活动跟踪事件用于 Container Registry
IBM Cloud IBM Cloud® Container Registry 等服务生成活动跟踪事件。
活动跟踪事件在 IBM Cloud 中报告改变服务状态的活动。 您可以使用这些事件来调查异常活动和关键操作,并遵守监管审计要求。
您可以使用 IBM Cloud Activity Tracker Event Routing 这一平台服务,通过配置定义活动跟踪事件发送位置的目标和路由,将账户中的审计事件路由到您选择的目的地。 有关更多信息,请参阅关于 IBM Cloud Activity Tracker Event Routing。
您可以使用 IBM Cloud Logs 对在您的账户中生成并由 IBM Cloud Activity Tracker Event Routing 路由到 IBM Cloud Logs 实例的事件进行可视化并发出警报。
生成活动跟踪事件的位置
您可以跟踪用户和应用程序与 IBM Cloud Container Registry 服务的交互情况。 下表列出了启用自动收集 Container Registry 服务事件的位置。
美洲地区 | 可提供的服务活动 |
---|---|
Dallas (us-south) |
是 |
Sao Paulo (br-sao) |
是 |
Toronto (ca-tor) |
是 |
亚太地区 | 可提供的服务活动 |
---|---|
Osaka (jp-osa) |
是 |
Sydney (au-syd) |
是 |
Tokyo (jp-tok) |
是 |
在欧洲的地点 | 可提供的服务活动 |
---|---|
Frankfurt (eu-de) |
是 |
London (eu-gb) |
是 |
Madrid (eu-es) |
是 |
全球位置 | 可提供的服务活动 |
---|---|
Global |
是 |
有关在何处查找 Container Registry 事件的更多信息,请参阅 查看 Container Registry 的活动跟踪事件。
通过以下方式发送活动跟踪事件的位置 IBM Cloud Activity Tracker Event Routing
Container Registry IBM Cloud Activity Tracker Event Routing 在下表所示地区发送活动跟踪事件。
达拉斯 (us-south ) |
华盛顿 (us-east ) |
多伦多 (ca-tor ) |
圣保罗 (br-sao ) |
---|---|---|---|
是 | 是 (global ) |
是 | 是 |
东京 (jp-tok ) |
悉尼 (au-syd ) |
大板 (jp-osa ) |
---|---|---|
是 | 是 | 是 |
法兰克福 (eu-de ) |
伦敦 (eu-gb ) |
马德里 (eu-es ) |
---|---|---|
是 | 是 | 是 |
查看以下活动的跟踪事件 Container Registry
您可以使用 IBM Cloud Logs 对在您的账户中生成并由 IBM Cloud Activity Tracker Event Routing 路由到 IBM Cloud Logs 实例的事件进行可视化并发出警报。
从可观察性页面启动 IBM Cloud Logs
有关启动 IBM Cloud Logs 用户界面的信息,请参阅 IBM Cloud Logs 文档中的启动用户界面。
帐户管理事件
为授权、计划、配额和设置生成账户管理事件的操作。
操作 | 描述 |
---|---|
container-registry.auth.get |
检查您账户中的图像推送或提取是否禁止使用公共连接。 |
container-registry.auth.set |
防止或允许通过公共网络连接为您的账户提取或推送图像。 |
container-registry.plan.get |
显示有关当前价格套餐的信息。 |
container-registry.plan.set |
升级到标准套餐。 |
container-registry.quota.get |
显示流量和存储的当前配额以及这些配额的使用情况信息。 |
container-registry.quota.set |
修改配额。 配额设置必须在每个注册表实例中为您的账户单独管理。 您可以在免费或标准计划中设置存储配额限制。 |
container-registry.settings.get |
获取目标账户的注册表服务设置,例如是否启用了平台指标。 |
container-registry.settings.set |
更新目标账户的注册表服务设置,例如启用平台指标。 |
图像事件
下表列出了为图像生成管理和数据事件的操作。
操作 | 描述 |
---|---|
container-registry.image.inspect |
显示有关映像的详细信息。 |
container-registry.image.list |
列出 IBM 帐户中的映像。 |
container-registry.image.tag |
添加指示预先存在的 Container Registry 映像的标记。 |
container-registry.image.untag |
从 Container Registry 中的每个指定映像除去一个或多个标记。 |
container-registry.manifest.inspect |
查看映像的清单内容。 |
container-registry.retention.analyze |
列出应用特定保留策略时要删除的图像。 |
container-registry.retention.list |
列出帐户的映像保留时间策略。 |
container-registry.retention.set |
设置策略,用于在 Container Registry 中通过应用指定的条件来保留名称空间中的映像。 |
container-registry.trash.list |
显示废纸篓中您的 IBM Cloud 帐户中的所有映像。 |
container-registry.trash.restore |
从废纸篓复原已删除的映像。 如果删除的图像已签名,则也会恢复签名。 |
操作 | 描述 |
---|---|
container-registry.image.bulkdelete |
从 Container Registry 中删除多个映像。 如果图像上有签名,签名也会被删除。 |
container-registry.image.delete |
从 Container Registry 中删除映像。 如果图像上有签名,签名也会被删除。 |
container-registry.image.pull |
从 Container Registry 拉出映像。 |
container-registry.image.push |
将映像推送到 Container Registry。 |
container-registry.signature.delete |
从 Container Registry 中的图像中删除签名。 |
container-registry.signature.read |
从 Container Registry 中的图像读取签名。 |
container-registry.signature.write |
在 Container Registry 中为图像写入签名。 |
命名空间事件
下表列出了为命名空间生成管理事件的操作。
操作 | 描述 |
---|---|
container-registry.namespace.create |
在 Container Registry 中创建命名空间。 |
container-registry.namespace.delete |
从 Container Registry 中删除名称空间。 |
container-registry.namespace.list |
列出 IBM 账户中的 Container Registry 命名空间。 |
漏洞事件
下表列出了为漏洞和 Vulnerability Advisor 豁免策略生成管理事件的操作。
操作 | 描述 |
---|---|
container-registry.account-vulnerability-report.list |
查看 Container Registry 账户中图像的 Vulnerability Advisor 报告。
有关请求数据的更多信息,请参阅 账户漏洞报告的请求数据。 |
container-registry.account-vulnerability-status.list |
查看 Container Registry 账户中图像的 Vulnerability Advisor 安全状态。
有关请求数据的更多信息,请参阅 账户漏洞状态的请求数据。 |
container-registry.image-vulnerability-report.read |
在 Container Registry 中查看图像的 Vulnerability Advisor 报告。
有关请求和响应数据的更多信息,请参阅 漏洞报告的请求和响应数据。 |
container-registry.image-vulnerability-status.read |
在 Container Registry 中查看 Vulnerability Advisor 图像的安全状态。
有关请求和响应数据的更多信息,请参阅 漏洞状态的请求和响应数据。 |
container-registry.exemption.create |
创建 Vulnerability Advisor 豁免。 |
container-registry.exemption.delete |
删除 Vulnerability Advisor 豁免。 |
分析 Container Registry 活动跟踪事件
以下字段的填充方式如前所述,具体取决于请求的填充方式:
-
target.name
显示图像名称,如果您要求图像名称带有标记,则显示标记。 如果通过摘要请求图像名称,则会显示摘要而不是标签,因为摘要可能有很多标签。 -
target.id
通过摘要显示图像名称,以表示图像的可搜索唯一 ID,除非请求的是带标记的图像,并且在发现摘要之前请求失败。 要查看本文摘所有标签下的所有事件,您可以通过target.id
进行搜索。 -
target.resourceGroupId
显示与命名空间及其资源相关联的资源组 ID。 更多信息,请参阅 设置命名空间。未迁移到 IAM 的早期命名空间没有资源组,因此该字段不可用。
请求漏洞事件数据
在 Container Registry 中获取漏洞事件的数据。
为账户漏洞报告申请数据
获取属于特定账户的注册表镜像列表的漏洞评估 (container-registry.account-vulnerability-report.list
)。
下表列出了操作 container-registry.account-vulnerability-report.list
的事件中可通过 requestData
字段使用的字段。
自定义事件字段 | 类型 | 描述 |
---|---|---|
requestData.RequestParameters.repository |
字符串 | 您要查看镜像漏洞评估的存储库名称。 例如,us.icr.io/namespace/image 。 |
requestData.RequestParameters.includeIBM |
字符串 | 当设置为 true 时,返回的列表包含 IBM 公共图像和账户图像。 如果未设置或设置为 false ,则列表只包含账户图像。 |
requestData.RequestParameters.includePrivate |
字符串 | 当设置为 false 时,返回的列表不包含私人账户图像。 如果未设置或设置为 true ,列表中将包含私人账户图像。 |
有关操作 container-registry.account-vulnerability-report.list
的更多信息,请参阅 API 文档中的 获取所有图像的漏洞评估。
请求提供账户漏洞状态数据
获取属于特定账户的注册表镜像列表的漏洞评估状态 (container-registry.account-vulnerability-status.list
)。
下表列出了操作 container-registry.account-vulnerability-status.list
的事件中可通过 requestData
字段使用的字段。
自定义事件字段 | 类型 | 描述 |
---|---|---|
requestData.RequestParameters.repository |
字符串 | 您要查看镜像漏洞评估的存储库名称。 例如,us.icr.io/namespace/image 。 |
requestData.RequestParameters.includeIBM |
字符串 | 当设置为 true 时,返回的列表包含 IBM 公共图像和账户图像。 如果未设置或设置为 false ,则列表只包含账户图像。 |
requestData.RequestParameters.includePrivate |
字符串 | 当设置为 false 时,返回的列表不包含私人账户图像。 如果未设置或设置为 true ,列表中将包含私人账户图像。 |
有关操作 container-registry.account-vulnerability-status.list
的更多信息,请参阅 API 文档中的 获取所有图像的漏洞评估状态。
漏洞报告的请求和响应数据
获取注册表映像的漏洞评估 (container-registry.image-vulnerability-report.read
)。
下表列出了在带有操作 container-registry.image-vulnerability-report.read
的事件中,通过 requestData
和 responseData
字段可以使用的字段。
自定义事件字段 | 类型 | 描述 |
---|---|---|
requestData.RequestParameters.name |
字符串 | 映像的名称。 例如, us.icr.io/namespace/repository:tag 。
以下限制条件适用:值必须与正则表达式 |
responseData.id |
字符串 | 报告的唯一 ID。 |
responseData.status |
字符串 | 总体漏洞评估状态有以下值:
有关这些状态代码的更多信息,请参阅 API 文档中的漏洞报告状态代码。 |
更多信息,请参阅 API 文档中的 获取漏洞评估状态。
漏洞状态的请求和响应数据
获取注册表映像的总体漏洞状态 (container-registry.image-vulnerability-status.read
)。
下表列出了在带有操作 container-registry.image-vulnerability-status.read
的事件中,通过 requestData
和 responseData
字段可以使用的字段。
自定义事件字段 | 类型 | 描述 |
---|---|---|
requestData.RequestParameters.name |
字符串 | 映像的名称。 例如, us.icr.io/namespace/repository:tag 。
以下限制条件适用:值必须与正则表达式 |
responseData.status |
字符串 | 总体漏洞评估状态有以下值:
有关这些状态代码的更多信息,请参阅 API 文档中的漏洞报告状态代码。 |
更多信息,请参阅 API 文档中的 获取漏洞状态。
为图像签名活动申请数据
在 Container Registry 中获取有关图像签署事件的数据。
下表列出了通过 requestData
字段可在事件中使用的字段,操作如下:
container-registry.signature.delete
container-registry.signature.read
container-registry.signature.write
自定义事件字段 | 类型 | 描述 |
---|---|---|
requestData.RequestParameters.repository |
字符串 | 要查看图像签名报告的存储库名称。 例如,us.icr.io/namespace/image 。 |
requestData.RequestParameters.signatureMethod |
字符串 | 显示用于签名图像的技术,如 Red Hat Signing。 |
requestData.RequestParameters.signatureObject |
字符串 | 指定执行签名操作的对象类型,例如 image 。 |