事件结构

time

是

Long

标识事件产生的时间戳。以当地标准时间进行展示，例如：1660927593570。在接口中，该字段以时间戳格式进行传输和存储。该字段为当地时间1970年01月01日00时00分00秒至现在的总毫秒数。

user

是

UserInfo object

标识触发事件的用户信息。

request

否

String

标识事件对应接口请求内容，即资源操作请求体。

response

否

String

记录用户请求的响应，标识事件对应接口响应内容，即资源操作结果返回体。

service_type

是

String

标识查询事件列表对应的云服务类型。

event_type

是

String

标识事件对应的事件类型。

project_id

是

String

标识事件所属的项目ID。

resource_type

是

String

查询事件列表对应的资源类型。

resource_account_id

否

String

标识资源所在的账号ID。仅在跨租户操作资源时有值。例如：租户A操作租户B下面的资源，此处为账号B的account_id。

说明：在跨租户场景下，如果用户涉及到租户A操作租户B的某个资源的时候，CTS会复制一份审计日志，在租户A和租户B的云审计服务中均可查看该条操作记录。

read_only

否

boolean

标识用户请求是不是只读。

tracker_name

否

String

标识记录事件对应的追踪器名称。

• 当“trace_type”字段值为“system”时，该字段值默认为“system”。
• 当“trace_type”字段值为“data”时，该字段值为对应数据类追踪器名称。

operation_id

是

String

记录事件对应的操作ID。

resource_name

否

String

标识事件对应的资源名称。

resource_id

否

String

标识事件对应的云服务资源ID。

source_ip

是

String

标识触发事件的租户IP。若为系统内调用，则为空。

domain_id

是

String

标识触发事件的账户ID。

trace_name

是

String

标识查询事件列表对应的事件名称。

trace_rating

是

String

标识事件等级，分为normal（正常）、warning（警告）和incident（事故）。

• normal：代表本次操作成功。
• warning：代表本次操作失败。
• incident：代表本次操作引起了比失败更严重的后果，比如会造成节点故障或用户业务故障等情况。

trace_type

是

String

标识事件发生源头类型，管理类事件主要包括API调用（ApiCall）、Console页面调用（ConsoleAction）和系统间调用（SystemAction）。数据类事件主要包括ObsSDK，ObsAPI。

api_version

否

String

标识事件对应的云服务接口版本。

message

否

String

标识其他云服务为此条事件添加的备注信息。

record_time

是

Number

标识云审计服务记录本次事件的时间戳。

trace_id

是

String

标识事件的ID，由系统生成的UUID。

code

否

String

记录用户请求的响应，标识事件对应接口返回的HTTP状态码。

request_id

否

String

记录本次请求的request id。

location_info

否

String

记录本次请求出错后，问题定位所需要的辅助信息。

endpoint

否

String

该操作涉及云资源的详情页面的endpoint。

resource_url

否

String

该操作涉及云资源的详情页面的访问链接（不含endpoint）。

enterprise_project_id

是

String

标识资源所在的企业项目ID。

user_agent

否

String

请求客户端代理标识。

content_length

否

Number

请求消息体的长度。

total_time

否

Number

请求的响应时间。

type

否

String

操作者的身份类型。

principal_id

否

String

操作用户的身份Id。

• 如果是 IAM 用户身份，格式为 <user-id>
• 如果是 IAM 委托会话身份，格式为 <agency-id>:<agency-session-name>
• 如果是 IAM 联邦身份，格式为 <idp_id>:<user-session-name>

principal_urn

否

String

操作用户身份的URN。

• 如果是 IAM 用户身份，格式如 iam::<account-id>:user:<user-name>
• 如果是 IAM 委托会话 身份，格式如 sts::<account-id>:assumed-agency:<agency-name>/<agency-session-name>
• 如果是 IAM 联邦身份，格式如 sts::<account-id>:external-user:<idp_id>/<user-session-name>

account_id

否

String

账号ID。账号ID是指：在控制台右上角用户名的下拉选项中，选择“我的凭证”，在我的凭证页面中的“账号ID”。

access_key_id

否

String

访问密钥ID。

id

是

String

用户ID。用户ID是指：在控制台右上角用户名的下拉选项中，选择“我的凭证”，在我的凭证页面中的“IAM用户ID”。

name

是

String

用户名称。用户名称是指：在控制台右上角用户名的下拉选项中，选择“我的凭证”，在我的凭证页面中获取“IAM用户名”。

domain

是

BaseUser object

标识触发事件的用户domain信息。

user_name

否

String

用户名称。

说明：user_name与name字段的含义一致。

principal_is_root_user

否

String

是否是企业管理员。

• 值为“true”时，表示操作者是企业管理员。
• 值为“false”时，表示操作者是委托会话身份、联邦身份或非企业管理员的IAM用户。

invoked_by

否

Array of strings

发出请求的服务的名称。控制台操作时为["service.console"]

session_context

否

SessionContext object

临时安全凭据属性。

OriginUser

否

String

发起委托会话的原始用户信息。

id

是

String

账号ID。账号ID是指：在控制台右上角用户名的下拉选项中，选择“我的凭证”，在我的凭证页面中的“账号ID”。

name

是

String

账号名称。账号名称是指：在控制台右上角用户名的下拉选项中，选择“我的凭证”，在我的凭证页面中的“账号名”。

attributes

否

Attributes object

临时安全凭据的属性。

mfa_authenticated

否

String

是否已经通过MFA身份认证。

created_at

否

String

颁发临时安全凭证时的时间。