本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 對組織線索的問題進行故障診斷
本節提供如何疑難排解組織線索問題的相關資訊。
**Topics**
+ [CloudTrail 未交付事件](#event-delivery-failure-optin)
+ [CloudTrail 不會為組織中的成員帳戶傳送 Amazon SNS 通知](#sns-topic-policy-failure)
## CloudTrail 未交付事件
**如果 CloudTrail 未將 CloudTrail 日誌檔案交付至 Amazon S3 儲存貯體**
檢查 S3 儲存貯體是否有問題。
+ 從 CloudTrail 主控台,檢查追蹤的詳細資訊頁面。如果 S3 儲存貯體發生問題,詳細資訊頁面會包含傳遞至 S3 儲存貯體失敗的警告。
+ 從 AWS CLI執行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)命令。如果發生故障,命令輸出會包含 `LatestDeliveryError` 欄位,其中會顯示 CloudTrail 在嘗試將日誌檔案交付至指定的儲存貯體時遇到的任何 Amazon S3 錯誤。只有在目的地 S3 儲存貯體發生問題時,才會發生此錯誤,而逾時的請求不會發生此錯誤。若要解決問題,請修正儲存貯體政策,以便 CloudTrail 可以寫入儲存貯體;或建立新的儲存貯體,然後呼叫 `update-trail`來指定新的儲存貯體。如需組織儲存貯體政策的資訊,請參閱[建立或更新 Amazon S3 儲存貯體,以用於存放組織追蹤的日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html#org-trail-bucket-policy)。
**注意**
如果您的追蹤設定錯誤 (例如,S3 儲存貯體無法連線),CloudTrail 會在 30 天內嘗試重新傳遞日誌檔案到您的 S3 儲存貯體,且您需要為這些嘗試傳遞事件支付標準 CloudTrail 費用。若要避免支付追蹤設定錯誤費用,您需要刪除追蹤。
**如果 CloudTrail 未將日誌交付至 CloudWatch Logs**
檢查 CloudWatch Logs 角色政策的組態是否有問題。
+ 從 CloudTrail 主控台,檢查追蹤的詳細資訊頁面。如果 CloudWatch Logs 發生問題,詳細資訊頁面會包含警告,指出 CloudWatch Logs 交付失敗。
+ 從 AWS CLI執行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)命令。如果發生故障,命令輸出會包含 `LatestCloudWatchLogsDeliveryError` 欄位,其中會顯示 CloudTrail 在嘗試將日誌交付至 CloudWatch Logs 時遇到的任何 CloudWatch Logs 錯誤。若要解決此問題,請修正 CloudWatch Logs 角色政策。如需 CloudWatch Logs 角色政策的相關資訊,請參閱 [讓 CloudTrail 能使用 CloudWatch Logs 進行監控的角色政策文件](cloudtrail-required-policy-for-cloudwatch-logs.md)。
**如果您在組織追蹤中看不到成員帳戶的活動**
如果您在組織追蹤中看不到成員帳戶的活動,請檢查下列項目:
+ **檢查線索的主區域,以查看它是否為選擇加入區域**
雖然您的 預設 AWS 區域 會啟用大多數 AWS 帳戶,但您必須手動啟用特定區域 (也稱為*選擇加入區域*)。如需預設啟用哪些區域的資訊,請參閱《 *AWS Account Management 參考指南*》中的[啟用和停用區域的考量事項](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)。如需 CloudTrail 支援的 區域清單,請參閱 [CloudTrail 支援的區域](cloudtrail-supported-regions.md)。
如果組織線索是多區域,而主要區域是選擇加入區域,成員帳戶將不會將活動傳送至組織線索,除非他們選擇加入建立多區域線索 AWS 區域 的 。例如,如果您建立多區域追蹤並選擇歐洲 (西班牙) 區域作為追蹤的主要區域,則只有為其帳戶啟用歐洲 (西班牙) 區域的成員帳戶才會將其帳戶活動傳送至組織追蹤。若要解決此問題,請在組織中的每個成員帳戶中啟用選擇加入區域。如需有關啟用選擇加入區域的資訊,請參閱《 *AWS Account Management 參考指南*》中的[啟用或停用組織中的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。
+ **檢查組織資源型政策是否與 CloudTrail 服務連結角色政策衝突**
CloudTrail 使用名為 的服務連結角色[`AWSServiceRoleForCloudTrail`](using-service-linked-roles-create-slr-for-org-trails.md#service-linked-role-permissions-create-slr-for-org-trails)來支援組織追蹤。此服務連結角色可讓 CloudTrail 對組織資源執行動作,例如 `organizations:DescribeOrganization`。如果組織的資源型政策拒絕服務連結角色政策中允許的動作,CloudTrail 將無法執行動作,即使該動作在服務連結角色政策中允許。若要解決問題,請修正組織的資源型政策,使其不會拒絕服務連結角色政策中允許的動作。
## CloudTrail 不會為組織中的成員帳戶傳送 Amazon SNS 通知
當具有 AWS Organizations 組織線索的成員帳戶未傳送 Amazon SNS 通知時,SNS 主題政策的組態可能會發生問題。即使資源驗證失敗,CloudTrail 仍會在成員帳戶中建立組織線索,例如,組織線索的 SNS 主題不包含所有成員帳戶 IDs。如果 SNS 主題政策不正確,則會發生授權失敗。
若要檢查追蹤的 SNS 主題政策是否有授權失敗:
+ 從 CloudTrail 主控台,檢查追蹤的詳細資訊頁面。如果發生授權失敗,詳細資訊頁面會包含警告,`SNS authorization failed`並指示 修正 SNS 主題政策。
+ 從 AWS CLI執行 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)命令。如果發生授權失敗,命令輸出會包含值為 的 `LastNotificationError` 欄位`AuthorizationError`。若要解決問題,請修正 Amazon SNS 主題政策。如需 Amazon SNS 主題政策的相關資訊,請參閱 [適用於 CloudTrail 索的 Amazon SNS 主題政策](cloudtrail-permissions-for-sns-notifications.md)。
如需 SNS 主題和訂閱主題的詳細資訊,請參閱《[Amazon Simple Notification Service 開發人員指南》中的 Amazon SNS 入門](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html)。 **