All Products
Search

This Product

    ActionTrail:Buat jejak multi-akun

    Document Center

    ActionTrail:Buat jejak multi-akun

    Last Updated:Feb 12, 2026

    Jejak multi-akun mengirimkan event dari seluruh anggota dalam resource directory ke Simple Log Service Logstore, bucket Object Storage Service (OSS), atau tabel MaxCompute. Topik ini menjelaskan cara membuat jejak multi-akun di Konsol ActionTrail.

    Prasyarat

    Resource directory telah diaktifkan. Untuk informasi selengkapnya, lihat Aktifkan resource directory.

    Informasi latar belakang

    Prosedur

    1. Masuk ke ActionTrail console menggunakan akun administrator yang didelegasikan atau akun manajemen.

      Untuk informasi selengkapnya tentang cara mengonfigurasi akun administrator yang didelegasikan, lihat Kelola akun administrator yang didelegasikan.

    2. Di panel navigasi sebelah kiri, klik Trails.

    3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat jejak multi-akun.

      Catatan

      Wilayah yang Anda pilih akan menjadi home region dari jejak yang ingin Anda buat.

    4. Pada halaman Trails, klik Create Trail.

    5. Pada halaman Create Trail, konfigurasikan parameter berikut.

      • Basic Information

        Parameter

        Deskripsi

        Trail Name

        Nama jejak yang ingin Anda buat. Nama harus unik dalam Akun Alibaba Cloud Anda. Nama ini digunakan untuk Logstore tempat Anda menyimpan event yang dikirimkan. Tentukan nama dalam format actiontrail_<Trail name>.

        Log Events

        Kategori event yang ingin Anda kirimkan. Secara default, Management Event dipilih. Sistem akan mengirimkan management event yang mencatat operasi manajemen pada cloud resource.

        Anda dapat memilih jenis management event yang ingin dikirimkan. Nilai yang valid:

        • All: semua event baca dan tulis. Regulasi dan standar terkait audit mensyaratkan bahwa semua event harus dicatat. Kami menyarankan Anda memilih All.

        • Write: event yang mencatat operasi pembuatan, penghapusan, atau modifikasi cloud resource. Contoh: event yang dihasilkan saat Anda memanggil operasi CreateInstance untuk membuat instans Elastic Compute Service (ECS) dengan langganan atau bayar sesuai penggunaan. Jika Anda hanya perlu mengekspor event untuk analisis dan hanya fokus pada event yang memengaruhi cloud resource, pilih Write.

        • Read: event yang mencatat operasi membaca informasi tentang cloud resource, bukan membuat, menghapus, atau memodifikasi cloud resource. Contoh: event yang dihasilkan saat Anda memanggil operasi DescribeInstances untuk menanyakan detail satu atau beberapa instans ECS. Umumnya, jumlah besar event baca dihasilkan dan event tersebut menempati storage space yang besar. Namun, regulasi dan standar terkait audit mensyaratkan bahwa semua event harus dicatat. Kami menyarankan Anda mengonfigurasi jejak untuk mengirimkan kedua jenis event baca dan tulis. Hal ini membantu Anda melacak penggunaan Pasangan Kunci Akses dan akses ke cloud resource.

        Catatan

        Secara default, saat Anda membuat jejak di Konsol ActionTrail, jejak tersebut mengirimkan event di semua wilayah. Untuk membuat jejak yang mengirimkan event hanya di wilayah tertentu, panggil operasi CreateTrail. Tetapkan TrailRegion sesuai kebutuhan bisnis Anda saat memanggil operasi tersebut.

        Apply Trail to All Members

        Cakupan penerapan jejak. Nilai yang valid:

        • Yes: Jika Anda memilih opsi ini, jejak akan mengirimkan event dari akun manajemen dan semua anggota dalam resource directory ke layanan penyimpanan. Dalam kasus ini, jejak multi-akun dibuat. Untuk memastikan semua event dikirimkan, kami menyarankan Anda memilih opsi ini.

        • No: Jika Anda memilih opsi ini, jejak hanya mengirimkan event dari akun saat ini ke layanan penyimpanan. Dalam kasus ini, jejak akun tunggal dibuat.

        Catatan

        • Anda tidak dapat mengubah parameter ini setelah dikonfigurasi. Jika perlu mengubah nilai parameter Apply Trail to All Members, hapus jejak multi-akun tersebut dan buat yang baru.

        • Setelah Anda membuat jejak multi-akun, Multi-account Trail akan ditampilkan di kolom Trail Type pada halaman Trails.

      • Event Delivery

        Anda dapat membuat jejak untuk mengirimkan event ke Simple Log Service, OSS, MaxCompute, atau ketiganya. Untuk informasi selengkapnya tentang pemilihan layanan penyimpanan, lihat Kirimkan event ke layanan Alibaba Cloud tertentu.

        Catatan

        Jejak hanya mengirimkan event yang dihasilkan setelah jejak multi-akun aktif. Event yang dihasilkan dalam 90 hari terakhir tidak termasuk. Anda dapat membuat tugas data backfill untuk mengirimkan event yang dihasilkan dalam 90 hari terakhir ke destinasi pengiriman yang ditentukan untuk jejak tersebut. Untuk informasi selengkapnya, lihat Buat tugas data backfill.

        • Pilih Delivery to Log Service.

          • Jika Anda memilih Delivery to Current Account, konfigurasikan parameter yang dijelaskan dalam tabel berikut.

            Parameter

            Deskripsi

            Project

            Proyek tempat Anda ingin mengirimkan event.

            • New Project

            • Existing Project

            Logstore Region

            Wilayah tempat Logstore berada.

            Project Name

            Nama proyek.

            Catatan

            Nama proyek bersifat global untuk semua pengguna Alibaba Cloud dan harus unik.

            • Jika Anda memilih New Log Service Project, sistem secara otomatis membuat proyek. Anda harus menentukan nama untuk proyek tersebut. Sistem juga secara otomatis membuat Logstore untuk proyek tersebut.

            • Jika Anda memilih Existing Log Service Project, Anda harus memilih proyek yang sudah ada dari daftar drop-down Project Name.

            Catatan

          • Jika Anda memilih Delivery to Another Account, konfigurasikan parameter Project ARN dan RAM Role ARN of Destination Account.

            Untuk mengirimkan event ke akun berbeda, Anda harus membuat RAM role menggunakan akun tujuan, memberikan izin kepada ActionTrail untuk mengirimkan event ke akun tujuan, lalu membuat proyek sebelum membuat jejak. Untuk informasi selengkapnya, lihat Kirimkan event beberapa anggota dalam resource directory ke satu akun.

        • Pilih Delivery to OSS.

          • Jika Anda memilih Delivery to Current Account, konfigurasikan parameter yang dijelaskan dalam tabel berikut.

            Parameter

            Deskripsi

            OSS Bucket

            Bucket tempat Anda ingin mengirimkan event.

            • New OSS Bucket

            • Existing OSS Bucket

            Bucket Name

            Nama bucket OSS. Nama bucket harus unik dalam Akun Alibaba Cloud saat ini.

            • Jika Anda memilih New OSS Bucket, Anda harus memasukkan nama bucket OSS. ActionTrail akan membuat bucket OSS dengan nama yang Anda masukkan.

            • Jika Anda memilih Existing OSS Bucket, Anda harus memilih bucket yang sudah ada dari daftar drop-down Bucket Name.

            Penting

            Anda harus menyelesaikan real-name registration di halaman Real-name Registration sebelum membuat bucket di wilayah dalam Tiongkok daratan.

            Log File Prefix

            Awalan nama file log tempat event yang dikirimkan disimpan. Awalan ini membantu Anda menemukan event dalam operasi selanjutnya.

            Server Encryption

            Menentukan apakah dan bagaimana file log di bucket OSS dienkripsi. Jika Anda memilih New OSS Bucket, Anda harus mengonfigurasi parameter ini. Nilai yang valid:

            • Disable

            • Fully Managed by OSS

            • KMS

            Catatan

            Untuk informasi selengkapnya tentang fitur enkripsi sisi server OSS, lihat Server-side encryption.

            Retention Policy

            Menentukan apakah akan mengonfigurasi retention policy untuk bucket OSS guna melindungi data Anda dari penghapusan atau modifikasi.

            Nilai yang valid:

            • Disable

            • Enable

          • Jika Anda memilih Delivery to Another Account, konfigurasikan parameter RAM Role ARN of OSS Bucket, Bucket Name, dan Log File Prefix.

            Untuk mengirimkan event ke akun lain, Anda harus membuat RAM role menggunakan akun tujuan, memberikan izin kepada ActionTrail untuk mengirimkan event ke akun tujuan, lalu membuat bucket OSS sebelum membuat jejak. Untuk informasi selengkapnya, lihat Kirimkan event beberapa anggota dalam resource directory ke satu akun.

        • Pilih Delivery to MaxCompute.

          • Jika Anda memilih Delivery to Current Account, konfigurasikan parameter yang dijelaskan dalam tabel berikut.

            Parameter

            Deskripsi

            MaxCompute Region

            Wilayah proyek MaxCompute tempat Anda ingin mengirimkan event.

            Catatan

            ActionTrail mengirimkan audit log ke proyek actiontrail_<Alibaba Cloud account ID> di wilayah yang ditentukan. Nama dan ID proyek MaxCompute bersifat unik. Jika proyek actiontrail_<Alibaba Cloud account ID> sudah ada di akun saat ini, ActionTrail secara default mengirimkan audit log ke proyek yang sudah ada tersebut.

            Project Quota

            quota yang disediakan untuk pekerjaan komputasi.

            Catatan

            Saat pertama kali membuat jejak untuk mengirimkan event ke MaxCompute, Anda harus memilih quota. Jika tidak tersedia quota di wilayah saat ini, pilih wilayah lain.

          • Jika Anda memilih Delivery to Another Account, konfigurasikan parameter Project ARN dan RAM Role ARN of MaxCompute.

            Untuk mengirimkan event ke akun berbeda, Anda harus membuat RAM role menggunakan akun tujuan, memberikan izin kepada ActionTrail untuk mengirimkan event ke akun tujuan, lalu membuat proyek MaxCompute sebelum membuat jejak. Untuk informasi selengkapnya, lihat Kirimkan event beberapa akun Alibaba Cloud ke satu akun.

    6. Klik Confirm.

    Langkah selanjutnya

    Setelah membuat jejak multi-akun, jejak tersebut mengirimkan event ke Simple Log Service Logstore, bucket OSS, atau tabel MaxCompute yang Anda tentukan dalam format JSON untuk kueri dan analisis. Anda dapat melakukan kueri terhadap event yang disimpan di Simple Log Service Logstore, bucket OSS, atau tabel MaxCompute menggunakan akun manajemen.

    Catatan

    Anda hanya dapat menggunakan akun manajemen untuk melakukan kueri terhadap event anggota dalam resource directory melalui OSS, Simple Log Service, atau MaxCompute. Anda tidak dapat menggunakan akun manajemen untuk melakukan kueri terhadap event di halaman Event Detail Query di Konsol ActionTrail atau dengan memanggil operasi LookupEvents.

    • Lakukan kueri event di konsol OSS: Event global yang dihasilkan oleh anggota dikirimkan bersama dengan event yang dihasilkan di home region jejak. Event non-global yang dihasilkan untuk resource di wilayah tertentu dikirimkan ke path penyimpanan yang sesuai dengan ID wilayah tersebut. Anda dapat menganalisis event tersebut menggunakan E-MapReduce (EMR) atau layanan analisis log pihak ketiga.

    • Lakukan kueri event di konsol MaxCompute: ActionTrail secara otomatis membuat tabel bernama actiontrail_<Trail name>. Di halaman Trails, arahkan pointer ke konten yang ditampilkan di kolom Storage Service, lalu klik nama proyek MaxCompute. Lakukan kueri terhadap data log pada tabel actiontrail_<Trail name> dalam proyek MaxCompute menggunakan DataWorks.

    Referensi

    • Setelah membuat jejak, Anda dapat melakukan kueri terhadap event anggota di layanan penyimpanan yang diperlukan. Untuk informasi selengkapnya, lihat Lakukan kueri event di konsol Simple Log Service atau OSS.

    • Saat membuat jejak untuk mengirimkan event ke Simple Log Service, Anda dapat menggunakan fitur advanced event query untuk melakukan kueri terhadap event anggota. Untuk informasi selengkapnya, lihat Lakukan kueri event kustom.