本文介绍操作审计的操作日志的字段详情。
| 日志字段 | 说明 |
|---|---|
| __topic__ | 日志主题,固定为actiontrail_event。 |
| owner_id | 阿里云账号ID |
| event | 事件主体内容,JSON格式。事件主体的内容随事件变化。 |
| event.eventId | 事件ID,事件的唯一标识。 |
| event.eventName | 事件名称 |
| event.eventSource | 事件来源 |
| event.eventType | 事件类型 |
| event.eventVersion | ActionTrail的数据格式版本,固定为1。 |
| event.acsRegion | 事件所在的地域 |
| event.requestId | 操作云产品的请求ID |
| event.apiVersion | 相关API的版本 |
| event.errorMessage | 事件失败的错误信息 |
| event.serviceName | 事件相关的服务名称 |
| event.sourceIpAddress | 事件相关的源IP地址 |
| threat_sourceIpAddress | 事件相关的源IP地址的威胁情报。更多信息,请参见威胁情报字段。 |
| event.userAgent | 事件相关的客户端 |
| event.requestParameters.HostId | 请求参数中的主机ID |
| event.requestParameters.Name | 请求参数中的名称 |
| event.requestParameters.Region | 请求参数中的地域 |
| event.userIdentity.accessKeyId | 请求所使用的AccessKey ID |
| event.userIdentity.accountId | 请求账号的ID |
| event.userIdentity.principalId | 请求账号的凭证ID |
| event.userIdentity.type | 请求账号的类型 |
| event.userIdentity.userName | 请求账号的名称 |
| event.errorCode | 事件失败的错误码 |
| addionalEventData.isMFAChecked | 登录账号是否开启MFA |
| addionalEventData.loginAccount | 登录账号 |