响应参数 状态码：200 表3 响应Body参数 参数 参数类型 描述 script_id String UUID project_id String 项目ID workspace_id String 工作空间ID script_name String 脚本名称 category String 参数解释: 脚本分类 RETRIEVE 检索 ANALYSIS 分析 约束限制 不涉及 取值范围: RETRIEVE ANALYSIS 默认值 不涉及 directory String 脚本目录分组名称，长度在1到256个字符之间。 description String 脚本的相关描述信息，长度在1到1024个字符之间。 script_type String 参数解释: 分析脚本类型 SEC_MASTER_SQL 安全云脑 SQL RETRIEVE_SQL 检索SQL 约束限制 不涉及 取值范围: SEC_MASTER_SQL RETRIEVE_SQL 默认值 不涉及 retrieve_table_id String UUID script String 脚本内容，长度在1到10240个字符之间。 owner String Iam用户ID script_params Array of AnalysisScriptParam objects 分析脚本参数列表 create_by String Iam用户ID create_time Integer 毫秒时间戳 update_by String Iam用户ID update_time Integer 毫秒时间戳 表4 AnalysisScriptParam 参数 参数类型 描述 key String 键 key value String 值 value 状态码：400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述

URI GET /v2/{project_id}/workspaces/{workspace_id}/siem/analysis-scripts/{analysis_script_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释： 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 workspace_id 是 String 工作空间ID analysis_script_id 是 String 分析脚本 ID

URI DELETE /v2/{project_id}/workspaces/{workspace_id}/siem/retrieve-scripts/{retrieve_script_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释： 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 workspace_id 是 String 工作空间ID retrieve_script_id 是 String 检索脚本 ID

URI PUT /v2/{project_id}/workspaces/{workspace_id}/siem/retrieve-scripts/{retrieve_script_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释： 项目ID，用于明确项目归属，配置后可通过该ID查询项目下资产，可以通过调用API获取，也可以从控制台获取。获取项目ID 约束限制： 不涉及 取值范围： 不涉及 默认取值： 不涉及 workspace_id 是 String 工作空间ID retrieve_script_id 是 String 检索脚本ID

响应示例 状态码：200 请求成功。 更多状态码请参考状态码。 { "data" : { "script_uuid" : "SC20230831110xxx", "name" : "testExxx", "description" : "测试xx", "type" : "SHELL", "content" : "echo \"${aaa}\"", "script_params" : [ { "param_name" : "value", "param_value" : "aaa", "param_description" : "测试参数", "param_order" : 1, "sensitive" : false } ], "gmt_created" : 1686059454716, "gmt_modified" : 1745222192134, "status" : "APPROVED", "creator" : "COC-TEST", "creator_id" : "1994a3ed905a47ad82c6xxxxxxx", "operator" : "COC-TEST", "properties" : { "risk_level" : "LOW", "version" : "1.0.0" }, "enterprise_project_id" : 0 } }

响应参数 状态码：200 表3 响应Body参数 参数 参数类型 描述 data ScriptDetailModel object 参数解释： 自定义脚本的详细数据。 取值范围： 不涉及。 表4 ScriptDetailModel 参数 参数类型 描述 script_uuid String 参数解释： 脚本uuid。 取值范围： 不涉及。 name String 参数解释： 脚本名称。 取值范围： 不涉及。 version String 参数解释： 脚本版本号。 约束条件 。 后期废除，不建议使用。 取值范围： 不涉及。 description String 参数解释： 脚本描述。 取值范围： 不涉及。 type String 参数解释： 脚本类型。 SHELL：shell脚本。 PYTHON：Python脚本。 BAT：Bat脚本。 取值范围： SHELL/PYTHON/BAT。 content String 参数解释： 脚本内容。 取值范围： 不涉及。 script_params Array of ScriptParamDefine objects 参数解释： 脚本入参。 取值范围： 不涉及。 status String 参数解释： 脚本状态 PENDING_APPROVE：待审批。 APPROVED：正常（审批通过）。 REJECTED：驳回（审批人，驳回该脚本）。 取值范围： PENDING_APPROVE/APPROVED/REJECTED。 gmt_created Long 参数解释： 创建时间。 取值范围： 不涉及。 gmt_modified Long 参数解释： 修改时间。 取值范围： 不涉及。 creator String 参数解释： 创建人。 取值范围： 不涉及。 creator_id String 参数解释： 创建人Id。 取值范围： 不涉及。 operator String 参数解释： 修改人。 取值范围： 不涉及。 properties ScriptPropertiesModel object 参数解释： 脚本标签：风险等级risk_level(取值范围：LOW/MEDIUM/HIGH)、审批人reviewer、脚本解释器interpreter等。 取值范围： 不涉及。 enterprise_project_id String 参数解释： 企业项目id。 取值范围： 不涉及。 表5 ScriptParamDefine 参数 参数类型 描述 param_name String 参数解释： 参数名。 约束限制： 参数名仅支持字母、数字以及下划线。 取值范围： 不涉及。 默认取值： 不涉及。 param_value String 参数解释： 参数值。 约束限制： 参数长度为1-4096位。 可以包含大写字母、小写字母、数字及特殊字符(_-/.* ?:",=+@#[{]})。 禁止出现连续'.'。 取值范围： 不涉及。 默认取值： 不涉及。 param_description String 参数解释： 参数描述。 约束限制： 不涉及。 取值范围： 不涉及。 默认取值： 不涉及。 param_order Integer 参数解释： 参数顺序。【已废弃】该参数已废弃，传入该参数不会生效。 约束限制： 不涉及。 取值范围： 不涉及。 默认取值： 不涉及。 sensitive Boolean 参数解释： 是否是敏感参数。 约束限制： true/false。 取值范围： true/false。 默认取值： 不涉及。 表6 ScriptPropertiesModel 参数 参数类型 描述 risk_level String 参数解释： 风险等级。 约束限制： LOW：低风险。 MEDIUM：中风险。 HIGH：高风险。 取值范围： LOW/MEDIUM/HIGH。 默认取值： 不涉及。 version String 参数解释： 脚本版本号。 约束限制： 格式：1.0.0 取值范围： 不涉及。 默认取值： 不涉及。 reviewers Array of ReviewerInfo objects 参数解释： 审批人，不填写不需要审批。 约束限制： 不涉及。 取值范围： 不涉及。 默认取值： 不涉及。 protocol String 参数解释： 审批 消息通知 协议，用于通知审批人。 约束限制： DEFAULT：默认。 SMS ：短信。 EMAIL：邮件。 DING_TALK：钉钉。 WE_LINK：welink。 WECHAT：微信。 CALLNOTIFY：语言。 NOT_TO_NOTIFY：不通知。 取值范围： DEFAULT：默认。 SMS：短信。 EMAIL：邮件。 DING_TALK：钉钉。 WE_LINK：welink。 WECHAT：微信。 CALLNOTIFY：语言。 NOT_TO_NOTIFY：不通知。 默认取值： 不涉及。 表7 ReviewerInfo 参数 参数类型 描述 reviewer_name String 参数解释： 审批人名称（ IAM 用户名）。 约束限制： IAM用户名。 取值范围： 不涉及。 默认取值： 不涉及。 reviewer_id String 参数解释： 审批人ID（IAM用户Id）。 约束限制： IAM用户Id。 取值范围： 不涉及。 默认取值： 不涉及。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 参数解释： 租户token。 约束限制： 从IAM获取的租户token。 取值范围： 不涉及。 默认取值： 不涉及。 X-Language 否 String 参数解释： 国际化标记，zh-cn表示中文，en-us或不传表示英文。 约束限制： zh-cn表示中文，en-us或不传表示英文。 取值范围： zh-cn/en-us。 默认取值： 不涉及。 x-project-id 否 String 参数解释： 项目ID。 约束限制： region对应的项目ID。 取值范围： 不涉及。 默认取值： 不涉及。 x-user-profile 否 String 参数解释： IAM5.0用户信息。 约束限制： 不涉及。 取值范围： 不涉及。 默认取值： 不涉及。