Solución de problemas con un registro de seguimiento de la organización - AWS CloudTrail
CloudTrail no está distribuyendo eventosCloudTrail no envía notificaciones de Amazon SNS para una cuenta de miembro de una organización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas con un registro de seguimiento de la organización

En esta sección se proporciona información sobre cómo solucionar problemas relacionados con un registro de la organización.

CloudTrail no está distribuyendo eventos

Si CloudTrail no entrega los archivos de CloudTrail registro al bucket de Amazon S3

Compruebe si hay algún problema con el bucket de S3.

  • Desde la CloudTrail consola, consulte la página de detalles de la ruta. Si hay algún problema con el bucket de S3, la página de detalles incluye una advertencia de que se ha producido un error en la entrega al bucket de S3.

  • Desde el AWS CLI, ejecuta el get-trail-statuscomando Si se produce un error, el resultado del comando incluye el LatestDeliveryError campo, que muestra cualquier error de Amazon S3 que se CloudTrail haya producido al intentar entregar los archivos de registro al depósito designado. Este error solo se produce cuando hay algún problema con el bucket de S3 de destino y no se produce cuando se agota el tiempo de espera. Para resolver el problema, corrija la política del bucket para CloudTrail poder escribir en el bucket o cree uno nuevo y, a continuación, llame update-trail para especificar el nuevo bucket. Para obtener información sobre la política de bucket de la organización, consulte Creación o actualización de un bucket de Amazon S3 para utilizarlo para almacenar los archivos de registro de un registro de seguimiento de la organización.

nota

Si configuras mal tu ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a enviar los archivos de registro a tu depósito de S3 durante 30 días, y estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.

Si no CloudTrail está entregando registros a Logs CloudWatch

Compruebe si hay algún problema con la configuración de la política de roles de CloudWatch Logs.

  • Desde la CloudTrail consola, consulta la página de detalles de la ruta. Si hay algún problema con CloudWatch los registros, la página de detalles incluye una advertencia que indica que se ha producido un error en la entrega de CloudWatch los registros.

  • Desde AWS CLI, ejecute el get-trail-statuscomando Si se produce un error, el resultado del comando incluye el LatestCloudWatchLogsDeliveryError campo, que muestra cualquier error de CloudWatch registro que se CloudTrail haya producido al intentar entregar los CloudWatch registros a Logs. Para resolver el problema, corrija la política de roles de CloudWatch Logs. Para obtener información sobre la política CloudWatch de roles de Logs, consulteDocumento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión.

Si no ve la actividad de una cuenta de miembro en un registro de seguimiento de la organización

Si no ve la actividad de una cuenta de miembro en un registro de seguimiento de la organización, compruebe lo siguiente:

  • Compruebe la región de origen del registro de seguimiento para comprobar si es una región optativa

    Aunque la mayoría Regiones de AWS están habilitadas de forma predeterminada Cuenta de AWS, debe habilitar manualmente determinadas regiones (también denominadas regiones de suscripción). Para obtener información sobre qué regiones están habilitadas por defecto, consulte Considerations before enabling and disabling Regions en la Guía de referencia de AWS Account Management . Para ver la lista de regiones CloudTrail compatibles, consulteCloudTrail regiones compatibles.

    Si el registro de la organización es multirregional y la región de origen es una región opcional, las cuentas de los miembros no enviarán la actividad al registro de la organización a menos que opten por hacerlo en el Región de AWS lugar en el que se creó el registro multirregional. Por ejemplo, si crea un registro de seguimiento multirregión y elige la región de Europa (España) como región de origen dicho registro, solo las cuentas de miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán su actividad al registro de seguimiento de la organización. Para resolver el problema, habilite la región optativa en cada cuenta de miembro de la organización. Para obtener información sobre cómo habilitar una región optativa, consulte Enable or disable a Region in your organization en la Guía de referencia de AWS Account Management .

  • Compruebe si la política de la organización basada en los recursos entra en conflicto con la política de funciones vinculadas al servicio CloudTrail

    CloudTrail usa el rol vinculado al servicio denominado para respaldar los registros de la organización. AWSServiceRoleForCloudTrail Este rol vinculado al servicio permite realizar acciones sobre CloudTrail los recursos de la organización, por ejemplo: organizations:DescribeOrganization Si la política basada en los recursos de la organización deniega una acción que está permitida en la política de funciones vinculadas al servicio, no CloudTrail podrá realizar la acción aunque esté permitida en la política de funciones vinculadas al servicio. Para resolver el problema, corrija la política basada en recursos de la organización para que no deniegue las acciones que están permitidas en la política de roles vinculados a un servicio.

CloudTrail no envía notificaciones de Amazon SNS para una cuenta de miembro de una organización

Si una cuenta de miembro con un registro de AWS Organizations la organización no envía notificaciones de Amazon SNS, podría haber un problema con la configuración de la política de temas de Amazon SNS. CloudTrail crea registros organizativos en las cuentas de los miembros incluso si se produce un error en la validación de un recurso; por ejemplo, el tema de SNS del registro de la organización no incluye todas las cuentas de los miembros. IDs Si la política de temas de SNS es incorrecta, se produce un error de autorización.

Para comprobar si la política de temas de SNS de un registro de seguimiento tiene un error de autorización:

  • Desde la CloudTrail consola, consulta la página de detalles de la ruta. Si se produce un error en la autorización, la página de detalles incluye una advertencia de SNS authorization failed e indica que hay que corregir la política de temas de SNS.

  • Desde el AWS CLI, ejecuta el get-trail-statuscomando Si se produce un error de autorización, el resultado del comando incluye el campo LastNotificationError con un valor de AuthorizationError. Para resolver el problema, corrija la política de temas de Amazon SNS. Para obtener más información acerca de la política de temas de Amazon SNS, consulte Política temática de Amazon SNS para CloudTrail.

Para obtener información acerca de los temas de SNS y cómo suscribirse a ellos, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.