实例审计功能允许您在ACR服务中跟踪和分析实例使用,以提高安全性和可控性。本文介绍了开启实例审计的操作步骤以及日志字段的详细说明。
前提条件
如需使用实例审计功能,请提交工单申请。
已创建企业版实例。
已开通SLS日志服务云产品。首次使用,需登录日志服务控制台,根据页面提示开通日志服务。关于日志服务的计费详情,请参见按使用功能付费模式计费项。
开启并查看实例审计
开启实例审计后,您可以根据时间周期选择相应的推送或拉取日志,从而便于对用户活动进行实时监控和分析,以提高安全性、支持合规管理,并在发生问题时进行快速故障排查。
登录容器镜像服务控制台。
在顶部菜单栏,选择所需地域。
在左侧导航栏,选择实例列表。
在实例列表页面单击目标企业版实例。
在实例管理页面的左侧导航栏中选择,然后单击实例审计页签,再单击开启使用。
说明控制台将在日志服务中创建名为aliyun-product-data-<UID>-<地域>的Project,并创建名为acr_access_log的日志库(Logstore)。
同地域下多个实例启用投递后会存放在同一个日志库中,可以使用实例ID进行日志过滤。
默认数据保存周期为365天,可以按需在日志服务中进行修改。详情请参见管理Logstore。
审计字段详情
以下是实例审计字段的详细说明。
字段名称 | 示例 | 详细说明 |
access_credential_type | Password | 凭证类型。
|
action | GetImageManifest | 操作类型。
|
blob_digest | sha256:4f4fxxxx | 根据Blob内容的哈希生成的一个唯一标识符。 |
http_request_host | demo-registry.cn-hangzhou.cr.aliyuncs.com | 请求访问域名。 |
http_request_id | 718e09d1-aab5-xxxxx | 请求ID。 |
http_request_method | GET | HTTP请求方法。 |
http_request_remote_vpc_id | vpc-xxxxxx | 客户端VPC地址。 |
http_request_remoteaddr | 140.xx.xx.xx | 客户端IP地址。 |
http_request_useragent | docker/24.0.2 | HTTP的User-Agent头。 |
http_response_status | 200 | HTTP请求返回的状态。 |
instance_id | cri-xxx | 实例ID。 |
namespace | test-ns | 镜像命名空间。 |
repo | test-repo | 镜像仓库名。 |
namespace_repo | test-ns/test-repo | 镜像仓库完整名称。 |
network_type | Internet | 访问网络类型。
|
tag | v1 | 镜像版本。 |
time | 2024-04-12T16:58:30.855892463+08:00 | 服务端收到请求的时间。 |
user_identity_account_id | 135668xxxxxxx | 当前请求身份所属的阿里云账号ID。 |
user_identity_player_account_id | 149134xxxxxxx | 扮演者账号ID。 |
user_identity_principal_id | 300786xxxxxxx:Alice | 当前请求者的ID,需结合user_identity_user_type来唯一确认请求者身份。
|
user_identity_role_id | 300786xxxxxxx | 角色 ID。 |
user_identity_role_name | teststs | 角色名称。 |
user_identity_user_type | assumed-role | 身份类型。
|
user_name | sub_user@xxxx | 实例登录名。 |