本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
对组织跟踪问题进行故障排除
本节提供有关如何解决组织跟踪问题的信息。
CloudTrail 未投递活动
如果 CloudTrail 没有将 CloudTrail 日志文件传送到 Amazon S3 存储桶
检查 S3 存储桶是否存在问题。
-
在 CloudTrail 控制台中,查看跟踪的详细信息页面。如果 S3 存储桶出现问题,则详细信息页面会显示一条警告,说明向 S3 存储桶交付失败。
-
从那 Amazon CLI里,运行 get-trail-status命令。如果出现故障,命令输出将包含
LatestDeliveryError
字段,该字段显示在尝试将日志文件传送到指定存储桶时 CloudTrail 遇到的任何 Amazon S3 错误。仅当目标 S3 存储桶出现问题时才会出现此错误,超时的请求不会发生此错误。要解决此问题,请修复存储桶策略,使其 CloudTrail 可以写入存储桶;或者创建一个新的存储桶,然后调update-trail
用指定新的存储桶。有关组织存储桶策略的信息,请参阅创建或更新用于存储组织跟踪日志文件的 Amazon S3 存储桶。
注意
如果您错误配置了跟踪(例如,无法访问 S3 存储桶),则 CloudTrail 会尝试将日志文件重新传送到您的 S3 存储桶,持续 30 天,这些 attempted-to-deliver事件将按标准费用收费。 CloudTrail 为避免配置错误的跟踪产生费用,您需要删除跟踪。
如果 CloudTrail 没有将日志传送到 CloudWatch 日志
检查 CloudWatch 日志角色策略的配置是否存在问题。
-
在 CloudTrail 控制台中,查看跟踪的详细信息页面。如果 CloudWatch 日志存在问题,则详细信息页面会显示一条警告,指示 CloudWatch 日志传输失败。
-
从那 Amazon CLI里,运行 get-trail-status命令。如果出现故障,命令输出将包括
LatestCloudWatchLogsDeliveryError
字段,该字段显示尝试向 CloudWatch 日志传送日志时 CloudTrail 遇到的所有日志错误。 CloudWatch 要解决此问题,请修复 CloudWatch Logs 角色策略。有关 CloudWatch Logs 角色策略的信息,请参阅使用 CloudWatch 日志 CloudTrail 进行监控的角色策略文档。
如果你在组织跟踪中没有看到成员账户的活动
如果您在组织跟踪中没有看到成员账户的活动,请检查以下内容:
-
在主区域查看路线,看看它是否是可选区域
尽管大多数区域默认 Amazon Web Services 区域 处于启用状态 Amazon Web Services 账户,但您必须手动启用某些区域(也称为可选区域)。有关默认启用哪些区域的信息,请参阅《Amazon Account Management 参考指南》中的启用和禁用区域之前的注意事项。有关 CloudTrail 支持的区域列表,请参阅CloudTrail 支持的区域。
如果组织跟踪是多区域,而主区域是可选区域,则成员账户将不会向组织跟踪发送活动,除非他们选择进入创建多区域跟踪 Amazon Web Services 区域 的地方。例如,如果您创建了多区域跟踪并选择欧洲(西班牙)地区作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)地区的成员账户才会将其账户活动发送到组织跟踪。要解决此问题,请在组织中的每个成员账户中启用选择加入区域。有关启用可选区域的信息,请参阅Amazon Account Management 参考指南中的在组织中启用或禁用区域。
-
检查组织基于资源的策略是否 CloudTrail 与服务相关角色策略冲突
CloudTrail 使用名为的服务相关角色AWSServiceRoleForCloudTrail来支持组织跟踪。此服务相关角色 CloudTrail 允许对组织资源执行操作,例如
organizations:DescribeOrganization
。如果组织的基于资源的策略拒绝了服务相关角色策略中允许的操作, CloudTrail 则即使服务相关角色策略允许执行该操作,也无法执行该操作。要解决此问题,请修复组织的基于资源的策略,使其不会拒绝服务相关角色策略中允许的操作。
CloudTrail 没有为组织中的成员账户发送 Amazon SNS 通知
当具有 Amazon Organizations 组织跟踪的成员账户未发送 Amazon SNS 通知时,SNS主题策略的配置可能存在问题。 CloudTrail 即使资源验证失败,也会在成员账户中创建组织跟踪,例如,组织跟踪的SNS主题不包括所有成员账户IDs。如果SNS主题策略不正确,则会发生授权失败。
要检查跟踪的SNS主题策略是否存在授权失败,请执行以下操作:
-
在 CloudTrail 控制台中,查看跟踪的详细信息页面。如果授权失败,则详细信息页面会显示一条警告,
SNS authorization failed
并指示修复SNS主题策略。 -
从那 Amazon CLI里,运行 get-trail-status命令。如果授权失败,则命令输出将包括值为的
LastNotificationError
字段AuthorizationError
。要解决此问题,请修复 Amazon SNS 主题政策。有关 Amazon SNS 主题政策的信息,请参阅适用于 Amazon 的SNS主题政策 CloudTrail。
有关SNS主题和订阅主题的更多信息,请参阅《亚马逊简单通知服务开发者指南》SNS中的亚马逊入门。