管控事件結構 - ActionTrail

本文為您介紹管控事件的關鍵字段和樣本。

關鍵字段

名稱	描述
acsRegion	阿里雲地區。
additionalEventData	事件的補充資訊。
apiVersion	當eventType取值為ApiCall時，事件代表一個API的調用。此時，該欄位為API的版本資訊。
eventCategory	事件分類。取值：Management（管控事件）。
eventId	事件ID。
eventName	事件名稱。具體含義如下：如果eventType取值為ApiCall，該欄位為API的名稱。如果eventType取值不為ApiCall，該欄位表示事件含義。
eventRW	事件的讀寫類型。取值： Write：寫類型。 Read：讀類型。
eventSource	事件來源。
eventTime	事件的發生時間（UTC格式）。
eventType	發生的事件類型。取值： ApiCall：API呼叫事件。 ConsoleOperation：部分控制台或售賣頁的管控事件。 ConsoleSignin：控制台登入事件。 ConsoleSignout：控制台登出事件。 AliyunServiceEvent：此類事件為阿里雲平台對您的資源執行的管控事件，目前主要是預付費執行個體的到期自動釋放事件。
eventVersion	管控事件格式的版本，目前的版本為1。
errorCode	雲端服務處理API請求發生錯誤時，記錄的錯誤碼。
errorMessage	雲端服務處理API請求發生錯誤時，記錄的錯誤訊息。
requestId	請求ID。
requestParameters	API請求的輸入參數。
requestParameterJson	requestParameters的JSON格式。
resourceName	事件的相關資源名稱，是資源的唯一標識。說明同類型的資源名稱（ID）之間以半形逗號（,）間隔，不同類型的資源名稱（ID）之間以半形分號（;）間隔。
resourceType	事件的相關資源類型。說明多個資源類型之間以半形分號（;）間隔。
responseElements	API響應的資料。
referencedResources	事件影響的資源清單。
serviceName	事件相關的阿里雲服務名稱。
sourceIpAddress	事件發起的源IP地址。取值如下：一般為發起請求的用戶端地址，支援IPv4地址和IPv6地址。如果是阿里雲服務發起的請求，則IP地址會記錄為雲端服務標識，例如：ecs.aliyuncs.com。如果源IP地址屬於VPC網段或阿里雲內部網段，且無法區分是否來自使用者VPC時，IP地址會記錄為Internal。
userAgent	發送API請求的用戶端代理標識。
isGlobal	是否全域事件。取值： true：全域事件。 false：非全域事件。
eventAttributes	事件屬性。更多資訊，請參見eventAttributes包含的欄位。
userIdentity	要求者的身份資訊。更多資訊，請參見userIdentity包含的欄位。

表 1. eventAttributes包含的欄位

名稱	描述
SensitiveAction	標識該事件為敏感操作。取值：true。

表 2. userIdentity包含的欄位

名稱	描述
type	身份類型。當前支援的身份類型包括： root-account：阿里雲帳號。 ram-user：RAM使用者。 assumed-role：RAM角色。 system：阿里雲服務。 cloudsso-user：雲SSO使用者。 saml-user：企業自有身份（基於SAML身份）。 alibaba-cloud-account：跨阿里雲帳號授權時被授權的身份。 oidc-user：企業自有身份（基於OIDC身份）。
principalId	當前要求者的ID，需結合type來唯一確認要求者身份。如果type取值為root-account，則記錄阿里雲帳號ID。如果type取值為ram-user，則記錄RAM使用者ID。如果type取值為assumed-role，則記錄`RoleID:RoleSessionName`。如果type取值為cloudsso-user，則記錄雲SSO使用者ID。如果type取值為alibaba-cloud-account 當阿里雲帳號跨帳號操作時，記錄阿里雲帳號ID。當RAM使用者跨帳號操作時，記錄RAM使用者ID。當扮演角色跨帳號操作時，記錄`RoleID:RoleSessionName`。如果type取值為saml-user或oidc-user或system，不記錄principalId。
accountId	當前請求身份所屬的阿里雲帳號ID。
accessKeyId	當前請求身份所屬的AccessKey ID。如果要求者通過SDK訪問API，則記錄該欄位。如果要求者通過控制台登入，則該欄位不顯示。如果要求者通過安全性權杖進行訪問，則記錄臨時存取金鑰ID。
userName	當前要求者的身份名稱。如果type取值為ram-user，則記錄RAM使用者名稱。如果type取值為assumed-role，則記錄`RoleName:RoleSessionName`。如果type取值為root-account，userName取值為root。如果type取值為cloudsso-user，則記錄雲SSO使用者的使用者名稱。如果type取值為saml-user，則記錄企業自有身份的使用者名稱（基於SAML身份）。如果type取值為alibaba-cloud-account或system，不記錄userName。如果type取值為oidc-user，則記錄企業自有身份的使用者名稱（基於OIDC身份）。
sessionContext	要求者通過臨時安全性權杖調用API或通過控制台登入時記錄該欄位。該欄位的內容包括： `creationDate`：建立時間。 `mfaAuthenticated`：使用者登入控制台時是否使用多因素認證。

樣本

{
  "eventId": "92b33345-0cef-47be-821f-fb9914d3****",
  "eventAttributes": {
    "SensitiveAction": "true"
  },
  "eventVersion": 1,
  "sourceIpAddress": "ecs.aliyuncs.com",
  "userAgent": "ecs.aliyuncs.com",
  "eventRW": "Write",
  "eventType": "ApiCall",
  "referencedResources": {
    "ACS::ECS::Instance": [
      "i-8vb0smn1lf6g77md****"
    ],
    "ACS::ECS::Disk": [
      "d-8vbf8rpv2nn0l1zm****"
    ]
  },
  "userIdentity": {
    "type": "system",
    "userName": "ecs.aliyuncs.com"
  },
  "serviceName": "Ecs",
  "extend": "INSTANCE",
  "requestId": "32B7EB75-62EE-511E-9449-E19EBF67C2ED",
  "eventTime": "2022-10-22T21:52:00Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DeleteDisk"
}