本文介绍ActionTrail操作日志的字段详情。

字段名称 说明
__topic__ 日志主题,固定为actiontrail_audit_event。
event 事件主体,JSON格式,事件主体的内容随事件变化。
event.eventId 事件ID,事件唯一标识
event.eventName 事件名称
event.eventSource 事件来源
event.eventType 事件类型
event.eventVersion 事件格式版本,固定为1。
event.acsRegion 事件所在地域
event.requestId 操作云资源的请求ID
event.apiVersion API版本
event.errorMessage 云资源处理API请求发生错误时,记录的错误消息。
event.serviceName 事件相关的云资源名称,例如Vpc
event.sourceIpAddress 事件发生的源IP地址
event.userAgent 发送API请求的客户端代理标识
event.requestParameters.HostId API请求输入参数中的主机ID
event.requestParameters.Name API请求输入参数中的名称
event.requestParameters.Region API请求输入参数中的地域
event.userIdentity.accessKeyId 发起API请求的阿里云账号的AccessKey ID
event.userIdentity.accountId 发起API请求的阿里云主账号ID
event.userIdentity.principalId 请求者ID,例如type为ram-user,则此处为阿里云主账号ID。
event.userIdentity.type 身份类型
  • root-account:阿里云主账号
  • ram-user:RAM 用户
  • assumed-role:RAM角色
  • system:阿里云服务
event.userIdentity.userName 身份名称,例如type为ram-user,则此处为RAM用户名。