appName` | 应用名称 | `string` | OPTIONAL | 该字段表示被访问或引用的应用名称，用于标识产生该日志的应用程序或服务。其值为字符串类型，通常为应用的自定义名称或标识符。 |
| `serviceName` | 服务名称 | `string` | OPTIONAL | 服务名称，指在系统或应用程序中运行的服务标识。 |
| `destHostName` | 目标主机名 | `string` | OPTIONAL | 目标主机名（目标标识）指网络连接或安全事件中目标设备的网络标识，它可以是 DNS 主机名（含 FQDN）、NetBIOS 名称、本地主机名或 IP 地址；若访问时包含非标准端口，则通常应在标识后附加 :端口号（如 192.168.1.1:8080 或 host.example.com:8443）。 |
| `objectName` | 对象名称 | `string` | OPTIONAL | 对象名称，指访问或操作的目标对象名称，例如数据库名、应用名、文件名等。 |
| `objectType` | 对象类型 | `string` | OPTIONAL | 标识系统对象的分类类型，例如Directory（目录）、File（文件）、User（用户）等。该字段为字符串类型，用于明确区分系统中不同种类的资源对象。 |
| `srcUserName` | 源用户名 | `string` | RECOMMENDED | 源用户名指发起网络连接、系统访问或安全事件的主体用户身份名称。 |
| `userName` | 用户名称 | `string` | RECOMMENDED | 用户名称，指用户的真实姓名。 |
| `userAgent` | 用户代理 | `string` | OPTIONAL | 用户代理字符串，用于标识发起请求的客户端（用户代理）的匿名化信息，通常包含客户端的操作系统、浏览器类型、版本、设备类型等。格式需符合HTTP标准的User-Agent字符串。 |
| `requestMethod` | 请求方法 | `string` | OPTIONAL | 网络请求客户端向服务器发送请求时使用的HTTP请求方法类型，如GET、POST、PUT、DELETE等标准方法。该字段值必须统一使用大写英文字母表示 |
| `requestContentType` | 请求内容类型 | `string` | OPTIONAL | 请求内容类型，对应网络请求头中的Content-Type字段，用于描述请求数据的格式和字符编码。其值通常为标准MIME类型字符串，格式规范为“主类型/子类型”，并可附加参数（如字符集）。常见示例包括“application/json”、“text/html; charset=utf-8”等。 |
| `responseBody` | 响应体 | `string` | OPTIONAL | 该字段表示HTTP网络请求响应客户端接收到的响应内容。格式为字符串，内容通常为文本、JSON、XML或HTML等。 |
| `responseCode` | 响应码 | `string` | OPTIONAL | 响应码是网络请求后服务器返回的状态码，用于表示请求的处理结果。 |
| `responseContentType` | 响应内容类型 | `string` | OPTIONAL | 响应内容类型标识网络请求响应头中的内容类型，用于描述返回数据的媒体类型格式和字符编码。格式应符合HTTP标准的内容类型规范，通常由主类型和子类型组成，可选参数包括字符编码等，例如"application/json; charset=utf-8"。取值应为有效的MIME类型字符串。 |
| `destUserName` | 目标用户名 | `string` | OPTIONAL | 该字段表示网络连接、系统访问或安全事件的目标主体用户身份名称。其值为字符串类型，具体内容应为操作系统或应用程序中定义的有效用户名。 |
| `bytesIn` | 请求字节数 | `long` | OPTIONAL | 该字段用于统计客户端请求消息的字节总量，其值为非负长整型。 |
| `bytesOut` | 响应字节数 | `long` | OPTIONAL | 响应字节数，用于统计服务器响应消息的字节总量。该字段为长整型数值，其值必须为非负整数，表示字节数。 |
| `deviceVersion` | 设备版本 | `string` | OPTIONAL | 设备版本标识设备固件、操作系统或嵌入式软件的完整版本信息。版本号通常采用多段数字格式，如主版本号.次版本号.修订号.构建号等。 |
| `srcTransAddress` | 转换后源IP地址 | `string` | OPTIONAL | 转换后源IP地址是指经过网络地址转换（NAT）、代理服务器或VPN隧道封装处理后，数据包在网络层呈现的源IP地址。该字段必须符合IP地址格式规范，即点分十进制表示的IPv4地址（例如：192.168.1.1）或符合RFC标准的IPv6地址。 |

### 字段统计

- **总字段数**: 61
- **必填字段**: 12
- **推荐字段**: 14
- **可选字段**: 35

### 数据类型分布

- **string**: 48 个字段
- **integer**: 3 个字段
- **long**: 3 个字段
- **enum**: 7 个字段