本文介绍操作审计作为事件源发布到事件总线EventBridge的事件类型。
背景信息
操作审计支持作为以下云产品的事件源:
-
文件存储NAS负载均衡CDN阿里云ElasticsearchDataV数据可视化云企业网云数据库HBase密钥管理服务云数据库RDS容器服务Kubernetes版云服务器云原生数据库PolarDB MySQL消息队列Kafka版操作审计资源编排函数计算智能接入网关配置审计云数据库Cassandra专有网络VPC区块链服务BaaS对象存储OSS访问控制表格存储 Tablestore云监控批量计算全站加速弹性伸缩弹性容器实例容器镜像服务ACR交互式分析媒体处理云原生数据仓库AnalyticDB MySQL版运维编排服务云安全中心E-MapReduce风险识别域名数据传输服务Quick BI视频点播视频直播阿里云物联网平台弹性高性能计算E-HPC
事件类型
操作审计支持发布到事件总线EventBridge的事件类型如下所示。
事件类型 | type参数值 |
---|---|
阿里云平台对资源执行的操作事件 | actiontrail:ActionTrail:AliyunServiceEvent |
API调用 | actiontrail:ActionTrail:ApiCall |
控制台的操作事件 | actiontrail:ActionTrail:ConsoleOperation |
CloudEvents规范中定义的参数解释,请参见事件概述。
注意 事件总线EventBridge目前只支持写类型的操作审计事件。
API调用
通过OpenAPI调用API时,事件总线EventBridge接收到的示例事件如下所示。
{
"acsRegion":"cn-hangzhou",
"additionalEventData":{
"Scheme":"http"
},
"apiVersion":"2014-05-26",
"eventCategory":"Management",
"eventId":"F7393A43-6A4A-4409-AEDD-8B1C47DE****",
"eventName":"RunInstances",
"eventRW":"Write",
"eventSource":"ecs-cn-hangzhou-inner.aliyuncs.com",
"eventTime":"2021-07-13T07:33:46Z",
"eventType":"ApiCall",
"eventVersion":"1",
"referencedResources":{
"ACS::ECS::Instance":[
"i-0xiiz1v0vw4epqjc****"
],
"ACS::ECS::SecurityGroup":[
"sg-0xi2js0u6m03jbmv****"
],
"ACS::ECS::Image":[
"aliyun_2_1903_x64_20G_alibase_20200529.vhd"
],
"ACS::ECS::KeyPair":[
"sshkey-cn-hangzhou"
],
"ACS::VPC::VSwitch":[
"vsw-0xikxv8p1akh4ki43****"
]
},
"requestId":"F7393A43-6A4A-4409-AEDD-8B1C47DE45ED",
"requestParameters":{
"Amount":1,
"VSwitchId":"vsw-0xikxv8p1akh4ki43****"
},
"resourceName":"i-0xiiz1v0vw4epqjc****;sg-0xi2js0u6m03jbmv****;aliyun_2_1903_x64_20G_alibase_20200529.vhd;sshkey-cn-hangzhou;vsw-0xikxv8p1akh4ki43****",
"resourceType":"ACS::ECS::Instance;ACS::ECS::SecurityGroup;ACS::ECS::Image;ACS::ECS::KeyPair;ACS::VPC::VSwitch",
"responseElements":{
"RequestId":"F7393A43-6A4A-4409-AEDD-8B1C47DE45ED",
"InstanceIdSets":{
"InstanceIdSet":[
"i-0xiiz1v0vw4epqjc****"
]
}
},
"serviceName":"Ecs",
"sourceIpAddress":"Internal",
"userAgent":"AlibabaCloud (Linux; amd64) Java/1.8.0_102-b52 Core/4.5.3 HTTPClient/InternalHttpClient",
"userIdentity":{
"accessKeyId":"STS.NUQNP4PiGyckMsNiGELCs****",
"accountId":"116214297662****",
"principalId":"32886943330935****:ess-session-ecs_default",
"sessionContext":{
"attributes":{
"mfaAuthenticated":"false",
"creationDate":"2021-07-13T07:33:46Z"
}
},
"type":"assumed-role",
"userName":"aliyunserviceroleforautoscaling:ess-session-ecs_default"
}
}
data字段包含的参数解释如下表所示。
说明 更多新增字段内容,请参见公告:操作事件增加新字段。
名称 | 类型 | 是否非空 | 示例 | 描述 |
---|---|---|---|---|
acsRegion | String | 是 | cn-hangzhou | 阿里云地域。 |
additionalEventData | JSON | 是 | Schema: "http" | 事件的补充信息。补充信息含义及示例代码如下:
|
apiVersion | String | 否 | 2014-05-26 | 当eventType取值为ApiCall时,事件代表一个API的调用。此时,该字段为API的版本信息。 |
eventCategory | String | 是 | Management | 事件分类。取值:
|
eventId | String | 是 | F23A3DD5-7842-4EF9-9DA1-3776396A**** | 事件ID。操作审计为每个管控事件所产生的一个GUID。 |
eventName | String | 是 | CreateNetworkInterface | 事件名称。
|
eventRW | String | 是 | Write | 事件的读写类型。取值:
|
eventSource | String | 是 | ecs.aliyuncs.com | 事件来源。 |
eventTime | String | 是 | 2020-01-09T12:12:14Z | 事件的发生时间(UTC格式)。 |
eventType | String | 是 | ApiCall | 发生的事件类型。取值:
|
eventVersion | String | 是 | 1 | 管控事件格式的版本,当前版本为1。 |
errorCode | String | 否 | NoPermission | 云服务处理API请求发生错误时,记录的错误码。 |
errorMessage | String | 否 | You are not authorized. | 云服务处理API请求发生错误时,记录的错误消息。 |
requestId | String | 是 | F23A3DD5-7842-4EF9-9DA1-3776396AD58D | 请求ID。 |
requestParameters | 字典 | 否 | 不涉及 | API请求的输入参数。 |
requestParameterJson | String | 否 | "{"AcsHost":"actiontrail.cn-hangzhou.aliyuncs.com","AcsProduct":"Actiontrail","RequestId":"32B8BA8F-3738-46D3-BCCA-1B2257AEF9BB","AcceptLanguage":"zh-CN","Region":"cn-hangzhou","HostId":"actiontrail.cn-hangzhou.aliyuncs.com","Name":"create-service-tmp"}" |
requestParameters的JSON格式。
说明 仅投递到日志服务SLS的事件包含requestParameterJson。
|
responseElements | 字典 | 否 | 不涉及 | API响应的数据。 |
referencedResources | 字典 | 否 | 不涉及 | 事件影响的资源列表。 |
serviceName | String | 是 | Ecs | 事件相关的阿里云服务名称。 |
sourceIpAddress | String | 是 | 11.168.XX.XX | 事件发起的源IP地址。 |
userAgent | String | 是 | Apache-HttpClient/4.5.7 (Java/1.8.0_152) | 发送API请求的客户端代理标识。取值示例:
|
userIdentity | 字典 | 是 | 不涉及 | 请求者的身份信息。
更多信息,请参见userIdentity包含的字段。 |
userIdentity包含的字段如下表所示。
名称 | 类型 | 是否非空 | 示例 | 描述 |
---|---|---|---|---|
type | String | 是 | ram-user | 身份类型。当前支持的身份类型包括:
|
principalId | String | 是 | 28815334868278**** | 当前请求者的ID。
|
accountId | String | 是 | 112233445566**** | 阿里云账号ID。 |
accessKeyId | String | 否 | 55nCtAwmPLkk**** |
|
userName | String | 否 | Alice |
|
sessionContext | String | 否 | {"attributes": {"mfaAuthenticated": "true", "creationDate": "2020-01-09T12:12:14Z" } | 请求者通过临时安全令牌调用API或通过控制台登录时记录该字段。该字段的内容包括:
|