创建ActionTrail之后，用户仍然可以通过ActionTrail控制台来修改OSS Bucket名称。修改Bucket之后，新的 操作记录将写入新的OSS Bucket。
OSS存储路径格式
oss://<bucket>/<日志文件前缀>/AliyunLogs/Actiontrail/<region>/<年>/<月>/<日>/<日志数据文件>
- 仅允许从指定IP地址发起请求对ActionTrail资源的只读操作
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "actiontrail:LookupEvents", "actiontrail:Describe*", "actiontrail:Get*" ], "Resource": "*", "Condition":{ "IpAddress": { "acs:SourceIp": "42.120.66.0/24" } } }] }
比如，保存在oss的一个存储文件路径如下：
oss://mybucket/auditing/AliyunLogs/ActionTrail/cn-hangzhou/2015/12/16/xxx.gz
操作日志是以压缩格式保存到OSS Bucket中。一个压缩文件的大小不超过2KB，它是一个json格式的操作记录 列表。 用户可以通过E-MapReduce服务来分析保存在OSS中的操作记录，也可以自行授权第三方日志分析服务来进行 操作记录的分析。
查看历史操作事件
打开ActionTrail控制台，进入"历史事件查询"，将可以看到最近7天的操作记录。
2
操作审计/产品使用手册
点击每行操作记录，可以展开该记录的详细信息。 用户还可以使用过滤器来查询操作日志。过滤器支持对"用户名"、"事件名称"、"资源类型"、"资源名称"，以及 "时间范围"进行条件过滤查询。
假设ActionTrail所支持的系统授权策略不能满足您的需要，比如你希望用户只能从某一IP地址范围发起 ActionTrail只读操作，那么您可以选择自定义授权策略。
操作步骤
- 进入RAM控制台 - 进入授权策略管理，选择新建自定义授权策略 - 在编辑框中输入你自定义的授权策略文本 - 新建授权策略成功后，您可以授权该策略给auditor组 如下的授权策略样例仅允许从指定IP地址发起请求对ActionTrail资源的只读操作（你可以调整策略文本中的 IP地址范围）
4
邮件推送/使用手册
授权RAM用户操作ActionTrail
如果您还没有开通RAM，请开通RAM服务并使用RAM用户来进行工作。
创建用户和组
操作步骤
- 进入RAM控制台 - 创建一个用户，比如zhangsan - 给用户开通控制台登录，设置登录密码或多因素认证 - 创建一个组，比如auditors - 添加用户到组，比如添加用户zhangsan到auditors组
操作审计 产品使用手册
操作审计/产品使用手册
产品使用手册
使用ActionTrail
通过控制台创建Trail
如果您还没有开通ActionTrail产品，您需要进入阿里云（），可以在产品列表中找到操作审 计(ActionTrail)产品，然后申请开通。 创建Trail时，需要指定一个Trail名称。由于ActionTrail会将日志保存到用户的OSS存储中，所以创建Trail时 ，用户需要开通OSS服务，并且授权ActionTrail服务能操作用户的OSS存储空间。
授权ActionTrail服务操作用户的OSS存储空间
当首次创建ActionTrail时，如果用户没有给ActionTrail服务授权操作O户需要点击"同意授权"，否则ActionTrail没有操作用户OSS的权限。
修改ActionTrail的配置
授权策略样例
- 允许对ActionTrail资源的只读操作
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "actiontrail:LookupEvents", "actiontrail:Describe*", "actiontrail:Get*" ], "Resource": "*" }] }
使用ActionTrail系统授权策略给用户组授权
ActionTrail支持的系统授权策略有：AliyunActionTrailReadOnlyAccess（只读权限）和 AliyunActionTrailFullAccess（完全权限）。您可以根据需要选择其中一种策略授权给auditor组即可。
使用自定义ActionTrail授权策略给用户组授权
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "actiontrail:LookupEvents", "actiontrail:Describe*", "actiontrail:Get*" ], "Resource": "*", "Condition":{ "IpAddress": {
控制用户的访问权限
支持RAM服务
通过RAM，您可以授权子用户对ActionTrail的操作权限。为了遵循最佳安全实践，强烈建议您使用子用户来操 作ActionTrail。
RAM中可授权的ActionTrail操作列表
操作(Action) CreateTrail UpdateTrail DeleteTrail DescribeTrails GetTrailStatus StartLogging StopLogging LookupEvents
3
E-MapReduce/使用手册
RAM中可收取的ActionTrail资源抽象
在RAM授权策略中，ActionTrail仅支持如下的资源抽象： 资源(Resource) * acs:actiontrail:${region}:${AccountId}:* 注解 表示所有云资源 表示指定区域的ActionTrail资源