操作審計將于2020年12月16日00:00:00起,在操作事件中新增eventRW(事件的讀寫類型)、resourceName(事件的相關資源名稱)和resourceType(事件的相關資源類型)三個字段。此次變更將幫助您更好地分析后續的操作事件,而且不會影響您對已有操作事件的分析。
變更說明
操作審計將在事件中增加以下三個字段:
字段名稱 | 字段類型 | 描述 | 示例 |
eventRW | String | 事件的讀寫類型。取值:
| Read |
resourceName | String | 事件的相關資源名稱。 相比已有的referenceResources字段,resourceName字段將表示事件相關的資源名稱(ID)字段單獨拆分出來,是資源的唯一標識。 resourceName可以在日志服務中作為索引,提供按照資源名稱查詢的能力。 |
說明 同類型的資源名稱(ID)之間以英文逗號(,)間隔,不同類型的資源名稱(ID)之間以半角分號(;)間隔。 |
resourceType | List | 事件的相關資源類型。 相比已有的referenceResources字段,resourceType字段將表示事件相關的資源類型字段單獨拆分出來。 resourceType可以在日志服務中作為索引,提供按照資源類型查詢的能力。 |
說明 多個資源類型之間以半角分號(;)間隔。 |
變更前后事件字段代碼示例如下:
變更前
{ "referenceResources": { "ACS::ECS::Instance": [ "i-bp1fadfuy****", "i-bp1fadfad****" ] } }變更后
{ "eventRW": "Read", "referenceResources": { "ACS::ECS::Instance": [ "i-bp1fadfuy****", "i-bp1fadfad****" ] }, "resourceName": "i-bp1fadfuy****,i-bp1fadfad****", "resourceType": "ACS::ECS::Instance" }
對您的影響
本次變更不會影響已有跟蹤投遞的操作事件的分析活動。
變更生效后:
對于已有跟蹤和新建跟蹤,投遞到SLS Logstore或OSS Bucket的操作事件都會包含新增字段。
對于新建跟蹤,投遞到SLS Logstore的操作事件會包含新增字段的索引。
對于已有跟蹤,投遞到SLS Logstore的操作事件不會包含新增字段的索引。當您需要分析新增字段時,建議您手動添加索引。
通過日志服務控制臺補充新增字段的索引
登錄日志服務控制臺。
在Project列表區域,單擊操作事件對應的Project名稱。
單擊日志庫名稱,在頁面右上角選擇。
單擊字段下方加號增加eventRW、resourceName和resourceType字段。
單擊確定。
通過CloudShell補充新增字段的索引
在CloudShell中執行如下命令:
actiontrail-update-index [project] [logstore] [regionId]請將參數替換為跟蹤中設置的日志服務Project、Logstore和RegionId,例如:
actiontrail-update-index actiontrail-ev**** actiontrail-test**** cn-hangzhou