Solução de problemas com uma trilha de organização

No console do CloudTrail, verifique a página de detalhes da trilha. Se houver um problema com o bucket do S3, a página de detalhes incluirá um aviso de que a entrega para o bucket do S3 falhou.

Na AWS CLI, execute o comando get-trail-status. Se houver uma falha, a saída do comando incluirá o campo LatestDeliveryError, que exibe qualquer erro do Amazon S3 encontrado pelo CloudTrail ao tentar entregar arquivos de log para o bucket designado. Esse erro ocorre somente quando há um problema com o bucket S3 de destino e não ocorre em solicitações que atingem o tempo limite. Para resolver o problema, corrija a política do bucket para que o CloudTrail possa gravar no bucket; ou crie um bucket e, em seguida, chame update-trail para especificar o novo bucket. Para obter informações sobre a política de bucket da organização, consulte Criar ou atualizar um bucket do Amazon S3 que será usado para armazenar os arquivos de log de uma trilha de organização.

No console do CloudTrail, verifique a página de detalhes da trilha. Se houver um problema com o CloudWatch Logs, a página de detalhes incluirá um aviso indicando que a entrega do CloudWatch Logs falhou.

Na AWS CLI, execute o comando get-trail-status. Se houver uma falha, a saída do comando incluirá o campo LatestCloudWatchLogsDeliveryError, que exibe qualquer erro do CloudWatch Logs que o CloudTrail encontrou ao tentar entregar os logs ao CloudWatch Logs. Para resolver o problema, corrija a política de perfis do CloudWatch Logs. Para obter mais informações sobre a política de perfis do CloudWatch Logs, consulte Documento da política de função do CloudTrail para usar o CloudWatch Logs para fins de monitoramento.

Verifique a região de origem da trilha para ver se é uma região de adesão

Embora a maioria das Regiões da AWS estejam habilitadas por padrão na sua Conta da AWS, você deve habilitar determinadas regiões manualmente (também chamadas de regiões de adesão). Para obter informações sobre quais regiões estão habilitadas por padrão, consulte Considerações antes de habilitar ou desabilitar regiões no Guia de referência da AWS Gerenciamento de contas. Para obter a lista de regiões compatíveis com o CloudTrail, consulte Regiões compatíveis do CloudTrail.

Se a trilha da organização for de várias regiões e a região de Origem for uma região de adesão, as contas-membro não enviarão atividades à trilha da organização, a menos que haja adesão à Região da AWS onde a trilha de várias regiões foi criada. Por exemplo, se você criar uma trilha de várias regiões e escolher a região Europa (Espanha) como a região de Origem da trilha, somente as contas-membro que habilitaram a região Europa (Espanha) para sua conta enviarão a atividade da conta para a trilha da organização. Para resolver o problema, habilite a região de adesão em cada conta-membro de sua organização. Para obter informações sobre como habilitar uma região de adesão, consulte Habilitar ou desabilitar uma região em sua organização no Guia de referência do AWS Gerenciamento de contas.

Verifique se a política baseada em recursos da organização está em conflito com a política de perfil vinculada ao serviço do CloudTrail

O CloudTrail usa o perfil AWSServiceRoleForCloudTrail vinculado ao serviço nomeado para oferecer suporte às trilhas da organização. Esse perfil vinculado ao serviço permite que o CloudTrail execute ações nos recursos da organização, como organizations:DescribeOrganization. Se a política baseada em recursos da organização negar uma ação permitida na política de perfil vinculada ao serviço, o CloudTrail não poderá realizar a ação, mesmo que ela seja permitida na política de perfil vinculada ao serviço. Para resolver o problema, corrija a política baseada em recursos da organização para que ela não negue ações permitidas na política de perfil vinculada ao serviço.

No console do CloudTrail, verifique a página de detalhes da trilha. Se houver uma falha na autorização, a página de detalhes incluirá um aviso SNS authorization failed e indicará que a política de tópicos do SNS deve ser corrigida.

Na AWS CLI, execute o comando get-trail-status. Se houver uma falha na autorização, a saída do comando incluirá o campo LastNotificationError com um valor de AuthorizationError. Para resolver o problema, corrija a política de tópicos do Amazon SNS. Para obter informações sobre a política de tópicos do Amazon SNS, consulte Política de tópicos do Amazon SNS para o CloudTrail.