組織の証跡に関する問題のトラブルシューティング - AWS CloudTrail
CloudTrail はイベントを配信していませんCloudTrail が組織内のメンバーアカウントの Amazon SNS通知を送信していない

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

組織の証跡に関する問題のトラブルシューティング

このセクションでは、組織の証跡に関する問題のトラブルシューティング方法について説明します。

CloudTrail はイベントを配信していません

CloudTrail が CloudTrail ログファイルを Amazon S3 バケットに配信していない場合

S3 バケットに問題があるかどうかを確認します。

  • CloudTrail コンソールで、証跡の詳細ページを確認します。S3 バケットに問題がある場合は、詳細ページに S3 バケットへの配信が失敗したことを示す警告が表示されます。

  • から AWS CLI、 get-trail-status コマンド。障害が発生した場合、コマンド出力には LatestDeliveryErrorフィールドが含まれます。このフィールドには、指定されたバケットにログファイルを配信しようとしたときに発生した Amazon S3 エラー CloudTrail が表示されます。このエラーは、送信先 S3 バケットに問題がある場合にのみ発生し、タイムアウトしたリクエストでは発生しません。この問題を解決するには、 がバケットに CloudTrail 書き込めるようにバケットポリシーを修正するか、新しいバケットを作成してから、 update-trail を呼び出して新しいバケットを指定します。組織バケットポリシーの詳細については、「Create or update an Amazon S3 bucket to use to store the log files for an organization trail」を参照してください。

注記

証跡を誤って設定した場合 (S3 バケットに到達できない場合など)、 CloudTrail はログファイルを S3 バケットに 30 日間再配信しようとします。これらの attempted-to-deliverイベントには標準 CloudTrail 料金が適用されます。証跡の不適切な設定による課金を避けるには、その証跡を削除する必要があります。

CloudTrail が ログに CloudWatch ログを配信しない場合

CloudWatch Logs ロールポリシーの設定に問題があるかどうかを確認します。

  • CloudTrail コンソールで、証跡の詳細ページを確認します。 CloudWatch ログに問題がある場合、詳細ページには CloudWatch ログの配信が失敗したことを示す警告が表示されます。

  • から AWS CLI、 get-trail-status コマンド。障害が発生した場合、コマンド出力には LatestCloudWatchLogsDeliveryErrorフィールドが含まれます。このフィールドには、 CloudWatch ログを ログに配信しようとしたときに で CloudTrail 発生した CloudWatch ログエラーが表示されます。この問題を解決するには、 CloudWatch ログロールポリシーを修正します。 CloudWatch ログロールポリシーの詳細については、「」を参照してくださいCloudTrail がモニタリングに CloudWatch Logs を使用するためのロールポリシードキュメント

組織の証跡にメンバーアカウントのアクティビティが表示されない場合

組織の証跡にメンバーアカウントのアクティビティが表示されない場合は、以下を確認してください。

  • ホームリージョンの証跡をチェックして、それがオプトインリージョンであるかどうかを確認します。

    ほとんどの AWS リージョン は でデフォルトで有効になっていますが AWS アカウント、特定のリージョン (オプトインリージョンとも呼ばれます) を手動で有効にする必要があります。デフォルトで有効になっているリージョンの詳細については、「AWS Account Management Reference Guide」の「Considerations before enabling and disabling Regions」を参照してください。が CloudTrail サポートするリージョンのリストについては、「」を参照してくださいCloudTrail がサポートされているリージョン

    組織の証跡がマルチリージョンで、ホームリージョンがオプトインリージョンである場合、 AWS リージョン マルチリージョン証跡が作成された をオプトインしない限り、メンバーアカウントは組織の証跡にアクティビティを送信しません。例えば、マルチリージョンの証跡を作成し、証跡のホームリージョンとして欧州 (スペイン) リージョンを選択した場合、アカウントで欧州 (スペイン) リージョンを有効にしているメンバーアカウントのみが、そのアカウントアクティビティを組織の証跡に送信します。問題を解決するには、組織内の各メンバーアカウントのオプトインリージョンを有効にします。オプトインリージョンの有効化に関する情報については、「AWS Account Management Reference Guide」の「Enable or disable a Region in your organization」を参照してください。

  • 組織のリソースベースのポリシーが CloudTrail サービスにリンクされたロールポリシーと競合していないか確認する

    CloudTrail は、 という名前のサービスにリンクされたロールAWSServiceRoleForCloudTrailを使用して組織の証跡をサポートします。このサービスにリンクされたロールにより、 CloudTrail は などの組織リソースに対してアクションを実行できますorganizations:DescribeOrganization。組織のリソースベースのポリシーが、サービスにリンクされたロールポリシーで許可されているアクションを拒否 CloudTrail した場合、 は、サービスにリンクされたロールポリシーで許可されている場合でも、アクションを実行できません。問題を解決するには、サービスにリンクされたロールポリシーで許可されているアクションを拒否しないように、組織のリソースベースのポリシーを修正します。

CloudTrail が組織内のメンバーアカウントの Amazon SNS通知を送信していない

AWS Organizations 組織の証跡を持つメンバーアカウントが Amazon SNS通知を送信しない場合、SNSトピックポリシーの設定に問題がある可能性があります。たとえば、組織の証跡のSNSトピックにすべてのメンバーアカウント が含まれていない場合、リソースの検証が失敗した場合でも、 はメンバーアカウントに組織の証跡 CloudTrail を作成しますIDs。SNS トピックポリシーが正しくない場合、認可エラーが発生します。

証跡のSNSトピックポリシーに認可の失敗があるかどうかを確認するには:

  • CloudTrail コンソールで、証跡の詳細ページを確認します。認可に失敗した場合、詳細ページには警告が表示されSNS authorization failed、SNSトピックポリシーを修正するよう に指示します。

  • から AWS CLI、 get-trail-status コマンド。認証に失敗した場合、コマンド出力には AuthorizationError の値を持つ LastNotificationError フィールドが含まれます。この問題を解決するには、Amazon SNSトピックポリシーを修正します。Amazon SNSトピックポリシーの詳細については、「」を参照してくださいCloudTrail の Amazon SNS トピックポリシー

SNS トピックとそのサブスクライブの詳細については、「Amazon Simple Notification Service SNSデベロッパーガイド」の「Amazon の開始方法」を参照してください。