事件字段
活动跟踪事件基于云审计数据联盟 (CADF) 标准。
CADF 标准定义了完整事件模型,包含证明、管理和审计云环境中应用程序安全性所需的信息。
CADF 事件模型包含以下组件:
组件 | 描述 |
---|---|
Action |
操作是发起者执行、尝试执行或等待完成的行动或活动。 |
Initiator |
发起者是发起 API 调用并生成 CADF 事件的资源。 触发的事件取决于 API 调用请求的操作。 |
Observer |
观察者是通过 CADF 事件中可用的信息来创建和存储 CADF 记录的资源。 |
Outcome |
结果是针对目标所执行的操作的状态。 |
Target |
目标是对其执行操作、尝试执行操作或待完成操作的资源。 |
每个Activity Tracker事件包含以下字段:
动作(字符串)
该字段表示触发事件的动作。
该字段的格式如下
serviceName.objectType.action
位置
-
servicename
是服务的名称。为 VPC 基础设施报告的操作设置的
servicename
存在异常。servicename
的格式由两部分组成,两部分之间用点分隔(.
)。 -
objectType
描述请求操作的资源或资源属性。 -
action
定义发起者请求的任务。一些有效的操作是:
activate
,add
,apply
approve
authorize
,'code5',bulkdelete
,create
,copy
,read
,update
,delete
,backup
,build
,capture
,clear
,commit
,configure
,deploy
,disable
,enable
,end
,get
,import
,'init
inspect
list
,monitor
,notify
,pull
,push
,provision
,restore
,start
,stop
undeploy
update
,receive
,reimport
,remove
,send
,set
,setkeyfordeletion
,unsetkeyfordeletion
,set-on
,set-off
,authenticate
,renew
,revoke
,allow
,deny
,evaluate
,notify
,reset
,rotate
,ack-delete
, 'ack-restore
,ack-disable
,ack-enable
,ack-expire
,ack-restore-over
,ack-rotate
,ack-sync
,edit
,publish
,write
pause
refresh
' , 'resume
,unsetkeyfordeletion
,failover
,split
,expire
,unwrap
,wrap
,rewrap
,head
,expire
,reapprove
,export
,start
,stop
,pause
,resume
,power-off
,reboot
,soft-reboot
,hard-reboot
,power-on
,rename
,rescue
,reload
,scale
,search
,reject
有关服务生成的操作值的更多信息,请参阅 生成事件的服务。
例如,示例操作是 iam-am.policy.create
。
correlationId (字符串)
此字段指示您可以用来关联帐户中多个服务之间的事件的唯一 GUID。
dataEvent(布尔值)
该字段指定事件的类型,是管理事件还是数据事件。
- 对于管理事件,此字段设置为 false。
- 对于数据事件,此字段设置为 true。
eventTime(字符串)
该字段表示事件创建时的时间戳。
您在 UI 中看到的事件时间戳是从eventTime设置的,表示事件的创建时间。
该日期以全球标准时间 (UTC) 来表示。
该字段的格式为
YYYY-MM-DDTHH:mm:ss.SS+0000
例如,示例eventTime是 2017-10-19T19:07:50.32+0000
。
ID(字符串)
可选字段,可用于关联服务内的活动跟踪事件。
发起者字段
发起者字段提供有关请求在您的账户中运行操作的用户、服务或应用程序的信息。
initiator.id (字符串)
该字段提供有关请求该操作的发起者的ID的信息。
您可以找到以下任何一种启动器:
IBM ID
适用于使用 IAM 令牌在您的账户中触发操作的用户。Service ID
表示在您的帐户中触发操作的服务或应用程序。Certificate ID
表示使用证书触发您账户中的操作的请求。Profile ID
表示使用受信任的配置文件运行的请求
initiator.name (字符串)
该字段提供有关操作发起者的用户名的信息。
这是与 initiator.id
值相对应的人类可读的名称。
当发起者是IBM Cloud服务时,该字段设置为 IBM
或服务的名称。
initiator.authnId (字符串)
登录IBM Cloud的用户ID。
initiator.authnName (字符串)
登录IBM Cloud的用户的用户名。
initiator.typeURI (字符串)
该字段定义事件源的类型。
有效值为:
service/security/account/user
service/security/account/serviceid
,service/security/client/certificateid
service/security/clientid
initiator.credential.type(字符串)
该字段定义启动器运行该操作所使用的凭证类型。
有效值为:
token
user
apikey
certificate
public-access
hmac
compute-resource
instance-identity-token
apikey-serviceid
s2s-authorization
initiator.host.address(字符串)
该字段提供有关请求来源地址的信息。 例如,UI 或 CLI。
该字段的格式为
xxx.xxx.xxx.xxx
例如,示例 initiator.host.address
是 15.234.123.12
。
当操作的发起者是IBM Cloud服务时,该字段设置为空。
initiator.host.addressType类型 (字符串)
该字段提供有关请求来自的 IP 地址类型的信息。
有效值为:
IPv4
IPv6
CSE
subnet
默认值为 IPv4
。
initiator.host.agent(字符串)
该字段提供的信息可用于识别请求的来源。
该字段将设置为 IPV4
和 IPv6
请求的原始 IP 地址。 对于 subnet
将包括 CIDR 块 IP。 对于 CSE
该值将为空白。
logSourceCRN (字符串)
该字段指定生成事件的服务实例的云资源名称 (CRN)。 有关 CRN 格式的更多信息,请参阅 云资源名称。
消息(字符串)
该字段设置为事件的人性化描述。
该字段的格式为
serviceName: {event description} [outcome]
位置
servicename
表示服务名称。{event description}
提供了事件报告内容的人类可读版本。outcome
是可选的,并且仅当请求的结果为failure
时才包含。
observer.name (字符串)
该字段设置为固定值 ActivityTracker.
结果(字符串)
该字段表示操作的结果。
有效值为:success
、pending
或 failure
。
原因字段
原因字段提供有关请求结果的信息。
reason.reasonCode(数字)
该字段返回所请求操作的 HTTP 响应代码。
例如,reason.reasonCode
字段设置为:
403
报告禁止访问或未经授权409
报告冲突
原因代码值可在 HTTP 响应代码中找到。
reason.reasonType(字符串)
该字段提供有关所请求操作结果的附加信息。
reason.reasonForFailure(字符串)
该字段提供了有关操作失败原因的附加信息。
requestData(JSON)
当该字段可用时,它包含有关请求的附加信息。
requestData中包含的信息对于每种类型的操作都是特定的。 检查请求的 API 文档 以了解可能包含的一些字段。
responseData(JSON)
当该字段可用时,它包含有关请求的附加信息。
responseData中包含的信息对于每种类型的操作都是特定的。 检查请求的 API 文档 以了解可能包含的一些字段。
saveServiceCopy (布尔值)
该字段决定生成事件的IBM Cloud服务是否保存事件的副本以供IBM Cloud审计。
当设置为 true
时,生成事件的服务会保存一份副本。
严重性(字符串)
该字段定义了一项行动可能对 IBM Cloud 造成的威胁程度。
有效值为 normal
, warning
,和 critical
。
下表描述了如何根据操作类型设置此字段:
值 | 操作类型 | 行动示例 |
---|---|---|
normal |
IBM Cloud中的常规操作 | 启动实例 |
warning |
失败的操作 更新资源或修改其元数据的操作 |
重命名服务实例 |
critical |
影响IBM Cloud安全性的操作,例如更改用户凭据或删除数据 发起者无权使用IBM Cloud资源的操作 |
删除安全密钥 |
当 API 调用的reasonCode为以下任意值时,severity的值设置如下:
reasonCode | 描述 | 严重性 |
---|---|---|
400 |
Bad Request |
warning |
401 |
Unauthorized |
critical |
403 |
Forbidden |
critical |
409 |
Conflict |
warning |
424 |
Failed Dependency |
warning |
500 |
Internal Server Error |
warning |
502 |
Bad Gateway |
warning |
503 |
Service Unavailable |
critical |
504 |
Gateway Timeout |
warning |
505 |
HTTP Version Not Supported |
warning |
507 |
Insufficient Storage |
critical |
目标字段
目标字段提供有关您账户中发起者的操作所访问、创建、更新或删除的资源的信息。
下表列出了每个事件可用的常用目标字段:
字段名称 | 描述 | 值 |
---|---|---|
target.id |
要对其执行操作的资源的云资源名称 (CRN)。 | 例如, crn:v1:bluemix:public:cloud-object-storage:global:a/12345678e6232019c6567c9123456789:fr56et47-befb-440a-a223c-12345678dae1:bucket:bucket1 |
target.name |
执行操作的资源的可读名称。 | |
target.typeURI |
要对其执行操作的云资源的类型。 | 例如,iam-am/policy 或 cloud-object-storage/bucket/acl |
target.host.address |
目标服务的 IP 地址或 URL |
target.id (字符串)
该字段指示执行操作的IBM Cloud资源。
此字段的格式是 CRN。 有关更多信息,请参阅 CRN 格式。
target.name(字符串)
该字段指示执行操作的IBM Cloud资源的人性化名称。
确保资源名称不包含敏感数据或 PII 数据。
target.alias(字符串)
将此值设置为请求中使用的、执行操作的云资源的别名。
此字段是可选的。
target.typeURI (字符串)
该字段表示事件目标的类型。
该字段不包含动作信息。
该字段的格式为
serviceName/objectType/attribute
位置
servicename
是服务的名称。objectType
是运行该操作的资源。
例如:
操作 | target.typeURI |
---|---|
cloudcerts.certificate.import | cloudcerts/证书 |
container-registry.namespace.create | 容器注册表/命名空间 |
kms.secrets.read | kms/机密 |
cloud-object-storage.instance.create | 云对象存储/实例 |
cloud-object-storage.object-multipart.create | 云对象存储/对象/多部分 |
target.resourceGroupId (字符串)
此字段设置为与请求操作的资源关联的资源组 CRN。
此字段仅适用于资源与资源组关联的服务生成的事件。 例如,全局的、无法在资源组上下文中配置的服务不包含此字段。
target.host.address(字符串)
此字段定义目标服务的 IP 地址或 URL。
此字段是可选的。