疑難排解組織追蹤的問題

從 CloudTrail 主控台，檢查軌跡的詳細資訊頁面。如果 S3 儲存貯體發生問題，詳細資料頁面會包含交付至 S3 儲存貯體失敗的警告。

從 AWS CLI，執行 get-trail-status指令。如果發生故障，命令輸出會包含LatestDeliveryError欄位，該欄位會顯示嘗試將日誌檔傳送到指定儲存貯體時 CloudTrail 遇到的任何 Amazon S3 錯誤。只有在目的地 S3 儲存貯體發生問題時，才會發生此錯誤，對於逾時的請求不會發生。若要解決此問題，請修正值區政策， CloudTrail 以便寫入值區；或建立新值區，然後呼叫update-trail以指定新值區。如需組織儲存貯體政策的相關資訊，請參閱建立或更新 Amazon S3 儲存貯體以用來存放組織追蹤的日誌檔。

從 CloudTrail 主控台，檢查軌跡的詳細資訊頁面。如果 CloudWatch 記錄檔發生問題，詳細資料頁面會包含警告，指出 CloudWatch 記錄檔傳遞失敗。

從 AWS CLI，執行 get-trail-status指令。如果發生失敗，命令輸出會包含LatestCloudWatchLogsDeliveryError欄位，該欄位會顯示嘗試將 CloudWatch 記錄傳送至記錄檔時 CloudTrail 遇到的任何記 CloudWatch 錄錯誤。若要解決此問題，請修正記 CloudWatch 錄檔角色原則。如需有關 CloudWatch 記錄檔角色原則的資訊，請參閱使用 CloudWatch 記錄進行監視 CloudTrail 的角色原則文件。

檢查主地區以了解路徑，看看它是否是選擇加入的區域

雖然大多數 AWS 區域 默認情況下為您啟用 AWS 帳戶，您必須手動啟用某些區域 (也稱為選擇加入區域)。如需預設啟用哪些區域的相關資訊，請參閱啟用和停用區域之前的考量事項 AWS Account Management 參考指南。如需 CloudTrail 支援的區域清單，請參閱CloudTrail 支援的地區。

如果組織追蹤為「多區域」，且主「區域」是選擇加入的區域，則成員帳戶不會將活動傳送至組織追蹤，除非他們選擇加入 AWS 區域 建立多區域軌跡的位置。例如，如果您建立多區域追蹤，並選擇「歐洲 (西班牙) 區域」作為軌跡的本位目錄區域，則只有為其帳戶啟用「歐洲 (西班牙) 區域」的成員帳戶才會將其帳戶作業傳送至組織追蹤檔。若要解決此問題，請在組織中的每個成員帳戶中啟用選擇加入區域。如需啟用選擇加入區域的相關資訊，請參閱在組織中啟用或停用區域 AWS Account Management 參考指南。

檢查組織以資源為基礎的策略是否與 CloudTrail 服務連結角色策略衝突

CloudTrail 使用名為的服務連結角色AWSServiceRoleForCloudTrail來支援組織追蹤。此服務連結角色可 CloudTrail 對組織資源執行動作，例如organizations:DescribeOrganization。如果組織以資源為基礎的策略拒絕服務連結角色策略中允許的動作， CloudTrail 則即使服務連結角色策略中允許該動作，也無法執行該動作。若要解決此問題，請修正組織的以資源為基礎的政策，這樣它就不會拒絕服務連結角色原則中允許的動作。

從 CloudTrail 主控台，檢查軌跡的詳細資訊頁面。如果授權失敗，詳細資料頁面會包含警告，SNS authorization failed並指示要修正主SNS題原則。

從 AWS CLI，執行 get-trail-status指令。如果授權失敗，命令輸出會包含值為的LastNotificationError欄位AuthorizationError。若要解決此問題，請修正 Amazon SNS 主題政策。如需 Amazon SNS 主題政策的相關資訊，請參閱Amazon SNS 主題政策 CloudTrail。