すべてのプロダクト
Search

このプロダクト

    ActionTrail:管理イベントの構造

    ドキュメントセンター

    ActionTrail:管理イベントの構造

    最終更新日:Dec 04, 2025

    本トピックでは、管理イベントの主要なフィールドと例について説明します。

    主要フィールド

    名前

    説明

    acsRegion

    Alibaba Cloud リージョン。

    additionalEventData

    イベントに関する追加情報。

    apiVersion

    eventTypeApiCall に設定されている場合、イベントは API 呼び出しを表します。この場合、このフィールドは API バージョンを示します。

    eventCategory

    イベントカテゴリ。値は Management です。

    eventId

    イベント ID。

    eventName

    イベント名は次のとおりです:

    • eventType の値が ApiCall の場合、このフィールドは API の名前です。

    • eventTypeApiCall でない場合、このフィールドはイベントの意味を示します。

    eventRW

    イベントの読み取り/書き込みタイプ。有効値:

    • Write:書き込み操作のタイプ。

    • 読み取りタイプ

    eventSource

    イベントソース。

    eventTime

    イベントが発生した時刻。時刻は UTC です。

    eventType

    発生したイベントのタイプ。有効値:

    • ApiCall:API 呼び出しイベント。

    • ConsoleOperation:コンソールまたは購入ページからの管理イベント。

    • ConsoleSignin:コンソールログインイベント。

    • ConsoleSignout:コンソールログオフイベント。

    • AliyunServiceEvent:Alibaba Cloud サービスがご利用のリソースに対して実行した管理イベント。

    説明

    操作がクラウドネイティブのビッグデータ MaxCompute サービスのイベントである場合、eventType は JobEvent、TunnelEvent、TableEvent、AdminEvent、ResourceEvent、FunctionEvent、PrivilegeEvent、RoleEvent、UserEvent、または SchemaEvent になることもあります。イベントタイプの詳細については、「監査ログの範囲」をご参照ください。

    eventVersion

    管理イベントフォーマットのバージョン。現在のバージョンは 1 です。

    errorCode

    Alibaba Cloud サービスが API リクエストの処理に失敗したときに記録されるエラーコード。

    errorMessage

    Alibaba Cloud サービスが API リクエストの処理に失敗したときに記録されるエラーメッセージ。

    requestId

    リクエスト ID です。

    requestParameters

    API リクエストの入力パラメーター。

    requestParameterJson

    requestParameters の JSON フォーマット。

    resourceName

    イベントに関連付けられているリソースの名前。リソース名はリソースの一意の識別子です。

    説明

    同じタイプのリソースの名前 (ID) はコンマ (,) で区切られます。異なるタイプのリソースの名前 (ID) はセミコロン (;) で区切られます。

    resourceType

    イベントに関連付けられているリソースのタイプ。

    説明

    複数のリソースタイプはセミコロン (;) で区切られます。

    responseElements

    API 応答のデータ。

    referencedResources

    イベントの影響を受けるリソースのリスト。

    serviceName

    関連する Alibaba Cloud サービスの名前。

    sourceIpAddress

    イベントが開始されたソース IP アドレス。有効値:

    • リクエストを開始したクライアントの IP アドレス。IPv4 と IPv6 の両方のアドレスがサポートされています。

    • リクエストが Alibaba Cloud サービスによって開始された場合、IP アドレスはサービス識別子として記録されます。例:ecs.aliyuncs.com。

    • ソース IP アドレスが VPC CIDR ブロックまたは Alibaba Cloud 内部 CIDR ブロックからのものであり、ユーザーの VPC からのものとして識別できない場合、IP アドレスは Internal として記録されます。

    userAgent

    API リクエストを送信したクライアントのユーザーエージェント。

    isGlobal

    イベントがグローバルイベントかどうかを示します。有効な値:

    • true:イベントはグローバルイベントです。

    • false:イベントはグローバルイベントではありません。

    eventAttributes

    イベント属性。

    詳細については、「eventAttributes のフィールド」をご参照ください。

    userIdentity

    リクエスタの ID 情報。

    詳細については、「userIdentity のフィールド」をご参照ください。

    表 1. eventAttributes のフィールド

    名前

    説明

    SensitiveAction

    イベントが機密性の高い操作を記録することを示します。値は true です。

    表 2. userIdentity のフィールド

    名前

    説明

    type

    ID タイプ。次の ID タイプがサポートされています:

    • root-account:Alibaba Cloud アカウント。

    • ram-user:Resource Access Management (RAM) ユーザー。

    • assumed-role:RAM ロール。

    • system:Alibaba Cloud サービス。

    • cloudsso-user:CloudSSO ユーザー。

    • saml-user:Security Assertion Markup Language (SAML) に基づくエンタープライズ ID。

    • alibaba-cloud-account:クロスアカウントアクセスの権限が付与された ID。

    • oidc-user:OpenID Connect (OIDC) に基づくエンタープライズ ID。

    principalId

    現在のリクエスタの ID。このフィールドは type フィールドと組み合わせて、リクエスタを一意に識別するために使用されます。

    • typeroot-account の場合、このフィールドは Alibaba Cloud アカウント ID を示します。

    • typeram-user の場合、このフィールドは RAM ユーザー ID を示します。

    • typeassumed-role の場合、このフィールドは RoleID:RoleSessionName のフォーマットです。

    • typecloudsso-user の場合、このフィールドは CloudSSO ユーザー ID を示します。

    • typealibaba-cloud-account の場合:

      • Alibaba Cloud アカウントがクロスアカウント操作を実行する場合、このフィールドは Alibaba Cloud アカウント ID を示します。

      • RAM ユーザーがクロスアカウント操作を実行する場合、このフィールドは RAM ユーザー ID を示します。

      • RAM ロールを偽装してクロスアカウント操作を実行する場合、このフィールドは RoleID:RoleSessionName のフォーマットです。

    • typesaml-useroidc-user、または system の場合、principalId フィールドは記録されません。

    accountId

    現在の ID が属する Alibaba Cloud アカウントの ID。

    accessKeyId

    現在の ID の AccessKey ID。

    • このフィールドは、リクエスタが SDK を使用して API にアクセスする場合に記録されます。

    • このフィールドは、リクエスタがコンソールにログインした場合は表示されません。

    • リクエスタがセキュリティトークンを使用してアクセスする場合、このフィールドは一時的な AccessKey ID を示します。

    userName

    現在のリクエスタの名前。

    • typeram-user の場合、このフィールドは RAM ユーザー名を示します。

    • type が assumed-role の場合、このフィールドは RoleName:RoleSessionName のフォーマットです。

    • typeroot-account の場合、userName の値は root です。

    • typecloudsso-user の場合、このフィールドは CloudSSO ユーザーのユーザー名を示します。

    • typesaml-user の場合、このフィールドは SAML に基づくエンタープライズ ID のユーザー名を示します。

    • typealibaba-cloud-account または system の場合、userName フィールドは記録されません。

    • typeoidc-user の場合、このフィールドは OIDC に基づくエンタープライズ ID のユーザー名を示します。

    sessionContext

    このフィールドは、リクエスタが一時的なセキュリティトークンを使用して API を呼び出すか、コンソールにログインするときに記録されます。このフィールドには、次の情報が含まれます:

    • creationDate:作成時刻。

    • mfaAuthenticated:コンソールログインに多要素認証 (MFA) が使用されているかどうかを示します。

    {
  "eventId": "92b33345-0cef-47be-821f-fb9914d3****",
  "eventAttributes": {
    "SensitiveAction": "true"
  },
  "eventVersion": 1,
  "sourceIpAddress": "ecs.aliyuncs.com",
  "userAgent": "ecs.aliyuncs.com",
  "eventRW": "Write",
  "eventType": "ApiCall",
  "referencedResources": {
    "ACS::ECS::Instance": [
      "i-8vb0smn1lf6g77md****"
    ],
    "ACS::ECS::Disk": [
      "d-8vbf8rpv2nn0l1zm****"
    ]
  },
  "userIdentity": {
    "type": "system",
    "userName": "ecs.aliyuncs.com"
  },
  "serviceName": "Ecs",
  "requestId": "32B7EB75-62EE-511E-9449-E19EBF67C2ED",
  "eventTime": "2022-10-22T21:52:00Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DeleteDisk"
}