本文列举了云产品日志的字段详情。

操作审计(ActionTrail)

  • 字段详情
    日志字段 说明
    __topic__ 日志主题,固定为actiontrail_event
    owner_id 主账号ID
    event 事件主体,JSON格式,事件主体的内容随事件变化。
    event.eventId 事件ID,事件的唯一标示
    event.eventName 事件名称
    event.eventSource 事件来源
    event.eventType 事件类型
    event.eventVersion ActionTrail的数据格式版本,固定为1
    event.acsRegion 事件所在的地域
    event.requestId 操作云产品的请求ID
    event.apiVersion 相关API的版本
    event.errorMessage 事件失败的错误信息
    event.serviceName 事件相关服务名称
    event.sourceIpAddress 事件相关的源IP地址
    event.userAgent 事件相关的客户端Agent
    event.requestParameters.HostId 请求相关参数中的主机ID
    event.requestParameters.Name 请求相关参数中的名称
    event.requestParameters.Region 请求相关参数中的域
    event.userIdentity.accessKeyId 请求所使用的AccessKey ID
    event.userIdentity.accountId 请求相关账户的ID
    event.userIdentity.principalId 请求相关账户的凭证ID
    event.userIdentity.type 请求相关账户的类型
    event.userIdentity.userName 请求相关账户的类型
    event.errorCode 事件失败的错误码
    addionalEventData.isMFAChecked 登录账号是否开启MFA
    addionalEventData.loginAccount 登录zheng
  • 日志样例
    {
      "acsRegion": "cn-hangzhou",
      "additionalEventData": {
        "isMFAChecked": "false",
        "loginAccount": "test1234@aliyun.com"
      },
      "eventId": "7be1e173-1234-44a1-b135-1234",
      "eventName": "ConsoleSignin",
      "eventSource": "http://account.aliyun.com:443/login/login_aliyun.htm",
      "eventTime": "2018-07-12T06:14:50Z",
      "eventType": "ConsoleSignin",
      "eventVersion": "1",
      "requestId": "7be1e173-1234-44a1-b135-1234",
      "serviceName": "AasCustomer",
      "sourceIpAddress": "42.120.75.137",
      "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36",
      "userIdentity": {
        "accessKeyId": "25****************",
        "accountId": "1234",
        "principalId": "1234",
        "type": "root-account",
        "userName": "root"
      }
    }
    
    					

负载均衡(SLB)

日志字段 说明
owner_id 主账号ID
region 实例所在地域
instance_id 实例ID
instance_name 实例名
network_type 网络类型,包括VPC、Classic
vpc_id VPC ID
body_bytes_sent 发送给客户端的http body的字节数
client_ip 请求客户端IP地址
client_port 请求客户端端口
host 优先从request请求参数中获取host,如果获取不到,则从host header中取值,如果还是获取不到,则以处理请求的后端服务器IP作为host。
http_host 请求报文host header的内容
http_referer proxy收到的请求报文中http的referer header的内容
http_user_agent proxy收到的请求报文中http的user-agent header的内容
http_x_forwarded_for proxy收到的请求报文中x-forwarded-for的内容
http_x_real_ip 真实的客户端IP地址
read_request_time proxy读取request时间,单位:毫秒
request_length 请求报文的长度,包括startline、http头报文和http body
request_method 请求报文的方法
request_time proxy收到第一个请求报文的时间到proxy返回应答之间的间隔时间,单位:秒
request_uri proxy收到的请求报文的URI。
scheme 请求的schema,例如:http或https
server_protocol proxy收到的http协议的版本,例如HTTP/1.0或HTTP/1.1
slb_vport SLB的监听端口
slbid SLB实例ID
ssl_cipher 使用的cipher,例如ECDHE-RSA-AES128-GCM-SHA256
ssl_protocol 建立SSL连接使用的协议,例如TLSv1.2
status proxy应答报文的状态
tcpinfo_rtt 客户端的tcp rtt时间,单位:微秒
time 日志记录时间
upstream_addr 后端服务器的IP地址和端口
upstream_response_time 从SLB向后端建立连接开始到接受完数据然后关闭连接为止的时间,单位:秒。
upstream_status proxy收到的后端服务器的响应状态码。
vip_addr vip地址
write_response_time proxy写的响应时间,单位:毫秒

API网关

日志字段 说明
owner_id API提供者的帐户ID
apiGroupUid API的分组ID
apiGroupName API分组名称
apiUid API ID
apiName API名称
apiStageUid API环境ID
apiStageName API环境名称
httpMethod 调用的HTTP方法
path 请求的PATH
domain 调用的域名
statusCode Http的状态码
errorMessage 错误信息
appId 调用者应用ID
appName 调用者应用名称
clientIp 调用者客户端IP
exception 后端返回的具体错误信息
region 地域,例如cn-hangzhou
requestHandleTime 请求时间,格林威治时间
requestId 请求ID,全局唯一
requestSize 请求大小,单位:字节
responseSize 返回数据大小,单位:字节
serviceLatency 后端延迟,单位:毫秒

Web应用防火墙(WAF)

字段 说明
__topic__ 日志主题,固定为waf_access_log。
owner_id 阿里云主账号ID。
acl_action WAF精准访问控制规则行为,例如pass、drop、captcha。
说明 空值或短划线(-)也表示pass。
acl_blocks 是否被精准访问控制规则拦截,1表示拦截,其他值均表示通过。
antibot 触发的爬虫风险管理防护策略类型。
  • ratelimit:频次控制
  • sdk:APP端增强防护
  • algorithm:算法模型
  • intelligence:爬虫情报
  • acl:精准访问控制
  • blacklist:黑名单
antibot_action 爬虫风险管理防护策略执行的操作。
  • challenge:嵌入JS进行验证
  • drop:拦截
  • report:记录
  • captcha:滑块验证
block_action 触发拦截的WAF防护类型。
  • tmd:CC攻击防护
  • waf:Web应用攻击防护
  • acl:精准访问控制
  • geo:地区封禁
  • antifraud:数据风控
  • antibot:防爬封禁
body_bytes_sent 发送给客户端的HTTP Body的字节数。
cc_action CC防护策略行为,例如none、challenge、pass、close、captcha、wait、login、n等。
cc_blocks 是否被CC防护功能拦截,1表示拦截,其他值均表示通过。
cc_phase 触发的CC防护策略,包括seccookie、server_ip_blacklist、static_whitelist、 server_header_blacklist、server_cookie_blacklist、server_args_blacklist、qps_overmax等。
content_type 访问请求内容类型。
host 源网站。
http_cookie 访问请求头部中带有的访问来源客户端Cookie信息。
http_referer 访问请求头部中带有的访问请求的来源URL信息。如果无来源URL信息,则显示为短划线(-)。
http_user_agent 访问请求头部中的User Agent字段,一般包含来源客户端浏览器标识、操作系统标识等信息。
http_x_forwarded_for 访问请求头部中带有的XFF头信息,用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。
https 访问请求是否为HTTPS请求。
  • true:HTTPS请求
  • false:HTTP请求
matched_host 匹配到的已接入WAF防护配置的域名,可能是泛域名。如果无法匹配到相关域名配置,则显示短划线(-)。
querystring 请求中的查询字符串。
real_client_ip 访问的客户端的真实IP地址。如果无法获取,则显示为短划线(-)。
region WAF实例地域信息。
remote_addr 访问请求的客户端IP地址。
remote_port 访问请求的客户端端口。
request_length 访问请求长度,单位:字节。
request_method 访问请求的HTTP请求方法。
request_path 请求的相对路径(不包含查询字符串)。
request_time_msec 访问请求时间,单位:毫秒。
request_traceid WAF记录的访问请求唯一ID标识。
server_protocol 源站服务器响应的协议及版本号。
status WAF返回给客户端的HTTP响应状态信息。
time 访问请求的发生时间。
ua_browser 访问请求来源的浏览器信息。
ua_browser_family 访问请求来源所属浏览器系列。
ua_browser_type 访问请求来源的浏览器类型。
ua_browser_version 访问请求来源的浏览器版本。
ua_device_type 访问请求来源客户端的设备类型。
ua_os 访问请求来源客户端的操作系统信息。
ua_os_family 访问请求来源客户端所属操作系统系列。
upstream_addr WAF使用的回源地址列表,格式为IP:Port,多个地址用逗号分隔。
upstream_ip 访问请求所对应的源站IP。例如,WAF回源到ECS的情况,该参数即返回源站ECS的IP。
upstream_response_time 源站响应WAF请求的时间,单位:秒。如果返回短划线(-),代表响应超时。
upstream_status 源站返回给WAF的响应状态。如果返回短划线(-),表示没有响应,例如该请求被WAF拦截。
user_id 阿里云主账号ID。
waf_action Web攻击防护策略行为,bloc:表示拦截,bypass或其它值均表示放行。
web_attack_type Web攻击类型,例如xss、code_exec、webshell、sqli、lfilei、rfilei、other等。
waf_rule_id 匹配的WAF的相关规则ID。

云安全中心 (SAS)

  • 网络日志
    • DNS日志
      日志字段 说明
      __topic__ 主题,固定为sas-log-dns
      owner_id 阿里云主账号ID
      additional additional字段,竖线分隔
      additional_num additional字段数量
      answer DNS回答信息,竖线分隔
      answer_num DNS回答信息数量
      authority authority字段
      authority_num authority字段数量
      client_subnet 客户端子网
      dst_ip 目标IP地址
      dst_port 目标端口
      in_out 数据的传输方向
      • in:入方式
      • out:出方向
      qid 查询ID
      qname 查询域名
      qtype 查询类型
      query_datetime 查询时间戳,单位:毫秒
      rcode 返回代码
      region 来源区域ID
      • 1:北京
      • 2:青岛
      • 3:杭州
      • 4:上海
      • 5:深圳
      • 6:其它
      response_datetime 返回时间
      src_ip 源IP地址
      src_port 源端口
    • 本地DNS日志
      字段名 名称
      __topic__ 主题,固定为local-dns
      owner_id 阿里云主账号ID
      answer_rda DNS回答信息,竖线分隔
      answer_ttl DNS回答的时间周期,竖线分隔
      answer_type DNS回答的类型,竖线分隔
      anwser_name DNS回答的名称,竖线分隔
      dest_ip 目标IP地址
      dest_port 目标端口
      group_id 分组ID
      hostname 主机名
      id 主机IP地址
      instance_id 实例ID
      internet_ip 互联网IP地址
      ip_ttl IP的周期
      query_name 查询域名
      query_type 查询类型
      src_ip 源IP地址
      src_port 源端口
      time 查询时间戳,单位:秒
      time_usecond 响应耗时,单位:微秒
      tunnel_id 通道ID
    • 网络会话日志
      日志字段 说明
      __topic__ 日志主题,固定为sas-log-session
      owner_id 阿里云主账号ID
      asset_type 关联的资产类型,例如ECS、SLB、RDS等
      dst_ip 目标IP地址
      dst_port 目标端口
      proto 协议类型,例如tcp、udp
      session_time Session时间
      src_ip 源IP地址
      src_port 源端口
    • Web日志
      日志字段 说明
      __topic__ 日志主题,固定为sas-log-http
      owner_id 阿里云主账号ID
      content_length 内容长度
      dst_ip 目标IP地址
      dst_port 目标端口
      host 访问主机名
      jump_location 重定向地址
      method HTTP访问
      referer 客户端向服务器发送请求时的HTTP referer,告知服务器访问来源的HTTP链接。
      request_datetime 请求时间
      ret_code 返回状态值
      rqs_content_type 请求内容类型
      rsp_content_type 响应内容类型
      src_ip 源IP地址
      src_port 源端口
      uri 请求URI
      user_agent 向用户客户端发起的请求
      x_forward_for 路由跳转信息
  • 安全日志
    • 漏洞日志
      日志字段 说明
      __topic__ 日志主题,固定为sas-vul-log
      owner_id 阿里云主账号ID
      name 漏洞名称
      alias_name 漏洞别名
      op 操作信息
      • new:新增
      • verify:验证
      • fix:修复
      status 状态信息,请参见表 2
      tag 漏洞标签,例如oval、system、cms,主要用于区分EMG紧急漏洞。
      type 漏洞类型
      • sys:windows漏洞
      • cve:Linux漏洞
      • cms:Web CMS漏洞
      • EMG:紧急漏洞
      uuid 客户端号
    • 基线日志
      日志字段 说明
      __topic__ 日志主题,固定为sas-hc-log
      owner_id 阿里云主账号ID
      level 级别,例如low、mediam、high
      op 操作信息
      • new:新增
      • verify:验证
      risk_name 风险名称
      status 状态信息,请参见表 2
      sub_type_alias 子类型别名,中文
      sub_type_name 子类型名称
      type_name 类型名称
      type_alias 类型别名,中文
      uuid 客户端号
      表 1. 基线type-sub-type列表
      type_name sub_type_name
      system baseline
      weak_password postsql_weak_password
      database redis_check
      account system_account_security
      account system_account_security
      weak_password mysq_weak_password
      weak_password ftp_anonymous
      weak_password rdp_weak_password
      system group_policy
      system register
      account system_account_security
      weak_password sqlserver_weak_password
      system register
      weak_password ssh_weak_password
      weak_password ftp_weak_password
      cis centos7
      cis tomcat7
      cis memcached-check
      cis mongodb-check
      cis ubuntu14
      cis win2008_r2
      system file_integrity_mon
      cis linux-httpd-2.2-cis
      cis linux-docker-1.6-cis
      cis SUSE11
      cis redhat6
      cis bind9.9
      cis centos6
      cis debain8
      cis redhat7
      cis SUSE12
      cis ubuntu16
      表 2. 安全日志状态码
      状态值 说明
      1 未修复
      2 修复失败
      3 回滚失败
      4 修复中
      5 回滚中
      6 验证中
      7 修复成功
      8 修复成功待重启
      9 回滚成功
      10 忽略
      11 回滚成功待重启
      12 已不存在
      20 已失效
    • 安全告警日志
      日志字段 说明
      __topic__ 日志主题,固定为sas-security-log
      owner_id 阿里云主账号ID
      data_source 数据源,详情请参见表 3
      level 告警级别
      name 名称,例如Suspicious Process-SSH-based Remote Execution of Non-interactive Commands
      op 操作信息
      • new:新增
      • dealing:处理
      status 状态信息,详情请参见表 2
      uuid 客户端号
      表 3. 安全告警data_source列表
      描述
      aegis_suspicious_event 主机异常
      aegis_suspicious_file_v2 Webshell
      aegis_login_log 异常登录
      security_event 安全中心异常事件
  • 主机日志
    • 进程启动日志
      日志字段 说明
      __topic__ 日志主题,固定为aegis-log-process
      owner_id 阿里云主账号ID
      uuid 客户端号
      ip 客户端主机的IP地址
      cmdline 用户启动完整命令行
      username 用户名
      uid 用户ID
      pid 进程ID
      filename 进程文件名
      filepath 进程文件完整路径
      groupname 用户组
      ppid 父进程ID
      pfilename 父进程文件名
      pfilepath 父进程文件完整路径
    • 进程快照日志
      日志字段 说明
      __topic__ 日志主题,固定为aegis-snapshot-process
      owner_id 阿里云主账号ID
      uuid 客户端号
      ip 客户端主机的IP地址
      cmdline 用户启动完整命令行
      pid 进程ID
      name 进程文件名
      path 进程文件完整路径
      md5 进程文件名进行MD5计算,超过1MB的进程文件不进行计算。
      pname 父进程文件名
      start_time 进程启动时间,内置字段
      user 用户名
      uid 用户ID
    • 登录日志
      1分钟内重复登录会被合并为1条日志。
      日志字段 说明
      __topic__ 日志主题,固定为aegis-log-login
      owner_id 阿里云主账号ID
      uuid 客户端号
      ip 客户端主机的IP地址
      warn_ip 登录来源IP地址
      warn_port 登录端口
      warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN
      warn_user 登录用户名
      warn_count 登录次数,例如:3次表示这次登录前1分钟内还发送了2次。
    • 暴力破解日志
      字段名 名称
      __topic__ 日志主题,固定为aegis-log-crack
      owner_id 阿里云主账号ID
      uuid 客户端号
      ip 客户端主机的IP地址
      warn_ip 登录来源IP地址
      warn_port 登录端口
      warn_type 登录类型,例如SSHLOGIN、RDPLOGIN、IPCLOGIN
      warn_user 登录用户名
      warn_count 失败登录次数
    • 主机网络连接日志
      主机上每隔10秒到1分钟会收集变化的网络连接。
      日志字段 说明
      __topic__ 日志主题,固定为aegis-log-network
      owner_id 阿里云主账号ID
      uuid 客户端号
      ip 客户端主机的IP地址
      src_ip 源IP地址
      src_port 源端口
      dst_ip 目标IP地址
      dst_port 目标端口
      proc_name 进程名
      proc_path 进程路径
      proto 协议,例如tcp、udp和raw(表示raw socket)
      status 连接状态,详情请参见表 4
      表 4. 网络连接状态描述列表
      状态值 描述
      1 closed
      2 listen
      3 syn send
      4 syn recv
      5 establisted
      6 close wait
      7 closing
      8 fin_wait1
      9 fin_wait2
      10 time_wait
      11 delete_tcb
    • 端口监听快照
      日志字段 说明
      __topic__ 主题,固定为aegis-snapshot-port
      owner_id 阿里云主账号ID
      uuid 客户端号
      ip 客户端机器IP地址
      proto 协议,例如tcp、udp和raw(表示raw socket)
      src_ip 监听IP地址
      src_port 监听端口
      pid 进程ID
      proc_name 进程名
    • 账户快照
      日志字段 说明
      __topic__ 日志主题,固定为aegis-snapshot-host
      owner_id 阿里云主账号ID
      name 漏洞名称
      alias_name 漏洞别名
      op 操作信息
      • new:新增
      • verify:验证
      • fix:修复
      status 连接状态,详情请参见表 4
      tag 漏洞标签,例如oval、 system、cms等,主要用于区分EMG紧急漏洞。
      type 漏洞类型
      • sys:windows漏洞
      • cve:Linux漏洞
      • cms:Web CMS漏洞
      • EMG:紧急漏洞
      uuid 客户端号

分布式关系型数据库(DRDS)

字段名称 字段说明
__topic__ 日志主题,固定为drds_audit_log。
instance_id DRDS实例ID。
instance_name DRDS实例名。
owner_id 阿里云主账户ID。
region DRDS实例所在地域。
db_name DRDS数据库名。
user 执行SQL的用户名。
client_ip 访问DRDS实例的客户端IP地址。
client_port 访问DRDS实例的客户端端口。
sql 执行的SQL语句。
trace_id SQL执行的TRACE ID。如果是事务,会以跟踪ID、横杠(-)、数字进行,例如drdsabcdxyz-1,drdsabcdxyz-2等。
sql_code 模板SQL的HASH值。
hint SQL执行的HINT。
table_name 查询涉及的表名,多表之间以逗号(,)分隔。
sql_type SQL类型。包括Select、Insert、Update、Delete、Set、Alter、Create、Drop、Truncate、Replace和Other。
sql_type_detail SQL解析器的名称。
response_time 响应时间,单位为ms。
affect_rows SQL执行返回行数,增删改时表示影响的行数,查询语句表示返回的行数。
fail SQL执行是否出错。
  • 0:成功
  • 1:失败
sql_time SQL开始执行的时间。

云防火墙(Coud Firewall)

日志字段 说明
__topic__ 日志主题,固定为cloudfirewall_access_log
owner_id 阿里云主账号ID
log_type 日志类型
app_name 访问流量应用的协议名称,例如HTTPS、NTP、SIP、SMB、NFS、DNS等,未知时为Unknown。
direction 流量的方向
  • in:入方向
  • out:出方向
domain 域名
dst_ip 目的IP地址
dst_port 目的端口
end_time 会话结束时间,单位:秒(Unix时间戳)
in_bps 入流量大小,单位:bps
in_packet_bytes 入流量总子节数
in_packet_count 入流量总报文数
in_pps 入流量大小,单位:bps
ip_protocol IP协议类型,支持TCP或UDP协议
out_bps 出方向流量大小,单位:bps
out_packet_bytes 出方向总流量字节数
out_packet_count 出方向报文数
out_pps 出方向流量大小,单位:pps
region_id 访问流量所属的区域
rule_result 命中规则结果
  • pass:通过
  • alert:告警
  • drop:丢弃
src_ip 源IP地址
src_port 源端口,流量数据发出的主机端口
start_time 会话开始时间,单位:秒(Unix时间戳)
start_time_min 会话开始时间,分钟取整数,单位:秒(Unix时间戳)
tcp_seq TCP序列号
total_bps 出入方向访问总流量的大小,单位:bps
total_packet_bytes 出入方向的访问总流量,单位:字节
total_packet_count 总流量,以报文数表示
total_pps 出入方向访问总流量的大小,单位:bps
src_private_ip 私网IP地址
vul_level 漏洞风险等级,
  • 1:低危
  • 2:中危
  • 3:高危
url URL地址
acl_rule_id 命中ACL的规则ID
ips_rule_id 命中IPS的规则ID
ips_ai_rule_id 命中AI的规则ID

堡垒机(Baston Host)

日志字段 说明
__topic__ 日志主题
owner_id 阿里云主账号ID
content 日志内容
event_type 事件类型,详情请参见表 5
instance_id 堡垒机实例ID
log_level 日志级别
resource_address 资源地址
resource_name 资源名称
result 操作结果
session_id 会话ID
user_client_ip 用户来源IP地址
user_id 用户ID
user_name 用户名称
表 5. 事件类型
含义
cmd.Command 字符命令
file.Upload 上传文件
file.Download 下载文件
file.Rename 重命名
file.Delete 删除
file.DeleteDir 删除目录
file.CreateDir 创建目录
graph.Text 图形文字
graph.Keyboard 键盘事件

对象存储(OSS)

日志类型 说明
访问日志 记录对应的Bucket的所有访问日志,实时收集。
批量删除日志 记录批量删除日志时具体的删除信息,实时收集。
说明 当您调用DeleteObjects时,访问日志中会有一条请求记录。但因为删除的文件信息存放在请求的HTTP Body中,访问日志中的object会是-,如果查看具体的删除文件的列表,就需要查看批量删除的日志,可以通过request_id关联。
每小时计量日志 记录特定Bucket每个小时累计的计量日志,延迟为数小时,用于辅助分析。
表 6. Bucket存储类型
存储类型 描述
standard 标准存储类型
archive 归档存储类型
infrequent_access 低频访问存储类型
每个操作的具体信息,请参见API概览
表 7. 访问类型
操作值 描述
AbortMultiPartUpload 中止断点上传。
AppendObject 追加上传文件。
CommitTransition CommitTransition。
CompleteUploadPart 完成断点上传。
CopyObject 复制文件。
DeleteBucket 删除Bucket。
DeleteLiveChannel 删除LiveChannel。
DeleteObject 删除文件。
DeleteObjects 删除多个文件。
ExpireObject ExpireObject。
GetBucket 列举文件。
GetBucketAcl 获取Bucket权限。
GetBucketCors 查看Bucekt的CORS规则。
GetBucketEventNotification 获取Bucekt通知配置。
GetBucketInfo 查看Bucket信息。
GetBucketLifecycle 查看Bucket的Lifecycle配置。
GetBucketLocation 查看Bucket区域。
GetBucketLog 查看Bucket访问日志配置。
GetBucketReferer 查看Bucket防盗链设置。
GetBucketReplication 查看跨区域复制。
GetBucketReplicationProgress 查看跨区域复制进度。
GetBucketStat 获取bucket的相关信息。
GetBucketWebSite 查看Bucket的静态网站托管状态。
GetLiveChannelStat 获取LiveChannel状态信息。
GetObject 读取文件。
GetObjectAcl 获取文件访问权限。
GetObjectInfo 获取文件信息。
GetObjectMeta 查看文件信息。
GetObjectSymlink 获取symlink文件的详细信息。
GetPartData 获取断点文件块数据。
GetPartInfo 获取断点文件块信息。
GetProcessConfiguration 获取Bucekt图片处理配置。
GetService 列举Bucket。
HeadBucket 查看Bucket信息。
HeadObject 查看文件信息。
InitiateMultipartUpload 初始化断点上传文件。
ListMultiPartUploads 列举断点事件。
ListParts 列举断点块状态。
Options Options。
PostObject 表单上传文件。
PostProcessTask 提交相关的数据处理,例如截图等。
PostVodPlaylist 创建LiveChannel点播列表。
ProcessImage 图片处理。
PutBucket 创建Bucket。
PutBucketCors 设置Bucket的CORS规则。
PutBucketLifecycle 设置Bucket的Lifecycle配置。
PutBucketLog 设置Bucket访问日志。
PutBucketWebSite 设置Bucket静态网站托管模式。
PutLiveChannel 创建LiveChannel。
PutLiveChannelStatus 设置LiveChannel状态。
PutObject 上传文件。
PutObjectAcl 修改文件访问权限。
PutObjectSymlink 创建symlink文件。
RedirectBucket bucket endpoint重定向。
RestoreObject 解冻文件。
UploadPart 断点上传文件。
UploadPartCopy 复制文件块。
get_image_exif 获取图片的exif信息。
get_image_info 获取图片的长宽等信息。
get_image_infoexif 获取图片的长宽以及exif信息。
get_style 获取Bucket样式。
list_style 列举Bucket的样式。
put_style 创建Bucket样式。
表 8. 同步请求类型
同步请求类型 描述
- 一般请求
cdn CDN回源
关于签名的更多信息,请参见用户签名验证
表 9. 签名类型
签名类型 描述
NotSign 未签名
NormalSign 一般方式签名
UriSign 通过URL签名
AdminSign 管理员账号
  • 访问日志
    日志字段 说明
    __topic__ 日志主题,固定为oss_access_log
    owner_id 阿里云主账号ID
    region Bucket所在区域
    access_id 访问者的AccessKey ID
    time 访问时间,即OSS收到请求的时间,如果需要时间戳可以使用__time__
    owner_id Bucket拥有者的阿里云ID
    User-Agent HTTP的User-Agent头
    logging_flag 是否开启了日志定期导出到OSS Bucket的功能。
    bucket Bucket名称
    content_length_in 请求头中Content-Length的值,单位:Byte
    content_length_out 回应头中Content-Length的值,单位:Byte
    object 用户请求的object,URL编码,查询时可以使用select url_decode(object)解码。
    object_size 对象大小,即对应请求对象的大小,单位:Byte
    operation 访问类型,详情请参见表 7
    request_uri 用户请求的URI,包括query-string,路径是URL编码,查询时可以使用select url_decode(request_uri)解码。
    error_code OSS返回的错误码,详情请参见OSS错误响应
    request_length HTTP请求的大小,包括header,单位:Byte
    client_ip 请求发起的IP地址,即客户端IP地址、其网络防火墙或者Proxy的IP地址。
    response_body_length HTTP响应中body的大小,即HTTP response的body的大小,不包括header。
    http_method HTTP请求方法
    referer 请求的HTTP Referer
    requester_id 请求者的阿里云主账号ID,匿名访问时为短划线(-)。
    request_id 请求ID
    response_time 请求响应时间,单位:毫秒
    server_cost_time OSS服务器处理时间,即OSS服务器处理本次请求所花的时间,单位:毫秒。
    http_type HTTP请求类型,http或https
    sign_type 签名类型,详情请参见表 9
    http_status HTTP状态,即OSS请求返回的HTTP状态。
    sync_request 同步请求类型,详情请参见表 8
    bucket_storage_type Bucket存储类型,详情请参见表 6
    host 请求访问域名
    vpc_addr 访问OSS的域名对应的VPC IP地址
    vpc_id VPC ID
    delta_data_size object大小的变化量,若没有变化为0;如果不是上传请求,则为短划线(-)。
    acc_access_region 如果是传输加速请求,这个字段为请求接入点所在区域名,否则为短划线(-)。
  • 批量删除日志
    日志字段 说明
    __topic__ 日志主题,固定为oss_batch_delete_log
    owner_id 阿里云主账号ID
    region Bucket所在区域
    client_ip 请求发起的IP地址,客户端IP地址、网络防火墙或者Proxy的IP地址
    user_agent HTTP的User-Agent头
    bucket Bucket名称
    error_code OSS返回的错误码,详情请参见OSS错误响应
    request_length request的大小,HTTP请求的大小,包括header,单位:Byte。
    response_body_length response的body的大小,HTTP response的body的大小,不包括header。
    object 用户请求的object,URL编码,查询时可以使用select url_decode(object)解码。
    object_size 请求对象的大小,单位:Byte
    operation 访问类型,详情请参见表 7
    bucket_location Bucket所在集群
    http_method HTTP请求方法
    referer 请求的HTTP Referer
    request_id 请求ID
    http_status OSS请求返回的HTTP状态。
    sync_request 同步请求类型,详情请参见表 8
    request_uri 用户请求的URI,包括query-string,路径是URL编码,查询时可以使用select url_decode(request_uri)解码。
    host 请求访问域名
    logging_flag 是否开启logging,即是否开启了原来的日志定期导出功能。
    server_cost_time OSS服务器处理时间,单位:毫秒
    owner_id Bucket拥有者的阿里云主账号ID
    requester_id 请求者阿里云ID,匿名访问为短划线(-)。
    delta_data_size object大小的变化量,如果没有变化为0;如果不是上传请求,则为短划线(-)。
  • 每小时计量日志
    日志字段 说明
    __topic__ 日志主题,固定为oss_metering_log
    owner_id Bucket拥有者的阿里云主账号ID
    bucket Bucket名称
    cdn_in CDN流入量,单位:Byte
    cdn_out CDN流出量,单位:Byte
    get_request GET请求次数
    intranet_in 内网流入量,单位:Byte
    intranet_out 内网流出量,单位:Byte
    network_in 外网流入量,单位:Byte
    network_out 外网流出量,单位:Byte
    put_request PUT请求次数
    storage_type Bucket存储类型,详情请参见表 6
    storage Bucket存储量,单位:Byte
    metering_datasize 非标准存储的计量数据大小
    process_img_size 处理的图像大小,单位:Byte
    process_img 处理的图像
    sync_in 同步流入量,单位:Byte
    sync_out 同步流出量,单位:Byte
    start_time 计量开始时间戳
    end_time 计量截止时间戳
    region Bucket所在区域

关系数据库(RDS)

日志字段 说明
__topic__ 日志主题,固定为rds_audit_log
owner_id 阿里云主账号ID
region 实例所在地域
instance_name RDS实例名
instance_id RDS实例ID
db_type RDS实例类型,例如:mysql、mssql、pgsql
db_version 实例版本号
check_rows 扫描的行数
db 数据库名
fail SQL执行是否出错。
  • 0:成功
  • 1:失败
client_ip 访问RDS实例的客户端IP地址
latency 延迟,单位:微秒
origin_time 操作时间,单位:微秒
return_rows 返回行数
sql 执行的SQL语句
thread_id 线程ID
user 执行SQL的用户名
update_rows 更新行数

文件存储(NAS)

日志字段 说明
owner_id 阿里云主账号ID
ArgIno 文件系统inode号
AuthRc 授权返回码
NFSProtocolRc NFS协议返回码
OpList NFSv4 Procedures编号
Proc NFSv3 Procedures编号
RWSize 读写大小,单位:Byte
RequestId 请求ID
ResIno lookup的资源inode号
SourceIp 客户端IP地址
Vers NFS协议版本号
Vip 服务端IP地址
Volume 文件系统ID
microtime 请求发生时间,单位:微秒

移动推送

日志字段 说明
__topic__ 日志主题,固定为cps_callback_event
owner_id 阿里云主账号ID
app_key AppKey
message_id 消息ID
event_time 回执事件时间
event_type 回执事件类型
device_id 设备ID
device_type 设备类型
last_active_time 设备最后活跃时间
app_version 应用版本号
client_ip 客户端IP地址
brand 设备品牌
network_type 设备网络类型
os 设备操作系统
os_version 设备操作系统版本
isp 设备所属运营商
job_key 任务Key