對組織追蹤的問題進行故障診斷

從 CloudTrail 主控台，檢查追蹤的詳細資訊頁面。如果 S3 儲存貯體發生問題，詳細資訊頁面會包含傳遞至 S3 儲存貯體失敗的警告。

從 AWS CLI中，執行 get-trail-status命令。如果失敗，命令輸出會包含 LatestDeliveryError 欄位，其中會顯示 CloudTrail 在嘗試將日誌檔案交付至指定儲存貯體時遇到的任何 Amazon S3 錯誤。只有在目的地 S3 儲存貯體發生問題時，才會發生此錯誤，而該逾時的請求不會發生此錯誤。若要解決此問題，請修正儲存貯體政策，以便 CloudTrail 可以寫入儲存貯體；或建立新的儲存貯體，然後呼叫 update-trail來指定新的儲存貯體。如需組織儲存貯體政策的相關資訊，請參閱建立或更新 Amazon S3 儲存貯體，以用於存放組織追蹤的日誌檔案。

從 CloudTrail 主控台，檢查追蹤的詳細資訊頁面。如果 CloudWatch Logs 發生問題，詳細資訊頁面會包含警告，指出 CloudWatch Logs 交付失敗。

從 AWS CLI中，執行 get-trail-status命令。如果發生故障，命令輸出會包含 LatestCloudWatchLogsDeliveryError 欄位，其中會顯示 CloudTrail 在嘗試將日誌交付至 CloudWatch Logs 時遇到的任何 CloudWatch Logs 錯誤。若要解決此問題，請修正 CloudWatch Logs 角色政策。如需 CloudWatch Logs 角色政策的相關資訊，請參閱 讓 CloudTrail 能使用 CloudWatch Logs 進行監控的角色政策文件。

檢查追蹤的主區域，以查看它是否為選擇加入的區域

雖然您的 預設 AWS 區域 會啟用大多數 AWS 帳戶，但您必須手動啟用特定區域 （也稱為選擇加入區域)。如需預設啟用哪些區域的詳細資訊，請參閱 AWS Account Management 參考指南中的啟用和停用區域之前的考量。如需 CloudTrail 支援的區域清單，請參閱CloudTrail 支援的區域。

如果組織線索是多區域，而主要區域是選擇加入區域，則成員帳戶不會將活動傳送至組織線索，除非他們選擇加入建立多區域線索 AWS 區域 的 。例如，如果您建立多區域追蹤並選擇歐洲 （西班牙） 區域作為追蹤的主要區域，則只有為其帳戶啟用歐洲 （西班牙） 區域的成員帳戶才會將其帳戶活動傳送至組織追蹤。若要解決此問題，請在組織中的每個成員帳戶中啟用選擇加入區域。如需啟用選擇加入區域的相關資訊，請參閱 AWS Account Management 參考指南中的啟用或停用組織中的區域。

檢查組織資源型政策是否與 CloudTrail 服務連結角色政策衝突

CloudTrail 使用名為 的服務連結角色AWSServiceRoleForCloudTrail來支援組織追蹤。此服務連結角色可讓 CloudTrail 對組織資源執行動作，例如 organizations:DescribeOrganization。如果組織的資源型政策拒絕服務連結角色政策中允許的動作，CloudTrail 將無法執行動作，即使該動作在服務連結角色政策中允許。若要解決問題，請修正組織的資源型政策，使其不會拒絕服務連結角色政策中允許的動作。

從 CloudTrail 主控台，檢查追蹤的詳細資訊頁面。如果發生授權失敗，詳細資訊頁面會包含警告，SNS authorization failed並指示 修正 SNS 主題政策。

從 AWS CLI中，執行 get-trail-status命令。如果有授權失敗，命令輸出會包含值為 LastNotificationError的欄位AuthorizationError。若要解決問題，請修正 Amazon SNS 主題政策。如需 Amazon SNS 主題政策的相關資訊，請參閱 適用於 CloudTrail 索的 Amazon SNS 主題政策。