As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Solução de problemas com uma trilha organizacional
Esta seção fornece informações sobre como solucionar problemas com uma trilha organizacional.
Tópicos
CloudTrail não está entregando eventos
Se não CloudTrail estiver entregando arquivos de CloudTrail log para o bucket do Amazon S3
Verifique se há algum problema com o bucket do S3.
-
No CloudTrail console, verifique a página de detalhes da trilha. Se houver um problema com o bucket do S3, a página de detalhes incluirá um aviso de que a entrega para o bucket do S3 falhou.
-
A partir do AWS CLI, execute o get-trail-statuscomando. Se houver uma falha, a saída do comando inclui o
LatestDeliveryErrorcampo, que exibe qualquer erro do Amazon S3 CloudTrail encontrado ao tentar entregar arquivos de log para o bucket designado. Esse erro ocorre somente quando há um problema com o bucket S3 de destino e não ocorre para solicitações que atingem o tempo limite. Para resolver o problema, corrija a política do bucket para que ele CloudTrail possa gravar no bucket; ou crie um novo bucket e, em seguida, chameupdate-trailpara especificar o novo bucket. Para obter informações sobre a política de bucket da organização, consulte Criar ou atualizar um bucket do Amazon S3 para usar para armazenar os arquivos de log de uma trilha da organização.
Se não CloudTrail estiver entregando registros para o CloudWatch Logs
Verifique se há algum problema com a configuração da política de função de CloudWatch registros.
-
No CloudTrail console, verifique a página de detalhes da trilha. Se houver um problema com CloudWatch os registros, a página de detalhes incluirá um aviso indicando que a entrega CloudWatch dos registros falhou.
-
A partir do AWS CLI, execute o get-trail-statuscomando. Se houver uma falha, a saída do comando inclui o
LatestCloudWatchLogsDeliveryErrorcampo, que exibe qualquer erro de CloudWatch registros CloudTrail encontrado ao tentar entregar CloudWatch registros ao Logs. Para resolver o problema, corrija a política de função de CloudWatch registros. Para obter informações sobre a política de função de CloudWatch registros, consulteDocumento de política de funções CloudTrail para usar CloudWatch registros para monitoramento.
Se você não estiver vendo a atividade de uma conta de membro em uma trilha da organização
Se você não estiver vendo a atividade de uma conta de membro em uma trilha da organização, verifique o seguinte:
-
Verifique a região de origem da trilha para ver se é uma região opcional
Embora a maioria Regiões da AWS esteja ativada por padrão para você Conta da AWS, você deve ativar manualmente determinadas regiões (também chamadas de regiões opcionais). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de ativar e desativar regiões no Guia de AWS Account Management referência. Para ver a lista de regiões CloudTrail compatíveis, consulteCloudTrail Regiões suportadas.
Se a trilha da organização for multirregional e a região de origem for uma região opcional, as contas dos membros não enviarão atividades para a trilha da organização, a menos que optem pela trilha multirregional em Região da AWS que a trilha multirregional foi criada. Por exemplo, se você criar uma trilha multirregional e escolher a região da Europa (Espanha) como a região de origem da trilha, somente as contas dos membros que habilitaram a região da Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização. Para resolver o problema, habilite a região de aceitação em cada conta membro em sua organização. Para obter informações sobre como ativar uma região opcional, consulte Ativar ou desativar uma região em sua organização no Guia de AWS Account Management referência.
-
Verifique se a política baseada em recursos da organização está em conflito com a política de função vinculada ao CloudTrail serviço
CloudTrail usa a função vinculada ao serviço nomeada AWSServiceRoleForCloudTrailpara apoiar as trilhas da organização. Essa função vinculada ao serviço permite CloudTrail realizar ações nos recursos da organização, como.
organizations:DescribeOrganizationSe a política baseada em recursos da organização negar uma ação permitida na política de função vinculada ao serviço, não CloudTrail poderá realizar a ação, mesmo que ela seja permitida na política de função vinculada ao serviço. Para resolver o problema, corrija a política baseada em recursos da organização para que ela não negue ações permitidas na política de função vinculada ao serviço.
CloudTrail não está enviando notificações do Amazon SNS para uma conta membro em uma organização
Quando uma conta membro com uma trilha AWS Organizations organizacional não está enviando notificações do Amazon SNS, pode haver um problema com a configuração da política de tópicos do SNS. CloudTrail cria trilhas da organização nas contas dos membros mesmo se a validação do recurso falhar, por exemplo, o tópico do SNS da trilha da organização não inclui todas as IDs das contas dos membros. Se a política de tópicos do SNS estiver incorreta, ocorrerá uma falha na autorização.
Para verificar se a política de tópicos do SNS de uma trilha tem uma falha de autorização:
-
No CloudTrail console, verifique a página de detalhes da trilha. Se houver uma falha na autorização, a página de detalhes inclui um aviso
SNS authorization failede indica a correção da política de tópicos do SNS. -
A partir do AWS CLI, execute o get-trail-statuscomando. Se houver uma falha na autorização, a saída do comando incluirá o
LastNotificationErrorcampo com um valor deAuthorizationError. Para resolver o problema, corrija a política de tópicos do Amazon SNS. Para obter informações sobre a política de tópicos do Amazon SNS, consulte. Política de tópicos do Amazon SNS para CloudTrail
Para obter mais informações sobre tópicos do SNS e como se inscrever neles, consulte Introdução ao Amazon SNS no Guia do desenvolvedor do Amazon Simple Notification Service.
