조직 트레일 관련 문제 해결

이 섹션에서는 조직 트레일과 관련된 문제를 해결하는 방법에 대한 정보를 제공합니다.

CloudTrail 이벤트를 전달하지 않습니다.

Amazon S3 버킷으로 CloudTrail 로그 파일을 전송하지 않는 경우 CloudTrail

S3 버킷에 문제가 있는지 확인하십시오.

• CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 확인하십시오. S3 버킷에 문제가 있는 경우 세부 정보 페이지에 S3 버킷으로의 전송이 실패했다는 경고가 표시됩니다.

• 에서 AWS CLI, 실행 get-trail-status명령. 오류가 발생하는 경우 명령 출력에는 지정된 버킷으로 로그 파일을 전송하려고 시도할 때 CloudTrail 발생한 Amazon S3 오류가 표시된 LatestDeliveryError 필드가 포함됩니다. 이 오류는 대상 S3 버킷에 문제가 있는 경우에만 발생하며 요청 시간이 초과된 경우에는 발생하지 않습니다. 문제를 해결하려면 버킷에 쓸 CloudTrail 수 있도록 버킷 정책을 수정하거나 새 버킷을 만든 다음 update-trail 호출하여 새 버킷을 지정하십시오. 조직 버킷 정책에 대한 자세한 내용은 조직 트레일의 로그 파일을 저장하는 데 사용할 Amazon S3 버킷 생성 또는 업데이트를 참조하십시오.

참고

트레일을 잘못 구성한 경우 (예: S3 버킷에 연결할 수 없는 경우) 는 30일 동안 S3 버킷으로 로그 파일을 재배송하려고 시도하며, 이러한 attempted-to-deliver 이벤트에는 표준 CloudTrail 요금이 적용됩니다. CloudTrail 잘못 구성된 추적에 대한 요금이 부과되지 않도록 하려면 추적을 삭제해야 합니다.

로그에 로그를 전달하지 않는 CloudTrail 경우 CloudWatch

CloudWatch 로그 역할 정책 구성에 문제가 있는지 확인하십시오.

• CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 확인하세요. 로그에 문제가 있는 경우 세부 정보 페이지에 CloudWatch CloudWatch 로그 전송 실패를 나타내는 경고가 표시됩니다.

• 에서 AWS CLI, 실행 get-trail-status명령. 오류가 발생한 경우 명령 출력에는 CloudWatch 로그를 Logs로 전송하려고 시도할 때 CloudTrail 발생한 모든 로그 오류를 표시하는 LatestCloudWatchLogsDeliveryError 필드가 포함됩니다. CloudWatch 문제를 해결하려면 CloudWatch 로그 역할 정책을 수정하세요. CloudWatch 로그 역할 정책에 대한 자세한 내용은 을 참조하십시오모니터링에 CloudWatch 로그를 CloudTrail 사용하기 위한 역할 정책 문서.

조직 트레일에서 구성원 계정의 활동이 보이지 않는 경우

조직 트레일에서 멤버 계정의 활동이 보이지 않는 경우 다음을 확인하세요.

• 트레일의 홈 지역을 확인하여 옵트인 지역인지 확인하세요.

  하지만 대부분은 AWS 리전 사용자 사용자에게는 기본적으로 활성화되어 있습니다. AWS 계정특정 지역 (옵트인 지역이라고도 함) 을 수동으로 활성화해야 합니다. 기본적으로 활성화되는 지역에 대한 자세한 내용은 지역에서 지역을 활성화 및 비활성화하기 전 고려 사항을 참조하십시오. AWS Account Management 참조 가이드. 지역 CloudTrail 지원 목록은 을 참조하십시오CloudTrail 지원되는 지역.

  조직 트레일이 다중 지역이고 홈 지역이 옵트인 지역인 경우, 멤버 계정은 옵트인하지 않는 한 조직 트레일로 활동을 전송하지 않습니다. AWS 리전 다중 지역 트레일이 생성된 위치. 예를 들어 다중 지역 트레일을 생성하고 유럽 (스페인) 지역을 트레일의 홈 지역으로 선택하면 해당 계정에 유럽 (스페인) 지역을 활성화한 멤버 계정만 계정 활동을 조직 트레일로 전송합니다. 문제를 해결하려면 조직의 각 구성원 계정에서 옵트인 지역을 활성화하세요. 옵트인 지역을 활성화하는 방법에 대한 자세한 내용은 조직의 지역 활성화 또는 비활성화를 참조하십시오. AWS Account Management 참조 가이드.

• 조직 리소스 기반 정책이 CloudTrail 서비스 연결 역할 정책과 충돌하는지 확인하십시오.

  CloudTrail 이름이 지정된 서비스 연결 역할을 사용하여 조직 트레일을 지원합니다. AWSServiceRoleForCloudTrail 이 서비스 연결 역할을 통해 조직 CloudTrail 리소스에 대한 작업 (예:) 을 수행할 수 있습니다. organizations:DescribeOrganization 조직의 리소스 기반 정책이 서비스 연결 역할 정책에서 허용되는 작업을 거부하는 경우, CloudTrail 서비스 연결 역할 정책에서 허용되더라도 해당 작업을 수행할 수 없습니다. 문제를 해결하려면 서비스 연결 역할 정책에서 허용되는 작업을 거부하지 않도록 조직의 리소스 기반 정책을 수정해야 합니다.

CloudTrail 조직의 구성원 계정에 대해 Amazon SNS 알림을 보내지 않음

회원 계정에 다음과 같은 정보가 있는 경우 AWS Organizations 조직 추적에서 Amazon SNS 알림을 보내지 않습니다. SNS 주제 정책 구성에 문제가 있을 수 있습니다. CloudTrail 리소스 검증에 실패한 경우에도 멤버 계정에 조직 트레일을 생성합니다. 예를 들어 조직 트레일의 SNS 주제에 모든 멤버 계정이 IDs 포함되지 않는 경우 SNS주제 정책이 올바르지 않으면 권한 부여가 실패합니다.

트레일의 SNS 주제 정책에 권한 부여 실패가 있는지 확인하려면:

• CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 확인하세요. 권한 부여에 실패한 경우 세부정보 페이지에 경고 SNS authorization failed 메시지와 함께 SNS 주제 정책을 수정하라는 메시지가 표시됩니다.

• 에서 AWS CLI, 실행 get-trail-status명령. 권한 부여에 실패한 경우 명령 출력에는 값이 인 LastNotificationError 필드가 포함됩니다AuthorizationError. 문제를 해결하려면 Amazon SNS 주제 정책을 수정하십시오. Amazon SNS 주제 정책에 대한 자세한 내용은 을 참조하십시오에 대한 아마존 SNS 주제 정책 CloudTrail.

SNS주제 및 구독에 대한 자세한 내용은 Amazon SNS Simple Notification Service 개발자 안내서의 Amazon 시작하기를 참조하십시오.