LookupEvents檢索事件介面時如何設定LookupAttribute參數詳細說明。
LookupEvents檢索詳細歷史事件介面參數LookupAttribute目前僅支援設定一個或者兩個 AttributeItem 作為條件進行檢索,其中設定兩個 AttributeItem 會存在部分限制,詳情參見下文的限制說明。
每個 AttributeItem 由一個檢索鍵(Key)和相應的檢索值(Value)組成。這些索引值對用於描述事件詳情的各種屬性,如雲端服務名稱、事件名稱、調用者名稱等。例如,當 Key 是 "ServiceName" 時,Value 可能是 "Ecs";如果 Key 是 "EventName",那麼 Value 可以是 "ConsoleSignin" 等。
檢索鍵(Key) | 描述(Value) | 樣本值 |
ServiceName | 雲端服務名稱 | Ecs |
EventName | 事件名稱 | ConsoleSignin |
User | 調用者名稱 | Alice |
EventId | 事件 ID | B702AFA3-FD4B-40E3-88E4-C0752FAA**** |
ResourceType | 資源類型 | ACS::ECS::Instance |
ResourceName | 資源名稱 | i-bp14664y88udkt45**** |
EventRW | 請求事件的讀寫類型 | Read(讀類型)、Write(寫類型) |
EventAccessKeyId | 事件的 AccessKey ID | LTAI**************** |
SensitiveAction | 是否為敏感事件 | true(是) |
SourceIpAddress | 請求來源IP地址 | 192.168.*.** |
EventType | 事件類型 | ConsoleOperation |
RoleName | 角色名稱 | AliyunServiceRoleForActionTrail |
限制說明
在設定檢索條件時,您可以選擇設定單個 AttributeItem 檢索條件或同時設定兩個 AttributeItem 檢索條件進行查詢。需要注意的是,檢索鍵(Key)和檢索值(Value)的匹配必須精確,並且區分大小寫。
當同時設定兩個
AttributeItem檢索條件時,系統將返回同時滿足這兩個條件的結果。若兩個檢索條件的 Key 值相同,則僅返回符合第二個檢索條件的結果。
如果設定了超過兩個檢索條件,系統只會考慮並返回符合前兩個條件的結果。
對於同時設定兩個 AttributeItem 檢索條件的情況,以下是支援的 Key 組合:
ServiceName可與以下任意一個組合:EventName、User、PrincipalId、RoleName、ResourceName、EventRW、SensitiveAction或EventType。ResourceName可與以下任意一個組合:ResourceType、EventName、User、RoleName或ServiceName。EventType和EventName可組合查詢。