数据事件结构定义

更新时间:
复制 MD 格式

本文为您介绍数据事件的关键字段和示例。

关键字段

名称

描述

acsRegion

阿里云地域。

additionalEventData

事件的补充信息。

apiVersion

eventType取值为ApiCall时,事件代表一个API的调用。此时,该字段为API的版本信息。

eventCategory

事件分类。取值:Data(数据事件)。

eventId

事件ID。

eventName

事件名称。具体含义如下:

  • 如果eventType取值为ApiCall,该字段为API的名称。

  • 如果eventType取值不为ApiCall,该字段表示事件含义。

eventRW

事件的读写类型。取值:

  • Write:写类型。

  • Read:读类型。

eventSource

事件来源。

eventTime

事件的发生时间(UTC格式)。

eventType

发生的事件类型。取值:

  • ApiCall:API调用事件。

  • ConsoleOperation:部分控制台或售卖页的管控事件。

  • AliyunServiceEvent:此类事件为阿里云平台对您的资源执行的数据事件。

eventVersion

管控事件格式的版本,当前版本为1。

errorCode

云服务处理API请求发生错误时,记录的错误码。

errorMessage

云服务处理API请求发生错误时,记录的错误消息。

requestId

请求ID。

requestParameters

API请求的输入参数。

responseElements

API响应的数据。

referencedResources

事件影响的资源列表。

serviceName

事件相关的阿里云服务名称。

sourceIpAddress

事件发起的源IP地址。取值如下:

  • 一般为发起请求的客户端地址,支持IPv4地址和IPv6地址。

  • 如果是阿里云服务发起的请求,则IP地址会记录为云服务标识,例如:ecs.aliyuncs.com。

  • 如果源IP地址属于VPC网段或阿里云内部网段,且无法区分是否来自用户VPC时,IP地址会记录为Internal。

vpcId

如果源IP地址属于VPC网段且可识别时,记录来源VPCId。

userAgent

发送API请求的客户端代理标识。

userIdentity

请求者的身份信息。

更多信息,请参见userIdentity包含的字段

表 1. userIdentity包含的字段

名称

描述

type

身份类型。当前支持的身份类型包括:

  • root-account:阿里云账号。

  • ram-user:RAM用户。

  • assumed-role:RAM角色。

  • system:阿里云服务。

  • cloudsso-user:云SSO用户。

  • saml-user:企业自有身份(基于SAML身份)。

  • alibaba-cloud-account:跨阿里云账号授权时被授权的身份。

  • oidc-user:企业自有身份(基于OIDC身份)。

principalId

当前请求者的ID,需结合type来唯一确认请求者身份。

  • 如果type取值为root-account,则记录阿里云账号ID。

  • 如果type取值为ram-user,则记录RAM用户ID。

  • 如果type取值为assumed-role,则记录RoleID:RoleSessionName

  • 如果type取值为cloudsso-user,则记录云SSO用户ID。

  • 如果type取值为alibaba-cloud-account

    • 当阿里云账号跨账号操作时,记录阿里云账号ID。

    • RAM用户跨账号操作时,记录RAM用户ID。

    • 当扮演角色跨账号操作时,记录RoleID:RoleSessionName

  • 如果type取值为saml-useroidc-usersystem,不记录principalId

accountId

当前请求身份所属的阿里云账号ID。

accessKeyId

当前请求身份所属的AccessKey ID。

  • 如果请求者通过SDK访问API,则记录该字段。

  • 如果请求者通过控制台登录,则该字段不显示。

  • 如果请求者通过安全令牌进行访问,则记录临时访问密钥ID。

userName

当前请求者的身份名称(部分云服务事件中无该字段)。

  • 如果type取值为ram-user,则记录RAM用户名。

  • 如果type取值为assumed-role,则记录RoleName:RoleSessionName

  • 如果type取值为root-account,userName取值为root。

  • 如果type取值为cloudsso-user,则记录云SSO用户的用户名。

  • 如果type取值为saml-user,则记录企业自有身份的用户名(基于SAML身份)。

  • 如果type取值为alibaba-cloud-accountsystem,不记录userName

  • 如果type取值为oidc-user,则记录企业自有身份的用户名(基于OIDC身份)。

sessionContext

请求者通过临时安全令牌调用API或通过控制台登录时记录该字段。该字段的内容包括:

  • creationDate:创建时间。

  • mfaAuthenticated:用户登录控制台时是否使用多因素认证。

示例

{
  "acsRegion": "cn-hangzhou",
  "apiVersion": "2019-05-17",
  "eventCategory": "Data",
  "eventId": "6A2B71A11B343F3735FA****",
  "eventName": "PutObject",
  "eventRW": "Write",
  "eventSource": "actiontrail-auto-test-cn-hangzhou.oss-cn-hangzhou.aliyuncs.com",
  "eventTime": "2026-06-12T02:40:33Z",
  "eventType": "ApiCall",
  "eventVersion": "1",
  "recipientAccountId": "159498693826****",
  "referencedResources": {
    "ACS::OSS::Bucket": [
      "test-bucket"
    ],
    "ACS::OSS::Object": [
      "测试-勿删.txt"
    ]
  },
  "requestId": "6A2B71A11B343F3735FA****",
  "serviceName": "Oss",
  "sourceIpAddress": "121.41.*.*",
  "userAgent": "aliyun-sdk-java/3.18.1(Linux/4.19.91-c8dfc93.al7.x86_64/amd64;1.8.0_292)",
  "userIdentity": {
    "accessKeyId": "LTAI5tEoA8B4uha8zPNX****",
    "accountId": "159498693826****",
    "principalId": "25680425206822****",
    "type": "ram-user"
  }
}