事件结构
云审计服务用于标示每个操作事件关键字段的详细信息,具体如表1所示。
- 为方便用户,部分字段在管理控制台呈现时进行了格式优化。
- 本章节将基于CTS管理控制台进行介绍和描述。
字段名称 |
是否必选 |
类型 |
描述 |
---|---|---|---|
time |
是 |
Long |
标识事件产生的时间戳。以当地标准时间进行展示,例如:1660927593570。在接口中,该字段以时间戳格式进行传输和存储。该字段为当地时间1970年01月01日00时00分00秒至现在的总毫秒数。 |
user |
是 |
UserInfo object |
标识触发事件的用户信息。 |
request |
否 |
Structure |
标识事件对应接口请求内容,即资源操作请求体。 |
response |
否 |
Structure |
记录用户请求的响应,标识事件对应接口响应内容,即资源操作结果返回体。 |
service_type |
是 |
String |
标识查询事件列表对应的云服务类型。 |
event_type |
是 |
String |
标识事件对应的事件类型。 |
project_id |
是 |
String |
标识事件所属的项目ID。 |
resource_type |
是 |
String |
查询事件列表对应的资源类型。 |
resource_account_id |
否 |
String |
标识资源所在的账号ID。仅在跨租户操作资源时有值。例如:租户A操作租户B下面的资源,此处为账号B的account_id。 说明:在跨租户场景下,如果用户涉及到租户A操作租户B的某个资源的时候,CTS会复制一份审计日志,在租户A和租户B的云审计服务中均可查看该条操作记录。 |
read_only |
否 |
boolean |
标识用户请求是不是只读。 |
tracker_name |
否 |
String |
标识记录事件对应的追踪器名称。
|
operation_id |
是 |
String |
记录事件对应的操作ID。 |
resource_name |
否 |
String |
标识事件对应的资源名称。 |
resource_id |
否 |
String |
标识事件对应的云服务资源ID。 |
source_ip |
是 |
String |
标识触发事件的租户IP。若为系统内调用,则为空。 |
domain_id |
是 |
String |
标识触发事件的账户ID。 |
trace_name |
是 |
String |
标识查询事件列表对应的事件名称。 |
trace_rating |
是 |
String |
标识事件等级,分为normal(正常)、warning(警告)和incident(事故)。
|
trace_type |
是 |
String |
标识事件发生源头类型,管理类事件主要包括API调用(ApiCall),Console页面调用(ConsoleAction)和系统间调用(SystemAction)。数据类事件主要包括ObsSDK,ObsAPI。 |
api_version |
否 |
String |
标识事件对应的云服务接口版本。 |
message |
否 |
Structure |
标识其他云服务为此条事件添加的备注信息。 |
record_time |
是 |
Number |
标识云审计服务记录本次事件的时间戳。 |
trace_id |
是 |
String |
标识事件的ID,由系统生成的UUID。 |
code |
否 |
String |
记录用户请求的响应,标识事件对应接口返回的HTTP状态码。 |
request_id |
否 |
String |
记录本次请求的request id。 |
location_info |
否 |
String |
记录本次请求出错后,问题定位所需要的辅助信息。 |
endpoint |
否 |
String |
该操作涉及云资源的详情页面的endpoint。 |
resource_url |
否 |
String |
该操作涉及云资源的详情页面的访问链接(不含endpoint)。 |
enterprise_project_id |
是 |
String |
标识资源所在的企业项目ID。 |
user_agent |
否 |
String |
请求客户端代理标识。 |
content_length |
否 |
Number |
请求消息体的长度。 |
total_time |
否 |
Number |
请求的响应时间。 |
字段名称 |
是否必选 |
类型 |
描述 |
---|---|---|---|
type |
是 |
String |
操作者的身份类型。 |
principal_id |
是 |
String |
操作用户的身份Id。
|
principal_urn |
是 |
String |
操作用户身份的URN。
|
account_id |
是 |
String |
账号ID。账号ID是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中的“账号ID”。 |
access_key_id |
是 |
String |
访问密钥ID。 |
id |
是 |
String |
用户ID。用户ID是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中的“IAM用户ID”。 |
name |
是 |
String |
用户名称。用户名称是指:在控制台右上角用户名的下拉选项中,选择“我的凭证”,在我的凭证页面中获取“IAM用户名”。 |
domain |
是 |
BaseUser object |
标识触发事件的用户domain信息。 |
user_name |
是 |
String |
用户名称。 说明:user_name与name字段的含义一致。 |
principal_is_root_user |
是 |
String |
是否是根用户。
|
invoked_by |
是 |
Array of strings |
发出请求的服务的名称。控制台操作时为["service.console" ] |
session_context |
否 |
SessionContext object |
临时安全凭据属性。 |