全部产品
Search

搜索本产品

    ActionTrail:CreateTrail

    文档中心

    ActionTrail:CreateTrail

    更新时间:Dec 15, 2025

    Secara default, ActionTrail mencatat event untuk setiap Akun Alibaba Cloud selama 90 hari terakhir. Untuk melacak event yang terjadi lebih dari 90 hari lalu, Anda dapat membuat jejak (trail) guna mengirimkan event operasi ke Object Storage Service (OSS), Simple Log Service, atau MaxCompute untuk analisis lebih lanjut.

    Deskripsi operasi

    Catatan

    Jejak yang dibuat melalui API berada dalam status shutdown secara default. Anda perlu memanggil operasi StartLogging untuk mengaktifkan jejak sebelum ActionTrail dapat mengirimkan event operasi ke produk cloud target.

    Prasyarat

    Sebelum membuat jejak, pastikan Anda telah menyelesaikan setidaknya salah satu konfigurasi penyimpanan berikut:

    • Kirim ke Object Storage Service (OSS)

      Pastikan Anda telah mengaktifkan Object Storage Service dan membuat bucket.

    • Kirim ke Simple Log Service

      Pastikan Anda telah mengaktifkan Simple Log Service dan membuat proyek log.

      Catatan

      Saat Anda membuat jejak, ActionTrail secara otomatis membuat Logstore bernama actiontrail_<nama jejak> di proyek log target. Logstore ini melarang penulisan data lain untuk memastikan akurasi data audit.

    • Kirim ke MaxCompute

      Pastikan Anda telah mengaktifkan MaxCompute.

      Catatan

      Saat Anda membuat jejak, ActionTrail secara otomatis membuat proyek bernama actiontrail_<ID akun> di manajemen proyek. Proyek ini melarang penulisan data lain untuk memastikan akurasi data audit.

    Catatan Penggunaan

    Topik ini memberikan contoh pembuatan jejak akun tunggal bernama trail-test yang mengirimkan event operasi ke bucket OSS bernama audit-log.

    Coba sekarang

    Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

    Test

    RAM authorization

    Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

    • Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.

    • API: API yang dapat Anda panggil untuk melakukan aksi tersebut.

    • Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.

    • Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.

      • Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.

      • Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.

    • Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.

    • Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

    Action

    Access level

    Resource type

    Condition key

    Dependent action

    actiontrail:CreateTrail

    create

    *Trail

    acs:actiontrail:{#regionId}:{#accountId}:trail/*

    		 None None

    Parameter permintaan

    Parameter

    Type

    Required

    Description

    Example
    Name

    string

    Yes

    Nama jejak yang akan dibuat.
    Nama harus terdiri dari 6 hingga 36 karakter dan harus dimulai dengan huruf kecil. Nama dapat berisi huruf kecil, angka, tanda hubung (-), dan garis bawah (_).

    Catatan

    Nama jejak harus unik dalam akun yang sama.

    trail-test
    OssBucketName

    string

    No

    Bucket OSS tempat jejak mengirimkan log.
    Nama harus terdiri dari 3 hingga 63 karakter dan harus dimulai dengan huruf kecil atau angka. Nama dapat berisi huruf kecil, angka, dan tanda hubung (-).

    Catatan

    Anda harus menentukan setidaknya salah satu parameter berikut: OssBucketName, SlsProjectArn, atau MaxComputeProjectArn.

    audit-log
    OssKeyPrefix

    string

    No

    Awalan nama file di bucket OSS tempat jejak mengirimkan log. Parameter ini boleh dikosongkan.
    Awalan harus terdiri dari 6 hingga 32 karakter dan harus dimulai dengan huruf. Awalan dapat berisi huruf, angka, tanda hubung (-), garis miring (/), dan garis bawah (_).

    at-product-account-audit-B
    OssWriteRoleArn

    string

    No

    Nama Sumber Daya Alibaba Cloud (ARN) dari role yang diasumsikan ActionTrail untuk mengirimkan event operasi ke bucket OSS.

    • Jika Anda tidak menentukan parameter ini, ActionTrail membuat sumber daya yang diperlukan dengan membuat service-linked role. Untuk informasi selengkapnya, lihat ActionTrail service-linked role.

    • Jika Anda menentukan parameter ini dan ingin mengirimkan event ke akun Anda sendiri, Anda perlu memberikan izin ActionTrail service-linked role kepada Peran RAM tersebut. Jika Anda ingin mengirimkan event ke akun lain, Anda perlu menyambungkan kebijakan sistem untuk pengiriman event ke Peran RAM tersebut. Untuk informasi selengkapnya tentang pengiriman cross-account, lihat Deliver events from multiple Alibaba Cloud accounts to the same account.

    acs:ram::15127787691****:role/aliyunserviceroleforactiontrail
    SlsProjectArn

    string

    No

    ARN proyek Simple Log Service tempat jejak mengirimkan log.

    Catatan

    Anda harus menentukan setidaknya salah satu parameter berikut: OssBucketName, SlsProjectArn, atau MaxComputeProjectArn.

    acs:log:cn-shanghai:151266687691****:project/test-project
    SlsWriteRoleArn

    string

    No

    ARN role yang diasumsikan ActionTrail untuk mengirimkan event operasi ke proyek Simple Log Service.

    • Jika Anda tidak menentukan parameter ini, ActionTrail membuat sumber daya yang diperlukan dengan membuat service-linked role. Untuk informasi selengkapnya, lihat ActionTrail service-linked role.

    • Jika Anda menentukan parameter ini dan ingin mengirimkan event ke akun Anda sendiri, Anda perlu memberikan izin ActionTrail service-linked role kepada Peran RAM tersebut. Jika Anda ingin mengirimkan event ke akun lain, Anda perlu menyambungkan kebijakan sistem untuk pengiriman event ke Peran RAM tersebut. Untuk informasi selengkapnya tentang pengiriman cross-account, lihat Deliver events from multiple Alibaba Cloud accounts to the same account.

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    EventRW

    string

    No

    Jenis read/write dari event yang akan dikirimkan. Nilai yang valid:

    • Write: peristiwa tulis.

    • Read: peristiwa baca.

    • All (default): peristiwa baca dan tulis.

    Write
    TrailRegion

    string

    No

    Wilayah jejak.
    Nilai default adalah All, yang menunjukkan bahwa jejak melacak event di semua wilayah.
    Anda juga dapat menentukan wilayah tertentu. Untuk informasi selengkapnya tentang wilayah, panggil operasi DescribeRegions.

    All
    IsOrganizationTrail

    boolean

    No

    Menentukan apakah akan membuat jejak multi-akun. Nilai yang valid:

    • true: membuat jejak multi-akun.

    • false (default): membuat jejak akun tunggal.

    false
    MaxComputeProjectArn

    string

    No

    ARN proyek MaxCompute tempat jejak mengirimkan log.

    Catatan

    Anda harus menentukan setidaknya salah satu parameter berikut: OssBucketName, SlsProjectArn, atau MaxComputeProjectArn.

    Catatan

    Nama proyek MaxCompute yang ditentukan dalam MaxComputeProjectArn harus diawali dengan awalan actiontrail_.

    acs:odps:cn-hangzhou:15127787691****:project/actiontrail_****
    MaxComputeWriteRoleArn

    string

    No

    ARN role yang diasumsikan ActionTrail untuk mengirimkan event operasi ke proyek MaxCompute.

    • Jika Anda tidak menentukan parameter ini, ActionTrail membuat sumber daya yang diperlukan dengan membuat service-linked role. Untuk informasi selengkapnya, lihat ActionTrail service-linked role.

    • Jika Anda menentukan parameter ini dan ingin mengirimkan event ke akun Anda sendiri, Anda perlu memberikan izin ActionTrail service-linked role kepada Peran RAM tersebut. Jika Anda ingin mengirimkan event ke akun lain, Anda perlu menyambungkan kebijakan sistem untuk pengiriman event ke Peran RAM tersebut. Untuk informasi selengkapnya tentang pengiriman cross-account, lihat Deliver events from multiple Alibaba Cloud accounts to the same account.

    acs:ram::15127787691****:role/aliyunserviceroleforactiontrail

    Untuk informasi selengkapnya, lihat Common parameters.

    Elemen respons

    Element

    Type

    Description

    Example

    object

    EventRW

    string

    Jenis read/write dari event yang akan dikirimkan.

    Write
    HomeRegion

    string

    Wilayah utama jejak.

    cn-hangzhou
    MaxComputeProjectArn

    string

    ARN proyek MaxCompute tempat jejak mengirimkan log.

    acs:odps:cn-hangzhou:151266687691****:project/actiontrail_****
    MaxComputeWriteRoleArn

    string

    ARN role yang diasumsikan ActionTrail untuk mengirimkan event operasi ke proyek MaxCompute.

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    Name

    string

    Nama jejak.

    trail-test
    OssBucketName

    string

    Bucket OSS.

    audit-log
    OssKeyPrefix

    string

    Awalan nama file di bucket OSS.

    at-product-account-audit-B
    OssWriteRoleArn

    string

    ARN role yang diasumsikan ActionTrail untuk mengirimkan event operasi ke bucket OSS.

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    RequestId

    string

    ID permintaan.

    442DDADF-DA58-4029-8E8B-82C73E9A7A70
    SlsProjectArn

    string

    ARN proyek Simple Log Service tempat jejak mengirimkan log.

    acs:log:cn-hangzhou:151266687691****:project/test-project
    SlsWriteRoleArn

    string

    ARN role yang diasumsikan ActionTrail untuk mengirimkan event operasi ke proyek Simple Log Service.

    acs:ram::151266687691****:role/aliyunserviceroleforactiontrail
    TrailRegion

    string

    Wilayah jejak.

    All

    Contoh

    Respons sukses

    JSONformat

    {
  "EventRW": "Write",
  "HomeRegion": "cn-hangzhou",
  "MaxComputeProjectArn": "acs:odps:cn-hangzhou:151266687691****:project/actiontrail_****",
  "MaxComputeWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "Name": "trail-test",
  "OssBucketName": "audit-log",
  "OssKeyPrefix": "at-product-account-audit-B",
  "OssWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "RequestId": "442DDADF-DA58-4029-8E8B-82C73E9A7A70",
  "SlsProjectArn": "acs:log:cn-hangzhou:151266687691****:project/test-project",
  "SlsWriteRoleArn": "acs:ram::151266687691****:role/aliyunserviceroleforactiontrail",
  "TrailRegion": "All"
}

    Kode kesalahan

    HTTP status code

    Error code

    Error message

    Description
    400 InvalidDeliveryConfigurationException You must specify at least one Log Service project or OSS bucket for a Trail.
    400 InvalidPrefixException The specified OSS bucket prefix is invalid. The specified OSS bucket prefix is not valid.
    400 InvalidQueryParameter The specified query parameter is invalid. The specified query parameter is not valid.
    400 InvalidTrailNameException The specified Trail name is invalid. The specified Trail name is not valid.
    400 RepeatOssBucket The specified OSS bucket is already in use. We recommend that you modify the existing Trail or specify another bucket.
    400 SlsProjectDoesNotExistException The specified Log Service project does not exist.
    400 TrailAlreadyExistsException The specified Trail name already exists. The specified Trail name already exists,if you want to create a new Trail,please use another Trail name.
    400 MaximumNumberOfOrganizationTrailExceeded Your account can create only one organization trail.
    400 NotAllowCreateOrganizationTrail Your account does not allow you to create organization trail. Submit a ticket to get customer support.
    403 InsufficientBucketPolicyException Access to the specified OSS bucket was denied.
    403 InsufficientSlsPolicyException Access to the specified Log Service project was denied. Access SLS Project denied.
    403 MaximumNumberOfTrailsExceededException The number of Trails in the same region exceeds the upper limit (5). The number of Trail in same region has exceeded the limit 5
    404 BucketDoesNotExistException The specified OSS bucket does not exist.

    Lihat Error Codes untuk daftar lengkap.

    Catatan rilis

    Lihat Release Notes untuk daftar lengkap.