对组织跟踪问题进行故障排除 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对组织跟踪问题进行故障排除

本节提供有关如何解决组织跟踪问题的信息。

CloudTrail 未投递活动

如果 CloudTrail 没有将 CloudTrail 日志文件传送到 Amazon S3 存储桶

检查 S3 存储桶是否存在问题。

  • 在 CloudTrail 控制台中,查看跟踪的详细信息页面。如果 S3 存储桶出现问题,则详细信息页面会显示一条警告,说明向 S3 存储桶交付失败。

  • 从那 Amazon CLI里,运行 get-trail-status命令。如果出现故障,命令输出将包含LatestDeliveryError字段,该字段显示在尝试将日志文件传送到指定存储桶时 CloudTrail 遇到的任何 Amazon S3 错误。仅当目标 S3 存储桶出现问题时才会出现此错误,超时的请求不会发生此错误。要解决此问题,请修复存储桶策略,使其 CloudTrail 可以写入存储桶;或者创建一个新的存储桶,然后调update-trail用指定新的存储桶。有关组织存储桶策略的信息,请参阅创建或更新用于存储组织跟踪日志文件的 Amazon S3 存储桶

注意

如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。

如果 CloudTrail 没有将日志传送到 CloudWatch 日志

检查 CloudWatch 日志角色策略的配置是否存在问题。

  • 在 CloudTrail 控制台中,查看跟踪的详细信息页面。如果 CloudWatch 日志存在问题,则详细信息页面会显示一条警告,指示 CloudWatch 日志传输失败。

  • 从那 Amazon CLI里,运行 get-trail-status命令。如果出现故障,命令输出将包括LatestCloudWatchLogsDeliveryError字段,该字段显示尝试向 CloudWatch 日志传送日志时 CloudTrail 遇到的所有日志错误。 CloudWatch 要解决此问题,请修复 CloudWatch Logs 角色策略。有关 CloudWatch Logs 角色策略的信息,请参阅使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档

如果你在组织跟踪中没有看到成员账户的活动

如果您在组织跟踪中没有看到成员账户的活动,请检查以下内容:

  • 在主区域查看路线,看看它是否是可选区域

    尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《Amazon Account Management 参考指南》中的启用和禁用区域之前的注意事项。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域

    如果组织跟踪是多区域,而主区域是可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如,如果您创建了多区域跟踪并选择欧洲(西班牙)地区作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)地区的成员账户才会将其账户活动发送到组织跟踪。要解决此问题,请在组织中的每个成员账户中启用选择加入区域。有关启用可选区域的信息,请参阅Amazon Account Management 参考指南中的在组织中启用或禁用区域

  • 检查组织基于资源的策略是否 CloudTrail 与服务相关角色策略冲突

    CloudTrail 使用名为的服务相关角色AWSServiceRoleForCloudTrail来支持组织跟踪。此服务相关角色 CloudTrail 允许对组织资源执行操作,例如organizations:DescribeOrganization。如果组织的基于资源的策略拒绝了服务相关角色策略中允许的操作, CloudTrail 则即使服务相关角色策略允许执行该操作,也无法执行该操作。要解决此问题,请修复组织的基于资源的策略,使其不会拒绝服务相关角色策略中允许的操作。

CloudTrail 没有为组织中的成员账户发送 Amazon SNS 通知

当具有 Amazon Organizations 组织跟踪的成员账户未发送 Amazon SNS 通知时,SNS主题策略的配置可能存在问题。 CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪,例如,组织跟踪的SNS主题不包括所有成员账户IDs。如果SNS主题策略不正确,则会发生授权失败。

要检查跟踪的SNS主题策略是否存在授权失败,请执行以下操作:

  • 在 CloudTrail 控制台中,查看跟踪的详细信息页面。如果授权失败,则详细信息页面会显示一条警告,SNS authorization failed并指示修复SNS主题策略。

  • 从那 Amazon CLI里,运行 get-trail-status命令。如果授权失败,则命令输出将包括值为的LastNotificationError字段AuthorizationError。要解决此问题,请修复 Amazon SNS 主题政策。有关 Amazon SNS 主题政策的信息,请参阅适用于 Amazon 的SNS主题政策 CloudTrail

有关SNS主题和订阅主题的更多信息,请参阅《亚马逊简单通知服务开发者指南》SNS中的亚马逊入门