本文列举了云产品日志的字段详情。
操作审计(ActionTrail)
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为actiontrail_event |
| owner_id | 主账号ID |
| event | 事件主体,JSON格式,事件主体的内容随事件变化。 |
| event.eventId | 事件ID,事件的唯一标示 |
| event.eventName | 事件名称 |
| event.eventSource | 事件来源 |
| event.eventType | 事件类型 |
| event.eventVersion | ActionTrail的数据格式版本,固定为1 |
| event.acsRegion | 事件所在的地域 |
| event.requestId | 操作云产品的请求ID |
| event.apiVersion | 相关API的版本 |
| event.errorMessage | 事件失败的错误信息 |
| event.serviceName | 事件相关服务名称 |
| event.sourceIpAddress | 事件相关的源IP地址 |
| event.userAgent | 事件相关的客户端Agent |
| event.requestParameters.HostId | 请求参数中的主机ID |
| event.requestParameters.Name | 请求参数中的名称 |
| event.requestParameters.Region | 请求参数中的域 |
| event.userIdentity.accessKeyId | 请求所使用的AccessKey ID |
| event.userIdentity.accountId | 请求账户的ID |
| event.userIdentity.principalId | 请求相关账户的凭证ID |
| event.userIdentity.type | 请求相关账户的类型 |
| event.userIdentity.userName | 请求相关账户的账户名 |
| event.errorCode | 事件失败的错误码 |
| addionalEventData.isMFAChecked | 登录账号是否开启MFA |
| addionalEventData.loginAccount | 登录账号 |
负载均衡(SLB)
| 日志字段 | 说明 |
|---|---|
| owner_id | 主账号ID |
| region | 实例所在地域 |
| instance_id | 实例ID |
| instance_name | 实例名 |
| network_type | 网络类型,包括VPC、Classic |
| vpc_id | VPC ID |
| body_bytes_sent | 发送给客户端的http body的字节数。 |
| client_ip | 请求客户端IP地址 |
| client_port | 请求客户端端口 |
| host | 优先从request请求参数中获取host,如果获取不到,则从host header中取值,如果还是获取不到,则以处理请求的后端服务器IP作为host。 |
| http_host | 请求报文host header的内容。 |
| http_referer | proxy收到的请求报文中http的referer header的内容。 |
| http_user_agent | proxy收到的请求报文中http的user-agent header的内容。 |
| http_x_forwarded_for | proxy收到的请求报文中x-forwarded-for header的内容。 |
| http_x_real_ip | 真实的客户端IP地址 |
| read_request_time | proxy读取request时间,单位:毫秒 |
| request_length | 请求报文的长度,包括startline、http头报文和http body。 |
| request_method | 请求报文的方法 |
| request_time | proxy收到第一个请求报文的时间到proxy返回应答之间的间隔时间,单位:秒。 |
| request_uri | proxy收到的请求报文的URI。 |
| scheme | 请求的schema,例如:http或https |
| server_protocol | proxy收到的http协议的版本,例如HTTP/1.0或HTTP/1.1。 |
| slb_vport | SLB的监听端口 |
| slbid | SLB实例ID |
| ssl_cipher | 使用的cipher,例如ECDHE-RSA-AES128-GCM-SHA256。 |
| ssl_protocol | 建立SSL连接使用的协议,例如TLSv1.2。 |
| status | proxy应答报文的状态 |
| tcpinfo_rtt | 客户端的tcp rtt时间,单位:微秒 |
| time | 日志记录时间 |
| upstream_addr | 后端服务器的IP地址和端口 |
| upstream_response_time | 从SLB向后端建立连接开始到接受完数据然后关闭连接为止的时间,单位:秒。 |
| upstream_status | proxy收到的后端服务器的响应状态码。 |
| vip_addr | vip地址 |
| write_response_time | proxy写的响应时间,单位:毫秒 |
API网关
| 日志字段 | 说明 |
|---|---|
| owner_id | API提供者的帐户ID |
| apiGroupUid | API的分组ID |
| apiGroupName | API分组名称 |
| apiUid | API ID |
| apiName | API名称 |
| apiStageUid | API环境ID |
| apiStageName | API环境名称 |
| httpMethod | 调用的HTTP方法 |
| path | 请求的PATH |
| domain | 调用的域名 |
| statusCode | Http的状态码 |
| errorMessage | 错误信息 |
| appId | 调用者应用ID |
| appName | 调用者应用名称 |
| clientIp | 调用者客户端IP |
| exception | 后端返回的具体错误信息 |
| region | 地域,例如cn-hangzhou |
| requestHandleTime | 请求时间,格林威治时间 |
| requestId | 请求ID,全局唯一 |
| requestSize | 请求大小,单位:字节 |
| responseSize | 返回数据大小,单位:字节 |
| serviceLatency | 后端延迟,单位:毫秒 |
Web应用防火墙(WAF)
| 字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为waf_access_log。 |
| owner_id | 阿里云主账号ID。 |
| acl_action | WAF精准访问控制规则行为,例如pass、drop、captcha。
说明 空值或短划线(-)也表示pass。
|
| acl_blocks | 是否被精准访问控制规则拦截,包括:
|
| antibot | 触发的爬虫风险管理防护策略类型。
|
| antibot_action | 爬虫风险管理防护策略执行的操作。
|
| block_action | 触发拦截的WAF防护类型。
|
| body_bytes_sent | 发送给客户端的HTTP Body的字节数。 |
| cc_action | CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login、n等。 |
| cc_blocks | 是否被CC防护功能拦截,包括:
|
| cc_phase | 触发的CC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。 |
| content_type | 访问请求内容类型。 |
| host | 源站服务器。 |
| http_cookie | 访问请求头部中带有的访问来源客户端Cookie信息。 |
| http_referer | 访问请求头部中带有的访问请求的来源URL信息。如果无来源URL信息,则显示为短划线(-)。 |
| http_user_agent | 访问请求头部中的User Agent字段,一般包含来源客户端浏览器标识、操作系统标识等信息。 |
| http_x_forwarded_for | 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
| https | 访问请求是否为HTTPS请求。
|
| matched_host | 匹配到的已接入WAF防护配置的域名,可能是泛域名。如果无法匹配到相关域名配置,则显示短划线(-)。 |
| querystring | 请求中的查询字符串。 |
| real_client_ip | 访问的客户端的真实IP地址。如果无法获取,则显示为短划线(-)。 |
| region | WAF实例地域信息。 |
| remote_addr | 访问请求的客户端IP地址。 |
| remote_port | 访问请求的客户端端口。 |
| request_length | 访问请求长度,单位:字节。 |
| request_method | 访问请求的HTTP请求方法。 |
| request_path | 请求的相对路径(不包含查询字符串)。 |
| request_time_msec | 访问请求时间,单位:毫秒。 |
| request_traceid | WAF记录的访问请求唯一ID标识。 |
| server_protocol | 源站服务器响应的协议及版本号。 |
| status | WAF返回给客户端的HTTP响应状态信息。 |
| time | 访问请求的发生时间。 |
| ua_browser | 访问请求来源的浏览器信息。 |
| ua_browser_family | 访问请求来源所属浏览器系列。 |
| ua_browser_type | 访问请求来源的浏览器类型。 |
| ua_browser_version | 访问请求来源的浏览器版本。 |
| ua_device_type | 访问请求来源客户端的设备类型。 |
| ua_os | 访问请求来源客户端的操作系统信息。 |
| ua_os_family | 访问请求来源客户端所属操作系统系列。 |
| upstream_addr | WAF使用的回源地址列表,格式为IP:Port,多个地址用逗号分隔。 |
| upstream_ip | 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。 |
| upstream_response_time | 源站响应WAF请求的时间,单位:秒。如果返回短划线(-),代表响应超时。 |
| upstream_status | 源站返回给WAF的响应状态。如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。 |
| user_id | 阿里云主账号ID。 |
| waf_action | Web攻击防护策略行为,block:表示拦截,bypass或其它值均表示放行。 |
| web_attack_type | Web攻击类型,例如xss、code_exec、webshell、sqli、lfilei、rfilei、other等。 |
| waf_rule_id | 匹配的WAF的相关规则ID。 |
| ssl_cipher | SSL加密套件。 |
| ssl_protocol | SSL协议版本。 |
云安全中心(SAS)
- 网络日志
- DNS日志
日志字段 说明 __topic__ 主题,固定为sas-log-dns owner_id 阿里云主账号ID additional additional字段,竖线分隔 additional_num additional字段数量 answer DNS回答信息,竖线分隔 answer_num DNS回答信息数量 authority authority字段 authority_num authority字段数量 client_subnet 客户端子网 dst_ip 目标IP地址 dst_port 目标端口 in_out 数据的传输方向 - in:入方式
- out:出方向
qid 查询ID qname 查询域名 qtype 查询类型 query_datetime 查询时间戳,单位:毫秒 rcode 返回代码 region 来源区域ID - 1:北京
- 2:青岛
- 3:杭州
- 4:上海
- 5:深圳
- 6:其它
response_datetime 返回时间 src_ip 源IP地址 src_port 源端口 - 本地DNS日志
字段名 名称 __topic__ 主题,固定为local-dns owner_id 阿里云主账号ID answer_rda DNS回答信息,竖线分隔 answer_ttl DNS回答的时间周期,竖线分隔 answer_type DNS回答的类型,竖线分隔 anwser_name DNS回答的名称,竖线分隔 dest_ip 目标IP地址 dest_port 目标端口 group_id 分组ID hostname 主机名 id 主机IP地址 instance_id 实例ID internet_ip 互联网IP地址 ip_ttl IP的周期 query_name 查询域名 query_type 查询类型 src_ip 源IP地址 src_port 源端口 time 查询时间戳,单位:秒 time_usecond 响应耗时,单位:微秒 tunnel_id 通道ID - 网络会话日志
日志字段 说明 __topic__ 日志主题,固定为sas-log-session owner_id 阿里云主账号ID asset_type 关联的资产类型,例如ECS、SLB、RDS等 dst_ip 目标IP地址 dst_port 目标端口 proto 协议类型,例如tcp、udp session_time Session时间 src_ip 源IP地址 src_port 源端口 - Web日志
日志字段 说明 __topic__ 日志主题,固定为sas-log-http owner_id 阿里云主账号ID content_length 内容长度 dst_ip 目标IP地址 dst_port 目标端口 host 访问主机名 jump_location 重定向地址 method HTTP访问 referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接。 request_datetime 请求时间 ret_code 返回状态值 rqs_content_type 请求内容类型 rsp_content_type 响应内容类型 src_ip 源IP地址 src_port 源端口 uri 请求URI user_agent 向用户客户端发起的请求 x_forward_for 路由跳转信息
- DNS日志
- 安全日志
- 漏洞日志
日志字段 说明 __topic__ 日志主题,固定为sas-vul-log owner_id 阿里云主账号ID name 漏洞名称 alias_name 漏洞别名 op 操作信息 - new:新增
- verify:验证
- fix:修复
status 状态信息,请参见表 2。 tag 漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。 type 漏洞类型 - sys:windows漏洞
- cve:Linux漏洞
- cms:Web CMS漏洞
- EMG:紧急漏洞
uuid 客户端号 - 基线日志
日志字段 说明 __topic__ 日志主题,固定为sas-hc-log owner_id 阿里云主账号ID level 级别,例如low、mediam、high op 操作信息 - new:新增
- verify:验证
risk_name 风险名称 status 状态信息,请参见表 2。 sub_type_alias 子类型别名,中文 sub_type_name 子类型名称 type_name 类型名称 type_alias 类型别名,中文 uuid 客户端号 check_item 检查项名称 check_level 检查项级别 check_type 检查项类型 表 1. 基线type-sub-type列表 type_name sub_type_name system baseline weak_password postsql_weak_password database redis_check account system_account_security account system_account_security weak_password mysq_weak_password weak_password ftp_anonymous weak_password rdp_weak_password system group_policy system register account system_account_security weak_password sqlserver_weak_password system register weak_password ssh_weak_password weak_password ftp_weak_password cis centos7 cis tomcat7 cis memcached-check cis mongodb-check cis ubuntu14 cis win2008_r2 system file_integrity_mon cis linux-httpd-2.2-cis cis linux-docker-1.6-cis cis SUSE11 cis redhat6 cis bind9.9 cis centos6 cis debain8 cis redhat7 cis SUSE12 cis ubuntu16 表 2. 安全日志状态码 状态值 说明 1 未修复 2 修复失败 3 回滚失败 4 修复中 5 回滚中 6 验证中 7 修复成功 8 修复成功待重启 9 回滚成功 10 忽略 11 回滚成功待重启 12 已不存在 20 已失效 - 安全告警日志
日志字段 说明 __time__ 连接时间,例如2018-02-27 11:58:15 __topic__ 日志主题,固定为sas-security-log data_source 数据源,详情请参见表 3。 level 告警级别 name 名称,例如Suspicious Process-SSH-based Remote Execution of Non-interactive Commands op 操作信息 - new:新增
- dealing:处理
status 状态信息,详情请参见表 2。 uuid 客户端号 detail 告警详情,例如{"loginSourceIp":"120.27.28.118","loginTimes":1,"type":"login_common_location","loginDestinationPort":22,"loginUser":"aike","protocol":2,"protocolName":"SSH","location":"青岛市"} unique_info 单服务器该类型告警的唯一标识,例如2536dd765f804916a1fa3b9516b5d512 表 3. 安全告警data_source列表 值 描述 aegis_suspicious_event 主机异常 aegis_suspicious_file_v2 Webshell aegis_login_log 异常登录 security_event 安全中心异常事件
- 漏洞日志
- 主机日志
- 进程启动日志
日志字段 说明 __topic__ 日志主题,固定为aegis-log-process owner_id 阿里云主账号ID uuid 客户端号 ip 客户端主机的IP地址 cmdline 用户启动完整命令行 username 用户名 uid 用户ID pid 进程ID filename 进程文件名 filepath 进程文件完整路径 groupname 用户组 ppid 父进程ID pfilename 父进程文件名 pfilepath 父进程文件完整路径 - 进程快照日志
日志字段 说明 __topic__ 日志主题,固定为aegis-snapshot-process owner_id 阿里云主账号ID uuid 客户端号 ip 客户端主机的IP地址 cmdline 用户启动完整命令行 pid 进程ID name 进程文件名 path 进程文件完整路径 md5 进程文件进行MD5计算,超过1MB的进程文件不进行计算。 pname 父进程文件名 start_time 进程启动时间,内置字段 user 用户名 uid 用户ID - 登录日志
1分钟内重复登录会被合并为1条日志。
日志字段 说明 __topic__ 日志主题,固定为aegis-log-login owner_id 阿里云主账号ID uuid 客户端号 ip 客户端主机的IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN warn_user 登录用户名 warn_count 登录次数,例如:3次表示这次登录前1分钟内还发送了2次。 - 暴力破解日志
字段名 名称 __topic__ 日志主题,固定为aegis-log-crack owner_id 阿里云主账号ID uuid 客户端号 ip 客户端主机的IP地址 warn_ip 登录来源IP地址 warn_port 登录端口 warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN warn_user 登录用户名 warn_count 失败登录次数 - 主机网络连接日志
主机上每隔10秒到1分钟会收集变化的网络连接。
日志字段 说明 __topic__ 日志主题,固定为aegis-log-network owner_id 阿里云主账号ID uuid 客户端号 ip 客户端主机的IP地址 src_ip 源IP地址 src_port 源端口 dst_ip 目标IP地址 dst_port 目标端口 proc_name 进程名 proc_path 进程路径 proto 协议,例如tcp、udp和raw(表示raw socket) status 连接状态,详情请参见表 4。 表 4. 网络连接状态描述列表 状态值 描述 1 closed 2 listen 3 syn send 4 syn recv 5 establisted 6 close wait 7 closing 8 fin_wait1 9 fin_wait2 10 time_wait 11 delete_tcb - 端口监听快照
日志字段 说明 __topic__ 主题,固定为aegis-snapshot-port owner_id 阿里云主账号ID uuid 客户端号 ip 客户端机器IP地址 proto 协议,例如tcp、udp和raw(表示raw socket) src_ip 监听IP地址 src_port 监听端口 pid 进程ID proc_name 进程名 - 账户快照
日志字段 说明 __topic__ 日志主题,固定为aegis-snapshot-host owner_id 阿里云主账号ID name 漏洞名称 alias_name 漏洞别名 op 操作信息 - new:新增
- verify:验证
- fix:修复
status 连接状态,详情请参见表 4。 tag 漏洞标签,例如oval、system、cms等,主要用于区分EMG紧急漏洞。 type 漏洞类型 - sys:windows漏洞
- cve:Linux漏洞
- cms:Web CMS漏洞
- EMG:紧急漏洞
uuid 客户端号
- 进程启动日志
分布式关系型数据库(PolarDB-X)
| 字段名称 | 字段说明 |
|---|---|
| __topic__ | 日志主题,固定为drds_audit_log。 |
| instance_id | PolarDB-X实例ID。 |
| instance_name | PolarDB-X实例名。 |
| owner_id | 阿里云主账户ID。 |
| region | PolarDB-X实例所在地域。 |
| db_name | PolarDB-X数据库名。 |
| user | 执行SQL的用户名。 |
| client_ip | 访问PolarDB-X实例的客户端IP地址。 |
| client_port | 访问PolarDB-X实例的客户端端口。 |
| sql | 执行的SQL语句。 |
| trace_id | SQL执行的TRACE ID。如果是事务,会以跟踪ID、横杠(-)、数字进行,例如drdsabcdxyz-1,drdsabcdxyz-2等。 |
| sql_code | 模板SQL的HASH值。 |
| hint | SQL执行的HINT。 |
| table_name | 查询涉及的表名,多表之间以逗号(,)分隔。 |
| sql_type | SQL类型。包括Select、Insert、Update、Delete、Set、Alter、Create、Drop、Truncate、Replace和Other。 |
| sql_type_detail | SQL解析器的名称。 |
| response_time | 响应时间,单位为ms。 |
| affect_rows | SQL执行返回行数,增删改时表示影响的行数,查询语句表示返回的行数。 |
| fail | SQL执行是否出错。
|
| sql_time | SQL开始执行的时间。 |
云防火墙(Coud Firewall)
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为cloudfirewall_access_log |
| owner_id | 阿里云主账号ID |
| log_type | 日志类型 |
| app_name | 访问流量应用的协议名称,例如HTTPS、NTP、SIP、SMB、NFS、DNS等,未知时为Unknown。 |
| direction | 流量的方向
|
| domain | 域名 |
| dst_ip | 目的IP地址 |
| dst_port | 目的端口 |
| end_time | 会话结束时间,单位:秒(Unix时间戳) |
| in_bps | 入流量大小,单位:bps |
| in_packet_bytes | 入流量总字节数 |
| in_packet_count | 入流量总报文数 |
| in_pps | 入流量大小,单位:pps |
| ip_protocol | IP协议类型,支持TCP或UDP协议 |
| out_bps | 出方向流量大小,单位:bps |
| out_packet_bytes | 出方向总流量字节数 |
| out_packet_count | 出方向报文数 |
| out_pps | 出方向流量大小,单位:pps |
| region_id | 访问流量所属的区域 |
| rule_result | 命中规则结果
|
| src_ip | 源IP地址 |
| src_port | 源端口,流量数据发出的主机端口 |
| start_time | 会话开始时间,单位:秒(Unix时间戳) |
| start_time_min | 会话开始时间,分钟取整数,单位:秒(Unix时间戳) |
| tcp_seq | TCP序列号 |
| total_bps | 出入方向访问总流量的大小,单位:bps |
| total_packet_bytes | 出入方向的访问总流量,单位:字节 |
| total_packet_count | 总流量,以报文数表示 |
| total_pps | 出入方向访问总流量的大小,单位:bps |
| src_private_ip | 私网IP地址 |
| vul_level | 漏洞风险等级
|
| url | URL地址 |
| acl_rule_id | 命中ACL的规则ID |
| ips_rule_id | 命中IPS的规则ID |
| ips_ai_rule_id | 命中AI的规则ID |
堡垒机(Baston Host)
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题 |
| owner_id | 阿里云主账号ID |
| content | 日志内容 |
| event_type | 事件类型,详情请参见表 5。 |
| instance_id | 堡垒机实例ID |
| log_level | 日志级别 |
| resource_address | 资源地址 |
| resource_name | 资源名称 |
| result | 操作结果 |
| session_id | 会话ID |
| user_client_ip | 用户来源IP地址 |
| user_id | 用户ID |
| user_name | 用户名称 |
| 值 | 含义 |
|---|---|
| cmd.Command | 字符命令 |
| file.Upload | 上传文件 |
| file.Download | 下载文件 |
| file.Rename | 重命名 |
| file.Delete | 删除 |
| file.DeleteDir | 删除目录 |
| file.CreateDir | 创建目录 |
| graph.Text | 图形文字 |
| graph.Keyboard | 键盘事件 |
对象存储(OSS)
| 日志类型 | 说明 |
|---|---|
| 访问日志 | 记录对应的Bucket的所有访问日志,实时收集。 |
| 批量删除日志 | 记录批量删除日志时具体的删除信息,实时收集。
说明 当您调用DeleteObjects时,访问日志中会有一条请求记录。但因为删除的文件信息存放在请求的HTTP Body中,访问日志中的object会是-,如果查看具体的删除文件的列表,就需要查看批量删除的日志,可以通过request_id关联。
|
| 每小时计量日志 | 记录特定Bucket每个小时累计的计量日志,延迟为数小时,用于辅助分析。 |
| 存储类型 | 描述 |
|---|---|
| standard | 标准存储类型 |
| archive | 归档存储类型 |
| infrequent_access | 低频访问存储类型 |
每个操作的具体信息,请参见API概览。
| 操作值 | 描述 |
|---|---|
| AbortMultiPartUpload | 中止断点上传。 |
| AppendObject | 追加上传文件。 |
| CompleteUploadPart | 完成断点上传。 |
| CopyObject | 复制文件。 |
| DeleteBucket | 删除Bucket。 |
| DeleteLiveChannel | 删除LiveChannel。 |
| DeleteObject | 删除文件。 |
| DeleteObjects | 删除多个文件。 |
| GetBucket | 列举文件。 |
| GetBucketAcl | 获取Bucket权限。 |
| GetBucketCors | 查看Bucket的CORS规则。 |
| GetBucketEventNotification | 获取Bucket通知配置。 |
| GetBucketInfo | 查看Bucket信息。 |
| GetBucketLifecycle | 查看Bucket的Lifecycle配置。 |
| GetBucketLocation | 查看Bucket区域。 |
| GetBucketLog | 查看Bucket访问日志配置。 |
| GetBucketReferer | 查看Bucket防盗链设置。 |
| GetBucketReplication | 查看跨区域复制。 |
| GetBucketReplicationProgress | 查看跨区域复制进度。 |
| GetBucketStat | 获取bucket的相关信息。 |
| GetBucketWebSite | 查看Bucket的静态网站托管状态。 |
| GetLiveChannelStat | 获取LiveChannel状态信息。 |
| GetObject | 读取文件。 |
| GetObjectAcl | 获取文件访问权限。 |
| GetObjectInfo | 获取文件信息。 |
| GetObjectMeta | 查看文件信息。 |
| GetObjectSymlink | 获取symlink文件的详细信息。 |
| GetPartData | 获取断点文件块数据。 |
| GetPartInfo | 获取断点文件块信息。 |
| GetProcessConfiguration | 获取Bucket图片处理配置。 |
| GetService | 列举Bucket。 |
| HeadBucket | 查看Bucket信息。 |
| HeadObject | 查看文件信息。 |
| InitiateMultipartUpload | 初始化断点上传文件。 |
| ListMultiPartUploads | 列举断点事件。 |
| ListParts | 列举断点块状态。 |
| PostObject | 表单上传文件。 |
| PostProcessTask | 提交相关的数据处理,例如截图等。 |
| PostVodPlaylist | 创建LiveChannel点播列表。 |
| ProcessImage | 图片处理。 |
| PutBucket | 创建Bucket。 |
| PutBucketCors | 设置Bucket的CORS规则。 |
| PutBucketLifecycle | 设置Bucket的Lifecycle配置。 |
| PutBucketLog | 设置Bucket访问日志。 |
| PutBucketWebSite | 设置Bucket静态网站托管模式。 |
| PutLiveChannel | 创建LiveChannel。 |
| PutLiveChannelStatus | 设置LiveChannel状态。 |
| PutObject | 上传文件。 |
| PutObjectAcl | 修改文件访问权限。 |
| PutObjectSymlink | 创建symlink文件。 |
| RedirectBucket | bucket endpoint重定向。 |
| RestoreObject | 解冻文件。 |
| UploadPart | 断点上传文件。 |
| UploadPartCopy | 复制文件块。 |
| get_image_exif | 获取图片的exif信息。 |
| get_image_info | 获取图片的长宽等信息。 |
| get_image_infoexif | 获取图片的长宽以及exif信息。 |
| get_style | 获取Bucket样式。 |
| list_style | 列举Bucket的样式。 |
| put_style | 创建Bucket样式。 |
| 同步请求类型 | 描述 |
|---|---|
| - | 一般请求 |
| cdn | CDN回源 |
关于签名的更多信息,请参见用户签名验证
| 签名类型 | 描述 |
|---|---|
| NotSign | 未签名 |
| NormalSign | 一般方式签名 |
| UriSign | 通过URL签名 |
| AdminSign | 管理员账号 |
- 访问日志
日志字段 说明 __topic__ 日志主题,固定为oss_access_log owner_id 阿里云主账号ID region Bucket所在区域 access_id 访问者的AccessKey ID time 访问时间,即OSS收到请求的时间,如果需要时间戳可以使用__time__。 owner_id Bucket拥有者的阿里云ID User-Agent HTTP的User-Agent头 logging_flag 是否开启了日志定期导出到OSS Bucket的功能。 bucket Bucket名称 content_length_in 请求头中Content-Length的值,单位:Byte content_length_out 回应头中Content-Length的值,单位:Byte object 用户请求的object,URL编码,查询时可以使用select url_decode(object)解码。 object_size 对象大小,即对应请求对象的大小,单位:Byte operation 访问类型,详情请参见表 7。 request_uri 用户请求的URI,包括query-string,路径是URL编码,查询时可以使用select url_decode(request_uri)解码。 error_code OSS返回的错误码,详情请参见OSS错误响应。 request_length HTTP请求的大小,包括header,单位:Byte client_ip 请求发起的IP地址,即客户端IP地址、其网络防火墙或者Proxy的IP地址。 response_body_length HTTP响应中body的大小,即HTTP response的body的大小,不包括header。 http_method HTTP请求方法 referer 请求的HTTP Referer requester_id 请求者的阿里云主账号ID,匿名访问时为短划线(-)。 request_id 请求ID response_time 请求响应时间,单位:毫秒 server_cost_time OSS服务器处理时间,即OSS服务器处理本次请求所花的时间,单位:毫秒。 http_type HTTP请求类型,http或https sign_type 签名类型,详情请参见表 9。 http_status HTTP状态,即OSS请求返回的HTTP状态。 sync_request 同步请求类型,详情请参见表 8。 bucket_storage_type Bucket存储类型,详情请参见表 6。 host 请求访问域名 vpc_addr 访问OSS的域名对应的VPC IP地址 vpc_id VPC ID delta_data_size object大小的变化量,若没有变化为0;如果不是上传请求,则为短划线(-)。 acc_access_region 如果是传输加速请求,这个字段为请求接入点所在区域名,否则为短划线(-)。 - 批量删除日志
日志字段 说明 __topic__ 日志主题,固定为oss_batch_delete_log owner_id 阿里云主账号ID region Bucket所在区域 client_ip 请求发起的IP地址,客户端IP地址、网络防火墙或者Proxy的IP地址 user_agent HTTP的User-Agent头 bucket Bucket名称 error_code OSS返回的错误码,详情请参见OSS错误响应。 request_length request的大小,HTTP请求的大小,包括header,单位:Byte。 response_body_length response的body的大小,HTTP response的body的大小,不包括header。 object 用户请求的object,URL编码,查询时可以使用select url_decode(object)解码。 object_size 请求对象的大小,单位:Byte operation 访问类型,详情请参见表 7。 bucket_location Bucket所在集群 http_method HTTP请求方法 referer 请求的HTTP Referer request_id 请求ID http_status OSS请求返回的HTTP状态。 sync_request 同步请求类型,详情请参见表 8。 request_uri 用户请求的URI,包括query-string,路径是URL编码,查询时可以使用select url_decode(request_uri)解码。 host 请求访问域名 logging_flag 是否开启logging,即是否开启了原来的日志定期导出功能。 server_cost_time OSS服务器处理时间,单位:毫秒 owner_id Bucket拥有者的阿里云主账号ID requester_id 请求者阿里云ID,匿名访问为短划线(-)。 delta_data_size object大小的变化量,如果没有变化为0;如果不是上传请求,则为短划线(-)。 - 每小时计量日志
日志字段 说明 __topic__ 日志主题,固定为oss_metering_log owner_id Bucket拥有者的阿里云主账号ID bucket Bucket名称 cdn_in CDN流入量,单位:Byte cdn_out CDN流出量,单位:Byte get_request GET请求次数 intranet_in 内网流入量,单位:Byte intranet_out 内网流出量,单位:Byte network_in 外网流入量,单位:Byte network_out 外网流出量,单位:Byte put_request PUT请求次数 storage_type Bucket存储类型,详情请参见表 6。 storage Bucket存储量,单位:Byte metering_datasize 非标准存储的计量数据大小 process_img_size 处理的图像大小,单位:Byte process_img 处理的图像 sync_in 同步流入量,单位:Byte sync_out 同步流出量,单位:Byte start_time 计量开始时间戳 end_time 计量截止时间戳 region Bucket所在区域
关系数据库(RDS)
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为rds_audit_log |
| owner_id | 阿里云主账号ID |
| region | 实例所在地域 |
| instance_name | RDS实例名 |
| instance_id | RDS实例ID |
| db_type | RDS实例类型,例如:mysql、mssql、pgsql |
| db_version | 实例版本号 |
| check_rows | 扫描的行数 |
| db | 数据库名 |
| fail | SQL执行是否出错。
|
| client_ip | 访问RDS实例的客户端IP地址 |
| latency | 延迟,单位:微秒 |
| origin_time | 操作时间,单位:微秒 |
| return_rows | 返回行数 |
| sql | 执行的SQL语句 |
| thread_id | 线程ID |
| user | 执行SQL的用户名 |
| update_rows | 更新行数 |
文件存储(NAS)
| 日志字段 | 说明 |
|---|---|
| owner_id | 阿里云主账号ID |
| ArgIno | 文件系统inode号 |
| AuthRc | 授权返回码 |
| NFSProtocolRc | NFS协议返回码 |
| OpList | NFSv4 Procedures编号 |
| Proc | NFSv3 Procedures编号 |
| RWSize | 读写大小,单位:Byte |
| RequestId | 请求ID |
| ResIno | lookup的资源inode号 |
| SourceIp | 客户端IP地址 |
| Vers | NFS协议版本号 |
| Vip | 服务端IP地址 |
| Volume | 文件系统ID |
| microtime | 请求发生时间,单位:微秒 |
移动推送
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为cps_callback_event |
| owner_id | 阿里云主账号ID |
| app_key | AppKey |
| message_id | 消息ID |
| event_time | 回执事件时间 |
| event_type | 回执事件类型 |
| device_id | 设备ID |
| device_type | 设备类型 |
| last_active_time | 设备最后活跃时间 |
| app_version | 应用版本号 |
| client_ip | 客户端IP地址 |
| brand | 设备品牌 |
| network_type | 设备网络类型 |
| os | 设备操作系统 |
| os_version | 设备操作系统版本 |
| isp | 设备所属运营商 |
| job_key | 任务Key |
| event_channel | 推送通道 |
| vendor_message_id | 厂商通道消息ID |
| reason | 发送失败的原因 |
PolarDB MySQL云原生数据库
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为polardb_audit_log |
| owner_id | 阿里云主账号ID |
| region | PolarDB MySQL集群所在地域 |
| cluster_id | PolarDB MySQL集群ID |
| node_id | PolarDB MySQL结点ID |
| check_rows | 扫描的行数 |
| db | 数据库名 |
| fail | SQL执行是否出错。
|
| client_ip | 访问PolarDB MySQL集群的客户端IP地址 |
| latency | 延迟,单位:微秒 |
| origin_time | 操作时间,单位:微秒 |
| return_rows | 返回行数 |
| sql | 执行的SQL语句 |
| thread_id | 线程ID |
| user | 执行SQL的用户名 |
| update_rows | 更新行数 |