Memecahkan masalah dengan jejak organisasi

Bagian ini memberikan informasi tentang cara memecahkan masalah dengan jejak organisasi.

CloudTrail tidak menyampaikan acara

Jika CloudTrail tidak mengirimkan file CloudTrail log ke bucket Amazon S3

Periksa apakah ada masalah dengan bucket S3.

• Dari CloudTrail konsol, periksa halaman detail jejak. Jika ada masalah dengan bucket S3, halaman detail menyertakan peringatan bahwa pengiriman ke bucket S3 gagal.

• Dari AWS CLI, jalankan get-trail-statusperintah. Jika terjadi kegagalan, output perintah menyertakan LatestDeliveryError bidang, yang menampilkan kesalahan Amazon S3 apa pun yang terjadi saat CloudTrail mencoba mengirimkan file log ke bucket yang ditentukan. Kesalahan ini hanya terjadi ketika ada masalah dengan bucket S3 tujuan, dan tidak terjadi untuk permintaan waktu yang habis. Untuk mengatasi masalah ini, perbaiki kebijakan bucket sehingga CloudTrail dapat menulis ke bucket; atau buat bucket baru, lalu panggil update-trail untuk menentukan bucket baru. Untuk informasi tentang kebijakan bucket organisasi, lihat Membuat atau memperbarui bucket Amazon S3 yang akan digunakan untuk menyimpan file log untuk jejak organisasi.

catatan

Jika Anda salah mengonfigurasi jejak Anda (misalnya, bucket S3 tidak dapat dijangkau), CloudTrail akan mencoba mengirimkan ulang file log ke bucket S3 Anda selama 30 hari, dan attempted-to-deliver peristiwa ini akan dikenakan biaya standar. CloudTrail Untuk menghindari tagihan pada jejak yang salah konfigurasi, Anda perlu menghapus jejak.

Jika CloudTrail tidak mengirimkan log ke CloudWatch Log

Periksa apakah ada masalah dengan konfigurasi kebijakan peran CloudWatch Log.

• Dari CloudTrail konsol, periksa halaman detail jejak. Jika ada masalah dengan CloudWatch Log, halaman detail menyertakan peringatan yang menunjukkan pengiriman CloudWatch Log gagal.

• Dari AWS CLI, jalankan get-trail-statusperintah. Jika terjadi kegagalan, output perintah menyertakan LatestCloudWatchLogsDeliveryError bidang, yang menampilkan kesalahan CloudWatch Log apa pun yang CloudTrail ditemui saat mencoba mengirimkan CloudWatch log ke Log. Untuk mengatasi masalah ini, perbaiki kebijakan peran CloudWatch Log. Untuk informasi tentang kebijakan peran CloudWatch Log, lihatDokumen kebijakan peran CloudTrail untuk menggunakan CloudWatch Log untuk pemantauan.

Jika Anda tidak melihat aktivitas untuk akun anggota di jejak organisasi

Jika Anda tidak melihat aktivitas untuk akun anggota di jejak organisasi, periksa hal berikut:

• Periksa Wilayah asal untuk mengetahui apakah itu adalah Wilayah keikutsertaan

  Meskipun sebagian besar Wilayah AWS diaktifkan secara default untuk Anda Akun AWS, Anda harus mengaktifkan Wilayah tertentu secara manual (juga disebut sebagai Wilayah keikutsertaan). Untuk informasi tentang Wilayah mana yang diaktifkan secara default, lihat Pertimbangan sebelum mengaktifkan dan menonaktifkan Wilayah di Panduan Referensi.AWS Account Management Untuk daftar CloudTrail dukungan Wilayah, lihatCloudTrail Daerah yang didukung.

  Jika jejak organisasi adalah Multi-wilayah dan Wilayah asal adalah Wilayah keikutsertaan, akun anggota tidak akan mengirim aktivitas ke jejak organisasi kecuali mereka memilih Wilayah AWS tempat jejak Multi-wilayah dibuat. Misalnya, jika Anda membuat jejak Multi-wilayah dan memilih Wilayah Eropa (Spanyol) sebagai Wilayah asal untuk jejak tersebut, hanya akun anggota yang mengaktifkan Wilayah Eropa (Spanyol) untuk akun mereka yang akan mengirimkan aktivitas akun mereka ke jejak organisasi. Untuk mengatasi masalah ini, aktifkan Wilayah keikutsertaan di setiap akun anggota di organisasi Anda. Untuk informasi tentang mengaktifkan Wilayah keikutsertaan, lihat Mengaktifkan atau menonaktifkan Wilayah di organisasi Anda di Panduan AWS Account Management Referensi.

• Periksa apakah kebijakan berbasis sumber daya organisasi bertentangan dengan kebijakan peran terkait layanan CloudTrail

  CloudTrail menggunakan peran terkait layanan yang diberi nama AWSServiceRoleForCloudTrailuntuk mendukung jejak organisasi. Peran terkait layanan ini memungkinkan CloudTrail untuk melakukan tindakan pada sumber daya organisasi, seperti. organizations:DescribeOrganization Jika kebijakan berbasis sumber daya organisasi menolak tindakan yang diizinkan dalam kebijakan peran terkait layanan, tidak CloudTrail akan dapat melakukan tindakan meskipun diizinkan dalam kebijakan peran terkait layanan. Untuk mengatasi masalah ini, perbaiki kebijakan berbasis sumber daya organisasi agar tidak menolak tindakan yang diizinkan dalam kebijakan peran terkait layanan.

CloudTrail tidak mengirim SNS pemberitahuan Amazon untuk akun anggota di organisasi

Ketika akun anggota dengan jejak AWS Organizations organisasi tidak mengirimkan SNS pemberitahuan Amazon, mungkin ada masalah dengan konfigurasi kebijakan SNS topik. CloudTrail membuat jejak organisasi di akun anggota meskipun validasi sumber daya gagal, misalnya, SNS topik jejak organisasi tidak menyertakan semua akun anggota. IDs Jika kebijakan SNS topik salah, kegagalan otorisasi terjadi.

Untuk memeriksa apakah kebijakan SNS topik jejak mengalami kegagalan otorisasi:

• Dari CloudTrail konsol, periksa halaman detail jejak. Jika ada kegagalan otorisasi, halaman detail menyertakan peringatan SNS authorization failed dan menunjukkan untuk memperbaiki kebijakan SNS topik.

• Dari AWS CLI, jalankan get-trail-statusperintah. Jika ada kegagalan otorisasi, output perintah menyertakan LastNotificationError bidang dengan nilai. AuthorizationError Untuk mengatasi masalah ini, perbaiki kebijakan SNS topik Amazon. Untuk informasi tentang kebijakan SNS topik Amazon, lihatKebijakan SNS topik Amazon untuk CloudTrail.

Untuk informasi selengkapnya tentang SNS topik dan berlangganannya, lihat Memulai Amazon SNS di Panduan Pengembang Layanan Pemberitahuan Sederhana Amazon.