IBM Cloud Docs
事件字段

事件字段

活动跟踪事件基于云审计数据联盟 (CADF) 标准。

CADF 标准定义了完整事件模型,包含证明、管理和审计云环境中应用程序安全性所需的信息。

CADF 事件模型包含以下组件:

CADF 事件模型中可用的组件
组件 描述
Action 操作是发起者执行、尝试执行或等待完成的行动或活动。
Initiator 发起者是发起 API 调用并生成 CADF 事件的资源。 触发的事件取决于 API 调用请求的操作。
Observer 观察者是通过 CADF 事件中可用的信息来创建和存储 CADF 记录的资源。
Outcome 结果是针对目标所执行的操作的状态。
Target 目标是对其执行操作、尝试执行操作或待完成操作的资源。

每个Activity Tracker事件包含以下字段:

动作(字符串)

该字段表示触发事件的动作。

该字段的格式如下

serviceName.objectType.action

位置

  • servicename 是服务的名称。

    为 VPC 基础设施报告的操作设置的 servicename 存在异常。 servicename 的格式由两部分组成,两部分之间用点分隔( . )。

  • objectType 描述请求操作的资源或资源属性。

  • action 定义发起者请求的任务。

    一些有效的操作是:activateaddapply approve authorize,'code5',bulkdeletecreatecopyreadupdatedeletebackupbuildcaptureclearcommitconfiguredeploydisableenableendgetimport,' init inspect listmonitornotifypullpushprovisionrestore, start, stop undeploy update, receive, reimport, remove, send, set, setkeyfordeletion, unsetkeyfordeletion, set-on, set-off, authenticate, renew, revoke, allow, deny, evaluate, notify, reset, rotate, ack-delete, ' ack-restore, ack-disable, ack-enable, ack-expire, ack-restore-over, ack-rotate, ack-sync, edit, publish, write pause refresh ' , ' resume, unsetkeyfordeletion, failover, split, expire, unwrap, wrap, rewrap, head, expire, reapprove, export, start, stop, pause, resume, power-off, reboot, soft-reboot, hard-reboot, power-on, rename, rescue, reload, scale, searchreject

有关服务生成的操作值的更多信息,请参阅 生成事件的服务

例如,示例操作是 iam-am.policy.create

correlationId (字符串)

此字段指示您可以用来关联帐户中多个服务之间的事件的唯一 GUID。

dataEvent(布尔值)

该字段指定事件的类型,是管理事件还是数据事件。

  • 对于管理事件,此字段设置为 false
  • 对于数据事件,此字段设置为 true

eventTime(字符串)

该字段表示事件创建时的时间戳。

您在 UI 中看到的事件时间戳是从eventTime设置的,表示事件的创建时间。

该日期以全球标准时间 (UTC) 来表示。

该字段的格式为

YYYY-MM-DDTHH:mm:ss.SS+0000

例如,示例eventTime是 2017-10-19T19:07:50.32+0000

ID(字符串)

可选字段,可用于关联服务内的活动跟踪事件。

发起者字段

发起者字段提供有关请求在您的账户中运行操作的用户、服务或应用程序的信息。

initiator.id (字符串)

该字段提供有关请求该操作的发起者的ID的信息。

您可以找到以下任何一种启动器:

  • IBM ID 适用于使用 IAM 令牌在您的账户中触发操作的用户。
  • Service ID 表示在您的帐户中触发操作的服务或应用程序。
  • Certificate ID 表示使用证书触发您账户中的操作的请求。
  • Profile ID 表示使用受信任的配置文件运行的请求

initiator.name (字符串)

该字段提供有关操作发起者的用户名的信息。

这是与 initiator.id 值相对应的人类可读的名称。

当发起者是IBM Cloud服务时,该字段设置为 IBM 或服务的名称。

initiator.authnId (字符串)

登录IBM Cloud的用户ID。

initiator.authnName (字符串)

登录IBM Cloud的用户的用户名。

initiator.typeURI (字符串)

该字段定义事件源的类型。

有效值为:

  • service/security/account/user
  • service/security/account/serviceid,
  • service/security/client/certificateid
  • service/security/clientid

initiator.credential.type(字符串)

该字段定义启动器运行该操作所使用的凭证类型。

有效值为:

  • token
  • user
  • apikey
  • certificate
  • public-access
  • hmac
  • compute-resource
  • instance-identity-token
  • apikey-serviceid
  • s2s-authorization

initiator.host.address(字符串)

该字段提供有关请求来源地址的信息。 例如,UI 或 CLI。

该字段的格式为

xxx.xxx.xxx.xxx

例如,示例 initiator.host.address15.234.123.12

当操作的发起者是IBM Cloud服务时,该字段设置为空。

initiator.host.addressType类型 (字符串)

该字段提供有关请求来自的 IP 地址类型的信息。

有效值为:

  • IPv4
  • IPv6
  • CSE
  • subnet

默认值为 IPv4

initiator.host.agent(字符串)

该字段提供的信息可用于识别请求的来源。

该字段将设置为 IPV4IPv6 请求的原始 IP 地址。 对于 subnet 将包括 CIDR 块 IP。 对于 CSE 该值将为空白。

logSourceCRN (字符串)

该字段指定生成事件的服务实例的云资源名称 (CRN)。 有关 CRN 格式的更多信息,请参阅 云资源名称

消息(字符串)

该字段设置为事件的人性化描述。

该字段的格式为

serviceName: {event description} [outcome]

位置

  • servicename 表示服务名称。
  • {event description} 提供了事件报告内容的人类可读版本。
  • outcome 是可选的,并且仅当请求的结果为 failure 时才包含。

observer.name (字符串)

该字段设置为固定值 ActivityTracker.

结果(字符串)

该字段表示操作的结果。

有效值为:successpendingfailure

原因字段

原因字段提供有关请求结果的信息。

reason.reasonCode(数字)

该字段返回所请求操作的 HTTP 响应代码。

例如,reason.reasonCode 字段设置为:

  • 403 报告禁止访问或未经授权
  • 409 报告冲突

原因代码值可在 HTTP 响应代码中找到。

reason.reasonType(字符串)

该字段提供有关所请求操作结果的附加信息。

reason.reasonForFailure(字符串)

该字段提供了有关操作失败原因的附加信息。

requestData(JSON)

当该字段可用时,它包含有关请求的附加信息。

requestData中包含的信息对于每种类型的操作都是特定的。 检查请求的 API 文档 以了解可能包含的一些字段。

responseData(JSON)

当该字段可用时,它包含有关请求的附加信息。

responseData中包含的信息对于每种类型的操作都是特定的。 检查请求的 API 文档 以了解可能包含的一些字段。

saveServiceCopy (布尔值)

该字段决定生成事件的IBM Cloud服务是否保存事件的副本以供IBM Cloud审计。

当设置为 true 时,生成事件的服务会保存一份副本。

严重性(字符串)

该字段定义了一项行动可能对 IBM Cloud 造成的威胁程度。

有效值为 normal, warning,和 critical

下表描述了如何根据操作类型设置此字段:

按操作类型划分的严重程度值
操作类型 行动示例
normal IBM Cloud中的常规操作 启动实例
warning 失败的操作
更新资源或修改其元数据的操作
重命名服务实例
critical 影响IBM Cloud安全性的操作,例如更改用户凭据或删除数据
发起者无权使用IBM Cloud资源的操作
删除安全密钥

当 API 调用的reasonCode为以下任意值时,severity的值设置如下:

某些原因代码的严重性值
reasonCode 描述 严重性
400 Bad Request warning
401 Unauthorized critical
403 Forbidden critical
409 Conflict warning
424 Failed Dependency warning
500 Internal Server Error warning
502 Bad Gateway warning
503 Service Unavailable critical
504 Gateway Timeout warning
505 HTTP Version Not Supported warning
507 Insufficient Storage critical

目标字段

目标字段提供有关您账户中发起者的操作所访问、创建、更新或删除的资源的信息。

下表列出了每个事件可用的常用目标字段:

常见目标字段
字段名称 描述
target.id 要对其执行操作的资源的云资源名称 (CRN)。 例如, crn:v1:bluemix:public:cloud-object-storage:global:a/12345678e6232019c6567c9123456789:fr56et47-befb-440a-a223c-12345678dae1:bucket:bucket1
target.name 执行操作的资源的可读名称。
target.typeURI 要对其执行操作的云资源的类型。 例如,iam-am/policycloud-object-storage/bucket/acl
target.host.address 目标服务的 IP 地址或 URL

target.id (字符串)

该字段指示执行操作的IBM Cloud资源。

此字段的格式是 CRN。 有关更多信息,请参阅 CRN 格式

target.name(字符串)

该字段指示执行操作的IBM Cloud资源的人性化名称。

确保资源名称不包含敏感数据或 PII 数据。

target.alias(字符串)

将此值设置为请求中使用的、执行操作的云资源的别名。

此字段是可选的。

target.typeURI (字符串)

该字段表示事件目标的类型。

该字段不包含动作信息。

该字段的格式为

serviceName/objectType/attribute

位置

  • servicename 是服务的名称。
  • objectType 是运行该操作的资源。

例如:

target.typeURI示例
操作 target.typeURI
cloudcerts.certificate.import cloudcerts/证书
container-registry.namespace.create 容器注册表/命名空间
kms.secrets.read kms/机密
cloud-object-storage.instance.create 云对象存储/实例
cloud-object-storage.object-multipart.create 云对象存储/对象/多部分

target.resourceGroupId (字符串)

此字段设置为与请求操作的资源关联的资源组 CRN。

此字段仅适用于资源与资源组关联的服务生成的事件。 例如,全局的、无法在资源组上下文中配置的服务不包含此字段。

target.host.address(字符串)

此字段定义目标服务的 IP 地址或 URL。

此字段是可选的。