账户管理的审计事件

IBM Cloud® 服务，如账户管理，生成活动跟踪事件。

活动跟踪事件在 IBM Cloud 中报告改变服务状态的活动。您可以使用这些事件来调查异常活动和关键操作，并遵守监管审计要求。

您可以使用 IBM Cloud Activity Tracker Event Routing 这一平台服务，通过配置定义活动跟踪事件发送位置的目标和路由，将账户中的审计事件路由到您选择的目的地。有关更多信息，请参阅关于 IBM Cloud Activity Tracker Event Routing。

您可以使用 IBM Cloud Logs 对在您的账户中生成并由 IBM Cloud Activity Tracker Event Routing 路由到 IBM Cloud Logs 实例的事件进行可视化并发出警报。

查看账户管理活动跟踪事件

您可以使用 IBM Cloud Logs 对在您的账户中生成并由 IBM Cloud Activity Tracker Event Routing 路由到 IBM Cloud Logs 实例的事件进行可视化并发出警报。

从可观察性页面启动 IBM Cloud Logs

有关启动 IBM Cloud Logs 用户界面的信息，请参阅 IBM Cloud Logs 文档中的启动用户界面。

用于管理帐户的事件

下表列出了生成事件的操作：

生成帐户管理事件的操作
操作	描述
`billing.account.create`	账户 ID 分配给账户后，创建账户时会生成一个事件。
`billing.account.update`	更新帐户相关信息时，将生成事件。
`billing.account.active`	验证帐户时，将生成事件，即，当帐户变为活动状态时将生成事件。
`billing.account-subscription.create`	创建订阅帐户时会生成一个事件。

管理帐户使用情况报告的事件

当用户查看帐户中的使用信息时，会生成这些事件。例如，用户可以通过管理>计费和使用情况>使用情况部分查看使用情况数据，或请求导出数据。此外，用户可以通过 CLI 或直接调用 API 来请求使用信息。

管理单个帐户使用情况报告的事件

下表列出了生成事件的操作：

生成帐户管理事件的操作
操作	描述
`billing.account-summary.read`	当用户查看默认显示的帐户级别摘要使用情况页面时，会生成事件。
`billing.account-summary.download`	当用户从帐户级别摘要使用情况页面请求以 csv 格式导出数据摘要时，就会生成一个事件。
`billing.account-usage-report.read`	当用户查看在默认帐户级别摘要使用情况页面中配置时间范围、资源组或两者后显示的使用情况数据时，会生成事件。当用户查看实例使用数据页面时也会生成此事件。
`billing.account-instances-usage-report.download`	当用户从帐户级别摘要使用情况页面请求以 csv 格式导出实例数据时，就会生成一个事件。

管理企业使用情况报告的事件

下表列出了生成事件的操作：

生成帐户管理事件的操作
操作	描述
`billing.enterprise-usage-report.read`	当用户查看默认显示的企业帐户级别摘要使用情况页面时，会生成事件。
`billing.enterprise-usage-report.download`	当用户从企业帐户级摘要使用情况页面请求以 csv 格式导出数据摘要时，就会生成事件。
`billing.enterprise-instances-usage-report.download`	当用户从企业帐户级摘要使用情况页面请求以 csv 格式导出实例数据时，就会生成事件。

管理目录的事件

下表列出了生成事件的操作：

管理私有目录的事件

生成目录管理事件的操作
操作	描述
`globalcatalog-collection.instance.read`	当您查看目录时会生成一个事件。
`globalcatalog-collection.instance.update`	当您更新目录时会生成一个事件。
`globalcatalog-collection.instances.list`	当您获取帐户中的目录列表时，就会生成一个事件。

用于管理私有目录中产品的事件

为私有目录中的产品生成事件的操作
操作	描述
`globalcatalog-collection.offerings.list`	当您获取目录中的产品列表时，就会生成一个事件。
`globalcatalog-collection.offering.read`	当您查看目录中的产品时，就会生成一个事件。
`globalcatalog-collection.offering.create`	创建产品时会生成一个事件。
`globalcatalog-collection.offering.update`	当您更新产品时会生成一个事件。
`globalcatalog-collection.offering.delete`	删除产品时会生成一个事件。

用于在帐户级别管理目录设置的事件

生成与目录管理设置相关的事件的操作
操作	描述
`globalcatalog-collection.account-settings.read`	当您查看帐户设置时会生成一个事件。
`globalcatalog-collection.account-settings.update`	当您更新帐户设置时会生成一个事件。

用于管理企业帐户中的目录设置的事件

生成与企业账户中的目录管理设置相关的事件的操作
操作	描述
`globalcatalog-collection.enterprise-settings.read`	当您查看企业设置时会生成一个事件。
`globalcatalog-collection.enterprise-settings.update`	当您更新企业设置时会生成一个事件。
`globalcatalog-collection.enterprise-settings.list`	当您获取帐户中的企业列表及其相应的设置时，就会生成一个事件。

管理软件许可证和授权的事件

下表列出了生成事件的操作：

生成与许可证和授权相关的事件的操作
操作	描述
`entitlement.entitlement.create`	发起方将许可证绑定到帐户时，将生成事件。
`entitlement.entitlement.delete`	启动程序删除权限时会生成一个事件。
`entitlement.entitlement.delete_purge`	启动程序清除权限时会生成一个事件。
`entitlement.entitlement.update`	启动程序更新权限时会生成一个事件。
`entitlement.entitlement.check`	当启动程序使用权限从管理的 IBM Container Registry 中提取图像时，就会生成一个事件。
`entitlement.entitlement.invalidate`	当授权许可证不再有效时，就会生成一个事件。

管理 IAM 账户设置的事件

更改报告 IAM 帐户设置变更的Activity Tracker事件：立即生效，您可以通过监控 iam-identity.accountsettings.update 事件来跟踪 IAM 帐户设置的变更。此事件现在由 IAM Identity 服务生成。下次您更改 IAM 配置设置时，您将收到一个带有操作 iam-identity.accountsettings.migrate 的事件，该事件通知您 IAM 帐户设置由您帐户中的 IAM Identity 服务报告。如果您监控 IAM 帐户设置的更改，则可能需要迁移资源以监控 iam-identity.accountsettings.update 事件。

下表列出了修改通过 “管理” > “访问 IAM” > “设置” 仪表板控制的帐户设置时生成的操作：

帐户设置发生更改时生成事件的操作
操作	描述
`iam-identity.accountsettings.update`	当发起者修改以下一个或多个账户设置时，就会生成事件：`Multifactor authentication (MFA)`、`Restrict API key creation`、`Restrict service ID creation` 和 `Restrict IP address access`。
`iam-groups.account-settings.update`	当发起者修改账户设置 `Public access group` 时，会生成一个事件。
`billing.account-traits.update`	当发起者修改账户设置 `Restrict user list visibility` 时，会生成一个事件。

下表列出了报告配置更改的 requestData 字段：

帐户设置发生更改时生成事件的操作
操作	描述
`requestData.public_access_enabled`	报告修改 `Public access group` 设置时设置的布尔值。
`requestData.request_body.old_mfa_traits`	报告 `Multifactor authentication (MFA)` 设置的原始值。有效值为`NONE` , `TOTP` , `TOTP4ALL` , `LEVEL1` , `LEVEL2` , `LEVEL3` 当账户未启用 MFA 且所有用户都使用标准 ID 和密码登录时，此字段设置为`NONE` 。当帐户仅需要对具有IBMid的非联合用户进行 MFA 时，此字段设置为 `TOTP`。用户需要 ID、密码和基于时间的一次性密码才能登录。'code1 当帐户需要对具有IBMid所有用户进行 MFA 时，此字段设置为`TOTP4ALL` 。当您选择方法 `email-based MFA` 时，此字段设置为 `LEVEL1` 以向所有用户（ IBMid和支持的IdPs ）启用 MFA。用户必须使用通过电子邮件发送的安全密码进行身份验证。'code1 当您选择方法 `TOTP MFA` 时，此字段设置为 `LEVEL2` 以向所有用户（ IBMid和支持的IdPs ）启用 MFA。用户使用基于时间的一次性密码（TOTP）进行身份验证，该密码使用当前时间作为身份验证因素。当您选择方法 `U2F MFA` 时，此字段设置为 `LEVEL3` 以向所有用户（ IBMid和支持的IdPs ）启用 MFA。用户使用硬件安全密钥进行身份验证，该密钥可生成一个六位数字代码。
`requestData.request_body.new_mfa_traits`	报告 `Multifactor authentication (MFA)` 设置的新值。
`requestData.request_body.old_restrict_create_platform_apikey`	报告`Restrict API key creation`设置的原始值。有效值： `NOT_RESTRICTED` 和 `RESTRICTED`
`requestData.request_body.new_restrict_create_platform_apikey`	报告`Restrict API key creation`设置的新值。有效值： `NOT_RESTRICTED` 和 `RESTRICTED`
`requestData.request_body.old_restrict_create_service_id`	报告`Restrict service ID creation`设置的原始值。有效值： `NOT_RESTRICTED` 和 `RESTRICTED`
`requestData.request_body.new_restrict_create_service_id`	报告`Restrict service ID creation`设置的新值。有效值： `NOT_RESTRICTED` 和 `RESTRICTED`
`requestData.request_body.old_allowed_ip_addresses`	报告`Restrict IP address access`设置的原始值。有效值： `NOT_RESTRICTED` 和 `RESTRICTED`
`requestData.request_body.new_allowed_ip_addresses`	报告`Restrict IP address access`设置的新值。有效值： `NOT_RESTRICTED` 和 `RESTRICTED`
`requestData.team_directory_enabled`	报告修改 `Restrict user list visibility` 设置时设置的布尔值。

下表列出了在修改通过 “管理” > “访问 IAM” > “设置” 仪表板控制的帐户设置时生成事件的 deprecated 操作：

帐户设置发生更改时生成事件的操作
操作	描述
`billing.account-traits.update`	修改帐户设置时会生成一个事件。
`billing.account-mfa.set-on`	当 `Account Login` 设置在帐户中启用多因素身份验证时，会生成一个事件。
`billing.account-mfa.set-off`	当 `Account Login` 设置在帐户中触发多因素身份验证时，会生成一个事件。

用于管理组织的事件

下表列出了生成事件的操作：

用于生成事件的操作
操作	描述
`billing.account-org.create`	将组织添加到帐户时，将生成事件。

管理软件实例的事件

下表列出了为软件实例生成事件的操作：

为软件实例生成事件的操作
操作	描述
`globalcatalog-instance.offering-instance.create`	创建软件实例时会生成一个事件。
`globalcatalog-instance.offering-instance.delete`	删除软件实例时会生成一个事件。
`globalcatalog-instance.offering-instance.list`	当您列出帐户中的所有软件实例时，就会生成一个事件。
`globalcatalog-instance.offering-instance.read`	检索软件实例时会生成一个事件。
`globalcatalog-instance.offering-instance.retrieve_history`	当您访问软件实例的审计日志时，会生成一个事件。
`globalcatalog-instance.offering-instance.update`	当您安装软件实例的更新时，就会生成一个事件。
`globalcatalog-instance.dashboard.view`	当您访问软件实例详情页时，会产生一个事件。

有关管理标记的事件

下表列出了生成事件的操作：

用于生成事件的操作
操作	描述
`global-search-tagging.tag.create`	创建标签时会生成一个事件。标签类型包含在requestData对象中。
`global-search-tagging.tag.delete`	当您删除帐户中的标签时，就会生成一个事件。
`global-search-tagging.tags.delete`	当您删除账户中所有未附加到资源的标签时，就会生成一个事件。
`<service-name>.tag.attach`	当您将标签与资源关联时，就会生成一个事件。
`<service-name>.tag.detach`	从资源中除去标记时，将生成事件。

当创建访问标签时，您会收到一个带有 global-search-tagging.tag.create 事件。

当访问标签附加到资源时，您会得到事件 <service-name>.tag.attach。

用于管理用户的事件

下表列出了生成事件的操作：

用于生成事件的操作
操作	描述
`user-management.user.invite`	邀请用户使用账户时会生成一个事件。
`user-management.user.resend-invite`	当您向帐户的用户重新发送邀请时，会生成一个事件。
`user-management.cloud-user.list`	从账户检索用户时会生成一个事件。
`user-management.user.read`	从账户中获取用户信息时会生成一个事件。
`billing.user.active`	当收到加入帐户的电子邮件邀请的用户验证电子邮件地址时，就会生成事件。
`user-management.user.update`	当从IBM Cloud UI 修改用户的登录配置时，会生成一个事件。
`user-management.user-realm.update`	当您更新用户的IBM ID 时会生成一个事件。
`user-management.user.delete`	从帐户中除去用户时，将生成事件。
`user-management.user-setting.read`	当您检索用户的登录配置设置时，会生成一个事件：用户一次性密码验证、登录时需要 MFA 安全问题、用户管理登录或设置安全问题
`user-management.user-setting.update`	当您更新用户的登录配置设置时，会生成一个事件：用户一次性密码验证、登录时需要 MFA 安全问题、用户管理登录或设置安全问题

邀请用户使用账户

为此异步活动生成单独的事件：一个显示待处理的邀请，另一个显示邀请的完成或失败。

待处理的邀请事件将包含操作、结果和消息字段的以下值。

"action": "user-management.user.invite",
"outcome": "pending",
"message": "IAM User Management: invite user -pending"

完成的邀请事件将包含以下操作、结果和消息字段的值。

"action": "user-management.user.invite",
"outcome": "success",
"message": "IAM User Management: invite user"

从账户中删除用户

针对异步删除用户请求生成单独的事件：一个显示待处理的删除，另一个显示删除完成或失败。

待处理的删除用户事件将包含操作、结果和消息字段的以下值。

"action": "user-management.user.delete",
"outcome": "pending",
"message": " IAM User Management: delete user IBMid-Example -pending"

已完成的删除用户事件将包含操作、结果和消息字段的以下值。

"action": "user-management.user.delete",
"outcome": "success",
"message": " IAM User Management: delete user IBMid-Example"

碳计算器活动

下表列出了生成事件的操作：

用于生成事件的操作
操作	描述
`carbon-calculator.carbon-emissions.list`	请求获取给定帐户的碳排放量。
`carbon-calculator.services.list`	请求可获取碳排放量的服务列表。
`carbon-calculator.locations.list`	请求可获取碳排放量的位置列表。

分析事件

目录事件

您可以在目录事件中找到值 unavailable。该值指示何时进行更新，但不包括有关更新的具体详细信息。

用户管理事件

本节介绍从管理>访问 IAM >用户仪表板管理用户时生成的事件。

当您分析用户管理事件时，target.name 被设置为请求操作的用户的用户 ID。

修改用户状态

当您从 “用户详细信息” 部分修改有关用户状态的信息时，您会收到以下 2 个事件：

具有操作 user-management.user.update 的事件，报告帐户中修改用户属性的请求。
具有操作 user-management.user-setting.update 的事件，指示更新请求完成后用户属性的值。

根据请求，您可能会获得具有操作 user-management.user-setting.update 的附加事件。如果您的帐户是精简版，您只会获得 1 个带有操作 user-management.user.update 事件。

例如，查看事件 user-management.user-setting.update 的 requestData 字段：

"action": "user-management.user-setting.update",
"message": "User management service: update user settings",
"requestData": {
    "2FA": false,
    "allowed_ip_addresses": "",
    "iam_id": "IBMid-xxxxxxx",
    "origin": "BSS",
    "security_questions_setup": false
}

限制 IP 地址

当您从 IP 地址限制部分配置 IP 地址限制时，您将获得 1 个带有操作 user-management.user-setting.update 事件。

例如，查看事件 user-management.user-setting.update 的 requestData 字段：

"action": "user-management.user-setting.update",
"message": "User management service: update user settings",
"requestData": {
    "allowed_ip_addresses": "14.15.98.123",
    "iam_id": "IBMid-xxxxxxx",
    "origin": "BSS"
}

管理用户的登录

当您从管理>访问 IAM >用户>用户详细信息部分修改有关用户登录的信息时，您会获得 1 个带有操作 user-management.user-setting.update 事件。

当用户管理的登录： 属性被禁用时，请查看 requestData 字段的示例：

"action": "user-management.user-setting.update",
 "message": "User management service: update user settings",
"requestData": {
    "iam_id": "IBMid-27000757DW",
    "origin": "BSS",
    "self_manage": false
}

请参阅启用用户一次性密码认证： 属性时 requestData 字段的示例。 requestData.2FA 字段设置为 true。

"action": "user-management.user-setting.update",
"message": "User management service: update user settings",
"requestData": {
    "2FA": true,
    "iam_id": "IBMid-xxxxx",
    "origin": "BSS",
    "security_questions_setup": true,
    "self_manage": false
 }
}

查看启用“登录时需要 MFA 安全问题：”属性时 requestData 字段的示例。 requestData.security_questions_setup 字段设置为 true。

"action": "user-management.user-setting.update",
"message": "User management service: update user settings",
"requestData": {
    "2FA": true,
    "iam_id": "IBMid-xxxxxx",
    "origin": "BSS",
    "security_questions_setup": true,
    "self_manage": false
 }
}

requestData字段

下表列出了您可以在从用户仪表板修改用户详细信息时生成的事件中找到的requestData字段：

用户管理requestData字段
字段	类型	描述
`2FA`	布尔值	定义帐户中用户的 MFA 要求。‘code1 当为用户启用 MFA 时，此字段设置为 `true`。
`allowed_ip_addresses`	字符串	允许用户访问帐户资源的 IP 地址列表。
`iam_id`	字符串	定义正在修改其设置的用户的IBM ID。
`security_questions_setup`	布尔值	定义用户何时需要安全问题才能登录帐户。‘code1 该字段设置为 `true` 以表明问题是必填的。
`self_manage`	布尔值	定义用户是否可以配置其登录设置以了解如何登录帐户。‘code1 此字段设置为 `true` 以允许用户设置密码过期时间、启用登录安全问题以及定义允许登录IBM Cloud和从经典基础设施 API 调用登录的 IP 地址。

管理帐户使用情况报告的事件

本节解释当用户查看通过 “管理” > “计费和使用情况” > “使用情况” 部分提供的信息或请求导出数据时生成的事件。

您可以获取在请求没有可用的使用数据时生成的带有 reason.reasonCode = 404 的事件。 severity 设置为正常。

requestData字段

下表列出了通过具有操作 billing.account-summary.read、billing.account-summary.download 和 billing.account-instances-usage-report.download 的事件中的 requestData 字段可用的字段：

帐户使用情况摘要requestData字段
字段	类型	描述	状态
`month`	字符串	指示用户选择查看使用情况数据的月份。	始终包含在活动中

下表列出了可通过操作 billing.account-usage-report.read 事件中的 requestData 字段获取的字段：

帐户使用requestData字段
字段	类型	描述	状态
`month`	字符串	指示用户选择查看使用情况数据的月份。	始终包含在活动中
`usage_report_type`	字符串	表示报告的类型。‘code1 有效值为 `instances` 和 `rollup`。	始终包含在活动中
`sub_account_id`	字符串	子账号ID。	可选
`resource_group`	字符串	资源组。	如果用户按资源组过滤数据，则包含可选的。
`organization_id`	字符串	组织ID。	可选
`daily`	布尔值	指示报告的频率。	可选

下表列出了通过具有操作 billing.enterprise-usage-report.read 和 billing.enterprise-usage-report.download 事件中的 requestData 字段可用的字段：

企业使用requestData字段
字段	类型	描述	状态
`month`	字符串	指示用户选择查看使用情况数据的月份。	始终包含在活动中
`children`	布尔值	指示是否在帐户级别汇总使用情况。	始终包含在活动中
`enterprise_id`	字符串	企业ID。	始终包含在活动中
`account_id`	字符串	表示报告中请求的子账户ID。	可选
`account_group_id`	字符串	当用户选择帐户组时，指示帐户组。	如果用户通过选择 1 个帐户组来过滤数据，则包含可选的。

下表列出了可通过操作 billing.enterprise-instances-usage-report.download 事件中的 requestData 字段获取的字段：

企业实例使用requestData字段
字段	类型	描述	状态
`month`	字符串	指示用户选择查看使用情况数据的月份。	始终包含在活动中
`enterprise_id`	字符串	企业ID。	始终包含在活动中
`account_id`	字符串	表示报告中请求的子账户ID。	可选
`account_group_id`	字符串	当用户选择帐户组时，指示帐户组。	如果用户通过选择 1 个帐户组来过滤数据，则包含可选的。

账户 IAM 设置事件（已弃用）

本节介绍从访问（IAM） >设置仪表板配置 IAM 帐户设置时生成的事件。

配置 MFA

当您通过配置访问（IAM） >设置仪表板中的帐户登录部分在帐户中设置 MFA 时，您会收到 2 个事件：

具有操作 billing.account-traits.update 的事件，报告在 requestData.mfa 字段中在帐户中配置的 MFA 类型。
具有操作 billing.account-mfa.set-on 的事件表示帐户中已启用 MFA。

当您启动 MFA 时，您会收到以下 2 个事件：

具有操作 billing.account-traits.update 的事件，报告在 requestData.mfa 字段中在帐户中配置的 MFA 类型。
具有操作 billing.account-mfa.set-off 的事件表示帐户中的 MFA 已被禁用。

例如，查看事件 billing.account-traits.update 的 requestData 字段：

"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
    "mfa": "",
    "origin": "BSS"
}

配置用户列表可见性限制

当您在管理>访问 (IAM) >设置仪表板中修改用户列表可见性限制IAM 帐户设置时，您会收到 1 个带有操作 billing.account-traits.update 事件。

例如，查看事件 billing.account-traits.update 的 requestData 字段：

"action": "billing.account-traits.update",
"message": "Billing service: update account traits",
"requestData": {
    "origin": "BSS",
    "team_directory_enabled": false
}

requestData字段

下表列出了您可以在从访问 (IAM) >设置仪表板修改 IAM 帐户设置时生成的事件中找到的requestData字段：

账户 IAM 设置requestData字段
字段	类型	描述
`team_directory_enabled`	布尔值	定义用户列表可见性限制IAM 帐户设置的状态。‘code1 当将其设置为 `true` 时，您帐户中的用户可以从用户页面查看其他用户。
`mfa`	字符串	定义用户登录账户所需的 MFA 方法。‘code1 有效值为 TOTP和TOTP4ALL 当帐户仅需要非联合用户的 MFA 时，此字段设置为`TOTP` 。用户需要 ID、密码和基于时间的一次性密码才能登录。'code1 当帐户要求所有用户进行 MFA 时，此字段设置为`TOTP4ALL` 。所有用户都需要一个 ID、密码和基于时间的一次性密码。'code1 当此字段为空时，表示账户未启用 MFA，所有用户都使用标准 ID 和密码登录。