Protokollierung von AD-Synchronisierungs- und konfigurierbaren AD-Synchronisierungsfehlern - AWS IAM Identity Center
Um die AD-Synchronisierung und konfigurierbare AD-Synchronisierungsfehlerprotokolle zu aktivierenUm die AD-Synchronisierung und die konfigurierbaren AD-Synchronisierungsfehlerprotokolle zu deaktivierenAD-Synchronisierung und konfigurierbare Protokollfelder für AD-SynchronisierungsfehlerBeispiele für AD-Synchronisierung und konfigurierbare AD-Synchronisierungsfehlerprotokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollierung von AD-Synchronisierungs- und konfigurierbaren AD-Synchronisierungsfehlern

Sie können die Protokollierung Ihrer Active Directory-Synchronisierung (AD) und konfigurierbare AD-Synchronisierungskonfigurationen aktivieren, um Protokolle mit Informationen zu Fehlern zu erhalten, die während des Synchronisierungsvorgangs auftreten können. Mit diesen Protokollen können Sie überwachen, ob ein Problem mit Ihrer AD-Synchronisierung und der konfigurierbaren AD-Synchronisierung vorliegt, und gegebenenfalls Maßnahmen ergreifen. Sie können Ihre Protokolle an eine Amazon CloudWatch Logs-Protokollgruppe, einen Amazon Simple Storage Service (Amazon S3) -Bucket oder eine Amazon Data Firehose senden, wobei die kontoübergreifende Zustellung für Amazon S3-Buckets und Firehose unterstützt wird.

Weitere Informationen zu Einschränkungen, Berechtigungen und versendeten Protokollen finden Sie unter Aktivieren der Protokollierung von. AWS-Services

Anmerkung

Die Protokollierung wird Ihnen in Rechnung gestellt. Weitere Informationen finden Sie unter Vending Logs auf der Seite mit den CloudWatch Amazon-Preisen.

Um die AD-Synchronisierung und konfigurierbare AD-Synchronisierungsfehlerprotokolle zu aktivieren

  1. Melden Sie sich bei der IAMIdentity Center-Konsole an.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Wählen Sie auf der Seite Einstellungen die Registerkarte Identitätsquelle, dann Aktionen und dann Protokolle verwalten aus.

  4. Wählen Sie Protokollzustellung hinzufügen und einen der folgenden Zieltypen aus.

    1. Wählen Sie To Amazon CloudWatch Logs. Wählen Sie dann die Zielprotokollgruppe aus oder geben Sie sie ein.

    2. Wählen Sie Zu Amazon S3. Wählen Sie dann den Ziel-Bucket aus oder geben Sie ihn ein.

    3. Wählen Sie To Firehose. Wählen Sie dann den Ziel-Lieferstream aus oder geben Sie ihn ein.

  5. Wählen Sie Absenden aus.

Um die AD-Synchronisierung und die konfigurierbaren AD-Synchronisierungsfehlerprotokolle zu deaktivieren

  1. Melden Sie sich bei der IAMIdentity Center-Konsole an.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Wählen Sie auf der Seite Einstellungen die Registerkarte Identitätsquelle, dann Aktionen und dann Protokolle verwalten aus.

  4. Wählen Sie Entfernen für das Ziel, das Sie entfernen möchten.

  5. Wählen Sie Absenden aus.

AD-Synchronisierung und konfigurierbare Protokollfelder für AD-Synchronisierungsfehler

In der folgenden Liste finden Sie mögliche Fehlerprotokollfelder.

sync_profile_name

Der Name des Synchronisierungsprofils.

error_code

Der Fehlercode, der angibt, welche Art von Fehler aufgetreten ist.

error_message

Eine Meldung, die detaillierte Informationen über den aufgetretenen Fehler enthält.

sync_source

Die Synchronisierungsquelle ist der Ort, von dem aus Entitäten synchronisiert werden. Für IAM Identity Center ist dies ein Active Directory (AD), das von verwaltet wird AWS Directory Service. Die Synchronisierungsquelle enthält die Domäne und ARN das betroffene Verzeichnis.

sync_target

Das Synchronisierungsziel ist das Ziel, an dem Entitäten gespeichert werden. Für IAM Identity Center ist dies ein Identity Store. Das Synchronisierungsziel enthält den ARN betroffenen Identitätsspeicher.

source_entity_id

Eine eindeutige Kennung für die Entität, die den Fehler verursacht. Für IAM Identity Center ist dies der Name SID der Entität.

source_entity_type

Der Typ der Entität, die den Fehler verursacht hat. Dabei kann es sich um den Wert USER oder GROUP handeln.

eventTimestamp

Der Zeitstempel, zu dem der Fehler aufgetreten ist.

Beispiele für AD-Synchronisierung und konfigurierbare AD-Synchronisierungsfehlerprotokolle

Beispiel 1: Ein Fehlerprotokoll für ein abgelaufenes Passwort für ein AD-Verzeichnis

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

Beispiel 2: Ein Fehlerprotokoll für einen Benutzer mit einem nicht eindeutigen Benutzernamen

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}