Eventos de seguimiento de la actividad para la gestión de cuentas
los servicios IBM Cloud, como la gestión de cuentas, generan eventos de seguimiento de actividad.
Los eventos de seguimiento de actividad informan sobre las actividades que cambian el estado de un servicio en IBM Cloud. Puede utilizar los eventos para investigar actividades anómalas y acciones críticas, así como para cumplir los requisitos normativos de auditoría.
Puede utilizar IBM Cloud Activity Tracker Event Routing, un servicio de la plataforma, para enrutar los eventos de auditoría de su cuenta a los destinos que desee configurando objetivos y rutas que definan dónde se envían los eventos de seguimiento de actividad. Para obtener más información, consulte Acerca de IBM Cloud Activity Tracker Event Routing.
Puede utilizar ' IBM Cloud Logs para visualizar y alertar sobre eventos generados en su cuenta y enrutados por ' IBM Cloud Activity Tracker Event Routing a una instancia de ' IBM Cloud Logs '.
Ubicaciones donde se envían los eventos de seguimiento de actividad por IBM Cloud Activity Tracker Event Routing
La gestión de cuentas envía eventos de seguimiento de actividad por IBM Cloud Activity Tracker Event Routing en las regiones que se indican en la siguiente tabla.
Dallas (us-south ) |
Washington (us-east ) |
Toronto (ca-tor ) |
Sao Paulo (br-sao ) |
---|---|---|---|
No | No | No | No |
Tokio (jp-tok ) |
Sídney (au-syd ) |
Osaka (jp-osa ) |
in-che |
---|---|---|---|
No | No | No | No |
Frankfurt (eu-de ) |
Londres (eu-gb ) |
Madrid (eu-es ) |
---|---|---|
Sí | No | No |
Lanzamiento de IBM Cloud Logs desde la página de Observability
Para obtener información sobre cómo iniciar la interfaz de usuario IBM Cloud Logs Consulte Iniciar la interfaz de usuario en la documentación de IBM Cloud Logs.
Sucesos para gestionar cuentas
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
billing.account.create |
Se genera un suceso cuando crea una cuenta tras asignar el ID de cuenta a la cuenta. |
billing.account.update |
Se genera un suceso cuando se actualiza la información sobre la cuenta. |
billing.account.active |
Se genera un suceso cuando se verifica la cuenta, es decir, se genera un suceso cuando la cuenta pasa a estar activa. |
billing.account-subscription.create |
Se genera un suceso cuando se crea una cuenta de suscripción. |
Sucesos para la gestión de informes de uso de cuenta
Estos sucesos se generan cuando un usuario mira la información de uso de la cuenta. Por ejemplo, el usuario puede consultar los datos de uso a través de la sección Gestionar > Facturación y uso > Uso, o solicitar una exportación de los datos. Además, los usuarios pueden solicitar la información de uso a través de la CLI o realizando llamadas de API directamente.
Sucesos para gestionar informes de uso de una sola cuenta
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
billing.account-summary.read |
Se genera un suceso cuando un usuario visualiza la página de uso de resumen de nivel de cuenta que se muestra de forma predeterminada. |
billing.account-summary.download |
Se genera un suceso cuando un usuario solicita una exportación de resumen de los datos en formato csv desde la página de uso de resumen de nivel de cuenta. |
billing.account-usage-report.read |
Se genera un suceso cuando un usuario visualiza los datos de uso que se muestran después de que el usuario configure un periodo de tiempo, un grupo de recursos, o ambos, en la página de uso de resumen de nivel de cuenta predeterminada. Este suceso también se genera cuando un usuario visualiza la página de datos de uso de instancias. |
billing.account-instances-usage-report.download |
Se genera un suceso cuando un usuario solicita una exportación de instancias de los datos en formato csv desde la página de uso de resumen de nivel de cuenta. |
Sucesos para la gestión de informes de uso de empresa
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
billing.enterprise-usage-report.read |
Se genera un suceso cuando un usuario visualiza la página de uso de resumen de nivel de cuenta empresarial que se muestra de forma predeterminada. |
billing.enterprise-usage-report.download |
Se genera un suceso cuando un usuario solicita una exportación de resumen de los datos en formato csv desde la página de uso de resumen de nivel de cuenta empresarial. |
billing.enterprise-instances-usage-report.download |
Se genera un suceso cuando un usuario solicita una exportación de instancias de los datos en formato csv desde la página de uso de resumen de nivel de cuenta empresarial. |
Sucesos para gestionar valores de cuenta de IAM
La siguiente tabla enumera las acciones que se generan cuando se modifica una configuración de cuenta controlada desde el panel de control Gestionar > Acceso (IAM) > Configuración:
Acción | Descripción |
---|---|
iam-identity.accountsettings.update |
Se genera un suceso cuando un iniciador modifica 1 o más de los siguientes valores de cuenta: Multifactor authentication (MFA) , Restrict API key creation , Restrict service ID creation y Restrict IP address access . |
iam-groups.account-settings.update |
Se genera un suceso cuando un iniciador modifica el valor de cuenta Public access group . |
billing.account-traits.update |
Se genera un suceso cuando un iniciador modifica el valor de cuenta Restrict user list visibility . |
La tabla siguiente muestra los campos requestData
que notifican los cambios en la configuración:
Acción | Descripción |
---|---|
requestData.public_access_enabled |
Notifica el valor booleano que se establece cuando se modifica el valor Public access group . |
requestData.request_body.old_mfa_traits |
Notifica el valor original del valor Multifactor authentication (MFA) . Los valores válidos son NONE , TOTP , TOTP4ALL , LEVEL1 , LEVEL2 , LEVEL3
Este campo se establece en Este campo se establece en Este campo se establece en Este campo se establece en Este campo se establece en Este campo se establece en |
requestData.request_body.new_mfa_traits |
Notifica el nuevo valor del valor Multifactor authentication (MFA) . |
requestData.request_body.old_restrict_create_platform_apikey |
Informa del valor original del ajuste Restrict API key creation .Valores válidos: NOT_RESTRICTED y RESTRICTED |
requestData.request_body.new_restrict_create_platform_apikey |
Informa del nuevo valor del ajuste Restrict API key creation .Valores válidos: NOT_RESTRICTED y RESTRICTED |
requestData.request_body.old_restrict_create_service_id |
Informa del valor original del ajuste Restrict service ID creation .Valores válidos: NOT_RESTRICTED y RESTRICTED |
requestData.request_body.new_restrict_create_service_id |
Informa del nuevo valor del ajuste Restrict service ID creation .Valores válidos: NOT_RESTRICTED y RESTRICTED |
requestData.request_body.old_allowed_ip_addresses |
Informa del valor original del ajuste Restrict IP address access .Valores válidos: NOT_RESTRICTED y RESTRICTED |
requestData.request_body.new_allowed_ip_addresses |
Informa del nuevo valor del ajuste Restrict IP address access .Valores válidos: NOT_RESTRICTED y RESTRICTED |
requestData.team_directory_enabled |
Notifica el valor booleano que se establece cuando se modifica el valor Restrict user list visibility . |
En la siguiente tabla se enumeran las acciones de deprecated
que generan un evento cuando se modifica una configuración de cuenta controlada desde el panel de control Gestionar > Acceso (IAM) > Configuración:
Acción | Descripción |
---|---|
billing.account-traits.update |
Se genera un suceso cuando se modifica un valor de la cuenta. |
billing.account-mfa.set-on |
Se genera un suceso cuando el valor Account Login activa la autenticación de multifactores en la cuenta. |
billing.account-mfa.set-off |
Se genera un suceso cuando el valor Account Login desactiva la autenticación de multifactores en la cuenta. |
Sucesos para gestionar organizaciones
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
billing.account-org.create |
Se genera un suceso cuando se añade una organización a la cuenta. |
Sucesos para gestionar etiquetas
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
global-search-tagging.tag.create |
Se genera un suceso cuando se crea una etiqueta. El tipo de etiqueta se incluye en el objeto requestData. |
global-search-tagging.tag.delete |
Se genera un suceso al suprimir una etiqueta de la cuenta. |
global-search-tagging.tags.delete |
Se genera un suceso al suprimir todas las etiquetas que no están adjuntas a recursos de la cuenta. |
<service-name>.tag.attach |
Se genera un suceso al asociar una etiqueta a un recurso. |
<service-name>.tag.detach |
Se genera un suceso al eliminar una etiqueta de un recurso. |
Cuando se crea un código de acceso, se obtiene un suceso con global-search-tagging.tag.create
.
Cuando se conecta un código de acceso a un recurso, se obtiene el suceso <service-name>.tag.attach
.
Sucesos para gestionar usuarios
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
user-management.user.invite |
Se genera un suceso cuando invita a un usuario a la cuenta. |
user-management.user.resend-invite |
Se genera un evento cuando se reenvía una invitación a un usuario para la cuenta. |
user-management.cloud-user.list |
Se genera un evento cuando se recuperan usuarios de la cuenta. |
user-management.user.read |
Se genera un evento cuando se recupera la información de un usuario de la cuenta. |
billing.user.active |
Se genera un suceso cuando un usuario que ha recibido una invitación por correo electrónico para unirse a una cuenta verifica la dirección de correo electrónico. |
user-management.user.update |
Se genera un suceso cuando se modifica el registro en configuraciones para un usuario desde la interfaz de usuario de IBM Cloud. |
user-management.user-realm.update |
Se genera un evento cuando se actualiza el IBM ID de un usuario. |
user-management.user.delete |
Se genera un suceso cuando se elimina un usuario de la cuenta. |
user-management.user-setting.read |
Se genera un evento cuando se recuperan los ajustes de configuración de inicio de sesión del usuario: Autenticación de usuario con código de un solo uso,Requerir preguntas de seguridad MFA en el inicio de sesión, Inicio de sesión gestionado por el usuario o Configuración de preguntas de seguridad |
user-management.user-setting.update |
Se genera un suceso cuando se actualizan los valores de configuración de inicio de sesión del usuario: autenticación de código de acceso de uso único del usuario, requerimiento de preguntas de seguridad de MFA durante el inicio de sesión, inicio de sesión gestionado por el usuario o configuración de preguntas de seguridad |
Invitar a un usuario a una cuenta
Se generan eventos separados para esta actividad asíncrona: uno que muestra una invitación pendiente y otro que muestra la finalización o el fracaso de la invitación.
- Un evento de invitación pendiente contendría los siguientes valores para los campos de acción, resultado y mensaje.
"action": "user-management.user.invite",
"outcome": "pending",
"message": "IAM User Management: invite user -pending"
- Un evento de invitación completado contendría los siguientes valores para los campos de acción, resultado y mensaje.
"action": "user-management.user.invite",
"outcome": "success",
"message": "IAM User Management: invite user"
Eliminar un usuario de una cuenta
Se generan eventos separados para las peticiones asíncronas de borrado de usuarios: uno mostrando un borrado pendiente y otro mostrando la finalización o el fallo del borrado.
- Un evento de usuario pendiente de eliminar contendría los siguientes valores para los campos de acción, resultado y mensaje.
"action": "user-management.user.delete",
"outcome": "pending",
"message": " IAM User Management: delete user IBMid-Example -pending"
- Un evento de usuario de eliminación completado contendría los siguientes valores para los campos de acción, resultado y mensaje.
"action": "user-management.user.delete",
"outcome": "success",
"message": " IAM User Management: delete user IBMid-Example"
Eventos para la calculadora de carbono
En la tabla siguiente se muestran las acciones que generan un suceso:
Acción | Descripción |
---|---|
carbon-calculator.carbon-emissions.list |
Solicitud para obtener las emisiones de carbono de una cuenta determinada. |
carbon-calculator.services.list |
Solicite la lista de servicios para los que se pueden obtener emisiones de carbono. |
carbon-calculator.locations.list |
Solicite la lista de lugares desde los que se pueden obtener emisiones de carbono. |
Análisis de los eventos de seguimiento de la actividad de gestión de cuentas
Sucesos de gestión de usuarios
En esta sección se explican los eventos que se generan al gestionar usuarios desde el panel de control Gestionar > Acceso (IAM) > Usuarios.
Cuando se analizan sucesos de gestión de usuarios, target.name
se establece en el ID de usuario del usuario en el que se solicita la acción.
Modificación del estado de un usuario
Al modificar el estado de un usuario seleccionándolo, haciendo clic en Editar en la sección Detalles y cambiando el Estado del usuario, se produce el siguiente evento:
- Suceso con la acción
user-management.user.update
que indica una solicitud en la cuenta para modificar las propiedades del usuario.
Por ejemplo, véase el campo action
para el evento user-management.user.update
:
"action": "user-management.user.update",
"message": "User management service: update user"
"initiator": {
"id": "IBMid-12345",
"typeURI": "service/security/account/user",
"name": "example@ibm.com",
"host": {
"agent": "",
"address": "...",
"addressType": "IPv4"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1:bluemix:public:user-management:global:a/account1234:::",
"typeURI": "user-management/user",
"name": "IBMid-12345",
"host": {
"address": "user-management.cloud.ibm.com"
}
}
Restringir direcciones IP
Cuando se configuran restricciones de direcciones IP desde la sección Restricciones de direcciones IP, se recibe 1 suceso con la acción user-management.user-setting.update
.
Por ejemplo, véase el campo requestData
para el evento user-management.user-setting.update
:
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"ips_added": [
{
"address": "241.211.116.250",
"addressType": "IPv4"
},
{
"address": "89.78.194.127",
"addressType": "IPv4"
},
{
"address": "40.190.11.111",
"addressType": "IPv4"
},
{
"address": "246.140.117.83",
"addressType": "IPv4"
},
],
"updateType": "allowed_ip_addresses changes"
}
]
Gestionar inicio de sesión del usuario
Al modificar la información sobre el inicio de sesión de un usuario desde la sección Gestionar > Acceso (IAM) > Usuarios > Detalles de usuario, se obtiene 1 evento con la acción user-management.user-setting.update
.
Vea el ejemplo del campo requestData
cuando la propiedad de inicio de sesión gestionado por el usuario está desactivada:
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": true,
"newValue": false,
"updateType": "self_manage update"
}
]
}
Vea el ejemplo del campo requestData
cuando la propiedad User one-time passcode authentication está activada. El campo requestData.2FA
tiene el valor true
.
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": false,
"newValue": true,
"updateType": "2FA update"
},
]
}
Consulte el ejemplo del campo requestData
cuando la propiedad Solicitar preguntas de seguridad de MFA al iniciar sesión está habilitada. El campo requestData.security_questions_setup
tiene el valor
true
.
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": false,
"newValue": true,
"updateType": "security_questions_setup update"
}
]
}
El usuario acepta una invitación de cuenta
Cuando un usuario acepta una invitación de cuenta, se obtiene el siguiente evento:
- Evento con acción '
user-management.user-invitation.accept
' que informa de qué usuario aceptó la invitación a la cuenta.
Vea el ejemplo del campo ' responseData
' cuando el usuario acepta la invitación:
"action": "user-management.user-invitation.accept",
"message": "IBM User Management: accept user invitation to account Joe Test's Account",
"responseData": {
"update": [
{
"initialValue": "BSS-3f6af42016b440e087025542cbd9cb91",
"newValue": "IBMid-663003Z105",
"updateType": "IAM ID Update during Accept"
}
]
}
Campos requestData
En la tabla siguiente se muestran los campos requestData que puede encontrar en los sucesos que se generan cuando se modifican los detalles del usuario desde el panel de control Usuarios:
Campo | Tipo | Descripción |
---|---|---|
2FA |
Boolean | Define los requisitos de MFA para los usuarios de la cuenta. Este campo se establece en true cuando MFA está activado para los usuarios. |
allowed_ip_addresses |
Serie | Lista de direcciones IP desde las que se permite a un usuario acceder a los recursos de la cuenta. |
ips_added |
Serie | Las nuevas direcciones IP que se añaden a ' allowed_ip_addresses . |
ips_removed |
Serie | Las direcciones IP que se eliminan del " allowed_ip_addresses . |
iam_id |
Serie | Define el ID de IBM del usuario cuyos valores se están modificando. |
initialValue |
Serie | El valor original de una configuración de usuario específica. No aplicable para allowed_ip_addresses . |
newValue |
Serie | El nuevo valor para una configuración de usuario específica. No aplicable para allowed_ip_addresses . |
updateType |
Serie | La configuración de usuario específica que se actualiza. |
security_questions_setup |
Boolean | Define cuándo el usuario necesita preguntas de seguridad para iniciar una sesión en la cuenta. Este campo está configurado en true para indicar que las preguntas son obligatorias. |
self_manage |
Boolean | Define si un usuario puede configurar su registro en los valores y cómo iniciar una sesión en la cuenta. Este campo se establece en true para permitir que un usuario establezca la caducidad de la contraseña, active
las preguntas de seguridad para el inicio de sesión y defina las direcciones IP permitidas para iniciar sesión en IBM Cloud y desde las llamadas de API de la infraestructura clásica. |
totalNumberChanges |
El número de ajustes actualizados. |
Sucesos para la gestión de informes de uso de cuenta
En esta sección se explican los eventos que se generan cuando un usuario consulta la información que se le proporciona a través de la sección Gestionar > Facturación y uso > Uso, o solicita una exportación de los datos.
Puede obtener sucesos con reason.reasonCode = 404
que se generan cuando no hay datos de uso disponibles para la solicitud. La gravedad (severity
) se establece en normal.
Campos requestData
En la tabla siguiente se indican los campos que están disponibles a través del campo requestData
en los sucesos con acciones billing.account-summary.read
, billing.account-summary.download
y billing.account-instances-usage-report.download
:
Campo | Tipo | Descripción | Estado |
---|---|---|---|
month |
Serie | Indica el mes en que el usuario selecciona visualizar los datos de uso. | Se incluye siempre en el suceso |
En la tabla siguiente se indican los campos disponibles a través del campo requestData
en los sucesos con acciones billing.account-usage-report.read
:
Campo | Tipo | Descripción | Estado |
---|---|---|---|
month |
Serie | Indica el mes en que el usuario selecciona visualizar los datos de uso. | Se incluye siempre en el suceso |
usage_report_type |
Serie | Indica el tipo de informe. Los valores válidos son instances y rollup . |
Se incluye siempre en el suceso |
sub_account_id |
Serie | Indica el ID de la subcuenta. | Opcional |
resource_group |
Serie | Indica el grupo de recursos. | Opcional Incluido si el usuario filtra datos por grupo de recursos. |
organization_id |
Serie | Indica el ID de organización. | Opcional |
daily |
Boolean | Indica la frecuencia del informe. | Opcional |
En la tabla siguiente se indican los campos que están disponibles a través del campo requestData
en los sucesos con acciones billing.enterprise-usage-report.read
y billing.enterprise-usage-report.download
:
Campo | Tipo | Descripción | Estado |
---|---|---|---|
month |
Serie | Indica el mes en que el usuario selecciona visualizar los datos de uso. | Se incluye siempre en el suceso |
children |
Boolean | Indica si el uso se agrega a nivel de cuenta. | Se incluye siempre en el suceso |
enterprise_id |
Serie | Indica el ID de la empresa. | Se incluye siempre en el suceso |
account_id |
Serie | Indica el ID de subcuenta que se solicita en el informe. | Opcional |
account_group_id |
Serie | Indica el grupo de cuentas cuando un usuario selecciona uno. | Opcional Incluido si el usuario filtra datos seleccionando 1 grupo de cuentas. |
En la tabla siguiente se indican los campos disponibles a través del campo requestData
en los sucesos con acciones billing.enterprise-instances-usage-report.download
:
Campo | Tipo | Descripción | Estado |
---|---|---|---|
month |
Serie | Indica el mes en que el usuario selecciona visualizar los datos de uso. | Se incluye siempre en el suceso |
enterprise_id |
Serie | Indica el ID de la empresa. | Se incluye siempre en el suceso |
account_id |
Serie | Indica los ID de subcuenta que se solicitan en el informe. | Opcional |
account_group_id |
Serie | Indica el grupo de cuentas cuando un usuario selecciona uno. | Opcional Incluido si el usuario filtra datos seleccionando 1 grupo de cuentas. |
Sucesos de valores de IAM de cuenta (en desuso)
En esta sección se explican los eventos que se generan al configurar los ajustes de la cuenta IAM desde el panel Acceso (IAM) > Ajustes.
Configuración de MFA
Cuando activas MFA en tu cuenta configurando la sección Inicio de sesión de la cuenta en el panel Acceso (IAM) > Configuración, obtienes 2 eventos:
- Suceso con la acción
billing.account-traits.update
que informa del tipo de MFA que se configura en la cuenta en el camporequestData.mfa
. - Suceso con la acción
billing.account-mfa.set-on
que indica que se ha habilitado MFA en la cuenta.
Cuando se desactiva MFA, se reciben los 2 sucesos siguientes:
- Suceso con la acción
billing.account-traits.update
que informa del tipo de MFA que se configura en la cuenta en el camporequestData.mfa
. - Suceso con la acción
billing.account-mfa.set-off
que indica que se ha inhabilitado MFA en la cuenta.
Por ejemplo, véase el campo requestData
para el evento billing.account-traits.update
:
"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
"mfa": "",
"origin": "BSS"
}
Configuración de una restricción de visibilidad de lista de usuarios
Al modificar la configuración de la cuenta IAM de restricción de visibilidad de la lista de usuarios en el panel de control Gestionar > Acceso (IAM) > Configuración, se obtiene 1 evento con la acción billing.account-traits.update
.
Por ejemplo, véase el campo requestData
para el evento billing.account-traits.update
:
"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
"origin": "BSS",
"team_directory_enabled": false
}
Campos requestData
La siguiente tabla enumera requestData los campos que puede encontrar en los eventos que se generan cuando se modifica la configuración de la cuenta IAM desde el panel Acceso (IAM) > Configuración:
Campo | Tipo | Descripción |
---|---|---|
team_directory_enabled |
Boolean | Define el estado de la configuración de la cuenta IAM de restricción de visibilidad de la lista de usuarios. Cuando está configurado en true , los usuarios de su cuenta pueden ver a otros usuarios desde la
página Usuarios. |
mfa |
Serie | Define el método de MFA necesario para que los usuarios inicien sesión en la cuenta. Los valores válidos son TOTP, y TOTP4ALL Este campo se establece en TOTP cuando la cuenta requiere MFA sólo
para usuarios no federados. Los usuarios necesitan un ID, una contraseña y el código de acceso de uso único basado en tiempo para iniciar una sesión.Este campo se establece en TOTP4ALL cuando la cuenta requiere
MFA para todos los usuarios.Todos los usuarios necesitan un identificador, una contraseña y un código de acceso de un solo uso basado en el tiempo. Cuando este campo está vacío, MFA no está habilitado en la cuenta, y todos los usuarios inician sesión utilizando un ID y una contraseña estándar. |