IBM Cloud Docs
用于账户管理的活动跟踪事件

用于账户管理的活动跟踪事件

IBM Cloud服务(如账户管理)会生成活动跟踪事件。

活动跟踪事件会报告改变IBM Cloud 中服务状态的活动。 您可以使用这些事件来调查异常活动和关键操作,并遵守监管审计要求。

您可以使用IBM Cloud Activity Tracker Event Routing 这一平台服务,通过配置定义活动跟踪事件发送位置的目标和路由,将账户中的审计事件路由到您选择的目的地。 有关更多信息,请参阅关于 IBM Cloud Activity Tracker Event Routing

您可以使用IBM Cloud Logs对账户中生成并由IBM Cloud Activity Tracker Event Routing路由到IBM Cloud Logs实例的事件进行可视化处理并发出警报。

IBM Cloud Activity Tracker Event Routing发送活动跟踪事件的位置

账户管理通过IBM Cloud Activity Tracker Event Routing在下表所示区域发送活动跟踪事件。

美洲各地发送活动跟踪事件的区域
达拉斯 (us-south) 华盛顿 (us-east) 多伦多 (ca-tor) 圣保罗 (br-sao)
亚太地区发送活动跟踪事件的地区
东京 (jp-tok) 悉尼 (au-syd) 大板 (jp-osa) 钦奈 (in-che)
在欧洲位置发送活动跟踪事件的区域
法兰克福 (eu-de) 伦敦 (eu-gb) 马德里 (eu-es)

从 Observability 页面启动IBM Cloud Logs

有关启动 "IBM Cloud Logs用户界面的信息,请参阅 "在 "IBM Cloud Logs文档中启动用户界面。

用于管理帐户的事件

下表列出了生成事件的操作:

产生账户管理事件的操作
操作 描述
billing.account.create 账户 ID 分配给账户后,创建账户时会生成一个事件。
billing.account.update 更新帐户相关信息时,将生成事件。
billing.account.active 验证帐户时,将生成事件,即,当帐户变为活动状态时将生成事件。
billing.account-subscription.create 创建 订阅帐户 时会生成一个事件。

管理账户使用报告的活动

当用户查看账户中的使用信息时,就会产生这些事件。 例如,用户可以通过“管理”>“计费和使用”>“使用”部分查看使用数据,或要求导出数据。 此外,用户还可以通过 CLI 或直接 调用 API 来 获取使用信息。

管理单一账户使用报告的事件

下表列出了生成事件的操作:

产生账户管理事件的操作
操作 描述
billing.account-summary.read 当用户查看默认显示的账户级别使用情况汇总页面时,就会生成一个事件。
billing.account-summary.download 当用户要求从账户级使用情况摘要页面以 csv 格式导出数据摘要时,就会生成一个事件。
billing.account-usage-report.read 当用户在默认账户级别使用情况汇总页面中配置了时间框架、资源组或两者之后,查看显示的使用情况数据时,就会生成一个事件。 用户查看实例使用数据页面时也会生成该事件。
billing.account-instances-usage-report.download 当用户请求以 csv 格式从账户使用情况汇总页面导出数据时,就会生成一个事件。

管理企业使用报告的事件

下表列出了生成事件的操作:

产生账户管理事件的操作
操作 描述
billing.enterprise-usage-report.read 当用户查看默认显示的企业账户级别使用情况汇总页面时,就会生成一个事件。
billing.enterprise-usage-report.download 当用户请求以 csv 格式从企业账户使用汇总页面导出数据汇总时,就会生成一个事件。
billing.enterprise-instances-usage-report.download 当用户请求以 csv 格式从企业账户使用情况汇总页面导出数据时,就会生成一个事件。

管理 IAM 帐户设置的事件

下表列出了修改“管理”>“访问 (IAM)”>“设置” 面板中控制的帐户设置时生成的操作:

更改账户设置时产生事件的操作
操作 描述
iam-identity.accountsettings.update 当发起者修改了以下一个或多个账户设置:"Multifactor authentication (MFA)、"Restrict API key creation、“Restrict service ID creation 和”Restrict IP address access 时,就会生成一个事件。
iam-groups.account-settings.update 当启动程序修改账户设置 "Public access group 时,就会产生一个事件。
billing.account-traits.update 当启动程序修改账户设置 "Restrict user list visibility 时,就会产生一个事件。

下表列出了报告配置更改的 "requestData 字段:

更改账户设置时产生事件的操作
操作 描述
requestData.public_access_enabled 报告修改 "Public access group 设置时设置的布尔值。
requestData.request_body.old_mfa_traits 报告 "Multifactor authentication (MFA) 设置的原始值。 有效值为 NONE, TOTP, TOTP4ALL, LEVEL1, LEVEL2, LEVEL3

当账户未启用 MFA 且所有用户都使用标准 ID 和密码登录时,此字段设置为 NONE

当账户只要求对有IBMid 的非绑定用户进行 MFA 时,该字段设置为 "TOTP。 用户登录时需要 ID、密码和基于时间的一次性密码。

当账户要求对所有具有IBMid 的用户进行 MFA 时,该字段设置为 "TOTP4ALL

当您选择“email-based MFA 方法时,此字段设置为”LEVEL1 可为所有用户(IBMid和支持的 "IdPs)启用 MFA。 用户必须使用通过电子邮件发送的安全密码进行身份验证。

当您选择“TOTP MFA 方法时,此字段设置为”LEVEL2 可为所有用户(IBMid和支持的 "IdPs)启用 MFA。 用户使用基于时间的一次性密码(TOTP)进行身份验证,该密码使用当前时间作为身份验证因素。

当您选择“U2F MFA 方法时,此字段设置为”LEVEL3 可为所有用户(IBMid和支持的 "IdPs)启用 MFA。 用户使用硬件安全密钥进行身份验证,该密钥可生成一个六位数字代码。

requestData.request_body.new_mfa_traits 报告 "Multifactor authentication (MFA) 设置的新值。
requestData.request_body.old_restrict_create_platform_apikey 报告 "Restrict API key creation设置的原始值。
有效值: NOT_RESTRICTED 和 "RESTRICTED
requestData.request_body.new_restrict_create_platform_apikey 报告 "Restrict API key creation设置的新值。
有效值: NOT_RESTRICTED 和 "RESTRICTED
requestData.request_body.old_restrict_create_service_id 报告 "Restrict service ID creation设置的原始值。
有效值: NOT_RESTRICTED 和 "RESTRICTED
requestData.request_body.new_restrict_create_service_id 报告 "Restrict service ID creation设置的新值。
有效值: NOT_RESTRICTED 和 "RESTRICTED
requestData.request_body.old_allowed_ip_addresses 报告 "Restrict IP address access设置的原始值。
有效值: NOT_RESTRICTED 和 "RESTRICTED
requestData.request_body.new_allowed_ip_addresses 报告 "Restrict IP address access设置的新值。
有效值: NOT_RESTRICTED 和 "RESTRICTED
requestData.team_directory_enabled 报告修改 "Restrict user list visibility 设置时设置的布尔值。

下表列出了修改 "管理">"访问 (IAM)" > "设置 " 仪表板控制的帐户设置时生成事件的 "deprecated 操作:

更改账户设置时产生事件的操作
操作 描述
billing.account-traits.update 修改账户设置时会生成一个事件。
billing.account-mfa.set-on 当账户中的 "Account Login 设置设置为多因素身份验证时会生成一个事件。
billing.account-mfa.set-off 当 "Account Login 设置关闭账户中的多因素身份验证时,就会生成一个事件。

用于管理组织的事件

下表列出了生成事件的操作:

用于生成事件的操作
操作 描述
billing.account-org.create 将组织添加到帐户时,将生成事件。

有关管理标记的事件

下表列出了生成事件的操作:

用于生成事件的操作
操作 描述
global-search-tagging.tag.create 创建标签时会生成一个事件。 标签类型包含在requestData对象中。
global-search-tagging.tag.delete 删除账户中的标签时会生成一个事件。
global-search-tagging.tags.delete 删除账户中所有未附加到资源的标签时会生成一个事件。
<service-name>.tag.attach 当您将标签与资源关联时,就会生成一个事件。
<service-name>.tag.detach 从资源中除去标记时,将生成事件。

创建访问标签时,会收到一个名为 "global-search-tagging.tag.create 的事件。

当访问标记附加到资源上时,就会收到事件 "<service-name>.tag.attach

用于管理用户的事件

下表列出了生成事件的操作:

用于生成事件的操作
操作 描述
user-management.user.invite 邀请用户使用账户时会生成一个事件。
user-management.user.resend-invite 向账户用户重新发送邀请时会生成一个事件。
user-management.cloud-user.list 从账户检索用户时会生成一个事件。
user-management.user.read 从账户中获取用户信息时会生成一个事件。
billing.user.active 当用户收到加入账户的电子邮件邀请并验证电子邮件地址时,就会生成一个事件。
user-management.user.update 当IBM Cloud修改用户的登录配置时会生成一个事件。用户界面。
user-management.user-realm.update 更新用户的IBMID 时会生成一个事件。
user-management.user.delete 从帐户中除去用户时,将生成事件。
user-management.user-setting.read 检索用户登录配置设置时会生成一个事件:用户一次性密码身份验证、登录时需要 MFA 安全问题、用户管理登录或设置安全问题
user-management.user-setting.update 更新用户登录配置设置时会生成一个事件:用户一次性密码验证、登录时需要 MFA 安全问题、用户管理登录或设置安全问题

邀请用户使用账户

这种异步活动会生成不同的事件:一个事件显示待发邀请,另一个事件显示邀请完成或失败。

  • 待处理邀请事件的操作、结果和信息字段将包含以下值。
"action": "user-management.user.invite",
"outcome": "pending",
"message": "IAM User Management: invite user -pending"
  • 已完成的邀请事件将包含以下操作、结果和信息字段值。
"action": "user-management.user.invite",
"outcome": "success",
"message": "IAM User Management: invite user"

从账户中删除用户

异步删除用户请求会生成单独的事件:一个事件显示待处理的删除,另一个事件显示删除完成或失败。

  • 待处理的删除用户事件将包含以下操作、结果和信息字段值。
"action": "user-management.user.delete",
"outcome": "pending",
"message": " IAM User Management: delete user IBMid-Example -pending"
  • 一个已完成的删除用户事件将包含以下操作、结果和信息字段值。
"action": "user-management.user.delete",
"outcome": "success",
"message": " IAM User Management: delete user IBMid-Example"

碳计算器活动

下表列出了生成事件的操作:

用于生成事件的操作
操作 描述
carbon-calculator.carbon-emissions.list 请求获取指定账户的碳排放量。
carbon-calculator.services.list 要求提供可获取碳排放的服务清单。
carbon-calculator.locations.list 要求提供可获取碳排放量的地点清单。

分析账户管理活动跟踪事件

用户管理事件

本节将解释从管理 > 访问 (IAM) > 用户控制面板管理用户时生成的事件。

在分析用户管理事件时,"target.name 会被设置为请求执行操作的用户的用户 ID。

修改用户状态

选择一个用户,单击“详细信息”部分的“编辑”,修改用户状态,然后更改“用户状态”,就会出现以下事件:

  • 带操作 "user-management.user.update 的事件,报告账户中修改用户属性的请求。

例如,请参阅 action 字段中的事件 user-management.user.update

"action": "user-management.user.update",
"message": "User management service: update user"
"initiator": {
    "id": "IBMid-12345",
    "typeURI": "service/security/account/user",
    "name": "example@ibm.com",
    "host": {
      "agent": "",
      "address": "...",
      "addressType": "IPv4"
    },
    "credential": {
      "type": "token"
    }
  },
  "target": {
    "id": "crn:v1:bluemix:public:user-management:global:a/account1234:::",
    "typeURI": "user-management/user",
    "name": "IBMid-12345",
    "host": {
      "address": "user-management.cloud.ibm.com"
    }
}

限制 IP 地址

当您在“IP 地址限制部分配置 IP 地址限制时,您会收到 1 个操作为”user-management.user-setting.update 的事件。

例如,请参阅 requestData 字段中的事件 user-management.user-setting.update

{
    "action": "user-management.user-setting.update",
    "message": "IAM User Management: update user-setting user@company.com",
    "requestData": {
        "totalNumberChanges": 1,
        "update": [
            {
                "ips_added": [
                    {
                        "address": "241.211.116.250",
                        "addressType": "IPv4"
                    },
                    {
                        "address": "89.78.194.127",
                        "addressType": "IPv4"
                    },
                    {
                        "address": "40.190.11.111",
                        "addressType": "IPv4"
                    },
                    {
                        "address": "246.140.117.83",
                        "addressType": "IPv4"
                    },
                ],
                "updateType": "allowed_ip_addresses changes"
            }
        ]

管理用户的登录

"管理">"访问 (IAM)" > "用户">"用户详细信息"部分修改用户登录信息时,会收到 1 个操作为 "user-management.user-setting.update 的事件。

请参阅禁用用户管理登录属性时 "requestData 字段的示例:

{
    "action": "user-management.user-setting.update",
    "message": "IAM User Management: update user-setting user@company.com",
    "requestData": {
        "totalNumberChanges": 1,
        "update": [
            {
                "initialValue": true,
                "newValue": false,
                "updateType": "self_manage update"
            }
        ]
    }

请参阅启用用户一次性密码验证属性时 "requestData 字段的示例。 requestData.2FA 字段设置为 "true

{
    "action": "user-management.user-setting.update",
    "message": "IAM User Management: update user-setting user@company.com",
    "requestData": {
        "totalNumberChanges": 1,
        "update": [
            {
                "initialValue": false,
                "newValue": true,
                "updateType": "2FA update"
            },
        ]
    }

See the sample of the requestData field when the 要求在登录时提供 MFA 安全问题: property is enabled. requestData.security_questions_setup 字段设置为 "true

{
    "action": "user-management.user-setting.update",
    "message": "IAM User Management: update user-setting user@company.com",
    "requestData": {
        "totalNumberChanges": 1,
        "update": [
            {
                "initialValue": false,
                "newValue": true,
                "updateType": "security_questions_setup update"
            }
        ]
    }

用户接受账户邀请

当用户接受账户邀请时,会收到以下事件:

  • 带操作 "user-management.user-invitation.accept 的事件,报告哪个用户接受了账户邀请。

请参阅用户接受邀请时 "responseData 字段的示例:

    "action": "user-management.user-invitation.accept",
    "message": "IBM User Management: accept user invitation to account Joe Test's Account",
    "responseData": {
        "update": [
            {
                "initialValue": "BSS-3f6af42016b440e087025542cbd9cb91",
                "newValue": "IBMid-663003Z105",
                "updateType": "IAM ID Update during Accept"
            }
        ]
    }

requestData字段

下表列出了从“用户”控制面板修改用户详细信息时生成的事件中可以找到的requestData字段:

用户管理requestData段
字段 Type 描述
2FA 布尔值 定义账户用户的 MFA 要求。
为用户启用 MFA 时,此字段设置为 "true
allowed_ip_addresses 字符串 允许用户访问账户资源的 IP 地址列表。
ips_added 字符串 添加到 "allowed_ip_addresses 中的新 IP 地址。
ips_removed 字符串 从 "allowed_ip_addresses 中删除的 IP 地址。
iam_id 字符串 定义设置被修改的用户的IBMID。
initialValue 字符串 特定用户设置的原始值。 不适用于 allowed_ip_addresses
newValue 字符串 特定用户设置的新值。 不适用于 allowed_ip_addresses
updateType 字符串 更新的具体用户设置。
security_questions_setup 布尔值 定义用户何时需要回答安全问题才能登录账户。
该字段设置为 "true,表示问题为必填项。
self_manage 布尔值 定义用户是否可以配置登录账户的设置。
此字段设置为 "true 后,用户可设置密码过期时间、开启登录安全问题,并定义允许的 IP 地址,以便登录到IBM Cloud和从传统基础架构 API 调用中登录。
totalNumberChanges 更新设置的数量。

管理账户使用报告的活动

本节将解释当用户查看通过“管理”>“计费和使用”>“使用” 部分提供的信息或请求导出数据时产生的事件。

您可以获取带有 "reason.reasonCode = 404 的事件,这些事件会在请求没有可用使用数据时生成。 severity 设置为正常。

requestData字段

下表列出了可通过 requestData 字段在事件操作 billing.account-summary.readbilling.account-summary.downloadbilling.account-instances-usage-report.download 中使用的字段:

账户使用情况摘要requestData段
字段 Type 描述 状态
month 字符串 表示用户选择查看使用数据的月份。 始终包括在活动中

下表列出了有操作的事件 billing.account-usage-report.read 中通过 requestData 字段提供的字段:

账户使用requestData段
字段 Type 描述 状态
month 字符串 表示用户选择查看使用数据的月份。 始终包括在活动中
usage_report_type 字符串 表示报告类型。
有效值为“ instances 和”rollup
始终包括在活动中
sub_account_id 字符串 表示子账户 ID。 可选
resource_group 字符串 表示资源组。 可选
如果用户按资源组过滤数据,则包括在内。
organization_id 字符串 表示组织 ID。 可选
daily 布尔值 表示报告的频率。 可选

下表列出了可通过 requestData 字段在事件操作 billing.enterprise-usage-report.readbilling.enterprise-usage-report.download 中使用的字段:

企业使用requestData段
字段 Type 描述 状态
month 字符串 表示用户选择查看使用数据的月份。 始终包括在活动中
children 布尔值 表示是否按账户级别汇总使用量。 始终包括在活动中
enterprise_id 字符串 表示企业的 ID。 始终包括在活动中
account_id 字符串 表示报告中要求的子账户 ID。 可选
account_group_id 字符串 当用户选择一个账户组时,表示该账户组。 如果用户通过选择 1 个账户组来筛选数据,则包括可选的

下表列出了有操作的事件 billing.enterprise-instances-usage-report.download 中通过 requestData 字段提供的字段:

企业实例使用requestData字段
字段 Type 描述 状态
month 字符串 表示用户选择查看使用数据的月份。 始终包括在活动中
enterprise_id 字符串 表示企业的 ID。 始终包括在活动中
account_id 字符串 表示报告中要求的子账户 ID。 可选
account_group_id 字符串 当用户选择一个账户组时,表示该账户组。 如果用户通过选择 1 个账户组来筛选数据,则包括可选的

账户 IAM 设置事件(已弃用)

本节将解释从访问 (IAM) > 设置控制面板配置 IAM 帐户设置时生成的事件。

配置 MFA

When you set on MFA in your account by configuring the 账户登录 section in the 访问 (IAM) > 设置 dashboard, you get 2 events:

  • 带有操作“billing.account-traits.update 的事件,报告账户在”requestData.mfa 字段中配置的 MFA 类型。
  • 带操作 "billing.account-mfa.set-on 的事件,表示账户已启用 MFA。

当您启动 MFA 时,会出现以下 2 个事件:

  • 带有操作“billing.account-traits.update 的事件,报告账户在”requestData.mfa 字段中配置的 MFA 类型。
  • 带操作 "billing.account-mfa.set-off 的事件,表示账户中的 MFA 已禁用。

例如,请参阅 requestData 字段中的事件 billing.account-traits.update

"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
    "mfa": "",
    "origin": "BSS"
}

配置用户列表可见性限制

在 "管理 > 访问 (IAM) > 设置仪表板中修改 "用户列表可见性限制IAM 帐户设置时,会收到 1 个操作为 "billing.account-traits.update 的事件。

例如,请参阅 requestData 字段中的事件 billing.account-traits.update

"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
    "origin": "BSS",
    "team_directory_enabled": false
}

requestData字段

下表列出了从访问 (IAM) > 设置仪表板修改 IAM 帐户设置时生成的事件中的requestData字段:

账户 IAM 设置requestData字段
字段 Type 描述
team_directory_enabled 布尔值 定义用户列表可见性限制IAM 帐户设置的状态。
设置为 "true 时,账户中的用户可以从 "用户 "页面查看其他用户。
mfa 字符串 定义用户登录账户所需的 MFA 方法。
有效值为 TOTPTOTP4ALL
,当账户要求 MFA 仅适用于非绑定用户时,该字段设置为'TOTP。 用户登录时需要 ID、密码和基于时间的一次性密码。
当账户要求所有用户都使用 MFA 时,此字段设置为 "TOTP4ALL
所有用户都需要 ID、密码和基于时间的一次性密码。
此字段为空时,账户中未启用 MFA,所有用户都使用标准 ID 和密码登录。