对组织跟踪问题进行故障排除

在 CloudTrail 控制台中，查看跟踪的详细信息页面。如果 S3 存储桶出现问题，则详细信息页面会显示一条警告，说明向 S3 存储桶交付失败。

从中 Amazon CLI，运行get-trail-status命令。如果出现故障，命令输出将包含LatestDeliveryError字段，该字段显示在尝试将日志文件传送到指定存储桶时 CloudTrail 遇到的任何 Amazon S3 错误。仅当目标 S3 存储桶出现问题时才会出现此错误，超时的请求不会发生此错误。要解决此问题，请修复存储桶策略，使其 CloudTrail 可以写入存储桶；或者创建一个新的存储桶，然后调update-trail用指定新的存储桶。有关组织存储桶策略的信息，请参阅创建或更新用于存储组织跟踪日志文件的 Amazon S3 存储桶。

在 CloudTrail 控制台中，查看跟踪的详细信息页面。如果 CloudWatch 日志存在问题，则详细信息页面会显示一条警告，指示 CloudWatch 日志传输失败。

从中 Amazon CLI，运行get-trail-status命令。如果出现故障，命令输出将包括LatestCloudWatchLogsDeliveryError字段，该字段显示尝试向 CloudWatch 日志传送日志时 CloudTrail 遇到的所有日志错误。 CloudWatch 要解决此问题，请修复 CloudWatch Logs 角色策略。有关 CloudWatch Logs 角色策略的信息，请参阅使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档。

在主区域查看路线，看看它是否是可选区域

尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户，但您必须手动启用某些区域（也称为可选区域）。有关默认启用哪些区域的信息，请参阅《Amazon Account Management 参考指南》中的启用和禁用区域之前的注意事项。有关 CloudTrail 支持的区域列表，请参阅CloudTrail 支持的区域。

如果组织跟踪是多区域，而主区域是可选区域，则成员账户将不会向组织跟踪发送活动，除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如，如果您创建了多区域跟踪并选择欧洲（西班牙）地区作为跟踪的主区域，则只有为其账户启用了欧洲（西班牙）地区的成员账户才会将其账户活动发送到组织跟踪。要解决此问题，请在组织中的每个成员账户中启用选择加入区域。有关启用可选区域的信息，请参阅Amazon Account Management 参考指南中的在组织中启用或禁用区域。

检查组织基于资源的策略是否 CloudTrail 与服务相关角色策略冲突

CloudTrail 使用名为的服务相关角色AWSServiceRoleForCloudTrail来支持组织跟踪。此服务相关角色 CloudTrail 允许对组织资源执行操作，例如organizations:DescribeOrganization。如果组织的基于资源的策略拒绝了服务相关角色策略中允许的操作， CloudTrail 则即使服务相关角色策略允许执行该操作，也无法执行该操作。要解决此问题，请修复组织的基于资源的策略，使其不会拒绝服务相关角色策略中允许的操作。

在 CloudTrail 控制台中，查看跟踪的详细信息页面。如果授权失败，则详细信息页面会显示一条警告，SNS authorization failed并指示修复 SNS 主题策略。

从中 Amazon CLI，运行get-trail-status命令。如果授权失败，则命令输出将包括值为的LastNotificationError字段AuthorizationError。要解决此问题，请修复 Amazon SNS 主题政策。有关 Amazon SNS 主题政策的信息，请参阅。Amazon SNS 主题政策 CloudTrail