全部产品
Search

搜索本产品

    配置审计:管控事件结构定义

    文档中心

    配置审计:管控事件结构定义

    更新时间:Jan 23, 2024

    本文为您介绍管控事件的关键字段和示例。

    关键字段

    名称

    描述

    acsRegion

    阿里云地域。

    additionalEventData

    事件的补充信息。

    apiVersion

    eventType取值为ApiCall时,事件代表一个API的调用。此时,该字段为API的版本信息。

    eventCategory

    事件分类。取值:Management(管控事件)。

    eventId

    事件ID。

    eventName

    事件名称。具体含义如下:

    • 如果eventType取值为ApiCall,该字段为API的名称。

    • 如果eventType取值不为ApiCall,该字段表示事件含义。

    eventRW

    事件的读写类型。取值:

    • Write:写类型。

    • Read:读类型。

    eventSource

    事件来源。

    eventTime

    事件的发生时间(UTC格式)。

    eventType

    发生的事件类型。取值:

    • ApiCall:API调用事件。

    • ConsoleOperation:部分控制台或售卖页的管控事件。

    • ConsoleSignin:控制台登录事件。

    • ConsoleSignout:控制台登出事件。

    • AliyunServiceEvent:此类事件为阿里云平台对您的资源执行的管控事件,目前主要是预付费实例的到期自动释放事件。

    eventVersion

    管控事件格式的版本,当前版本为1。

    errorCode

    云服务处理API请求发生错误时,记录的错误码。

    errorMessage

    云服务处理API请求发生错误时,记录的错误消息。

    requestId

    请求ID。

    requestParameters

    API请求的输入参数。

    requestParameterJson

    requestParameters的JSON格式。

    resourceName

    事件的相关资源名称,是资源的唯一标识。

    说明

    同类型的资源名称(ID)之间以半角逗号(,)间隔,不同类型的资源名称(ID)之间以半角分号(;)间隔。

    resourceType

    事件的相关资源类型。

    说明

    多个资源类型之间以半角分号(;)间隔。

    responseElements

    API响应的数据。

    referencedResources

    事件影响的资源列表。

    serviceName

    事件相关的阿里云服务名称。

    sourceIpAddress

    事件发起的源IP地址。

    userAgent

    发送API请求的客户端代理标识。

    isGlobal

    是否全局事件。取值:

    • true:全局事件。

    • false:非全局事件。

    eventAttributes

    事件属性。

    更多信息,请参见eventAttributes包含的字段

    userIdentity

    请求者的身份信息。

    更多信息,请参见userIdentity包含的字段

    表 1. eventAttributes包含的字段

    名称

    描述

    SensitiveAction

    标识该事件为敏感操作。取值:true。

    表 2. userIdentity包含的字段

    名称

    描述

    type

    身份类型。当前支持的身份类型包括:

    • root-account:阿里云账号。

    • ram-user:RAM用户。

    • assumed-role:RAM角色。

    • system:阿里云服务。

    • cloudsso-user:云SSO用户。

    • saml-user:企业自有身份(基于SAML身份)。

    • alibaba-cloud-account:跨阿里云账号授权时被授权的身份。

    • oidc-user:企业自有身份(基于OIDC身份)。

    principalId

    当前请求者的ID,需结合type来唯一确认请求者身份。

    • 如果type取值为root-account,则记录阿里云账号ID。

    • 如果type取值为ram-user,则记录RAM用户ID。

    • 如果type取值为assumed-role,则记录RoleID:RoleSessionName

    • 如果type取值为cloudsso-user,则记录云SSO用户ID。

    • 如果type取值为alibaba-cloud-account

      • 当阿里云账号跨账号操作时,记录阿里云账号ID。

      • 当RAM用户跨账号操作时,记录RAM用户ID。

      • 当扮演角色跨账号操作时,记录RoleID:RoleSessionName

    • 如果type取值为saml-useroidc-usersystem,不记录principalId

    accountId

    当前请求身份所属的阿里云账号ID。

    accessKeyId

    当前请求身份所属的AccessKey ID。

    • 如果请求者通过SDK访问API,则记录该字段。

    • 如果请求者通过控制台登录,则该字段不显示。

    • 如果请求者通过安全令牌进行访问,则记录临时访问密钥ID。

    userName

    当前请求者的身份名称。

    • 如果type取值为ram-user,则记录RAM用户名。

    • 如果type取值为assumed-role,则记录RoleName:RoleSessionName

    • 如果type取值为root-account,userName取值为root。

    • 如果type取值为cloudsso-user,则记录云SSO用户的用户名。

    • 如果type取值为saml-user,则记录企业自有身份的用户名(基于SAML身份)。

    • 如果type取值为alibaba-cloud-accountsystem,不记录userName

    • 如果type取值为oidc-user,则记录企业自有身份的用户名(基于OIDC身份)。

    sessionContext

    请求者通过临时安全令牌调用API或通过控制台登录时记录该字段。该字段的内容包括:

    • creationDate:创建时间。

    • mfaAuthenticated:用户登录控制台时是否使用多因素认证。

    示例

    {
  "eventId": "92b33345-0cef-47be-821f-fb9914d3****",
  "eventAttributes": {
    "SensitiveAction": "true"
  },
  "eventVersion": 1,
  "sourceIpAddress": "ecs.aliyuncs.com",
  "userAgent": "ecs.aliyuncs.com",
  "eventRW": "Write",
  "eventType": "ApiCall",
  "referencedResources": {
    "ACS::ECS::Instance": [
      "i-8vb0smn1lf6g77md****"
    ],
    "ACS::ECS::Disk": [
      "d-8vbf8rpv2nn0l1zm****"
    ]
  },
  "userIdentity": {
    "type": "system",
    "userName": "ecs.aliyuncs.com"
  },
  "serviceName": "Ecs",
  "extend": "INSTANCE",
  "requestId": "32B7EB75-62EE-511E-9449-E19EBF67C2ED",
  "eventTime": "2022-10-22T21:52:00Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DeleteDisk"
}