操作审计将于2020年12月16日00:00:00起,在操作事件中新增eventRW(事件的读写类型)、resourceName(事件的相关资源名称)和resourceType(事件的相关资源类型)三个字段。此次变更将帮助您更好地分析后续的操作事件,而且不会影响您对已有操作事件的分析。

变更说明

操作审计将在事件中增加以下三个字段:

字段名称 字段类型 描述 示例
eventRW String 事件的读写类型。取值:
  • Write:写类型。
  • Read:读类型。
 Read
resourceName String 事件的相关资源名称。

相比已有的referenceResources字段,resourceName字段将表示事件相关的资源名称(ID)字段单独拆分出来,是资源的唯一标识。

resourceName可以在日志服务中作为索引,提供按照资源名称查询的能力。
  • 事件涉及单个资源类型的单个资源:i-bp1example1
  • 事件涉及单个资源类型的多个资源:i-bp1example1,i-bp1example2
  • 事件涉及多种资源类型的多个资源:i-bp1example1,i-bp1example2;v-bp1example1
说明 同类型的资源名称(ID)之间以英文逗号(,)间隔,不同类型的资源名称(ID)之间以半角分号(;)间隔。
resourceType List 事件的相关资源类型。

相比已有的referenceResources字段,resourceType字段将表示事件相关的资源类型字段单独拆分出来。

resourceType可以在日志服务中作为索引,提供按照资源类型查询的能力。
  • 事件涉及单个资源类型的单个资源:ACS::ECS::Instance
  • 事件涉及单个资源类型的多个资源:ACS::ECS::Instance
  • 事件涉及多种资源类型的多个资源:ACS::ECS::Instance;ACS::VPC::VPC
说明 多个资源类型之间以半角分号(;)间隔。

变更前后事件字段代码示例如下:

  • 变更前 
    {
  "referenceResources": {
    "ACS::ECS::Instance": [
      "i-bp1fadfuy****",
      "i-bp1fadfad****"
    ]
  }
}
  • 变更后 
    {
  "eventRW": "Read",
  "referenceResources": {
    "ACS::ECS::Instance": [
      "i-bp1fadfuy****",
      "i-bp1fadfad****"
    ]
  },
    "resourceName": "i-bp1fadfuy****,i-bp1fadfad****",
    "resourceType": "ACS::ECS::Instance"
}

对您的影响

本次变更不会影响已有跟踪投递的操作事件的分析活动。

变更生效后:

  • 对于已有跟踪和新建跟踪,投递到SLS Logstore或OSS Bucket的操作事件都会包含新增字段。
  • 对于新建跟踪,投递到SLS Logstore的操作事件会包含新增字段的索引。
  • 对于已有跟踪,投递到SLS Logstore的操作事件不会包含新增字段的索引。当您需要分析新增字段时,建议您手动添加索引。
    • 通过日志服务控制台补充新增字段的索引
      1. 登录日志服务控制台
      2. Project列表区域,单击操作事件对应的Project名称
      3. 单击日志库名称,在页面右上角选择查询分析属性 > 属性
      4. 单击字段下方加号增加eventRW、resourceName和resourceType字段。
      5. 单击确定
    • 通过CloudShell补充新增字段的索引

      CloudShell中执行如下命令: 

      actiontrail-update-index [project] [logstore] [regionId]

      请将参数替换为跟踪中设置的日志服务Project、Logstore和RegionId,例如:

      actiontrail-update-index actiontrail-ev****  actiontrail-test**** cn-hangzhou