Fehlerbehebung bei VPC Flow-Protokollen - Amazon Virtual Private Cloud
Unvollständige Flow-ProtokolldatensätzeFlow-Protokoll ist aktiv, aber keine Flow-Protokolldatensätze oder Protokollgruppen vorhandenFehler LogDestinationNotFoundException '' oder 'Zugriff verweigert für LogDestination 'Überschreiten des Amazon S3-Bucket-RichtlinienlimitsLogDestination nicht zustellbar

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlerbehebung bei VPC Flow-Protokollen

Im Folgenden finden Sie mögliche Probleme, die auftreten können, wenn Sie mit Flow-Protokollen arbeiten.

Unvollständige Flow-Protokolldatensätze

Problem

Ihre Flow-Protokolldatensätze sind unvollständig oder werden nicht mehr veröffentlicht.

Ursache

Möglicherweise besteht ein Problem beim Übermitteln der Flow-Protokolle an die CloudWatch Protokollgruppe.

Lösung

Wählen Sie in der EC2 Amazon-Konsole oder in der VPC Amazon-Konsole die Registerkarte Flow Logs (Flow-Protokolle) der betroffenen Ressource. In der Tabelle "Flow-Protokolle" werden sämtliche Fehler in der Spalte Status angezeigt. Sie können auch den describe-flow-logsBefehl ausführen und den Wert überprüfen, der im DeliverLogsErrorMessage Feld zurückgegeben wird. Einer der folgenden Fehler kann angezeigt werden:

  • Rate limited: Dieser Fehler kann auftreten, wenn die CloudWatch Protokolldrosselung aktiviert wurde, da die Anzahl der Flow-Protokolldatensätze für eine Netzwerkschnittstelle höher ist als die maximale Anzahl an Datensätzen, die innerhalb eines bestimmten Zeitraums veröffentlicht werden können. Der Fehler kann auch auftreten, wenn das Kontingent für die Anzahl an von Ihnen erstellten CloudWatch Protokollgruppen erreicht wurde. Weitere Informationen finden Sie unter CloudWatchServicequotas im CloudWatch Amazon-Benutzerhandbuch.

  • Access error: Dieser Fehler kann aus folgenden Gründen auftreten:

    • Die IAM Rolle für Ihr Flow-Protokoll verfügt nicht über ausreichende Berechtigungen zum Veröffentlichen von Flow-Protokollen in der CloudWatch Protokollgruppe.

    • Die IAM Rolle hat keine Vertrauensbeziehung zum Flow-Protokoll-Service.

    • Die Vertrauensbeziehung legt den Flow-Protokoll-Service nicht als Prinzipal fest.

    Weitere Informationen finden Sie unter IAMRolle zum Veröffentlichen von Flow-Protokollen in CloudWatch Logs.

  • Unknown error: Es ist ein interner Fehler im Flow-Protokoll-Service aufgetreten.

Flow-Protokoll ist aktiv, aber keine Flow-Protokolldatensätze oder Protokollgruppen vorhanden

Problem

Sie haben ein Flow-Protokoll erstellt und in der Amazon VPC - bzw. EC2 Amazon-Konsole wird das Flow-Protokoll als angezeigtActive. Trotzdem werden keine Protokollstreams in CloudWatch Protokollen oder Protokolldateien in Ihrem Amazon S3 S3-Bucket angezeigt.

Mögliche Ursachen

  • Das Flow-Protokoll wird noch erstellt. Es kann unter Umständen zehn Minuten oder länger dauern, bis nach dem Erstellen des Flow-Protokolls die Protokollgruppe erstellt bzw. Daten angezeigt werden.

  • Es wurde noch kein Datenverkehr für Ihre Netzwerkschnittstellen erfasst. Die Protokollgruppe wird in CloudWatch Logs (Protokolle) erst erstellt, wenn Datenverkehr erfasst wird.

Lösung

Warten Sie ein paar Minuten, bis die Protokollgruppe erstellt oder der Datenverkehr aufgezeichnet wird.

Fehler LogDestinationNotFoundException '' oder 'Zugriff verweigert für LogDestination '

Problem

Sie erhalten, wenn Sie ein Flow-Protokoll erstellen einen Access Denied for LogDestination- oder einen LogDestinationNotFoundException-Fehler.

Mögliche Ursachen

  • Wenn Sie ein Flow-Protokoll erstellen, das Daten in einem Amazon-S3-Bucket veröffentlicht, weist dieser Fehler darauf hin, dass der angegebene S3-Bucket nicht gefunden wurde oder dass die Bucket-Richtlinie die Zustellung von Protokollen nicht zulässt.

  • Beim Erstellen eines Flow-Protokolls, das Daten in Amazon CloudWatch Logs veröffentlicht, weist dieser Fehler darauf hin, dass die IAM Rolle die Zustellung von Protokollen an die Protokollgruppe nicht zulässt.

Lösung

  • Stellen Sie beim Veröffentlichen in Amazon S3 sicher, dass Sie den ARN für einen vorhandenen S3-Bucket angegeben haben und dass der ARN das richtige Format hat. Wenn Sie nicht Eigentümer des S3-Buckets sind, überprüfen Sie, ob die Bucket-Richtlinie über die erforderlichen Berechtigungen verfügt und die richtige Konto-ID und den richtigen Bucket-Namen im verwendetARN.

  • Stellen Sie beim Veröffentlichen in CloudWatch Logs sicher, dass die IAMRolle die erforderlichen Berechtigungen hat.

Überschreiten des Amazon S3-Bucket-Richtlinienlimits

Problem

Wenn Sie versuchen, ein Flow-Protokoll zu erstellen, wird die folgende Fehlermeldung angezeig: LogDestinationPermissionIssueException.

Mögliche Ursachen

Amazon S3 Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt.

Jedes Mal, wenn Sie ein Flow-Protokoll erstellen, das in einem Amazon S3 S3-Bucket veröffentlicht, fügen wir den angegebenen BucketARN, der den Ordnerpfad enthält, automatisch zum Resource -Element in der Richtlinie des Buckets hinzu.

Wenn mehrere Flow-Protokolle erstellt werden, die in den gleichen Bucket veröffentlichen, kann dies zu einer Überschreitung des Bucket-Richtlinienlimits führen.

Lösung

  • Bereinigen Sie die Richtlinie des Buckets, indem Sie nicht mehr benötigte Flow-Protokolleinträge entfernen.

  • Erteilen Sie Berechtigungen für den gesamten Bucket, indem Sie die einzelnen Protokolleinträge folgendermaßen ersetzen:

    arn:aws:s3:::bucket_name/*

    Wenn Sie Berechtigungen für den gesamten Bucket erteilen, fügen neue Flow-Protokollabonnements keine neuen Berechtigungen zur Bucket-Richtlinie hinzu.

LogDestination nicht zustellbar

Problem

Wenn Sie versuchen, ein Flow-Protokoll zu erstellen, wird die folgende Fehlermeldung angezeig: LogDestination <bucket name> is undeliverable.

Mögliche Ursachen

Der Amazon-S3-Ziel-Bucket wird mittels serverseitiger Verschlüsselung mit AWS KMS (SSE-KMS) verschlüsselt, und die Standardverschlüsselung des Bucket ist eine KMS Schlüssel-ID.

Lösung

Der Wert muss ein KMS Schlüssel ARN sein. Ändern Sie den standardmäßigen S3-Verschlüsselungstyp von KMS Schlüssel-ID zu KMS SchlüsselARN. Weitere Informationen finden Sie unter Standardverschlüsselung konfigurieren im Benutzerhandbuch für Amazon Simple Storage Service.