前置概念

• 操作審計是什么？

  操作審計是阿里云提供的云賬號資源操作記錄的查詢和投遞服務，會監控并記錄阿里云賬號的活動，包括通過阿里云控制臺、OpenAPI、開發者工具對ROS的訪問和使用行為。

• 操作審計為ROS帶來了什么？

  通過使用操作審計您可以確認是哪位用戶向ROS發出了什么請求、請求時間、源IP、請求地域等詳細信息，同時您可以對信息進行行為分析、安全分析、資源變更行為追蹤和行為合規性審計等操作。

有關操作審計的更多信息，請參見什么是操作審計。

資源編排事件說明

操作審計（ActionTrail）是默認開通的，當您在ROS中發生操作時，該操作活動將被記錄在操作審計（ActionTrail）的事件中，并與其他阿里云服務事件一并保存在事件記錄中，每個事件包含請求的身份信息，可以幫助您確定以下內容：

• 請求是哪種類型（阿里云賬號或RAM用戶）的用戶發出。

• 請求通過哪種方式（控制臺、OpenAPI、開發者工具等）發出。

• 請求是否由阿里云其他云服務發出。

有關更多信息，請參見管控事件結構定義。

資源編排事件示例

本節以ActionTrail中ROS的創建資源棧（CreateStack）操作事件為例，通過操作審計控制臺查詢資源編排服務創建資源棧的所有操作事件。

1. 登錄操作審計控制臺。

2. 在左側導航欄，選擇事件 > 事件查詢。

3. 在頂部導航欄選擇待查詢事件的地域。

4. 在事件查詢頁面，從下拉列表中選擇云服務名稱。

5. 在文本框中輸入ROS并進行查詢。

6. 定位到目標時間，單擊操作列的查看事件詳情。

   

7. 事件記錄表示在北京時間2024年09月03日12:23:15，RAM用戶her****調用CreateStack接口的信息。

   重要

   由于請求參數（requestParameters）可能包含敏感信息，僅記錄傳了多少參數，而不記錄參數名稱和值。例如"Parameters.1.ParameterKey": "***"。

   {
     "eventId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
     "eventVersion": 1,
     "responseElements": {
       "RequestId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
       "StackId": "c458666c-6795-48c6-bf70-53872ef8****"
     },
     "eventSource": "ros-share.aliyuncs.com",
     "requestParameters": {
       "RegionId": "cn-hangzhou",
       "TemplateVersion": "v14",
       "Parameters.1.ParameterKey": "***",
       "Parameters.1.ParameterValue": "***",
       "Parameters.2.ParameterKey": "***",
       "Parameters.2.ParameterValue": "***",
       "DisableRollback": true,
       "StackName": "metric-adapter_2024-09-03_psl5z****",
       "TemplateId": "39193be5-7edf-4d94-8693-ca7766bd****",
       "TimeoutInMinutes": 60,
       "ClientPort": 62011,
       "DeletionProtection": "Disabled",
       "AcsProduct": "ROS",
       "SourceTlsVersion": "TLSv1.2",
       "ReplacementOption": "Disabled",
       "proxy_original_source_tls_version": "TLSv1.2",
       "AcceptLanguage": "zh-CN",
       "X-Acs-Public-Access": false,
       "X-Acs-Ingress-Network": "crossdomain",
       "X-Acs-Account-Site-Type": "domestic",
       "X-Acs-Client-Request-Host": "ros-share.aliyuncs.com"
     },
     "sourceIpAddress": "59.**.**.46",
     "userAgent": "rosnext.console.aliyun.com",
     "eventRW": "Write",
     "eventType": "ConsoleOperation",
     "referencedResources": {
       "ACS::ROS::Stack": [
         "c458666c-6795-48c6-bf70-53872ef8****"
       ]
     },
     "userIdentity": {
       "sessionContext": {
         "attributes": {
           "mfaAuthenticated": "true",
           "creationDate": "2024-09-03T12:23:15Z"
         }
       },
       "accountId": "156345785543****",
       "principalId": "20463465787785****",
       "type": "ram-user",
       "userName": "her****"
     },
     "serviceName": "ROS",
     "additionalEventData": {
       "CallerBid": "26842"
     },
     "apiVersion": "2019-09-10",
     "requestId": "DF0F32E7-5964-5C76-BE5F-414E83D1****",
     "eventTime": "2024-09-03T12:23:15Z",
     "isGlobal": false,
     "acsRegion": "cn-hangzhou",
     "eventName": "CreateStack"
   }

   示例中關鍵參數含義如下：

   參數	含義
   requestParameters	創建棧時提供的參數，包括棧名稱、模板版本、客戶端端口等信息。
   eventRW	操作類型。取值為Write，表示寫入操作。
   userIdentity.type	請求者的身份類型。取值為ram-user，表示RAM用戶。
   eventType	操作類型，取值為ConsoleOperation，表示控制臺操作。
   serviceName	提供服務的名稱，表示為ROS。
   eventTime	事件發生的時間。取值為2024-09-03T12:23:15Z，表示北京時間2024年09月03日12:23:15。

相關文檔

資源編排支持被審計的事件，請參見資源編排支持被審計的事件說明。