导航
事件记录(查询日志)
最近更新时间:2024.05.16 20:23:50首次发布时间:2023.01.04 19:09:30
查询云审计日志
您可以在云审计事件列表中按时间或其他字段查询你需要追踪的日志:
- 事件名称:指具体的操作名称,不论是控制台请求或是调用OpenAPI发起的请求,都对应OpenAPI的Action名称,您可以查看具体产品的API文档了解各API的含义。
- 事件源:指操作所属的云服务,如ecs(云服务器)。
- 用户名:指操作者的身份名称,当是主账号操作时,用户名显示为“root”,当是IAM用户或角色操作时,显示IAM的用户名或角色名。
- 请求ID:请求的RequestID,调用OpenAPI发起请求时,RequestID将默认返回。使用控制台访问时,RequestID可从浏览器请求中找到。
- AccessKey ID:实际请求时使用的API访问密钥中的Access Key Id。
查看事件记录源代码
您可以点击具体的事件查看事件记录的源代码,源代码为JSON格式,例如,以下是某个操作事件的源代码示例:
以下是各字段的含义:
| 字段 | 说明 |
|---|---|
| EventVersion | 事件版本,当前为V1.1。 |
| EventID | 事件的唯一ID,标识一条审计日志。 |
| RequestID | 请求ID,标识一条唯一的请求,一个请求ID可能串联多条事件。 |
| EventTime | 事件发生时间。 |
| EventType | 事件类型。控制台访问为ConsoleOperation,编程访问为ApiCall。 |
| UserIdentity | 请求者身份相关信息,该字段包含多条信息,请参考下方UserIdentity表。 |
| EventSource | 请求的云服务,一般为云产品的英文服务名,如:ecs。 |
| EventName | 请求的名称,一般为云产品的API接口名,如:Runinstance。 |
| Region | 请求的地域,如:cn-beijing。 |
| SourceIPAddress | 请求的来源IP地址。 |
| UserAgent | 请求的客户端代理,可能是浏览器与版本信息、SDK与版本信息等。 |
| RequestParameters | 请求传递的参数。该字段因云产品支持情况不同,部分云产品可能会缺失该信息。 |
| ResponseElements | 请求的响应参数。该字段因云产品支持情况不同,部分云产品可能会缺失该信息。 |
| ReadOnly | 事件是否是读类事件,表示请求是只读操作,对应写类事件,表示请求是写操作。该字段因云产品支持情况不同,部分云产品可能会缺失该信息(默认为false)。 |
| Resources | 事件所访问的云资源。该字段因云产品支持情况不同,部分云产品可能会缺失该信息。 |
| ApiVersion | 事件请求的API版本信息,与云产品API文档中提供的API版本一致。 |
UserIdentity:
| 字段 | 说明 |
|---|---|
| AccountID | 请求者身份所属的主账号ID。 |
| Type | 请求者的身份类型,取值为 root,IAMUser,AssumedRole,Service,分别代表主账号、IAM用户、IAM角色、云服务。 |
| PrincipalID | 请求者身份ID。 |
| UserName | 请求者身份名称,当主账号请求时,显示为root固定值;子用户请求时,显示为${UserName},即用户名;角色请求时,显示为${RoleName}/${RoleSessionName},其中${RoleName}为角色名,${RoleSessionName}为临时会话标识,可用于区分同一角色的不同会话。例如在企业中可能存在多位员工使用同一个角色进行访问的场景,此时可通过RoleSessionName字段来传递实际发起访问的员工信息。在上方的事件代码示例中,UserName字段值为demo-role/Bob,代表改次访问由角色demo-role完成,且会话标识为Bob,用于指代本次角色访问由员工Bob发起。您可参考SSO文档了解SSO场景如何传递RoleSessionName,或参考[AssumeRole接口文档](AssumeRole接口文档或了解普通角色扮演场景如何传递RoleSessionName。 |
| TRN | 请求者身份的资源名称标识。 |
| AccessKeyID | 请求者身份使用的密钥Access Key Id。 |