Buat trail dengan menggunakan CreateTrail - ActionTrail

Membuat jejak untuk mengirimkan event ke destinasi guna penyimpanan jangka panjang dan analisis, seperti bucket Object Storage Service (OSS), penyimpanan log Simple Log Service (SLS), atau proyek MaxCompute.

Deskripsi operasi

Catatan

Secara default, jejak yang Anda buat menggunakan API ini berada dalam status disabled. Anda harus memanggil operasi StartLogging untuk mengaktifkan jejak tersebut. Setelah diaktifkan, ActionTrail mulai mengirimkan event ke destinasi yang Anda tentukan.

Prasyarat

Sebelum membuat jejak, Anda harus telah mengonfigurasi setidaknya salah satu resource berikut sebagai destinasi:

OSS

Anda harus mengaktifkan OSS dan membuat bucket.
SLS

Anda harus mengaktifkan SLS dan membuat Logstore.

Catatan
Saat Anda membuat jejak dengan destinasi SLS, ActionTrail secara otomatis membuat Logstore bernama actiontrail_<trail_name> di proyek yang Anda tentukan. Untuk menjaga integritas data audit Anda, Logstore ini hanya menerima event yang dikirimkan oleh ActionTrail.
MaxCompute

Anda harus mengaktifkan MaxCompute.

Catatan
Saat Anda membuat jejak dengan destinasi MaxCompute, ActionTrail secara otomatis membuat proyek bernama actiontrail_<account_ID>. Untuk menjaga integritas data audit Anda, proyek ini hanya menerima event yang dikirimkan oleh ActionTrail.

Catatan Penggunaan

Contoh ini menunjukkan cara membuat jejak akun tunggal bernama trail-test yang mengirimkan event ke bucket OSS bernama audit-log.

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dapat Anda panggil untuk melakukan aksi tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.
Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.
Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

actiontrail:CreateTrail

create

*Trail

acs:actiontrail:{#regionId}:{#accountId}:trail/*

None

Parameter permintaan

Parameter	Type	Required	Description	Example
Name	string	Yes	Nama jejak. Catatan Panjang: 6 hingga 36 karakter. Karakter: huruf kecil, angka, tanda hubung (-), dan garis bawah (_). Harus dimulai dengan huruf kecil. Harus unik dalam satu Akun Alibaba Cloud.	trail-test
OssBucketName	string	No	Nama bucket OSS tempat ActionTrail mengirimkan event. Panjang: 3 hingga 63 karakter. Karakter: huruf kecil, angka, dan tanda hubung (-). Harus dimulai dengan huruf kecil atau angka. Catatan Anda harus menentukan destinasi untuk jejak dengan memberikan setidaknya salah satu parameter berikut: `OssBucketName`, `SlsProjectArn`, atau `MaxComputeProjectArn`.	audit-log
OssKeyPrefix	string	No	Awalan untuk nama file log yang dikirimkan ActionTrail ke bucket OSS Anda. Panjang: 6 hingga 32 karakter. Karakter: huruf, angka, tanda hubung (-), garis miring (/), dan garis bawah (_). Harus dimulai dengan huruf.	at-product-account-audit-B
OssWriteRoleArn	string	No	Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM yang diasumsikan ActionTrail untuk mengirimkan event ke bucket OSS. Jika Anda tidak menentukan parameter ini, ActionTrail akan membuat peran terkait layanan untuk mengirimkan event. Untuk informasi lebih lanjut, lihat peran terkait layanan ActionTrail. Jika Anda menentukan peran, peran tersebut harus merupakan Peran RAM yang Anda buat sendiri. Peran ini harus memiliki kebijakan kepercayaan yang mengizinkan layanan ActionTrail (actiontrail.aliyuncs.com) untuk mengasumsikannya. Kebijakan izin peran tersebut harus memberikan izin untuk menulis ke bucket OSS yang ditentukan. Untuk informasi lebih lanjut tentang pengiriman cross-account, lihat Kirimkan event dari beberapa Akun Alibaba Cloud ke akun yang sama.	acs:ram::15127787691****:role/aliyunserviceroleforactiontrail
SlsProjectArn	string	No	ARN dari proyek SLS tempat ActionTrail mengirimkan event. Catatan Anda harus menentukan destinasi untuk jejak dengan memberikan setidaknya salah satu parameter berikut: `OssBucketName`, `SlsProjectArn`, atau `MaxComputeProjectArn`.	acs:log:cn-shanghai:151266687691****:project/test-project
SlsWriteRoleArn	string	No	ARN dari Peran RAM yang diasumsikan ActionTrail untuk mengirimkan event ke proyek SLS. Jika parameter ini tidak ditentukan, ActionTrail akan membuat peran terkait layanan untuk mengirimkan event. Untuk informasi lebih lanjut, lihat peran terkait layanan ActionTrail. Jika Anda menentukan peran, peran tersebut harus merupakan Peran RAM yang Anda buat sendiri. Peran ini harus memiliki kebijakan kepercayaan yang mengizinkan layanan ActionTrail (actiontrail.aliyuncs.com) untuk mengasumsikannya. Kebijakan izin peran tersebut harus memberikan izin untuk menulis ke proyek SLS yang ditentukan. Untuk informasi lebih lanjut tentang pengiriman cross-account, lihat Kirimkan event dari beberapa Akun Alibaba Cloud ke akun yang sama.	acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
EventRW	string	No	Menentukan jenis event baca/tulis yang dikirimkan oleh jejak. Nilai yang valid: Write: peristiwa tulis. Read: peristiwa baca. All (default): semua peristiwa baca dan tulis.	Write
TrailRegion	string	No	Wilayah tempat jejak dibuat. Secara default, jejak dibuat di semua wilayah dan parameter ini diatur ke `All`. Untuk membuat jejak di wilayah tertentu, berikan ID wilayah tersebut. Untuk informasi lebih lanjut tentang wilayah, panggil operasi DescribeRegions.	All
IsOrganizationTrail	boolean	No	Menentukan apakah jejak tersebut merupakan jejak multi-akun. Nilai yang valid: true false (default) Untuk membuat jejak bagi organisasi, atur parameter ini ke `true`. Jejak tersebut akan mengumpulkan event dari semua akun anggota dalam organisasi.	false
MaxComputeProjectArn	string	No	ARN dari proyek MaxCompute tempat ActionTrail mengirimkan event. Catatan Anda harus menentukan destinasi untuk jejak dengan memberikan setidaknya salah satu parameter berikut: `OssBucketName`, `SlsProjectArn`, atau `MaxComputeProjectArn`. Catatan Nama proyek dalam ARN harus diawali dengan `actiontrail_`.	acs:odps:cn-hangzhou:15127787691**:project/actiontrail_**
MaxComputeWriteRoleArn	string	No	ARN dari Peran RAM yang diasumsikan ActionTrail untuk mengirimkan event ke proyek MaxCompute. Jika parameter ini tidak ditentukan, ActionTrail akan membuat peran terkait layanan untuk mengirimkan event. Untuk informasi lebih lanjut, lihat peran terkait layanan ActionTrail. Jika Anda menentukan peran, peran tersebut harus merupakan Peran RAM yang Anda buat sendiri. Peran ini harus memiliki kebijakan kepercayaan yang mengizinkan layanan ActionTrail (`actiontrail.aliyuncs.com`) untuk mengasumsikannya. Kebijakan izin peran tersebut harus memberikan izin untuk menulis ke proyek MaxCompute yang ditentukan. Untuk informasi lebih lanjut tentang pengiriman cross-account, lihat Kirimkan event dari beberapa Akun Alibaba Cloud ke akun yang sama.	acs:ram::15127787691****:role/aliyunserviceroleforactiontrail

Untuk informasi lebih lanjut, lihat Parameter umum.

Elemen respons

Element	Type	Description	Example
	object
EventRW	string	Jenis event baca/tulis yang dikirimkan oleh jejak.	Write
HomeRegion	string	Wilayah utama jejak.	cn-hangzhou
MaxComputeProjectArn	string	ARN dari proyek MaxCompute tempat jejak mengirimkan event.	acs:odps:cn-hangzhou:151266687691**:project/actiontrail_**
MaxComputeWriteRoleArn	string	ARN dari Peran RAM yang diasumsikan ActionTrail untuk mengirimkan event ke proyek MaxCompute.	acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
Name	string	Nama jejak.	trail-test
OssBucketName	string	Nama bucket OSS tujuan.	audit-log
OssKeyPrefix	string	Awalan untuk nama file log di bucket OSS.	at-product-account-audit-B
OssWriteRoleArn	string	ARN dari Peran RAM yang diasumsikan ActionTrail untuk mengirimkan event ke bucket OSS.	acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
RequestId	string	ID permintaan.	442DDADF-DA58-4029-8E8B-82C73E9A7A70
SlsProjectArn	string	ARN dari proyek SLS tempat jejak mengirimkan event.	acs:log:cn-hangzhou:151266687691****:project/test-project
SlsWriteRoleArn	string	ARN dari Peran RAM yang diasumsikan ActionTrail untuk mengirimkan event ke proyek SLS.	acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
TrailRegion	string	Wilayah tempat jejak dibuat. Nilai `All` menunjukkan bahwa jejak memproses event dari semua wilayah.	All

Contoh

Respons sukses

JSONformat

{
  "EventRW": "Write",
  "HomeRegion": "cn-hangzhou",
  "MaxComputeProjectArn": "acs:odps:cn-hangzhou:151266687691****:project/actiontrail_****",
  "MaxComputeWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "Name": "trail-test",
  "OssBucketName": "audit-log",
  "OssKeyPrefix": "at-product-account-audit-B",
  "OssWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "RequestId": "442DDADF-DA58-4029-8E8B-82C73E9A7A70",
  "SlsProjectArn": "acs:log:cn-hangzhou:151266687691****:project/test-project",
  "SlsWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "TrailRegion": "All"
}

Kode kesalahan

HTTP status code	Error code	Error message
400	InvalidDeliveryConfigurationException	You must specify at least one Log Service project or OSS bucket for a Trail.
400	InvalidPrefixException	The specified OSS bucket prefix is invalid.
400	InvalidQueryParameter	The specified query parameter is invalid.
400	InvalidTrailNameException	The specified Trail name is invalid.
400	RepeatOssBucket	The specified OSS bucket is already in use. We recommend that you modify the existing Trail or specify another bucket.
400	SlsProjectDoesNotExistException	The specified Log Service project does not exist.
400	TrailAlreadyExistsException	The specified Trail name already exists.
400	MaximumNumberOfOrganizationTrailExceeded	Your account can create only one organization trail.
400	NotAllowCreateOrganizationTrail	Your account does not allow you to create organization trail. Submit a ticket to get customer support.
403	InsufficientBucketPolicyException	Access to the specified OSS bucket was denied.
403	InsufficientSlsPolicyException	Access to the specified Log Service project was denied.
403	MaximumNumberOfTrailsExceededException	The number of Trails in the same region exceeds the upper limit (5).
404	BucketDoesNotExistException	The specified OSS bucket does not exist.

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.