操作审计事件 -

本文介绍操作审计作为事件源发布到事件总线EventBridge的事件类型。

背景信息

操作审计支持作为以下云产品的事件源：

云产品列表

产品类型	产品
计算	云服务器ECS 函数计算批量计算弹性伸缩弹性容器实例弹性高性能计算E-HPC
网络与CDN	负载均衡 CDN 云企业网智能接入网关专有网络VPC 边缘安全加速ESA
大数据计算	阿里云Elasticsearch DataV数据可视化实时数仓 Hologres E-MapReduce Quick BI
数据库	云数据库HBase 云数据库RDS 云原生关系型数据库PolarDB MySQL 云数据库Cassandra 云原生数据仓库AnalyticDB MySQL 数据传输服务
安全	密钥管理服务区块链服务BaaS 访问控制云安全中心风险识别
中间件	消息队列Kafka版
容器	容器服务Kubernetes版容器镜像服务ACR
迁移与运维管理	操作审计配置审计云监控系统运维管理
存储	文件存储NAS 对象存储OSS 表格存储Tablestore
媒体服务	媒体处理视频点播视频直播
开发工具	资源编排
企业服务与云通信	域名
物联网	阿里云物联网平台

事件类型

操作审计支持发布到事件总线EventBridge的事件类型如下所示。

事件类型	type参数值
阿里云平台对资源执行的操作事件	actiontrail:ActionTrail:AliyunServiceEvent
API调用	actiontrail:ActionTrail:ApiCall
控制台的操作事件	actiontrail:ActionTrail:ConsoleOperation

CloudEvents规范中定义的参数解释，请参见事件概述。

重要

事件总线EventBridge目前只支持写类型的操作审计事件。

API调用

通过OpenAPI调用API时，事件总线EventBridge接收到的示例事件如下所示。

{
  "eventId": "92b33345-0cef-47be-821f-fb9914d3****",
  "eventAttributes": {
    "SensitiveAction": "true"
  },
  "eventVersion": 1,
  "sourceIpAddress": "ecs.aliyuncs.com",
  "userAgent": "ecs.aliyuncs.com",
  "eventRW": "Write",
  "eventType": "ApiCall",
  "referencedResources": {
    "ACS::ECS::Instance": [
      "i-8vb0smn1lf6g77md****"
    ],
    "ACS::ECS::Disk": [
      "d-8vbf8rpv2nn0l1zm****"
    ]
  },
  "userIdentity": {
    "type": "system",
    "userName": "ecs.aliyuncs.com"
  },
  "serviceName": "Ecs",
  "extend": "INSTANCE",
  "requestId": "32B7EB75-62EE-511E-9449-E19EBF67C2ED",
  "eventTime": "2022-10-22T21:52:00Z",
  "isGlobal": false,
  "acsRegion": "cn-hangzhou",
  "eventName": "DeleteDisk"
}

关于以上示例中各字段的参数解释，请参见管控事件结构定义。

说明

更多新增字段内容，请参见公告：操作事件增加新字段。