更新时间:2025-07-18 GMT+08:00

创建追踪器

功能介绍

云审计服务开通后系统会自动创建一个追踪器,用来关联系统记录的所有操作。目前,一个云账户在一个Region下支持创建一个管理类追踪器和多个数据类追踪器。云审计服务支持在管理控制台查询近7天内的操作记录。如需保存更长时间的操作记录,您可以在创建追踪器之后通过对象存储服务(Object Storage Service,以下简称OBS)将操作记录实时保存至OBS桶中。

调用方法

请参见如何调用API

URI

POST /v3/{project_id}/tracker

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

项目ID,参见获取账号ID和项目ID章节。

请求参数

表2 请求Body参数

参数

是否必选

参数类型

描述

tracker_type

String

标识追踪器类型。

目前支持系统追踪器类型有管理类追踪器(system)和数据类追踪器(data)。

数据类追踪器和管理类追踪器共同参数有:is_lts_enabled, obs_info, is_support_validate;

管理类追踪器参数:is_support_trace_files_encryption, kms_id;

数据类追踪器参数:tracker_name, data_bucket。

tracker_name

String

标识追踪器名称。

当"tracker_type"参数值为"system"时该参数为默认值"system"。

当"tracker_type"参数值为"data"时该参数需要指定追踪器名称"。

is_lts_enabled

Boolean

是否开启转储到LTS。

is_organization_tracker

Boolean

是否应用到我的组织。

只针对管理类追踪器。设置为true时,ORG组织下所有成员当前区域的审计日志会转储到该追踪器配置的OBS桶或者LTS日志流,但是事件列表界面不支持查看其它组织成员的审计日志。

management_event_selector

ManagementEventSelector object

管理类事件选择器。

obs_info

TrackerObsInfo object

转储桶配置

is_support_trace_files_encryption

Boolean

事件文件转储加密功能开关。

当"tracker_type"参数值为"system"时该参数值有效。

该参数必须与kms_id参数同时使用。

kms_id

String

事件文件转储加密所采用的密钥id(从KMS获取)。

当"tracker_type"参数值为"system"时该参数值有效。

当"is_support_trace_files_encryption"参数值为“是”时,此参数为必选项。

is_support_validate

Boolean

事件文件转储时是否打开事件文件校验。

data_bucket

DataBucket object

追踪桶配置信息。

当"tracker_type"参数值为"data"时该参数值有效。

agency_name

String

云服务委托名称。

参数值为"cts_admin_trust"时,创建追踪器会自动创建云服务委托:cts_admin_trust。

表3 ManagementEventSelector

参数

是否必选

参数类型

描述

exclude_service

Array of strings

标识不转储的云服务名称。

目前只支持设置为KMS,表示屏蔽KMS服务的createDatakey事件。

表4 TrackerObsInfo

参数

是否必选

参数类型

描述

bucket_name

String

标识OBS桶名称。由数字或字母开头,支持小写字母、数字、“-”、“.”,长度为3~63个字符。

file_prefix_name

String

标识需要存储于OBS的日志文件前缀,0-9,a-z,A-Z,'-','.','_'长度为0~64字符。

is_obs_created

Boolean

是否支持新建OBS桶。

值为“true”时,表示新创建OBS桶存储事件文件;

值为“false”时,选择已存在的OBS桶存储事件文件。

bucket_lifecycle

Integer

标识配置桶内对象存储周期。

当"tracker_type"参数值为"data"时该参数值有效。

表5 DataBucket

参数

是否必选

参数类型

描述

data_bucket_name

String

数据类追踪器追踪对象的桶名。

  • 当启用或者停用数据类追踪器时,该参数为必选。

  • 管理类追踪器无此参数。

  • 追踪器一旦创建,追踪桶无法修改。

data_event

Array of strings

数据类追踪器追踪的操作类型。

  • 当启用或者停用数据类追踪器时,该参数为必选。

  • 管理类追踪器无此参数。

  • READ OBS对象读取操作;WRITE OBS对象写操作。

响应参数

状态码:201

表6 响应Body参数

参数

参数类型

描述

id

String

追踪器唯一标识。

create_time

Long

追踪器创建时间戳。

kms_id

String

事件文件转储加密所采用的密钥id(从KMS获取)。当"tracker_type"参数值为"system"和"is_support_trace_files_encryption"参数值为“是”时,此参数为必选项。

is_support_validate

Boolean

是否打开事件文件校验。

is_organization_tracker

Boolean

是否应用到我的组织。

只针对管理类追踪器。设置为true时,ORG组织下所有成员当前区域的审计日志会转储到该追踪器配置的OBS桶或者LTS日志流,但是事件列表界面不支持查看其它组织成员的审计日志。

management_event_selector

ManagementEventSelector object

管理类事件选择器。

lts

Lts object

转储LTS

tracker_type

String

标识追踪器类型。

目前支持系统追踪器类型有管理类追踪器(system)和数据类追踪器(data)。

domain_id

String

账号ID,参见《云审计服务API参考》“获取账号ID和项目ID”章节。

project_id

String

项目ID。

tracker_name

String

标识追踪器名称,当前版本默认为“system”。

status

String

标识追踪器状态,包括正常(enabled),停止(disabled)和异常(error)三种状态,状态为异常时需通过明细(detail)字段说明错误来源。

detail

String

该参数仅在追踪器状态异常时返回,用于标识追踪器异常的原因,包括桶策略异常(bucketPolicyError),桶不存在(noBucket)和欠费或冻结(arrears)三种原因。

is_support_trace_files_encryption

Boolean

事件文件转储加密功能开关。

该参数必须与kms_id参数同时使用。

当前环境仅"tracker_type"参数值为"system"时支持该功能。

obs_info

ObsInfo object

事件转储桶信息。

data_bucket

DataBucketQuery object

数据类事件追踪桶信息。

当"tracker_type"参数值为"data"时有效。

agency_name

String

云服务委托名称。

参数值为"cts_admin_trust"时,创建追踪器会自动创建云服务委托:cts_admin_trust。

表7 ManagementEventSelector

参数

参数类型

描述

exclude_service

Array of strings

标识不转储的云服务名称。

目前只支持设置为KMS,表示屏蔽KMS服务的createDatakey事件。

表8 Lts

参数

参数类型

描述

is_lts_enabled

Boolean

是否开启转储到LTS。

log_group_name

String

云审计服务在日志服务中创建的日志组名称。

log_topic_name

String

云审计服务在日志服务中创建的日志主题名称。

表9 ObsInfo

参数

参数类型

描述

bucket_name

String

标识OBS桶名称。由数字或字母开头,支持小写字母、数字、“-”、“.”,长度为3~63个字符。

file_prefix_name

String

标识需要存储于OBS的日志文件前缀,0-9,a-z,A-Z,'-','.','_'长度为0~64字符。

is_obs_created

Boolean

标识配置桶是否由追踪器自动创建。

is_authorized_bucket

Boolean

标识配置桶是否已经授权给CTS服务账号。

bucket_lifecycle

Long

标识配置桶内对象存储周期。

当"tracker_type"参数值为"data"时该参数值有效。

表10 DataBucketQuery

参数

参数类型

描述

data_bucket_name

String

标识OBS桶名称。由数字或字母开头,支持小写字母、数字、“-”、“.”,长度为3~63个字符。

data_event

Array of strings

数据类追踪器追踪对象的桶名。

  • 当启用或者停用数据类追踪器时,该参数为必选。

  • 管理类追踪器无此参数。

  • 追踪器一旦创建,追踪桶无法修改。

  • READ OBS对象读取操作;WRITE OBS对象写操作。

状态码:400

表11 响应Body参数

参数

参数类型

描述

error_code

String

错误码标识,CTS.XXX。

error_msg

String

错误描述。

状态码:401

表12 响应Body参数

参数

参数类型

描述

error_code

String

错误码标识,CTS.XXX。

error_msg

String

错误描述。

状态码:403

表13 响应Body参数

参数

参数类型

描述

error_code

String

错误码标识,CTS.XXX。

error_msg

String

错误描述。

状态码:404

表14 响应Body参数

参数

参数类型

描述

error_code

String

错误码标识,CTS.XXX。

error_msg

String

错误描述。

状态码:500

表15 响应Body参数

参数

参数类型

描述

error_code

String

错误码标识,CTS.XXX。

error_msg

String

错误描述。

状态码:503

表16 响应Body参数

参数

参数类型

描述

error_code

String

错误码标识,CTS.XXX。

error_msg

String

错误描述。

请求示例

  • 管理类追踪器创建样例。

    POST https://{endpoint}/v3/{project_id}/tracker
    
    {
      "tracker_type" : "system",
      "tracker_name" : "system",
      "agency_name" : "cts_admin_trust",
      "obs_info" : {
        "is_obs_created" : false,
        "bucket_name" : "test-data-tracker",
        "file_prefix_name" : "11"
      },
      "is_lts_enabled" : true,
      "is_support_trace_files_encryption" : true,
      "kms_id" : "13a4207c-7abe-4b68-8510-16b84c3b5504",
      "is_support_validate" : true
    }
  • 数据类追踪器创建样例。

    {
      "tracker_type" : "data",
      "tracker_name" : "data-tracker-name",
      "agency_name" : "cts_admin_trust",
      "obs_info" : {
        "is_obs_created" : false,
        "bucket_name" : "saveTraceBucket",
        "file_prefix_name" : "11",
        "bucket_lifecycle" : 30
      },
      "is_lts_enabled" : true,
      "data_bucket" : {
        "data_event" : [ "READ", "WRITE" ],
        "data_bucket_name" : "cstest0423"
      }
    }

响应示例

状态码:201

请求成功。

{
  "id" : "2e6fa9b8-8c6e-456d-b5d3-77be972d220b",
  "create_time" : 1587958482923,
  "domain_id" : "aexxxxxxxx4d4fb4bexxxxxxx791fbf",
  "is_support_trace_files_encryption" : true,
  "kms_id" : "13a4207c-7abe-4b68-8510-16b84c3b5504",
  "agency_name" : "cts_admin_trust",
  "obs_info" : {
    "is_obs_created" : false,
    "bucket_name" : "test-bucket",
    "is_authorized_bucket" : false,
    "file_prefix_name" : "11",
    "bucket_lifecycle" : 30
  },
  "project_id" : "bb1xxxxxxxxe4f498cbxxxxxxxx35634",
  "lts" : {
    "is_lts_enabled" : true,
    "log_group_name" : "CTS",
    "log_topic_name" : "system-trace"
  },
  "is_support_validate" : true,
  "tracker_name" : "system",
  "tracker_type" : "system",
  "status" : "enabled"
}

状态码

状态码

描述

201

请求成功。

400

服务器未能处理请求。

401

请求鉴权校验失败,访问被拒绝。

403

请求权限校验失败,访问被禁止。

404

请求中的资源不存在,请求未完成。

500

服务内部异常,请求未完成。

503

被请求的服务无效。建议直接修改该请求,不要重试该请求。

错误码

请参见错误码