本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
事件屬性
每個日誌項目都需要包含足夠詳細的資訊以進行監控和分析。您可以記錄完整的內容資料,但記錄摘錄或摘要屬性會更有效。應用程式日誌必須記錄每個事件的時間、位置、使用者、內容及影響。其中的屬性會有所不同,具體取決於架構、應用程式類別以及主機系統或裝置。
記錄日期和時間戳記時,使用國際標準時間 (UTC) 以及 ISO 8601
注意
請考慮使用網路時間同步服務來協助確保準確的時間戳記。Amazon 提供 Amazon Time Sync Service,許多 AWS 服務 都在使用此服務,包括 Amazon Elastic Compute Cloud (Amazon EC2)。Amazon Time Sync Service 在每個 AWS 區域 中使用一組與衛星連線的原子參考時鐘,透過網路時間協定 (NTP) 提供對 UTC 全球標準的最新精準時間讀數。如需詳細資訊,請參閱使用 Amazon Time Sync Service 確保時間
下列事件屬性通常包含在日誌中。
屬性類別 |
事件屬性 |
描述 |
|---|---|---|
當 |
記錄日期和時間 |
記錄事件新增至日誌的日期和時間。 |
事件日期和時間 |
記錄事件發生的日期和時間。這可能與日誌記錄不同,例如,由於用戶端應用程式託管在定期或間歇性處於線上狀態的遠端裝置上而導致日誌記錄延遲。 |
|
事件識別符 |
記錄使用者名稱、帳號或其他唯一屬性,以確保永遠可以識別事件。 |
|
位置 |
應用程式識別符 |
記錄應用程式名稱和版本。 |
應用程式地址 |
記錄叢集或主機名稱、伺服器 IPv4 或 IPv6 位址、連接埠號碼、工作站身分和本機裝置識別符。 |
|
服務 |
記錄服務名稱和協定。 |
|
GeoLocation |
記錄使用者的地理位置。 |
|
視窗、表單或頁面 |
記錄進入點 URL、Web 應用程式的 HTTP 方法或執行動作的對話方塊名稱。 |
|
程式碼位置 |
記錄指令碼或模組名稱。 |
|
使用者 (人類或機器使用者) |
來源地址 |
記錄使用者的裝置識別符、IP 地址、行動或無線射頻 (RF) 塔樓 ID 或行動電話號碼。 |
使用者身分 |
如果使用者已通過身分驗證或以其他方式已知,則記錄使用者資料庫表主索引鍵值、使用者名稱或授權編號。 |
|
使用者類型分類 |
記錄使用者類型,例如公有、經過身分驗證、CMS、搜尋引擎、授權滲透測試人員或正常執行時間監控。如需有關執行時間監控的詳細資訊,請參閱本指南中的 注意事項和排除。 |
|
請求 HTTP 標頭或 HTTP 使用者代理程式
|
(僅限 Web 應用程式) 記錄 HTTP 請求標頭資訊,包括 HTTP 使用者代理程式字串,因為這些值會影響用戶端傳送至伺服器的資訊。 |
|
內容 |
事件類型 |
記錄事件是提供資訊、警告還是錯誤。 |
事件嚴重性 |
將事件嚴重性分類,例如高、中和低。 |
|
安全事件旗標 |
如果日誌包含與安全事件無關的資料,請為與安全相關的事件建立旗標以協助您進行識別。 |
|
事件描述 |
(選用) 包括事件的簡短描述。 |
|
動作或意圖 |
記錄請求的原始預期用途,例如登入、重新整理工作階段 ID、登出或更新設定檔。 |
|
使用者或應用程式回應 |
記錄使用者或應用程式對事件的回應,例如狀態碼、自訂文字訊息、停止工作階段或管理員提醒。 |
|
結果狀態 |
記錄動作是否成功,例如成功、失敗或延遲。 |
|
結果原因 |
記錄狀態發生的原因。例如,登入請求可能會失敗,因為使用者未在資料庫中進行身分驗證。 |
|
延伸詳細資訊 |
記錄與事件關聯的任何其他資訊,例如堆疊追蹤、系統錯誤訊息、偵錯資訊和 HTTP 請求內文。 |
|
HTTP 回應狀態碼 |
(僅限 Web 應用程式) 記錄傳回給使用者的 HTTP 回應狀態碼,例如 |
|
影響 |
影響的資源 |
記錄針對哪些資源採取行動。 |
物件 |
記錄受影響的元件或其他物件,例如使用者帳戶、資料資源、檔案、URL 或工作階段 ID。 |
|
資源名稱 |
記錄受影響資源的名稱。 |
|
資源標籤 |
記錄指派給受影響資源的標籤。如需有關標籤的詳細資訊,請參閱標記 AWS 資源 (AWS 一般參考)。 |
|
其他 |
分析可信度 |
記錄日誌服務對事件偵測的可信度,例如指派低、中或高評分或數值。 |
內部分類 |
記錄標準或合規遵守的任何內部分類。 |
|
外部分類 |
記錄標準或合規遵守的任何外部分類,例如 NIST 安全內容自動化協定 (SCAP)。 |
