PAM日志

本文介绍特权访问管理中心PAM的运维审计日志和操作审计日志字段详情。

运维审计日志

字段名称

说明

user_id

用户ID

instance_id

实例ID

operator_id

运维员ID

user_type

用户类型,包括:

  • RAM_ROOT:阿里云账号

  • RAM_SUB_USER:阿里云RAM用户

  • BUILTIN:PAM本地账号

system_account

系统账户名

asset_ip

资产IP地址

asset_name

资产名称

asset_port

资产端口

asset_region_id

资产所在地域

asset_id

资产ID

asset_type

资产类型,包括

  • Ecs:云服务器ECS

  • Ack:容器服务Kubernetes版ACK

content

指令内容

credential_name

凭据名称

event_time

事件时间

intercepted

是否被拦截

protocol_type

协议类型,包括:

  • ssh:SSH协议

  • rdp:RDP协议

  • k8s:kubectl exec协议

region_id

会话发生地域

session_id

会话的唯一标识符ID

source_ip

源IP地址

event_type

事件类型,包括:

  • session:会话

  • cmd:命令

event_sub_type

事件子类型

  • close:会话关闭

  • open:会话开始

  • command:指令执行

  • update_asset_fingerprint:更新指纹

video_size

录像大小

操作审计日志

字段名称

说明

user_id

用户ID

instance_id

实例ID

event_sub_type

事件类型,包括:

  • FILE_Upload:文件上传

  • FILE_Download:文件下载

event_type

事件大类,值为FILE,表示文件相关操作。

event_detail

事件详情

event_content

事件内容

event_id

事件UUID

user_name

操作用户名

user_type

操作用户类型,包括:

  • RAM_ROOT:阿里云账号

  • RAM_SUB_USER:阿里云RAM用户

  • BUILTIN:PAM本地账号

operator_id

操作人ID

start_time

事件开始时间

end_time

事件结束时间