全部产品
Search
文档中心

操作审计:CreateTrail - 创建跟踪

更新时间:Nov 18, 2022

创建操作审计跟踪。

接口说明

您可以创建跟踪,将操作事件分别投递到日志服务SLS或对象存储OSS,或者同时进行投递。创建跟踪前请进行以下操作:

  • 投递到日志服务SLS:请确保您已经创建SLS的Project。
说明投递成功后操作审计会自动创建一个名为actiontrail_<跟踪名称>的日志库(Logstore),该Logstore会自动帮您设置审计最佳配置,创建查询所需索引和仪表盘,并禁止用户写入,保证审计数据的准确性。您无需提前创建Logstore。
  • 投递到对象存储OSS:请确保您已经创建对象存储OSS的存储空间。

本文将提供一个示例,为您创建一个名为trail-test的单账号跟踪,将操作事件投递到名为audit-log的OSS存储空间中。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

调试

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
actiontrail:CreateTrailWrite
  • ActionTrail
    acs:actiontrail:{#regionId}:{#accountId}:trail/*

请求参数

名称类型必填描述示例值
Namestring

创建的跟踪名称。
长度为6~36个字符,必须以小写英文字母开头,可包含小写英文字母、数字、短划线(-)和下划线(_)。

说明同一个账号内跟踪名称不可重复。
trail-test
OssBucketNamestring

跟踪投递的OSS存储空间。
长度为3~63个字符,必须以小写英文字母或者数字开头,可包含小写英文字母、数字和短划线(-)。

说明OssBucketName和SlsProjectArn需至少指定其中一个参数。
audit-log
OssKeyPrefixstring

跟踪投递的OSS存储空间文件名的前缀,可为空。
长度为6~32个字符,必须以英文字母开头,可包含英文字母、数字、短划线(-)、正斜线(/)和下划线(_)。

at-product-account-audit-B
OssWriteRoleArnstring

操作审计向对象存储OSS存储空间投递操作事件时,扮演的角色ARN。

  • 如果不指定该参数,操作审计会通过创建服务关联角色来创建相应的资源。更多信息,请参见操作审计服务关联角色
  • 如果指定了该参数,当您需要将事件投递到本账号时,需要为RAM角色授予操作审计服务关联角色权限。当您需要将事件投递到其他账号时,需要为RAM角色绑定操作事件投递的系统权限策略。关于如何进行跨账号投递,请参见将多个阿里云账号的事件投递到同一账号
acs:ram::***:role/aliyunserviceroleforactiontrail
SlsProjectArnstring

跟踪投递的日志服务项目的ARN。

说明OssBucketName和SlsProjectArn需至少指定其中一个参数。
acs:log:cn-shanghai::project/***
SlsWriteRoleArnstring

操作审计向日志服务项目投递操作事件时,扮演的角色ARN。

  • 如果不指定该参数,操作审计会通过创建服务关联角色来创建相应的资源。更多信息,请参见操作审计服务关联角色
  • 如果指定了该参数,当您需要将事件投递到本账号时,需要为RAM角色授予操作审计服务关联角色权限。当您需要将事件投递到其他账号时,需要为RAM角色绑定操作事件投递的系统权限策略。关于如何进行跨账号投递,请参见将多个阿里云账号的事件投递到同一账号
acs:ram::***:role/aliyunserviceroleforactiontrail
EventRWstring

投递事件的读写类型,取值:

  • Write(默认值):写类型。
  • Read:读类型。
  • All:读类型和写类型。
Write
TrailRegionstring

跟踪的地域。
默认值为All,表示跟踪全部地域的事件。
您也可以指定具体的地域。关于地域的更多信息,请调用DescribeRegions接口查询。

All
IsOrganizationTrailboolean

是否创建多账号跟踪,取值:

  • true:创建多账号跟踪。
  • false(默认值):创建单账号跟踪。
false

关于公共请求参数的详情,请参见公共参数

返回参数

名称类型描述示例值
object
SlsProjectArnstring

跟踪投递的日志服务项目的ARN。

acs:log:cn-hangzhou:151266687691****:project/test-project
OssWriteRoleArnstring

操作审计向对象存储OSS存储空间投递操作事件时,扮演的角色ARN。

acs:ram::***:role/aliyunserviceroleforactiontrail
EventRWstring

投递事件的读写类型。

Write
RequestIdstring

请求ID。

442DDADF-DA58-4029-8E8B-82C73E9A7A70
HomeRegionstring

跟踪的Home地域。

cn-hangzhou
OssKeyPrefixstring

OSS存储空间文件名的前缀。

at-product-account-audit-B
OssBucketNamestring

OSS存储空间。

audit-log
SlsWriteRoleArnstring

操作审计向日志服务项目投递操作事件时,扮演的角色ARN。

acs:ram::***:role/aliyunserviceroleforactiontrail
TrailRegionstring

跟踪的地域。

All
Namestring

跟踪名称。

trail-test

示例

正常返回示例

JSON格式

{
  "SlsProjectArn": "acs:log:cn-hangzhou:151266687691****:project/test-project",
  "OssWriteRoleArn": "acs:ram::***:role/aliyunserviceroleforactiontrail",
  "EventRW": "Write",
  "RequestId": "442DDADF-DA58-4029-8E8B-82C73E9A7A70",
  "HomeRegion": "cn-hangzhou",
  "OssKeyPrefix": "at-product-account-audit-B",
  "OssBucketName": "audit-log",
  "SlsWriteRoleArn": "acs:ram::***:role/aliyunserviceroleforactiontrail",
  "TrailRegion": "All",
  "Name": "trail-test"
}

错误码

Http code错误码错误信息描述
400InvalidDeliveryConfigurationExceptionYou must specify at least one Log Service project or OSS bucket for a Trail.跟踪至少指定一个投递的SLS Project或OSS Bucket。
400InvalidPrefixExceptionThe specified OSS bucket prefix is invalid.指定的OSS前缀无效。
400InvalidQueryParameterThe specified query parameter is invalid.无效的查询参数。
400InvalidTrailNameExceptionThe specified Trail name is invalid.跟踪名称无效,请修改。
400RepeatOssBucketThe specified OSS bucket is already in use. We recommend that you modify the existing Trail or specify another bucket.当前指定的OSS Bucket已经被使用,建议您修改之前的跟踪或指定新的Bucket。
400SlsProjectDoesNotExistExceptionThe specified Log Service project does not exist.当前指定的SLS Project 不存在。
400TrailAlreadyExistsExceptionThe specified Trail name already exists.跟踪名称已存在,请修改。
400MaximumNumberOfOrganizationTrailExceededYour account can create only one organization trail.您的账号只能创建一个多账号跟踪。
400NotAllowCreateOrganizationTrailYour account does not allow you to create organization trail. Submit a ticket to get customer support.您的账号不允许创建多账号跟踪,请提交工单联系客户支持。
403InsufficientBucketPolicyExceptionAccess to the specified OSS bucket was denied.无法访问指定的OSS Bucket。
403InsufficientSlsPolicyExceptionAccess to the specified Log Service project was denied.无法访问指定的SLS Project。
403MaximumNumberOfTrailsExceededExceptionThe number of Trails in the same region exceeds the upper limit (5). 同一地域最多可以创建5个跟踪。
404BucketDoesNotExistExceptionThe specified OSS bucket does not exist.指定的OSS Bucket不存在。

访问错误中心查看更多错误码。