文档首页/ 云审计服务 CTS/ 用户指南(巴黎区域)/ 云审计服务事件参考/ 事件结构
更新时间:2024-12-27 GMT+08:00
查看PDF
分享

事件结构

云审计服务用于标示每个操作事件关键字段的详细信息,具体如表1所示。

  • 为方便用户,部分字段在管理控制台呈现时进行了格式优化。
  • 本章节将基于CTS管理控制台进行介绍和描述。
表1 事件的关键字段

字段名称

是否必选

类型

描述

time

Long

标识事件产生的时间戳。以当地标准时间进行展示,例如:1660927593570。在接口中,该字段以时间戳格式进行传输和存储。该字段为当地时间1970年01月01日00时00分00秒至现在的总毫秒数。

user

UserInfo object

标识触发事件的用户信息。

request

Structure

标识事件对应接口请求内容,即资源操作请求体。

response

Structure

记录用户请求的响应,标识事件对应接口响应内容,即资源操作结果返回体。

service_type

String

标识查询事件列表对应的云服务类型。

event_type

String

标识事件对应的事件类型。

project_id

String

标识事件所属的项目ID。

resource_type

String

查询事件列表对应的资源类型。

resource_account_id

String

标识资源所在的账号ID。仅在跨租户操作资源时有值。例如:租户A操作租户B下面的资源,此处为账号B的account_id。

说明:在跨租户场景下,如果用户涉及到租户A操作租户B的某个资源的时候,CTS会复制一份审计日志,在租户A和租户B的云审计服务中均可查看该条操作记录。

read_only

boolean

标识用户请求是不是只读。

tracker_name

String

标识记录事件对应的追踪器名称。

  • 当"trace_type"字段值为"system"时,该字段值默认为"system"。
  • 当"trace_type"字段值为"data"时,该字段值为对应数据类追踪器名称。

operation_id

String

记录事件对应的操作ID。

resource_name

String

标识事件对应的资源名称。

resource_id

String

标识事件对应的云服务资源ID。

source_ip

String

标识触发事件的租户IP。若为系统内调用,则为空。

domain_id

String

标识触发事件的账户ID。

trace_name

String

标识查询事件列表对应的事件名称。

trace_rating

String

标识事件等级,分为normal(正常)、warning(警告)和incident(事故)。

  • normal:代表本次操作成功。
  • warning:代表本次操作失败。
  • incident:代表本次操作引起了比失败更严重的后果,比如会造成节点故障或用户业务故障等情况。

trace_type

String

标识事件发生源头类型,管理类事件主要包括API调用(ApiCall),Console页面调用(ConsoleAction)和系统间调用(SystemAction)。

api_version

String

标识事件对应的云服务接口版本。

message

Structure

标识其他云服务为此条事件添加的备注信息。

record_time

Number

标识云审计服务记录本次事件的时间戳。

trace_id

String

标识事件的ID,由系统生成的UUID。

code

String

记录用户请求的响应,标识事件对应接口返回的HTTP状态码。

request_id

String

记录本次请求的request id。

location_info

String

记录本次请求出错后,问题定位所需要的辅助信息。

endpoint

String

该操作涉及云资源的详情页面的endpoint。

resource_url

String

该操作涉及云资源的详情页面的访问链接(不含endpoint)。

enterprise_project_id

String

标识资源所在的企业项目ID。

user_agent

String

请求客户端代理标识。

content_length

Number

请求消息体的长度。

total_time

Number

请求的响应时间。
表2 UserInfo

字段名称

是否必选

类型

描述

type

String

操作者的身份类型。

principal_id

String

操作用户的身份Id。

  • 如果是 IAM 用户身份,格式为 <user-id>
  • 如果是 IAM 委托会话身份,格式为 <agency-id>:<agency-session-name>
  • 如果是 IAM 联邦身份,格式为 <idp_id>:<user-session-name>

principal_urn

String

操作用户身份的URN。

  • 如果是 IAM 用户身份,格式如 iam::<account-id>:user:<user-name>
  • 如果是 IAM 委托会话 身份,格式如 sts::<account-id>:assumed-agency:<agency-name>/<agency-session-name>
  • 如果是 IAM 联邦身份,格式如 sts::<account-id>:external-user:<idp_id>/<user-session-name>

account_id

String

账号ID。账号ID是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中的“账号ID”。

access_key_id

String

访问密钥ID。

id

String

用户ID。用户ID是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中的“IAM用户ID”。

name

String

用户名称。用户名称是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中获取“IAM用户名”。

domain

BaseUser object

标识触发事件的用户domain信息。

user_name

String

用户名称。

说明:user_name与name字段的含义一致。

principal_is_root_user

String

是否是根用户。

  • 值为“true”时,表示操作者是根用户。
  • 值为“false”时,表示操作者是委托会话身份、联邦身份或非根用户的IAM用户。

invoked_by

Array of strings

发出请求的服务的名称。控制台操作时为["service.console" ]

session_context

SessionContext object

临时安全凭据属性。
表3 BaseUser

字段名称

是否必选

类型

描述

id

String

账号ID。账号ID是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中的“账号ID”。

name

String

账号名称。账号名称是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中的“账号名”。
表4 SessionContext

字段名称

是否必选

类型

描述

attributes

Attributes object

临时安全凭据的属性。
表5 Attributes

字段名称

是否必选

类型

描述

mfa_authenticated

String

是否已经通过MFA身份认证。

created_at

String

颁发临时安全凭证时的时间。