Behebung von Problemen mit einem Organisationspfad - AWS CloudTrail
CloudTrail übermittelt keine EreignisseCloudTrail sendet keine Amazon SNS SNS-Benachrichtigungen für ein Mitgliedskonto in einer Organisation

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Problemen mit einem Organisationspfad

Dieser Abschnitt enthält Informationen zur Behebung von Problemen mit einem Organization Trail.

CloudTrail übermittelt keine Ereignisse

Wenn CloudTrail keine CloudTrail Protokolldateien an den Amazon S3-Bucket gesendet werden

Prüfen Sie, ob ein Problem mit dem S3-Bucket vorliegt.

  • Überprüfe von der CloudTrail Konsole aus die Detailseite des Trails. Wenn es ein Problem mit dem S3-Bucket gibt, enthält die Detailseite eine Warnung, dass die Lieferung an den S3-Bucket fehlgeschlagen ist.

  • Führen AWS CLI Sie von get-trail-statusBefehl. Wenn ein Fehler auftritt, enthält die Befehlsausgabe das LatestDeliveryError Feld, in dem alle Amazon S3 S3-Fehler angezeigt werden, die beim Versuch, Protokolldateien an den angegebenen Bucket zu liefern, CloudTrail aufgetreten sind. Dieser Fehler tritt nur auf, wenn ein Problem mit dem Ziel-S3-Bucket vorliegt, und tritt nicht bei Anfragen auf, bei denen das Timeout auftritt. Um das Problem zu beheben, korrigieren Sie die Bucket-Richtlinie, sodass in den Bucket geschrieben werden CloudTrail kann, oder erstellen Sie einen neuen Bucket und rufen Sie dann auf, update-trail um den neuen Bucket anzugeben. Informationen zur Organisations-Bucket-Richtlinie finden Sie unter Erstellen oder Aktualisieren eines Amazon S3 S3-Buckets, der zum Speichern der Protokolldateien für einen Organisation-Trail verwendet werden soll.

Anmerkung

Wenn Sie Ihren Trail falsch konfigurieren (z. B. wenn der S3-Bucket nicht erreichbar ist), CloudTrail wird versucht, die Protokolldateien 30 Tage lang erneut in Ihren S3-Bucket zu übertragen. Für diese attempted-to-deliver Ereignisse fallen Standardgebühren an. CloudTrail Um Gebühren für einen falsch konfigurierten Trail zu vermeiden, müssen Sie den Trail löschen.

Es werden keine CloudTrail Logs an Logs übermittelt CloudWatch

Prüfen Sie, ob ein Problem mit der Konfiguration der Rollenrichtlinie „ CloudWatch Logs“ vorliegt.

  • Überprüfe von der CloudTrail Konsole aus die Detailseite des Trails. Wenn es ein Problem mit den CloudWatch Protokollen gibt, enthält die Detailseite eine Warnung, die darauf hinweist, dass die Übertragung der CloudWatch Protokolle fehlgeschlagen ist.

  • Führen AWS CLI Sie von get-trail-statusBefehl. Wenn ein Fehler auftritt, enthält die Befehlsausgabe das LatestCloudWatchLogsDeliveryError Feld, in dem alle CloudWatch Logs-Fehler angezeigt werden, die beim Versuch, Logs an Logs zu CloudWatch übermitteln, CloudTrail aufgetreten sind. Korrigieren Sie die Rollenrichtlinie „ CloudWatch Logs“, um das Problem zu beheben. Informationen zur Rollenrichtlinie „ CloudWatch Logs“ finden Sie unterRollenrichtlinien-Dokument CloudTrail zur Verwendung von CloudWatch Logs zur Überwachung.

Wenn Sie in einem Organisationspfad keine Aktivitäten für ein Mitgliedskonto sehen

Wenn du in einem Organisationspfad keine Aktivitäten für ein Mitgliedskonto siehst, überprüfe Folgendes:

  • Schau in der Heimatregion des Trails nach, ob es sich um eine Region handelt, in der du dich anmelden kannst

    Obwohl die meisten Regionen standardmäßig für deine aktiviert AWS-Regionen sind AWS-Konto, musst du bestimmte Regionen (auch als Opt-in-Regionen bezeichnet) manuell aktivieren. Informationen darüber, welche Regionen standardmäßig aktiviert sind, finden Sie im AWS Account Management Referenzhandbuch unter Überlegungen vor dem Aktivieren und Deaktivieren von Regionen. Eine Liste der CloudTrail unterstützten Regionen finden Sie unterCloudTrail unterstützte Regionen.

    Wenn es sich bei dem Organization Trail um einen Multi-Region-Trail handelt und es sich bei der Heimatregion um eine Opt-in-Region handelt, senden Mitgliedskonten keine Aktivitäten an den Organisationspfad, es sei denn, sie entscheiden sich für den AWS-Region Ort, an dem der Multi-Region-Trail erstellt wurde. Wenn Sie beispielsweise einen Trail mit mehreren Regionen erstellen und die Region Europa (Spanien) als Heimatregion für den Trail auswählen, senden nur Mitgliedskonten, die die Region Europa (Spanien) für ihr Konto aktiviert haben, ihre Kontoaktivitäten an den Organisationspfad. Um das Problem zu lösen, aktivieren Sie die Opt-in-Region in jedem Mitgliedskonto Ihrer Organisation. Informationen zur Aktivierung einer Opt-in-Region finden Sie im AWS Account Management Referenzhandbuch unter Aktivieren oder Deaktivieren einer Region in Ihrer Organisation.

  • Prüfen Sie, ob die ressourcenbasierte Richtlinie der Organisation mit der servicebezogenen Rollenrichtlinie kollidiert CloudTrail

    CloudTrail verwendet die mit dem Dienst verknüpfte Rolle, die zur Unterstützung von Organisationstrails benannt AWSServiceRoleForCloudTrailist. Diese dienstbezogene Rolle ermöglicht CloudTrail das Ausführen von Aktionen an Unternehmensressourcen, wie z. organizations:DescribeOrganization Wenn die ressourcenbasierte Richtlinie der Organisation eine Aktion ablehnt, die in der Richtlinie für dienstbezogene Rollen zulässig ist, CloudTrail kann die Aktion nicht ausgeführt werden, obwohl sie in der Richtlinie für dienstbezogene Rollen zulässig ist. Um das Problem zu lösen, korrigieren Sie die ressourcenbasierte Richtlinie der Organisation, sodass Aktionen nicht verweigert werden, die in der dienstbezogenen Rollenrichtlinie zulässig sind.

CloudTrail sendet keine Amazon SNS SNS-Benachrichtigungen für ein Mitgliedskonto in einer Organisation

Wenn ein Mitgliedskonto mit einem AWS Organizations Organisations-Trail keine Amazon SNS SNS-Benachrichtigungen sendet, liegt möglicherweise ein Problem mit der Konfiguration der SNS-Themenrichtlinie vor. CloudTrail erstellt Organisationstrails in Mitgliedskonten, auch wenn eine Ressourcenvalidierung fehlschlägt, z. B. weil das SNS-Thema des Organisationstrails nicht alle Mitgliedskonten umfasst. IDs Wenn die SNS-Themenrichtlinie falsch ist, tritt ein Autorisierungsfehler auf.

Um zu überprüfen, ob die SNS-Themenrichtlinie eines Trails einen Autorisierungsfehler aufweist:

  • Überprüfe von der CloudTrail Konsole aus die Detailseite des Trails. Wenn die Autorisierung fehlschlägt, enthält die Detailseite eine Warnung SNS authorization failed und weist darauf hin, dass die SNS-Themenrichtlinie repariert werden muss.

  • Führen AWS CLI Sie von get-trail-statusBefehl. Wenn die Autorisierung fehlschlägt, enthält die Befehlsausgabe das LastNotificationError Feld mit dem WertAuthorizationError. Korrigieren Sie die Amazon SNS SNS-Themenrichtlinie, um das Problem zu beheben. Informationen zur Amazon SNS SNS-Themenrichtlinie finden Sie unterAmazon SNS SNS-Themenrichtlinie für CloudTrail.

Weitere Informationen zu SNS-Themen und deren Abonnement finden Sie unter Erste Schritte mit Amazon SNS im Amazon Simple Notification Service Developer Guide.