# 主机行为审计

**路径**: 日志 > 主机行为审计

## 描述

该日志类型记录主机活动的详细审计轨迹，包括用户命令、进程执行和系统修改，用于安全监控和取证分析。

## 基本信息

- **分类ID**: `host_behavior_audit`
- **所属类型**: 日志 (`log`)
- **包含事件类型**: 14 个

## 子分类列表

本主分类包含以下事件类型：

| 事件类ID | 事件类型名称 | 描述 | 字段数 |
|--------|------------|------|--------|
| `host_behavior_audit_account_behavior` | 账户操作审计 | 记录并监控主机系统上的用户账户活动与行为，用于安全审计目的。 | 46 |
| `host_behavior_audit_domain_request` | 域名请求审计 | 记录主机发起的DNS查询和域名解析尝试，监控潜在的恶意或异常域名访问行为。 | 66 |
| `host_behavior_audit_file_operation` | 文件审计 | 记录主机上的文件创建、修改、删除及访问等操作行为，用于安全审计目的。 | 50 |
| `host_behavior_audit_module_load` | 模块加载审计 | 记录主机系统内存中模块或库的加载行为，可能表明存在潜在安全风险或未授权活动。 | 46 |
| `host_behavior_audit_named_pipe` | 命名管道审计 | 记录主机上命名管道操作相关的活动，包括创建、访问和删除事件。 | 37 |
| `host_behavior_audit_network_behavior` | 网络通信审计 | 记录并监控主机执行的网络相关活动与行为，包括连接建立、数据传输及协议使用情况。 | 64 |
| `host_behavior_audit_process_operation` | 进程审计 | 记录主机上进程相关活动的详细审计日志，包括创建、终止和修改事件。 | 41 |
| `host_behavior_audit_registry_operation` | 注册表审计 | 记录并监控主机系统上注册表键值的修改、访问和删除操作。 | 31 |
| `host_behavior_audit_remote_thread_creation` | 远程线程创建 | 记录主机上的远程线程创建活动实例，这可能表明存在潜在的代码注入或权限提升企图。 | 42 |
| `host_behavior_audit_scheduled_task_operation` | 计划任务审计 | 记录与主机系统上计划任务的创建、修改或删除相关的审计事件。 | 27 |
| `host_behavior_audit_script_execution` | 脚本执行审计 | 记录并监控主机上的脚本执行活动，包括脚本名称、执行时间和用户上下文等详细信息。 | 38 |
| `host_behavior_audit_winrm` | WinRM审计 | 记录Windows远程管理(WinRM)活动，包括远程系统管理中的身份验证、命令执行和会话管理。 | 23 |
| `host_behavior_audit_wmi` | WMI审计 | 记录并监控主机上的Windows管理规范(WMI)活动，包括脚本执行和系统配置变更。 | 25 |
| `host_behavior_service` | 服务操作审计 | 记录主机上与服务相关的活动和行为日志，包括服务的启动、停止及配置变更。 | 30 |

### 子分类详情

#### 账户操作审计

- **ID**: `host_behavior_audit_account_behavior`
- **描述**: 记录并监控主机系统上的用户账户活动与行为，用于安全审计目的。
- **字段数**: 46 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_account_behavior/index.html.md)

#### 域名请求审计

- **ID**: `host_behavior_audit_domain_request`
- **描述**: 记录主机发起的DNS查询和域名解析尝试，监控潜在的恶意或异常域名访问行为。
- **字段数**: 66 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_domain_request/index.html.md)

#### 文件审计

- **ID**: `host_behavior_audit_file_operation`
- **描述**: 记录主机上的文件创建、修改、删除及访问等操作行为，用于安全审计目的。
- **字段数**: 50 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_file_operation/index.html.md)

#### 模块加载审计

- **ID**: `host_behavior_audit_module_load`
- **描述**: 记录主机系统内存中模块或库的加载行为，可能表明存在潜在安全风险或未授权活动。
- **字段数**: 46 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_module_load/index.html.md)

#### 命名管道审计

- **ID**: `host_behavior_audit_named_pipe`
- **描述**: 记录主机上命名管道操作相关的活动，包括创建、访问和删除事件。
- **字段数**: 37 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_named_pipe/index.html.md)

#### 网络通信审计

- **ID**: `host_behavior_audit_network_behavior`
- **描述**: 记录并监控主机执行的网络相关活动与行为，包括连接建立、数据传输及协议使用情况。
- **字段数**: 64 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_network_behavior/index.html.md)

#### 进程审计

- **ID**: `host_behavior_audit_process_operation`
- **描述**: 记录主机上进程相关活动的详细审计日志，包括创建、终止和修改事件。
- **字段数**: 41 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_process_operation/index.html.md)

#### 注册表审计

- **ID**: `host_behavior_audit_registry_operation`
- **描述**: 记录并监控主机系统上注册表键值的修改、访问和删除操作。
- **字段数**: 31 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_registry_operation/index.html.md)

#### 远程线程创建

- **ID**: `host_behavior_audit_remote_thread_creation`
- **描述**: 记录主机上的远程线程创建活动实例，这可能表明存在潜在的代码注入或权限提升企图。
- **字段数**: 42 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_remote_thread_creation/index.html.md)

#### 计划任务审计

- **ID**: `host_behavior_audit_scheduled_task_operation`
- **描述**: 记录与主机系统上计划任务的创建、修改或删除相关的审计事件。
- **字段数**: 27 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_scheduled_task_operation/index.html.md)

#### 脚本执行审计

- **ID**: `host_behavior_audit_script_execution`
- **描述**: 记录并监控主机上的脚本执行活动，包括脚本名称、执行时间和用户上下文等详细信息。
- **字段数**: 38 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_script_execution/index.html.md)

#### WinRM审计

- **ID**: `host_behavior_audit_winrm`
- **描述**: 记录Windows远程管理(WinRM)活动，包括远程系统管理中的身份验证、命令执行和会话管理。
- **字段数**: 23 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_winrm/index.html.md)

#### WMI审计

- **ID**: `host_behavior_audit_wmi`
- **描述**: 记录并监控主机上的Windows管理规范(WMI)活动，包括脚本执行和系统配置变更。
- **字段数**: 25 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_audit_wmi/index.html.md)

#### 服务操作审计

- **ID**: `host_behavior_service`
- **描述**: 记录主机上与服务相关的活动和行为日志，包括服务的启动、停止及配置变更。
- **字段数**: 30 个
- **详细信息**: [查看详情](https://www.ocim.tech/osim/data/category/host_behavior_audit/host_behavior_service/index.html.md)