DB3301/T 0371-2022 一体化智能化公共数据平台日志规范

ICS35.020

CCSL72

3301

浙江省杭州市地方标准

DB3301/T0371—2022

一体化智能化公共数据平台日志规范

2022-08-30发布2022-09-30实施

杭州市市场监督管理局  发布

DB3301/T0371—2022

目次

前言..................................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4日志采集要求........................................................................1

4.1概述............................................................................2

4.2日志采集格式....................................................................2

4.3日志采集方式....................................................................2

5日志存储要求........................................................................2

6日志分析要求........................................................................2

6.1概述............................................................................2

6.2规则策略........................................................................3

6.3关联分析........................................................................3

6.4行为分析........................................................................4

附录A（规范性）一体化智能化公共数据平台日志..........................................5

A.1主机操作系统日志................................................................5

A.2数据库日志......................................................................7

A.3对象存储日志...................................................................10

A.4云管理控制台日志...............................................................12

A.5网络设备日志...................................................................13

A.6安全设备日志...................................................................15

A.7应用系统日志...................................................................16

I

DB3301/T0371—2022

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由杭州市数据资源管理局提出、归口并组织实施。

本文件主要起草单位：杭州市大数据管理服务中心（杭州市人民政府电子政务中心）、拱墅区数据

资源管理局、杭州安恒信息技术股份有限公司。

本文件主要起草人：齐同军、张斌、李国喜、吴光静、孙茂阳、胡琼达、姜云洲、李杰、金江锋、

边赢、孙戴博、吴晨、吴怡、徐龙华、樊兴悦。

II

DB3301/T0371—2022

一体化智能化公共数据平台日志规范

1范围

本文件规定了一体化智能化公共数据平台的日志采集要求、日志存储要求、日志分析要求。

本文件适用于一体化智能化公共数据平台日志采集、存储和分析工作。

2规范性引用文件

下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T35295—2017信息技术大数据术语

DB33/T2350—2021数字化改革术语定义

3术语和定义

GB/T25069—2022、GB/T35295—2017、DB33/T2350—2021界定的以及下列术语和定义适用于

本文件。

3.1

一体化智能化公共数据平台integratedintelligentpublicdataplatform

以云计算、大数据、人工智能、互联网等技术为支撑，是省域治理全过程数据感知、数据共享、数

据计算的基础平台。

注1：该平台用于支撑党政机关整体智治、数字政府、数字经济、数字社会、数字法治的实现。

注2：该平台组成包括“四横四纵”体系和“两个前端”，纵向贯通省市县乡各层级。

注3：“四横”是指：基础设施、数据资源、应用支撑、业务应用；“四纵”是指：政策制度、标

准规范、组织保障、政务网络安全；“两个前端”是指：“浙里办”和“浙政钉”。

[来源：DB33/T2350—2021，]

3.2

日志log

系统中记录关于硬件、软件和系统操作及故障的信息。

3.3

云平台cloudplatform

云服务商提供的云基础设施及其上服务软件的集合。

3.4

对象存储objectstorage

以对象作为存储单元,并提供对象级访问接口的云存储。

[GB/T31916.1—2015，3.1.4]

4日志采集要求

1

DB3301/T0371—2022

4.1概述

一体化智能化公共数据平台日志采集范围包含但不限于主机系统、数据库、对象存储、云平台管理

控制台、网络设备、安全设备、应用系统的日志，并通过Syslog、API接口等方式采集和外送日志。

4.2日志采集格式

附录A规定了一体化智能化公共数据平台日志数据内容，除附录A规定以外，可根据实际情况自定义

扩展字段。主要包括：

a)主机操作系统日志包括但不限于操作系统的用户登录日志、操作日志、任务日志，按A.1执行；

b)数据库日志包括但不限于数据库的用户登录日志、操作日志，按A.2执行；

c)对象存储日志包括但不限于对象存储的用户登录日志、操作日志，按A.3执行；

d)云平台管理控制台日志包括但不限于云平台管理控制台的用户登录日志、操作日志、云虚拟机

CPU使用率、内存使用率、磁盘空间占有率，按A.4执行；

e)网络设备日志包括但不限于网络设备的用户登录日志、配置变更日志，按A.5执行；

f)安全设备日志包括但不限于安全设备的用户登录日志、配置变更日志、入侵事件日志、设备管

理日志和会话日志，按A.6执行；

g)应用系统日志包括但不限于各类生产业务、管理决策和支撑服务系统的用户登录日志、业务操

作日志、数据归集任务执行日志、数据治理操作日志和API接口调用日志，按A.7执行。

4.3日志采集方式

日志采集方式包括但不限于Syslog、API接口等方式外送日志数据，并应满足下列要求：

a)支持全量、历史数据的外送采集服务；

b)支持实时或定时增量日志外送采集服务；

c)支持按照过滤条件的日志外送采集服务，例如字段内容；

d)支持外送失败报警服务、失败重发服务。

5日志存储要求

在保障安全前提下做好日志存储工作，日志的存储满足下列条件：

a)日志保存的时限不应少于六个月，应对日志进行分类存储，涉及核心业务的日志如另有日志存

储时限要求的，原则上从其规定；

b)日志具有保密性要求时，应采取加密机制保证日志数据保密性，加密机制应符合相关法律法规

要求；

c)日志具有完整性要求时，应采取校验机制，保证日志数据完整性，校验机制应符合相关法律法

规要求；

d)严格控制日志的访问权限，确保日志的授权访问；

e)具备增量备份和恢复能力，当有异地备份要求时，应进行异地备份；

f)与统一的标准时间源保持同步。

6日志分析要求

6.1概述

2

DB3301/T0371—2022

采集的日志可基于规则策略、关联分析、行为分析等不同的维度开展日志分析工作，反映系统运行

状态及使用情况，发现安全风险隐患和安全事件溯源。

6.2规则策略

6.2.1主机日志分析

主机日志分析包括但不限于：

a)异常登录，包括未经授权登录、多次登录失败、频繁登录、非工作时间登录等；

b)高危端口开启、被利用情况；

c)用户账号和权限变更；

d)操作系统的启动、停止信息；

e)系统服务和配置修改；

f)特殊权限使用和操作。

6.2.2数据库日志分析

数据库日志分析包括但不限于：

a)数据库异常登录行为，如多次登录失败、频繁登录、非工作时间登录、异地登录、频繁变更

登录IP等；

b)数据库越权操作，如对未经授权的敏感数据进行增删改查、导入导出等；

c)用户的关键变更操作，如增删改用户及其权限；

d)数据库服务启动和停止；

e)数据库系统核心配置文件的修改；

f)高风险操作，如对批量数据的导入导出等。

6.2.3安全设备日志分析

安全设备日志分析包括但不限于：

a)堡垒机日志分析，包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、

多人共用账号等；

b)VPN系统日志分析，包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等；

c)其他安全设备，应重点分析设备的异常告警行为。

6.2.4应用系统日志分析

应用系统日志分析包括但不限于：

a)重要操作记录，对关键配置信息和业务数据的增删改操作；

b)管理员操作行为，如增删改系统用户及其权限；

c)操作人员查询敏感信息的行为；

d)操作人员异常登录和异常操作的行为；

e)应用系统的高危漏洞被利用情况；

f)数据接口异常调用等。

6.3关联分析

对多种类型、多个设备的日志结合实际场景开展进行综合关联分析，包括但不限于：

a)操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为；

b)操作人员远程上传文件、远程安装的行为；

3

DB3301/T0371—2022

c)通过分析数据下载、分发的情况，发现可能的数据泄漏（被非法窃取）风险；

d)对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。

6.4行为分析

通过持续对全量日志进行关联综合分析，掌握操作人员关键特征要素，迭代绘制出用户行为基线，

并持续根据用户操作行为的波动情况加以动态调整。行为分析特征维度包括但不限于：

a)特定时间段内，指定用户整体行为状态与该用户整体行为基线的对比分析；

b)特定时间段内，指定用户单维度行为状态与该用户单维度行为基线的对比分析；

c)指定用户行为基线与同组其他用户的平均行为基线对比分析；

d)在特定时间段内，指定用户或应用系统调用同一API接口的频率对比分析。

4

DB3301/T0371—2022

A

A

附录A

（规范性）

一体化智能化公共数据平台日志

A.1主机操作系统日志

A.1.1主机操作系统登录日志

A.1.1.1表A.1规定了主机操作系统登录日志数据格式。

表A.1主机操作系统登录日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（Windows）

数据来源设备

4src_device_ip字符20必填数据来源设备IP地址

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8eventMessage事件消息字符255必填

录成功，来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填

Attempt。

11user_id用户ID字符100必填登录系统帐号ID

登录系统帐号名称，如：

12user_name用户名字符100必填

Administrator

登录会话ID，如：

13login_id登录ID字符255必填

0xE084E87

登录方法：账号密码登

录、扫码登录、验证码登

14login_type登录方法字符20必填

录、凭证登录、多因素认

证、状态保持

登录方式：本地（Local）、

15login_mode登录方式字符20必填

远程（Remote）

16src_address来源地址字符20必填来源地址

17src_port来源端口字符10必填来源端口

5

DB3301/T0371—2022

表A.1主机操作系统登录日志数据格式描述表（续）

序号字段名称中文名称字段说明字段长度必填/可选说明

18dest_address目的地址字符20必填目的地址

19dest_port目的端口字符10必填目的端口

A.1.1.2表A.2规定了主机操作系统操作日志数据格式。

表A.2主机操作系统操作日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（Windows）

数据来源设备

4src_device_ip字符20必填数据来源设备IP地址

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如：用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8event_message事件消息字符255必填

录成功，来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填Attempt。登录成功取值：

OK

11user_id用户ID字符100必填登录系统帐号ID

登录系统帐号名称，如：

12user_name用户名字符100必填

Administrator

13command操作指令字符1000必填操作指令：ping

14directory操作目录字符1000可选操作目录

15src_ip来源地址字符20必填来源地址

16src_port来源端口字符10必填来源端口

17dest_ip目的地址字符20必填目的地址

18dest_port目的端口字符10必填目的端口

A.1.2主机操作系统任务计划日志

表A.3规定了主机操作系统任务计划日志数据格式。

6

DB3301/T0371—2022

表A.3主机操作系统任务计划日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型

数据来源设备

4src_device_ip字符20必填数据来源设备IP地址

IP地址

5src_device_type源设备类型字符50必填源设备类型

6src_device_vendor数据来源厂商字符20必填数据来源厂商

事件或事件类型的简短

7event_name事件名称字符20必填

描述，如：用户登录成功

事件详细描述和失败原

因，如用户zhansan登

8event_message事件消息字符255必填

录成功。来源IP：

事件严重程度，事件对网

络安全可能造成的破坏

9severity事件等级整数5可选

性的相对度量值，它是一

个介于0到10之间的值。

事件结果取值：OK、FAIL、

10result事件结果枚举10必填

Attempt。

11user_id用户ID字符100必填登录系统帐号ID

登录系统帐号名称，如：

12user_name用户名字符100必填

Administrator

13process_id目的进程ID字符255必填新进程ID，如：0x2f

新进程名称，如：

14process_name目的进程名称字符255可选

dllhost.exe

新进程整体文件名称及

路径，如：

15file_name文件名称字符255可选

C:\Windows\System32\d

llhost.exe

16src_ip来源地址字符20必填来源地址

17src_port来源端口字符10必填来源端口

18dest_ip目的地址字符20必填目的地址

19dest_port目的端口字符10必填目的端口

A.2数据库日志

A.2.1数据库登录日志

表A.4规定了数据库登录日志数据格式。

7

DB3301/T0371—2022

表A.4数据库登录日志数据格式描述表

序号字段名称中文名称字段说明字段长度必填/可选说明

1log_time日志产生时间字符20必填日志产生时间戳

2log_id日志ID字符20必填日志ID

3log_type日志类型字符20必填日志类型（DB）

数据来源设备数据来源设备IP地址

4