本文为您介绍一个管控事件包含的关键字段及其含义,并为您提供相关的示例。

管控事件的关键字段

名称 类型 是否非空 示例 描述
acsRegion String cn-hangzhou 阿里云地域。
additionalEventData JSON Schema: "http" 事件的补充信息。补充信息含义及示例代码如下:
  • 无实际意义
    additionalEventData: {
      Schema: "http"
    }
  • 登录事件
    {
        "additionalEventData":{
            "callbackUrl":"https://homenew.console.aliyun.com/",
            "mfaChecked":"true"
        }
    }
  • MaxCompute
    {
      "additionalEventData": {
        "TableName": "table_1",
        "Partition": "dt=20210708,hh=17,region=cn-shenzhen",
        "CurrentProject": "project_1",
        "ProjectName": "project_1",
        "SesssionId": "202107081800166d37d****"
      }
    }
apiVersion String 2014-05-26 eventType取值为ApiCall时,事件代表一个API的调用。此时,该字段为API的版本信息。
eventCategory String Management 事件分类。取值:
  • Management:管控事件。
  • Insight:Insight事件。
eventId String F23A3DD5-7842-4EF9-9DA1-3776396A**** 事件ID。操作审计为每个管控事件所产生的一个GUID。
eventName String CreateNetworkInterface 事件名称。
  • 如果eventType取值为ApiCall,该字段为API的名称。
  • 如果eventType取值不为ApiCall,该字段为简单的英文短句,表示事件含义。
eventRW String Write 事件的读写类型。取值:
  • Write:写类型。
  • Read:读类型。
eventSource String ecs.aliyuncs.com 事件来源。
eventTime String 2020-01-09T12:12:14Z 事件的发生时间(UTC格式)。
eventType String ApiCall 发生的事件类型。取值:
  • ApiCall:API调用事件。大多阿里云控制台基于API开发,对应的操作行为也会记录为ApiCall。
  • ConsoleOperation(ConsoleCall):部分控制台或售卖页的管控事件。由于这些控制台或售卖页并不是基于API来开发的,因此操作审计会将此类事件类型记录为ConsoleOperation或ConsoleCall。此类事件的名称并不一定是API名称, 但能够传达基本操作行为的含义。
  • AliyunServiceEvent:此类事件为阿里云平台对您的资源执行的管控事件,目前主要是预付费实例的到期自动释放事件。
  • PasswordReset:密码重置事件。
  • ConsoleSignin:控制台登录事件。
  • ConsoleSignout:控制台登出事件。
eventVersion String 1 管控事件格式的版本,当前版本为1。
errorCode String NoPermission 云服务处理API请求发生错误时,记录的错误码。
errorMessage String You are not authorized. 云服务处理API请求发生错误时,记录的错误消息。
requestId String F23A3DD5-7842-4EF9-9DA1-3776396AD58D 请求ID。
requestParameters 字典 不涉及 API请求的输入参数。
requestParameterJson String "{"AcsHost":"actiontrail.cn-hangzhou.aliyuncs.com","AcsProduct":"Actiontrail","RequestId":"32B8BA8F-3738-46D3-BCCA-1B2257AEF9BB","AcceptLanguage":"zh-CN","Region":"cn-hangzhou","HostId":"actiontrail.cn-hangzhou.aliyuncs.com","Name":"create-service-tmp"}" requestParameters的JSON格式。
说明 仅投递到日志服务SLS的事件包含requestParameterJson。
resourceName String "i-0xiiz1v0vw4epqjc****;sg-0xi2js0u6m03jbmv****;aliyun_2_1903_x64_20G_alibase_20200529.vhd;sshkey-cn-hangzhou;vsw-0xikxv8p1akh4ki43****" 事件的相关资源名称,是资源的唯一标识。

该参数可以在日志服务中作为索引,可按照资源名称查询相关事件。

根据事件涉及的资源和资源类型的不同,resourceName的取值规则不同,具体如下:

  • 事件涉及单个资源类型的单个资源:i-bp1example1
  • 事件涉及单个资源类型的多个资源:i-bp1example1,i-bp1example2
  • 事件涉及多种资源类型的多个资源:i-bp1example1,i-bp1example2;v-bp1example1
说明 同类型的资源名称(ID)之间以半角逗号(,)间隔,不同类型的资源名称(ID)之间以半角分号(;)间隔。
resourceType List "ACS::ECS::Instance;ACS::ECS::SecurityGroup;ACS::ECS::Image;ACS::ECS::KeyPair;ACS::VPC::VSwitch" 事件的相关资源类型。

该参数可以在日志服务中作为索引,可按照资源类型查询相关事件。

根据事件涉及的资源和资源类型的不同,resourceType的取值规则不同,具体如下:

  • 事件涉及单个资源类型的单个资源:ACS::ECS::Instance
  • 事件涉及单个资源类型的多个资源:ACS::ECS::Instance
  • 事件涉及多种资源类型的多个资源:ACS::ECS::Instance;ACS::VPC::VPC
说明 多个资源类型之间以半角分号(;)间隔。
responseElements 字典 不涉及 API响应的数据。
referencedResources 字典 不涉及 事件影响的资源列表。
serviceName String Ecs 事件相关的阿里云服务名称。
sourceIpAddress String 11.168.XX.XX 事件发起的源IP地址。
userAgent String Apache-HttpClient/4.5.7 (Java/1.8.0_152) 发送API请求的客户端代理标识。取值示例:
  • AlibabaCloud (Linux 3.10.0-693.2.2.el7.x86_64;x86_64) Python/2.7.5 Core/2.13.16 python-requests/2.18.3
  • Apache-HttpClient/4.5.7 (Java/1.8.0_152)
userIdentity 字典 不涉及 请求者的身份信息。

更多信息,请参见userIdentity包含的字段

userIdentity包含的字段如下表所示。

表 1. userIdentity包含的字段
名称 类型 是否非空 示例 描述
type String ram-user 身份类型。当前支持的身份类型包括:
  • root-account:阿里云账号。
  • ram-user:RAM用户。
  • assumed-role:RAM角色。
  • system:阿里云服务。
  • cloudsso-user:云SSO用户。
  • saml-user:企业自有身份。
  • alibaba-cloud-account:跨阿里云账号授权时被授权的身份。
principalId String 28815334868278**** 当前请求者的ID,需结合type来唯一确认请求者身份。
  • 如果type取值为root-account,则记录阿里云账号ID。
  • 如果type取值为ram-user,则记录RAM用户ID。
  • 如果type取值为assumed-role,则记录RoleID:RoleSessionName。
  • 如果type取值为cloudsso-user,则记录云SSO用户ID。
  • 如果type取值为alibaba-cloud-account
    • 当阿里云账号跨账号操作时,记录阿里云账号ID。
    • 当RAM用户跨账号操作时,记录RAM用户ID。
    • 当扮演角色跨账号操作时,记录RoleID:RoleSessionName。
  • 如果type取值为saml-usersystem,不记录principalId
accountId String 112233445566**** 当前请求身份所属的阿里云账号ID。
accessKeyId String 55nCtAwmPLkk****
  • 如果请求者通过SDK访问API,则记录该字段。
  • 如果请求者通过控制台登录,则该字段不显示。
  • 如果请求者通过安全令牌进行访问,则记录临时访问密钥ID。
userName String Alice 当前请求者的身份名称。
  • 如果type取值为ram-user,则记录RAM用户名。
  • 如果type取值为assumed-role,则记录RoleName:RoleSessionName。
  • 如果type取值为root-account,userName取值为“root”。
  • 如果type取值为cloudsso-user,则记录云SSO用户的用户名。
  • 如果type取值为saml-user,则记录企业自有身份的用户名。
  • 如果type取值为alibaba-cloud-account,不记录userName
sessionContext String {"attributes": {"mfaAuthenticated": "true", "creationDate": "2020-01-09T12:12:14Z" } 请求者通过临时安全令牌调用API或通过控制台登录时记录该字段。该字段的内容包括:
  • creationDate:创建时间。
  • mfaAuthenticated:用户登录控制台时是否使用多因素认证。

示例

{
    "acsRegion":"cn-hangzhou",
    "additionalEventData":{
        "Scheme":"http"
    },
    "apiVersion":"2014-05-26",
    "eventCategory":"Management",
    "eventId":"F7393A43-6A4A-4409-AEDD-8B1C47DE****",
    "eventName":"RunInstances",
    "eventRW":"Write",
    "eventSource":"ecs-cn-hangzhou-inner.aliyuncs.com",
    "eventTime":"2021-07-13T07:33:46Z",
    "eventType":"ApiCall",
    "eventVersion":"1",
    "referencedResources":{
        "ACS::ECS::Instance":[
            "i-0xiiz1v0vw4epqjc****"
        ],
        "ACS::ECS::SecurityGroup":[
            "sg-0xi2js0u6m03jbmv****"
        ],
        "ACS::ECS::Image":[
            "aliyun_2_1903_x64_20G_alibase_20200529.vhd"
        ],
        "ACS::ECS::KeyPair":[
            "sshkey-cn-hangzhou"
        ],
        "ACS::VPC::VSwitch":[
            "vsw-0xikxv8p1akh4ki43****"
        ]
    },
    "requestId":"F7393A43-6A4A-4409-AEDD-8B1C47DE45ED",
    "requestParameters":{
        "Amount":1,
        "VSwitchId":"vsw-0xikxv8p1akh4ki43****"
    },
    "resourceName":"i-0xiiz1v0vw4epqjc****;sg-0xi2js0u6m03jbmv****;aliyun_2_1903_x64_20G_alibase_20200529.vhd;sshkey-cn-hangzhou;vsw-0xikxv8p1akh4ki43****",
    "resourceType":"ACS::ECS::Instance;ACS::ECS::SecurityGroup;ACS::ECS::Image;ACS::ECS::KeyPair;ACS::VPC::VSwitch",
    "responseElements":{
        "RequestId":"F7393A43-6A4A-4409-AEDD-8B1C47DE45ED",
        "InstanceIdSets":{
            "InstanceIdSet":[
                "i-0xiiz1v0vw4epqjc****"
            ]
        }
    },
    "serviceName":"Ecs",
    "sourceIpAddress":"Internal",
    "userAgent":"AlibabaCloud (Linux; amd64) Java/1.8.0_102-b52 Core/4.5.3 HTTPClient/InternalHttpClient",
    "userIdentity":{
        "accessKeyId":"STS.NUQNP4PiGyckMsNiGELCs****",
        "accountId":"116214297662****",
        "principalId":"32886943330935****:ess-session-ecs_default",
        "sessionContext":{
            "attributes":{
                "mfaAuthenticated":"false",
                "creationDate":"2021-07-13T07:33:46Z"
            }
        },
        "type":"assumed-role",
        "userName":"aliyunserviceroleforautoscaling:ess-session-ecs_default"
    }
}