用于账户管理的活动跟踪事件
IBM Cloud服务(如账户管理)会生成活动跟踪事件。
活动跟踪事件会报告改变IBM Cloud 中服务状态的活动。 您可以使用这些事件来调查异常活动和关键操作,并遵守监管审计要求。
您可以使用IBM Cloud Activity Tracker Event Routing 这一平台服务,通过配置定义活动跟踪事件发送位置的目标和路由,将账户中的审计事件路由到您选择的目的地。 有关更多信息,请参阅关于 IBM Cloud Activity Tracker Event Routing。
您可以使用IBM Cloud Logs对账户中生成并由IBM Cloud Activity Tracker Event Routing路由到IBM Cloud Logs实例的事件进行可视化处理并发出警报。
IBM Cloud Activity Tracker Event Routing发送活动跟踪事件的位置
账户管理通过IBM Cloud Activity Tracker Event Routing在下表所示区域发送活动跟踪事件。
达拉斯 (us-south ) |
华盛顿 (us-east ) |
多伦多 (ca-tor ) |
圣保罗 (br-sao ) |
---|---|---|---|
否 | 否 | 否 | 否 |
东京 (jp-tok ) |
悉尼 (au-syd ) |
大板 (jp-osa ) |
钦奈 (in-che ) |
---|---|---|---|
否 | 否 | 否 | 否 |
法兰克福 (eu-de ) |
伦敦 (eu-gb ) |
马德里 (eu-es ) |
---|---|---|
是 | 否 | 否 |
从 Observability 页面启动IBM Cloud Logs
有关启动 "IBM Cloud Logs用户界面的信息,请参阅 "在 "IBM Cloud Logs文档中启动用户界面。。
用于管理帐户的事件
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
billing.account.create |
账户 ID 分配给账户后,创建账户时会生成一个事件。 |
billing.account.update |
更新帐户相关信息时,将生成事件。 |
billing.account.active |
验证帐户时,将生成事件,即,当帐户变为活动状态时将生成事件。 |
billing.account-subscription.create |
创建 订阅帐户 时会生成一个事件。 |
管理账户使用报告的活动
当用户查看账户中的使用信息时,就会产生这些事件。 例如,用户可以通过“管理”>“计费和使用”>“使用”部分查看使用数据,或要求导出数据。 此外,用户还可以通过 CLI 或直接 调用 API 来 获取使用信息。
管理单一账户使用报告的事件
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
billing.account-summary.read |
当用户查看默认显示的账户级别使用情况汇总页面时,就会生成一个事件。 |
billing.account-summary.download |
当用户要求从账户级使用情况摘要页面以 csv 格式导出数据摘要时,就会生成一个事件。 |
billing.account-usage-report.read |
当用户在默认账户级别使用情况汇总页面中配置了时间框架、资源组或两者之后,查看显示的使用情况数据时,就会生成一个事件。 用户查看实例使用数据页面时也会生成该事件。 |
billing.account-instances-usage-report.download |
当用户请求以 csv 格式从账户使用情况汇总页面导出数据时,就会生成一个事件。 |
管理企业使用报告的事件
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
billing.enterprise-usage-report.read |
当用户查看默认显示的企业账户级别使用情况汇总页面时,就会生成一个事件。 |
billing.enterprise-usage-report.download |
当用户请求以 csv 格式从企业账户使用汇总页面导出数据汇总时,就会生成一个事件。 |
billing.enterprise-instances-usage-report.download |
当用户请求以 csv 格式从企业账户使用情况汇总页面导出数据时,就会生成一个事件。 |
管理 IAM 帐户设置的事件
下表列出了修改“管理”>“访问 (IAM)”>“设置” 面板中控制的帐户设置时生成的操作:
操作 | 描述 |
---|---|
iam-identity.accountsettings.update |
当发起者修改了以下一个或多个账户设置:"Multifactor authentication (MFA) 、"Restrict API key creation 、“Restrict service ID creation 和”Restrict IP address access 时,就会生成一个事件。 |
iam-groups.account-settings.update |
当启动程序修改账户设置 "Public access group 时,就会产生一个事件。 |
billing.account-traits.update |
当启动程序修改账户设置 "Restrict user list visibility 时,就会产生一个事件。 |
下表列出了报告配置更改的 "requestData
字段:
操作 | 描述 |
---|---|
requestData.public_access_enabled |
报告修改 "Public access group 设置时设置的布尔值。 |
requestData.request_body.old_mfa_traits |
报告 "Multifactor authentication (MFA) 设置的原始值。 有效值为 NONE , TOTP , TOTP4ALL , LEVEL1 , LEVEL2 , LEVEL3
当账户未启用 MFA 且所有用户都使用标准 ID 和密码登录时,此字段设置为 当账户只要求对有IBMid 的非绑定用户进行 MFA 时,该字段设置为 " 当账户要求对所有具有IBMid 的用户进行 MFA 时,该字段设置为 " 当您选择“ 当您选择“ 当您选择“ |
requestData.request_body.new_mfa_traits |
报告 "Multifactor authentication (MFA) 设置的新值。 |
requestData.request_body.old_restrict_create_platform_apikey |
报告 "Restrict API key creation 设置的原始值。有效值: NOT_RESTRICTED 和 "RESTRICTED |
requestData.request_body.new_restrict_create_platform_apikey |
报告 "Restrict API key creation 设置的新值。有效值: NOT_RESTRICTED 和 "RESTRICTED |
requestData.request_body.old_restrict_create_service_id |
报告 "Restrict service ID creation 设置的原始值。有效值: NOT_RESTRICTED 和 "RESTRICTED |
requestData.request_body.new_restrict_create_service_id |
报告 "Restrict service ID creation 设置的新值。有效值: NOT_RESTRICTED 和 "RESTRICTED |
requestData.request_body.old_allowed_ip_addresses |
报告 "Restrict IP address access 设置的原始值。有效值: NOT_RESTRICTED 和 "RESTRICTED |
requestData.request_body.new_allowed_ip_addresses |
报告 "Restrict IP address access 设置的新值。有效值: NOT_RESTRICTED 和 "RESTRICTED |
requestData.team_directory_enabled |
报告修改 "Restrict user list visibility 设置时设置的布尔值。 |
下表列出了修改 "管理">"访问 (IAM)" > "设置 " 仪表板控制的帐户设置时生成事件的 "deprecated
操作:
操作 | 描述 |
---|---|
billing.account-traits.update |
修改账户设置时会生成一个事件。 |
billing.account-mfa.set-on |
当账户中的 "Account Login 设置设置为多因素身份验证时会生成一个事件。 |
billing.account-mfa.set-off |
当 "Account Login 设置关闭账户中的多因素身份验证时,就会生成一个事件。 |
用于管理组织的事件
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
billing.account-org.create |
将组织添加到帐户时,将生成事件。 |
有关管理标记的事件
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
global-search-tagging.tag.create |
创建标签时会生成一个事件。 标签类型包含在requestData对象中。 |
global-search-tagging.tag.delete |
删除账户中的标签时会生成一个事件。 |
global-search-tagging.tags.delete |
删除账户中所有未附加到资源的标签时会生成一个事件。 |
<service-name>.tag.attach |
当您将标签与资源关联时,就会生成一个事件。 |
<service-name>.tag.detach |
从资源中除去标记时,将生成事件。 |
创建访问标签时,会收到一个名为 "global-search-tagging.tag.create
的事件。
当访问标记附加到资源上时,就会收到事件 "<service-name>.tag.attach
。
用于管理用户的事件
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
user-management.user.invite |
邀请用户使用账户时会生成一个事件。 |
user-management.user.resend-invite |
向账户用户重新发送邀请时会生成一个事件。 |
user-management.cloud-user.list |
从账户检索用户时会生成一个事件。 |
user-management.user.read |
从账户中获取用户信息时会生成一个事件。 |
billing.user.active |
当用户收到加入账户的电子邮件邀请并验证电子邮件地址时,就会生成一个事件。 |
user-management.user.update |
当IBM Cloud修改用户的登录配置时会生成一个事件。用户界面。 |
user-management.user-realm.update |
更新用户的IBMID 时会生成一个事件。 |
user-management.user.delete |
从帐户中除去用户时,将生成事件。 |
user-management.user-setting.read |
检索用户登录配置设置时会生成一个事件:用户一次性密码身份验证、登录时需要 MFA 安全问题、用户管理登录或设置安全问题 |
user-management.user-setting.update |
更新用户登录配置设置时会生成一个事件:用户一次性密码验证、登录时需要 MFA 安全问题、用户管理登录或设置安全问题 |
邀请用户使用账户
这种异步活动会生成不同的事件:一个事件显示待发邀请,另一个事件显示邀请完成或失败。
- 待处理邀请事件的操作、结果和信息字段将包含以下值。
"action": "user-management.user.invite",
"outcome": "pending",
"message": "IAM User Management: invite user -pending"
- 已完成的邀请事件将包含以下操作、结果和信息字段值。
"action": "user-management.user.invite",
"outcome": "success",
"message": "IAM User Management: invite user"
从账户中删除用户
异步删除用户请求会生成单独的事件:一个事件显示待处理的删除,另一个事件显示删除完成或失败。
- 待处理的删除用户事件将包含以下操作、结果和信息字段值。
"action": "user-management.user.delete",
"outcome": "pending",
"message": " IAM User Management: delete user IBMid-Example -pending"
- 一个已完成的删除用户事件将包含以下操作、结果和信息字段值。
"action": "user-management.user.delete",
"outcome": "success",
"message": " IAM User Management: delete user IBMid-Example"
碳计算器活动
下表列出了生成事件的操作:
操作 | 描述 |
---|---|
carbon-calculator.carbon-emissions.list |
请求获取指定账户的碳排放量。 |
carbon-calculator.services.list |
要求提供可获取碳排放的服务清单。 |
carbon-calculator.locations.list |
要求提供可获取碳排放量的地点清单。 |
分析账户管理活动跟踪事件
用户管理事件
本节将解释从管理 > 访问 (IAM) > 用户控制面板管理用户时生成的事件。
在分析用户管理事件时,"target.name
会被设置为请求执行操作的用户的用户 ID。
修改用户状态
选择一个用户,单击“详细信息”部分的“编辑”,修改用户状态,然后更改“用户状态”,就会出现以下事件:
- 带操作 "
user-management.user.update
的事件,报告账户中修改用户属性的请求。
例如,请参阅 action
字段中的事件 user-management.user.update
:
"action": "user-management.user.update",
"message": "User management service: update user"
"initiator": {
"id": "IBMid-12345",
"typeURI": "service/security/account/user",
"name": "example@ibm.com",
"host": {
"agent": "",
"address": "...",
"addressType": "IPv4"
},
"credential": {
"type": "token"
}
},
"target": {
"id": "crn:v1:bluemix:public:user-management:global:a/account1234:::",
"typeURI": "user-management/user",
"name": "IBMid-12345",
"host": {
"address": "user-management.cloud.ibm.com"
}
}
限制 IP 地址
当您在“IP 地址限制部分配置 IP 地址限制时,您会收到 1 个操作为”user-management.user-setting.update
的事件。
例如,请参阅 requestData
字段中的事件 user-management.user-setting.update
:
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"ips_added": [
{
"address": "241.211.116.250",
"addressType": "IPv4"
},
{
"address": "89.78.194.127",
"addressType": "IPv4"
},
{
"address": "40.190.11.111",
"addressType": "IPv4"
},
{
"address": "246.140.117.83",
"addressType": "IPv4"
},
],
"updateType": "allowed_ip_addresses changes"
}
]
管理用户的登录
从 "管理">"访问 (IAM)" > "用户">"用户详细信息"部分修改用户登录信息时,会收到 1 个操作为 "user-management.user-setting.update
的事件。
请参阅禁用用户管理登录属性时 "requestData
字段的示例:
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": true,
"newValue": false,
"updateType": "self_manage update"
}
]
}
请参阅启用用户一次性密码验证属性时 "requestData
字段的示例。 requestData.2FA
字段设置为 "true
。
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": false,
"newValue": true,
"updateType": "2FA update"
},
]
}
See the sample of the requestData
field when the 要求在登录时提供 MFA 安全问题: property is enabled. requestData.security_questions_setup
字段设置为 "true
。
{
"action": "user-management.user-setting.update",
"message": "IAM User Management: update user-setting user@company.com",
"requestData": {
"totalNumberChanges": 1,
"update": [
{
"initialValue": false,
"newValue": true,
"updateType": "security_questions_setup update"
}
]
}
用户接受账户邀请
当用户接受账户邀请时,会收到以下事件:
- 带操作 "
user-management.user-invitation.accept
的事件,报告哪个用户接受了账户邀请。
请参阅用户接受邀请时 "responseData
字段的示例:
"action": "user-management.user-invitation.accept",
"message": "IBM User Management: accept user invitation to account Joe Test's Account",
"responseData": {
"update": [
{
"initialValue": "BSS-3f6af42016b440e087025542cbd9cb91",
"newValue": "IBMid-663003Z105",
"updateType": "IAM ID Update during Accept"
}
]
}
requestData字段
下表列出了从“用户”控制面板修改用户详细信息时生成的事件中可以找到的requestData字段:
字段 | Type | 描述 |
---|---|---|
2FA |
布尔值 | 定义账户用户的 MFA 要求。 为用户启用 MFA 时,此字段设置为 " true 。 |
allowed_ip_addresses |
字符串 | 允许用户访问账户资源的 IP 地址列表。 |
ips_added |
字符串 | 添加到 "allowed_ip_addresses 中的新 IP 地址。 |
ips_removed |
字符串 | 从 "allowed_ip_addresses 中删除的 IP 地址。 |
iam_id |
字符串 | 定义设置被修改的用户的IBMID。 |
initialValue |
字符串 | 特定用户设置的原始值。 不适用于 allowed_ip_addresses 。 |
newValue |
字符串 | 特定用户设置的新值。 不适用于 allowed_ip_addresses 。 |
updateType |
字符串 | 更新的具体用户设置。 |
security_questions_setup |
布尔值 | 定义用户何时需要回答安全问题才能登录账户。 该字段设置为 " true ,表示问题为必填项。 |
self_manage |
布尔值 | 定义用户是否可以配置登录账户的设置。 此字段设置为 " true 后,用户可设置密码过期时间、开启登录安全问题,并定义允许的 IP 地址,以便登录到IBM Cloud和从传统基础架构 API 调用中登录。 |
totalNumberChanges |
更新设置的数量。 |
管理账户使用报告的活动
本节将解释当用户查看通过“管理”>“计费和使用”>“使用” 部分提供的信息或请求导出数据时产生的事件。
您可以获取带有 "reason.reasonCode = 404
的事件,这些事件会在请求没有可用使用数据时生成。 severity
设置为正常。
requestData字段
下表列出了可通过 requestData
字段在事件操作 billing.account-summary.read
、billing.account-summary.download
和 billing.account-instances-usage-report.download
中使用的字段:
字段 | Type | 描述 | 状态 |
---|---|---|---|
month |
字符串 | 表示用户选择查看使用数据的月份。 | 始终包括在活动中 |
下表列出了有操作的事件 billing.account-usage-report.read
中通过 requestData
字段提供的字段:
字段 | Type | 描述 | 状态 |
---|---|---|---|
month |
字符串 | 表示用户选择查看使用数据的月份。 | 始终包括在活动中 |
usage_report_type |
字符串 | 表示报告类型。 有效值为“ instances 和”rollup 。 |
始终包括在活动中 |
sub_account_id |
字符串 | 表示子账户 ID。 | 可选 |
resource_group |
字符串 | 表示资源组。 | 可选 如果用户按资源组过滤数据,则包括在内。 |
organization_id |
字符串 | 表示组织 ID。 | 可选 |
daily |
布尔值 | 表示报告的频率。 | 可选 |
下表列出了可通过 requestData
字段在事件操作 billing.enterprise-usage-report.read
和 billing.enterprise-usage-report.download
中使用的字段:
字段 | Type | 描述 | 状态 |
---|---|---|---|
month |
字符串 | 表示用户选择查看使用数据的月份。 | 始终包括在活动中 |
children |
布尔值 | 表示是否按账户级别汇总使用量。 | 始终包括在活动中 |
enterprise_id |
字符串 | 表示企业的 ID。 | 始终包括在活动中 |
account_id |
字符串 | 表示报告中要求的子账户 ID。 | 可选 |
account_group_id |
字符串 | 当用户选择一个账户组时,表示该账户组。 | 如果用户通过选择 1 个账户组来筛选数据,则包括可选的 。 |
下表列出了有操作的事件 billing.enterprise-instances-usage-report.download
中通过 requestData
字段提供的字段:
字段 | Type | 描述 | 状态 |
---|---|---|---|
month |
字符串 | 表示用户选择查看使用数据的月份。 | 始终包括在活动中 |
enterprise_id |
字符串 | 表示企业的 ID。 | 始终包括在活动中 |
account_id |
字符串 | 表示报告中要求的子账户 ID。 | 可选 |
account_group_id |
字符串 | 当用户选择一个账户组时,表示该账户组。 | 如果用户通过选择 1 个账户组来筛选数据,则包括可选的 。 |
账户 IAM 设置事件(已弃用)
本节将解释从访问 (IAM) > 设置控制面板配置 IAM 帐户设置时生成的事件。
配置 MFA
When you set on MFA in your account by configuring the 账户登录 section in the 访问 (IAM) > 设置 dashboard, you get 2 events:
- 带有操作“
billing.account-traits.update
的事件,报告账户在”requestData.mfa
字段中配置的 MFA 类型。 - 带操作 "
billing.account-mfa.set-on
的事件,表示账户已启用 MFA。
当您启动 MFA 时,会出现以下 2 个事件:
- 带有操作“
billing.account-traits.update
的事件,报告账户在”requestData.mfa
字段中配置的 MFA 类型。 - 带操作 "
billing.account-mfa.set-off
的事件,表示账户中的 MFA 已禁用。
例如,请参阅 requestData
字段中的事件 billing.account-traits.update
:
"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
"mfa": "",
"origin": "BSS"
}
配置用户列表可见性限制
在 "管理 > 访问 (IAM) > 设置仪表板中修改 "用户列表可见性限制IAM 帐户设置时,会收到 1 个操作为 "billing.account-traits.update
的事件。
例如,请参阅 requestData
字段中的事件 billing.account-traits.update
:
"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
"origin": "BSS",
"team_directory_enabled": false
}
requestData字段
下表列出了从访问 (IAM) > 设置仪表板修改 IAM 帐户设置时生成的事件中的requestData字段:
字段 | Type | 描述 |
---|---|---|
team_directory_enabled |
布尔值 | 定义用户列表可见性限制IAM 帐户设置的状态。 设置为 " true 时,账户中的用户可以从 "用户 "页面查看其他用户。 |
mfa |
字符串 | 定义用户登录账户所需的 MFA 方法。 有效值为 TOTP 和TOTP4ALL ,当账户要求 MFA 仅适用于非绑定用户时,该字段设置为' TOTP 。 用户登录时需要 ID、密码和基于时间的一次性密码。当账户要求所有用户都使用 MFA 时,此字段设置为 " TOTP4ALL 。所有用户都需要 ID、密码和基于时间的一次性密码。 此字段为空时,账户中未启用 MFA,所有用户都使用标准 ID 和密码登录。 |