當您使用RAM使用者登入阿里雲控制台時,會產生登入事件(ConsoleSignin)。本文為您介紹RAM使用者登入事件樣本及含義。
樣本一:未進行MFA認證登入事件
以下樣本表示RAM使用者Alice未啟用MFA認證,在北京時間2021年01月01日08:00:00登入了控制台。
{
"requestId": "1.167_1627549154939_339a",
"eventType": "ConsoleSignin",
"userIdentity": {
"accountId": "159498693826****",
"principalId": "23890260100229****",
"type": "ram-user",
"userName": "Alice"
},
"acsRegion": "cn-hangzhou",
"eventName": "ConsoleSignin",
"eventSource": "signin.aliyun.com",
"serviceName": "AasSub",
"eventTime": "2021-01-01T00:00:00Z",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
"eventId": "1.167_1627549154939_****",
"additionalEventData": {
"callbackUrl": "https://actiontrail.console.aliyun.com/cn-hangzhou/event-list?accounttraceid=******",
"mfaChecked": "false"
},
"errorCode": "",
"errorMessage": "",
"eventVersion": "1",
"sourceIpAddress": "192.168.XX.XX"
}樣本中關鍵字段含義如下:
eventType:事件的類型。取值為ConsoleSignin,表示控制台登入事件。userIdentity.type:要求者的身份類型。取值為ram-user,表示RAM使用者。userIdentity.userName:要求者的RAM使用者名稱稱。eventTime:事件的發生時間(UTC格式)。取值為2021-01-01T00:00:00Z,表示北京時間2021年01月01日08:00:00。additionalEventData.mfaChecked:是否啟用MFA認證。取值為false,表示未啟用MFA認證。
樣本二:進行MFA認證登入事件
以下樣本表示RAM使用者Alice已啟用MFA認證,在北京時間2021年01月01日08:00:00登入了控制台。
{
"requestId": "1.167_1627549154939_339a",
"eventType": "ConsoleSignin",
"userIdentity": {
"accountId": "159498693826****",
"principalId": "23890260100229****",
"type": "ram-user",
"userName": "Alice"
},
"acsRegion": "cn-hangzhou",
"eventName": "ConsoleSignin",
"eventSource": "signin.aliyun.com",
"serviceName": "AasSub",
"eventTime": "2021-01-01T00:00:00Z",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.164 Safari/537.36",
"eventId": "1.167_1627549154939_****",
"additionalEventData":{
"callbackUrl": "https://actiontrail.console.aliyun.com/cn-hangzhou/event-list?accounttraceid=******",
"mfaChecked": "true"
},
"errorCode": "",
"errorMessage": "",
"eventVersion": "1",
"sourceIpAddress": "192.168.XX.XX"
}樣本中關鍵字段含義如下:
eventType:事件的類型。取值為ConsoleSignin,表示控制台登入事件。userIdentity.type:要求者的身份類型。取值為ram-user,表示RAM使用者。userIdentity.userName:要求者的RAM使用者名稱稱。eventTime:事件的發生時間(UTC格式)。取值為2021-01-01T00:00:00Z,表示北京時間2021年01月01日08:00:00。additionalEventData.mfaChecked:是否啟用MFA認證。取值為true,表示已啟用MFA認證。
樣本三:登入失敗事件
以下樣本表示RAM使用者Alice在北京時間2021年01月01日08:00:00登入控制台失敗。
{
"eventId": "1.167_1627549154939_****",
"eventVersion": 1,
"errorMessage": "Password is error",
"eventSource": "signin.aliyun.com",
"errorCode": "Authentication.Failed",
"sourceIpAddress":"192.168.XX.XX",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36",
"eventType": "ConsoleSignin",
"userIdentity": {
"accountId": "159498693826****",
"principalId": "23890260100229****",
"type": "ram-user",
"userName": "Alice"
},
"serviceName": "AasSub",
"additionalEventData": {
"callbackUrl": "https://actiontrail.console.aliyun.com/cn-hangzhou/event-list?accounttraceid=****",
"mfaChecked": "false"
},
"requestId": "1.167_1627549154939_339a",
"eventTime": "2021-01-01T00:00:00Z",
"isGlobal": true,
"acsRegion": "cn-hangzhou",
"eventName": "ConsoleSignin"
}樣本中關鍵字段含義如下:
errorCode:錯誤碼。取值為Authentication.Failed,表示登入失敗。errorMessage:錯誤資訊。取值為Password is error,表示密碼錯誤。eventType:事件的類型。取值為ConsoleSignin,表示控制台登入事件。userIdentity.type:要求者的身份類型。取值為ram-user,表示RAM使用者。userIdentity.userName:要求者的RAM使用者名稱稱。eventTime:事件的發生時間(UTC格式)。取值為2021-01-01T00:00:00Z,表示北京時間2021年01月01日08:00:00。