本文为您介绍一个操作事件包含的关键字段及其含义,并为您提供相关的示例。

操作事件的关键字段

名称 类型 是否必选 示例 描述
acsRegion String 必选 cn-hangzhou 阿里云地域。
apiVersion String 2014-05-26 eventType的取值是ApiCall,操作事件代表一个API的调用。此时,该字段为API的版本信息。
eventId String F23A3DD5-7842-4EF9-9DA1-3776396A**** 事件ID。操作审计为每个操作事件所产生的一个GUID。
eventName String CreateNetworkInterface 事件名称。
  • 如果eventType的取值是ApiCall,该字段为API的名称。
  • 如果eventType的取值不是ApiCall,该字段为简单的英文短句,表示事件含义。
eventSource String ecs.aliyuncs.com 事件来源。
eventTime String 2020-01-09T12:12:14Z 事件的发生时间(UTC格式)。
eventType String ApiCall 发生的事件类型。取值:
  • ApiCall:此类事件是最普遍的一类事件。通过userAgent字段可以区分是通过控制台操作还是直接调用API。
  • ConsoleOperation(ConsoleCall):操作审计将此类事件客观封装为控制台行为事件。此类事件的名称并不一定是API名称, 但能够传达基本的行为性质。
  • AliyunServiceEvent:此类事件为阿里云平台对您的资源执行的操作事件,目前主要是预付费实例的到期自动释放事件。
  • PasswordReset:密码重置事件。
  • ConsoleSignin:控制台登录事件。
  • ConsoleSignout:控制台登出事件。
eventVersion String 1 操作事件格式的版本,当前版本为1。
errorCode String NoPermission 云服务处理API请求发生错误时,记录的错误码。·
errorMessage String You are not authorized. 云服务处理API请求发生错误时,记录的错误消息。
requestId String F23A3DD5-7842-4EF9-9DA1-3776396AD58D 请求ID。
requestParameters 字典 不涉及 API请求的输入参数。
responseElements 字典 不涉及 API响应的数据。
referencedResources 字典 不涉及 事件影响的资源列表。
serviceName String Ecs 事件相关的云服务名称。
sourceIpAddress String 11.XX.XX.232 事件发起的源IP地址。
说明 如果API请求是由用户通过控制台操作触发的,那么该字段记录的是用户浏览器端的IP地址,而不是控制台Web服务器的IP地址。
userAgent String Apache-HttpClient/4.5.7 (Java/1.8.0_152) 发送API请求的客户端代理标识。取值示例:
  • AlibabaCloud (Linux 3.10.0-693.2.2.el7.x86_64;x86_64) Python/2.7.5 Core/2.13.16 python-requests/2.18.3
  • Apache-HttpClient/4.5.7 (Java/1.8.0_152)
userIdentity 字典 不涉及 请求者的身份信息。

userIdentity包含的字段如下表所示。

名称 类型 是否必选 示例 描述
type String ram-user 身份类型。当前支持的身份类型包括:
  • root-account:阿里云主账号。
  • ram-user:RAM 用户。
  • assumed-role:RAM角色。
  • system:阿里云服务。
principalId String 28815334868278**** 当前请求者的ID。
  • 如果type的取值是root-account,则记录阿里云主账号ID。
  • 如果type的取值是ram-user,则记录RAM用户ID。
  • 如果type的取值是assumed-role,则记录RoleID:RoleSessionName。
accountId String 112233445566**** 阿里云主账号ID。
accessKeyId String 55nCtAwmPLkk****
  • 如果请求者通过SDK访问API,则记录该字段。
  • 如果请求者通过控制台登录,则该字段不显示。
userName String B**
  • 如果type的取值是ram-user,则记录RAM用户名。
  • 如果type的取值是assumed-role,则记录RoleName:RoleSessionName。
sessionContext String {"attributes": {"mfaAuthenticated": "true", "creationDate": "2015-12-31T06:33:14Z" } 请求者通过临时安全令牌调用API或通过控制台登录时记录该字段。该字段的内容包括:
  • creationDate:创建时间。
  • mfaAuthenticated:用户登录控制台时是否使用多因素认证。

示例

{
  "eventId": "F23A3DD5-7842-4EF9-9DA1-3776396A****",
  "responseElements": {
    "RequestId": "F23A3DD5-7842-4EF9-9DA1-3776396AD58D",
    "NetworkInterfaceId": "eni-bp12f9rjb****ktzjqau"
  },
  "eventVersion": "1",
  "requestParameters": {
    "securityToken": "********",
    "Tag.1.Key": "CreatedBy",
    "RequestId": "F23A3DD5-7842-4EF9-9DA1-3776396AD58D",
    "SecurityGroupId": "sg-bp10mvd8****lfks143r",
    "Tag.1.Value": "StreamCompute",
    "VSwitchId": "vsw-bp1iqqmaj4****2c81noh",
    "RegionId": "cn-hangzhou",
    "SignatureType": "",
    "stsTokenPlayerUid": 165266****475569
  },
  "eventSource": "ecs.aliyuncs.com",
  "sourceIpAddress": "11.***.***.232",
  "userIdentity": {
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2020-01-09T12:12:14Z"
      }
    },
    "accessKeyId": "STS.NUnj6********aEoMZGsTnuqK",
    "accountId": "116214****628250",
    "principalId": "3164566****6066448:116214****628250",
    "userName": "aliyunstreamdefaultrole:116214****628250",
    "type": "assumed-role"
  },
  "eventType": "ApiCall",
  "referencedResources": {
    "VSwitch": [
      "vsw-bp1iqqma****402c81noh"
    ],
    "SecurityGroup": [
      "sg-bp10mvd****6lfks143r"
    ]
  },
  "serviceName": "Ecs",
  "additionalEventData": {
    "Scheme": "http"
  },
  "apiVersion": "2014-05-26",
  "requestId": "F23A3DD5-7842-4EF9-9DA1-3776396AD58D",
  "eventTime": "2020-01-09T12:12:14Z",
  "acsRegion": "cn-hangzhou",
  "eventName": "CreateNetworkInterface",
  "__expanded": true
}