Solución de problemas con un registro de seguimiento de la organización

Desde la consola de CloudTrail, consulte la página de detalles del registro de seguimiento. Si hay algún problema con el bucket de S3, la página de detalles incluye una advertencia de que se ha producido un error en la entrega al bucket de S3.

Desde AWS CLI, ejecute el comando get-trail-status. Si se produce un error, el resultado del comando incluye el campo LatestDeliveryError, que muestra cualquier error de Amazon S3 que CloudTrail haya detectado al intentar enviar los archivos de registro al bucket designado. Este error solo se produce cuando hay algún problema con el bucket de S3 de destino y no se produce cuando se agota el tiempo de espera. Para resolver el problema, corrija la política de bucket para que CloudTrail pueda escribir en él o cree un nuevo bucket y, a continuación, llame a update-trail para especificar el nuevo bucket. Para obtener información sobre la política de bucket de la organización, consulte Creación o actualización de un bucket de Amazon S3 para utilizarlo para almacenar los archivos de registro de un registro de seguimiento de la organización.

Desde la consola de CloudTrail, consulte la página de detalles del registro de seguimiento. Si hay algún problema con Registros de CloudWatch, la página de detalles incluye una advertencia que indica que se ha producido un error en la entrega de Registros de CloudWatch.

Desde AWS CLI, ejecute el comando get-trail-status. Si se produce un error, el resultado del comando incluye el campo LatestCloudWatchLogsDeliveryError, que muestra cualquier error de Registros de CloudWatch que CloudTrail haya detectado al intentar enviar los registros a Registros de CloudWatch. Para resolver el problema, corrija la política de roles de Registros de CloudWatch. Para obtener información acerca de la política de roles de Registros de CloudWatch, consulte Documento de política de roles para que CloudTrail utilice CloudWatch Logs para el monitoreo..

Compruebe la región de origen del registro de seguimiento para comprobar si es una región optativa

Aunque la mayoría de Regiones de AWS están habilitadas por defecto en su Cuenta de AWS, debe habilitar manualmente determinadas regiones (también denominadas regiones optativas). Para obtener información sobre qué regiones están habilitadas por defecto, consulte Considerations before enabling and disabling Regions en la Guía de referencia de AWS Account Management. Para ver la lista de las regiones que admite CloudTrail, consulte Regiones compatibles con CloudTrail.

Si el registro de seguimiento de la organización es multirregión y la región de origen es una región optativa, las cuentas de miembros no enviarán la actividad al registro de seguimiento de la organización a menos que habiliten la Región de AWS en la que se creó el registro de seguimiento multirregión. Por ejemplo, si crea un registro de seguimiento multirregión y elige la región de Europa (España) como región de origen dicho registro, solo las cuentas de miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán su actividad al registro de seguimiento de la organización. Para resolver el problema, habilite la región optativa en cada cuenta de miembro de la organización. Para obtener información sobre cómo habilitar una región optativa, consulte Enable or disable a Region in your organization en la Guía de referencia de AWS Account Management.

Compruebe si la política basada en recursos de la organización entra en conflicto con la política de roles vinculados a servicios de CloudTrail

CloudTrail usa el rol vinculado a un servicio denominado AWSServiceRoleForCloudTrail para admitir los registros de seguimiento de la organización. Este rol vinculada a un servicio permite a CloudTrail realizar acciones en los recursos de la organización, como por ejemplo organizations:DescribeOrganization. Si la política basada en recursos de la organización deniega una acción que está permitida en la política de roles vinculados a un servicio, CloudTrail no podrá realizar la acción aunque esté permitida en la política de roles vinculados a un servicio. Para resolver el problema, corrija la política basada en recursos de la organización para que no deniegue las acciones que están permitidas en la política de roles vinculados a un servicio.

Desde la consola de CloudTrail, consulte la página de detalles del registro de seguimiento. Si se produce un error en la autorización, la página de detalles incluye una advertencia de SNS authorization failed e indica que hay que corregir la política de temas de SNS.

Desde AWS CLI, ejecute el comando get-trail-status. Si se produce un error de autorización, el resultado del comando incluye el campo LastNotificationError con un valor de AuthorizationError. Para resolver el problema, corrija la política de temas de Amazon SNS. Para obtener más información acerca de la política de temas de Amazon SNS, consulte Política de temas de Amazon SNS para CloudTrail.