# 问题排查
**Topics**
+ [CloudWatch 调查无法承担必要的 IAM 角色或权限。请验证所需的角色和权限配置正确](#Investigations-Troubleshooting-Permissions)
+ [无法识别事件源。验证资源是否存在于您的应用程序拓扑中,并且该资源类型是否受支持。](#Investigations-Troubleshooting-eventsource)
+ [分析完成。提交其他调查发现以接收更新的建议](#Investigations-Troubleshooting-complete)
+ [源账户状态显示“待链接到监控账户”](#Investigations-Troubleshooting-cross-account)
+ [事件报告生成问题](#Investigations-Troubleshooting-IncidentReports)
## CloudWatch 调查无法承担必要的 IAM 角色或权限。请验证所需的角色和权限配置正确
CloudWatch 调查使用 IAM 角色来访问您的拓扑中的信息。此 IAM 角色必须配置足够的权限。有关必要权限的更多信息,请参阅[如何控制 CloudWatch 调查分析在调查过程中可访问的数据范围](Investigations-Security.md#Investigations-Security-Data)。
## 无法识别事件源。验证资源是否存在于您的应用程序拓扑中,并且该资源类型是否受支持。
我们建议您启用多项 AWS 服务和功能,以便向 CloudWatch 调查提供更多有价值的信息。这些服务及功能可帮助 CloudWatch 调查确定事件来源。有关更多信息,请参阅 [(推荐)增强调查的最佳实践](Investigations-RecommendedServices.md)。
## 分析完成。提交其他调查发现以接收更新的建议
当您看到此消息时,CloudWatch 调查已根据迄今发现的调查发现完成了对您的拓扑和遥测的分析。如果您认为尚未找到根本原因,则可以手动为调查添加更多遥测,这可能会导致 CloudWatch 调查根据新信息再次扫描您的系统。
要添加新的遥测,请导航到该服务的控制台并将遥测添加到调查中。例如,要向调查中添加 Lambda 指标,可以执行下列操作:
1. 打开 Lambda 控制台。
1. 在**监控**部分中,找到该指标。
1. 打开指标的垂直省略号上下文菜单 ![\[An example of a CloudWatch overview home page, showing alarms and their current state, and examples of other metrics graph widgets that might appear on the overview home page.\]](http://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/images/vmore.png),依次选择**调查**、**添加到调查**,然后在**调查**窗格中选择调查的名称。
## 源账户状态显示“待链接到监控账户”
请检查监控账户和源账户是否均已正确配置。
1. 请检查源账户 ID 及源账户角色的名称是否正确。
1. 监控账户角色需具备跨账户扮演权限,方可承担源账户角色的相关 `sts:AssumeRole` 权限。
1. 源账户角色需要具备信任策略,以便监控账户角色能够承担该角色的权限。
1. 源账户角色的信任策略必须精准限定范围,确保在 `sts:ExternalId` 上下文键中包含调查组的 ARN:
```
"Condition": {
"StringEquals": {
"sts:ExternalId": "investigation-group-arn"
}
}
```
## 事件报告生成问题
本节将介绍生成事件报告时可能遇到的常见问题及其解决方法。
### 报告生成失败或内容不完整
如果事件报告生成失败,请验证以下情况:
+ 调查的**源**中至少包含一个已接受的假设
+ 用户及调查组具备必要权限,请参阅 [CloudWatch 调查组的用户权限](Investigations-Security.md#Investigations-Security-IAM)。