Memecahkan masalah dengan jejak organisasi - AWS CloudTrail
CloudTrail tidak menyampaikan acaraCloudTrail tidak mengirim notifikasi Amazon SNS untuk akun anggota di organisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah dengan jejak organisasi

Bagian ini memberikan informasi tentang cara memecahkan masalah dengan jejak organisasi.

CloudTrail tidak menyampaikan acara

Jika CloudTrail tidak mengirimkan file CloudTrail log ke bucket Amazon S3

Periksa apakah ada masalah dengan bucket S3.

  • Dari CloudTrail konsol, periksa halaman detail jejak. Jika ada masalah dengan bucket S3, halaman detail menyertakan peringatan bahwa pengiriman ke bucket S3 gagal.

  • Dari AWS CLI, jalankan get-trail-statusperintah. Jika terjadi kegagalan, output perintah menyertakan LatestDeliveryError bidang, yang menampilkan kesalahan Amazon S3 apa pun yang terjadi saat CloudTrail mencoba mengirimkan file log ke bucket yang ditentukan. Kesalahan ini hanya terjadi ketika ada masalah dengan bucket S3 tujuan, dan tidak terjadi untuk permintaan waktu yang habis. Untuk mengatasi masalah ini, perbaiki kebijakan bucket sehingga CloudTrail dapat menulis ke bucket; atau buat bucket baru, lalu panggil update-trail untuk menentukan bucket baru. Untuk informasi tentang kebijakan bucket organisasi, lihat Membuat atau memperbarui bucket Amazon S3 yang akan digunakan untuk menyimpan file log untuk jejak organisasi.

Jika CloudTrail tidak mengirimkan log ke CloudWatch Log

Periksa apakah ada masalah dengan konfigurasi kebijakan peran CloudWatch Log.

  • Dari CloudTrail konsol, periksa halaman detail jejak. Jika ada masalah dengan CloudWatch Log, halaman detail menyertakan peringatan yang menunjukkan pengiriman CloudWatch Log gagal.

  • Dari AWS CLI, jalankan get-trail-statusperintah. Jika terjadi kegagalan, output perintah menyertakan LatestCloudWatchLogsDeliveryError bidang, yang menampilkan kesalahan CloudWatch Log apa pun yang CloudTrail ditemui saat mencoba mengirimkan CloudWatch log ke Log. Untuk mengatasi masalah ini, perbaiki kebijakan peran CloudWatch Log. Untuk informasi tentang kebijakan peran CloudWatch Log, lihatDokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

Jika Anda tidak melihat aktivitas untuk akun anggota di jejak organisasi

Jika Anda tidak melihat aktivitas untuk akun anggota di jejak organisasi, periksa hal berikut:

  • Periksa Wilayah asal untuk mengetahui apakah itu adalah Wilayah keikutsertaan

    Meskipun sebagian besar Wilayah AWS diaktifkan secara default untuk Anda Akun AWS, Anda harus mengaktifkan Wilayah tertentu secara manual (juga disebut sebagai Wilayah keikutsertaan). Untuk informasi tentang Wilayah mana yang diaktifkan secara default, lihat Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah di Panduan Referensi.AWS Account Management Untuk daftar CloudTrail dukungan Wilayah, lihatCloudTrail Daerah yang didukung.

    Jika jejak organisasi adalah Multi-wilayah dan Wilayah asal adalah Wilayah keikutsertaan, akun anggota tidak akan mengirim aktivitas ke jejak organisasi kecuali mereka memilih Wilayah AWS tempat jejak Multi-wilayah dibuat. Misalnya, jika Anda membuat jejak Multi-wilayah dan memilih Wilayah Eropa (Spanyol) sebagai Wilayah asal untuk jejak tersebut, hanya akun anggota yang mengaktifkan Wilayah Eropa (Spanyol) untuk akun mereka yang akan mengirimkan aktivitas akun mereka ke jejak organisasi. Untuk mengatasi masalah ini, aktifkan Wilayah keikutsertaan di setiap akun anggota di organisasi Anda. Untuk informasi tentang mengaktifkan Wilayah keikutsertaan, lihat Mengaktifkan atau menonaktifkan Wilayah di organisasi Anda di Panduan AWS Account Management Referensi.

  • Periksa apakah kebijakan berbasis sumber daya organisasi bertentangan dengan kebijakan peran terkait layanan CloudTrail

    CloudTrail menggunakan peran terkait layanan yang diberi nama AWSServiceRoleForCloudTrailuntuk mendukung jejak organisasi. Peran terkait layanan ini memungkinkan CloudTrail untuk melakukan tindakan pada sumber daya organisasi, seperti. organizations:DescribeOrganization Jika kebijakan berbasis sumber daya organisasi menolak tindakan yang diizinkan dalam kebijakan peran terkait layanan, tidak CloudTrail akan dapat melakukan tindakan meskipun diizinkan dalam kebijakan peran terkait layanan. Untuk mengatasi masalah ini, perbaiki kebijakan berbasis sumber daya organisasi agar tidak menolak tindakan yang diizinkan dalam kebijakan peran terkait layanan.

CloudTrail tidak mengirim notifikasi Amazon SNS untuk akun anggota di organisasi

Ketika akun anggota dengan jejak AWS Organizations organisasi tidak mengirimkan notifikasi Amazon SNS, mungkin ada masalah dengan konfigurasi kebijakan topik SNS. CloudTrail membuat jejak organisasi di akun anggota meskipun validasi sumber daya gagal, misalnya, topik SNS jejak organisasi tidak menyertakan semua ID akun anggota. Jika kebijakan topik SNS salah, kegagalan otorisasi terjadi.

Untuk memeriksa apakah kebijakan topik SNS jejak mengalami kegagalan otorisasi:

  • Dari CloudTrail konsol, periksa halaman detail jejak. Jika ada kegagalan otorisasi, halaman detail menyertakan peringatan SNS authorization failed dan menunjukkan untuk memperbaiki kebijakan topik SNS.

  • Dari AWS CLI, jalankan get-trail-statusperintah. Jika ada kegagalan otorisasi, output perintah menyertakan LastNotificationError bidang dengan nilai. AuthorizationError Untuk mengatasi masalah ini, perbaiki kebijakan topik Amazon SNS. Untuk informasi tentang kebijakan topik Amazon SNS, lihat. Kebijakan topik Amazon SNS untuk CloudTrail

Untuk informasi selengkapnya tentang topik SNS dan berlangganannya, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.