操作审计将于2020年12月16日00:00:00起,在操作事件中新增eventRW(事件的读写类型)、resourceName(事件的相关资源名称)和resourceType(事件的相关资源类型)三个字段。此次变更将帮助您更好地分析后续的操作事件,而且不会影响您对已有操作事件的分析。
变更说明
操作审计将在事件中增加以下三个字段:
字段名称 | 字段类型 | 描述 | 示例 |
eventRW | String | 事件的读写类型。取值:
| Read |
resourceName | String | 事件的相关资源名称。 相比已有的referenceResources字段,resourceName字段将表示事件相关的资源名称(ID)字段单独拆分出来,是资源的唯一标识。 resourceName可以在日志服务中作为索引,提供按照资源名称查询的能力。 |
说明 同类型的资源名称(ID)之间以英文逗号(,)间隔,不同类型的资源名称(ID)之间以半角分号(;)间隔。 |
resourceType | List | 事件的相关资源类型。 相比已有的referenceResources字段,resourceType字段将表示事件相关的资源类型字段单独拆分出来。 resourceType可以在日志服务中作为索引,提供按照资源类型查询的能力。 |
说明 多个资源类型之间以半角分号(;)间隔。 |
变更前后事件字段代码示例如下:
变更前
{ "referenceResources": { "ACS::ECS::Instance": [ "i-bp1fadfuy****", "i-bp1fadfad****" ] } }
变更后
{ "eventRW": "Read", "referenceResources": { "ACS::ECS::Instance": [ "i-bp1fadfuy****", "i-bp1fadfad****" ] }, "resourceName": "i-bp1fadfuy****,i-bp1fadfad****", "resourceType": "ACS::ECS::Instance" }
对您的影响
本次变更不会影响已有跟踪投递的操作事件的分析活动。
变更生效后:
对于已有跟踪和新建跟踪,投递到SLS Logstore或OSS Bucket的操作事件都会包含新增字段。
对于新建跟踪,投递到SLS Logstore的操作事件会包含新增字段的索引。
对于已有跟踪,投递到SLS Logstore的操作事件不会包含新增字段的索引。当您需要分析新增字段时,建议您手动添加索引。
通过日志服务控制台补充新增字段的索引
登录日志服务控制台。
在Project列表区域,单击操作事件对应的Project名称。
单击日志库名称,在页面右上角选择
。单击字段下方加号增加eventRW、resourceName和resourceType字段。
单击确定。
通过CloudShell补充新增字段的索引
在CloudShell中执行如下命令:
actiontrail-update-index [project] [logstore] [regionId]
请将参数替换为跟踪中设置的日志服务Project、Logstore和RegionId,例如:
actiontrail-update-index actiontrail-ev**** actiontrail-test**** cn-hangzhou