Resource Orchestration Service：使用Action Trail查詢Resource Orchestration Service服務的操作事件

前置概念

• Action Trail是什嗎？

  Action Trail是阿里雲提供的雲帳號資源操作記錄的查詢和投遞服務，會監控並記錄阿里雲帳號的活動，包括通過阿里雲控制台、OpenAPI、開發人員工具對ROS的訪問和使用行為。

• Action Trail為ROS帶來了什嗎？

  通過使用Action Trail您可以確認是哪位使用者向ROS發出了什麼請求、請求時間、源IP、請求地區等詳細資料，同時您可以對資訊進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。

有關Action Trail的更多資訊，請參見什麼是Action Trail。

Resource Orchestration Service事件說明

Action Trail（ActionTrail）是預設開通的，當您在ROS中發生操作時，該操作活動將被記錄在Action Trail（ActionTrail）的事件中，並與其他阿里雲服務事件一併儲存在事件記錄中，每個事件包含請求的身份資訊，可以協助您確定以下內容：

• 請求是哪種類型（阿里雲帳號或RAM使用者）的使用者發出。

• 請求通過哪種方式（控制台、OpenAPI、開發人員工具等）發出。

• 請求是否由阿里雲其他雲端服務發出。

有關更多資訊，請參見管控事件結構定義。

Resource Orchestration Service事件樣本

本節以ActionTrail中ROS的建立資源棧（CreateStack）操作事件為例，通過Action Trail控制台查詢Resource Orchestration Service服務建立資源棧的所有操作事件。

1. 登入Action Trail控制台。

2. 在左側導覽列，選擇事件 > 事件查詢。

3. 在頂部導覽列選擇待查詢事件的地區。

4. 在事件查詢頁面，從下拉式清單中選擇雲端服務名稱。

5. 在文字框中輸入ROS並進行查詢。

6. 定位到目標時間，單擊操作列的查看事件詳情。

   

7. 事件記錄表示在北京時間2024年09月03日12:23:15，RAM使用者her****調用CreateStack介面的資訊。

   重要

   由於請求參數（requestParameters）可能包含敏感資訊，僅記錄傳了多少參數，而不記錄參數名稱和值。例如"Parameters.1.ParameterKey": "***"。

   {
     "eventId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
     "eventVersion": 1,
     "responseElements": {
       "RequestId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
       "StackId": "c458666c-6795-48c6-bf70-53872ef8****"
     },
     "eventSource": "ros-share.aliyuncs.com",
     "requestParameters": {
       "RegionId": "cn-hangzhou",
       "TemplateVersion": "v14",
       "Parameters.1.ParameterKey": "***",
       "Parameters.1.ParameterValue": "***",
       "Parameters.2.ParameterKey": "***",
       "Parameters.2.ParameterValue": "***",
       "DisableRollback": true,
       "StackName": "metric-adapter_2024-09-03_psl5z****",
       "TemplateId": "39193be5-7edf-4d94-8693-ca7766bd****",
       "TimeoutInMinutes": 60,
       "ClientPort": 62011,
       "DeletionProtection": "Disabled",
       "AcsProduct": "ROS",
       "SourceTlsVersion": "TLSv1.2",
       "ReplacementOption": "Disabled",
       "proxy_original_source_tls_version": "TLSv1.2",
       "AcceptLanguage": "zh-CN",
       "X-Acs-Public-Access": false,
       "X-Acs-Ingress-Network": "crossdomain",
       "X-Acs-Account-Site-Type": "domestic",
       "X-Acs-Client-Request-Host": "ros-share.aliyuncs.com"
     },
     "sourceIpAddress": "59.**.**.46",
     "userAgent": "rosnext.console.aliyun.com",
     "eventRW": "Write",
     "eventType": "ConsoleOperation",
     "referencedResources": {
       "ACS::ROS::Stack": [
         "c458666c-6795-48c6-bf70-53872ef8****"
       ]
     },
     "userIdentity": {
       "sessionContext": {
         "attributes": {
           "mfaAuthenticated": "true",
           "creationDate": "2024-09-03T12:23:15Z"
         }
       },
       "accountId": "156345785543****",
       "principalId": "20463465787785****",
       "type": "ram-user",
       "userName": "her****"
     },
     "serviceName": "ROS",
     "additionalEventData": {
       "CallerBid": "26842"
     },
     "apiVersion": "2019-09-10",
     "requestId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
     "eventTime": "2024-09-03T12:23:15Z",
     "isGlobal": false,
     "acsRegion": "cn-hangzhou",
     "eventName": "CreateStack"
   }

   樣本中關鍵參數含義如下：

   參數	含義
   requestParameters	建立棧時提供的參數，包括棧名稱、模板版本、用戶端連接埠等資訊。
   eventRW	操作類型。取值為Write，表示寫入操作。
   userIdentity.type	要求者的身份類型。取值為ram-user，表示RAM使用者。
   eventType	操作類型，取值為ConsoleOperation，表示控制台操作。
   serviceName	提供服務的名稱，表示為ROS。
   eventTime	事件發生的時間。取值為2024-09-03T12:23:15Z，表示北京時間2024年09月03日12:23:15。

相關文檔

Resource Orchestration Service支援被審計的事件，請參見Resource Orchestration Service支援被審計的事件說明。