Solucionar problemas de los registros de flujo de VPC - Amazon Virtual Private Cloud

Solucionar problemas de los registros de flujo de VPC

A continuación se indican los posibles problemas que pueden surgir al trabajar con registros de flujo.

Registros de logs de flujo incompletos

Problema

Sus registros de flujo están incompletos o ya no se publican.

Causa

Es posible que haya un problema con la entrega de registros de flujo al grupo de registros de CloudWatch Logs.

Solución

En la consola de Amazon EC2 o en la consola de Amazon VPC, elija la pestaña Flow Logs (Registros de flujo) para el recurso correspondiente. La tabla de logs de flujo muestra los errores en la columna Status. Otra opción, utilice el comando describe-flow-logs y compruebe el valor devuelto en el campo DeliverLogsErrorMessage. Es posible que se muestre uno de los siguientes errores:

  • Rate limited: este error se puede producir si se ha aplicado una limitación controlada de CloudWatch Logs, cuando el número de entradas de registro de flujo para una interfaz de red es superior al número máximo de registros que se pueden publicar en un periodo determinado. Este error también se puede producir si ha alcanzado la cuota del número de grupos de registro de CloudWatch Logs que puede crear. Para obtener más información, consulte Service Quotas de CloudWatch en la Guía del usuario de Amazon CloudWatch.

  • Access error: este error puede producirse por las razones siguientes:

    • El rol de IAM del registro de flujo no tiene permisos suficientes para publicar entradas de registros de flujo en el grupo de registros de CloudWatch

    • El rol de IAM no tiene una relación de confianza con el servicio de registros de flujo

    • La relación de confianza no especifica el servicio de logs de flujo como elemento principal

    Para obtener más información, consulte Rol de IAM para publicar registros de flujo en CloudWatch Logs.

  • Unknown error: se ha producido un error interno en el servicio de logs de flujo.

El log de flujo está activo, pero no hay registros de logs de flujo ni grupo de logs

Problema

Usted creó un registro de flujo y la consola de Amazon VPC o Amazon EC2 muestra el registro de flujo como Active. Sin embargo, no puede ver ninguna secuencia de registro en CloudWatch Logs ni en los archivos de registro del bucket de Amazon S3.

Causas posibles
  • El registro de flujo sigue en proceso de creación. En algunos casos, pueden necesitarse diez minutos o más después de crear el registro de flujo para que se cree el grupo de registros y para que se muestren los datos.

  • Aún no se ha registrado tráfico en sus interfaces de red. El grupo de registros de CloudWatch Logs solo se crea cuando se registra el tráfico.

Solución

Espere unos minutos a que se cree el grupo de registros o a que se registre el tráfico.

Error 'LogDestinationNotFoundException' o 'Access Denied for LogDestination'

Problema

Aparece un error Access Denied for LogDestination o LogDestinationNotFoundException cuando crea un registro de flujo.

Causas posibles
  • Al crear un registro de flujo que publica datos en un bucket de Amazon S3, este error indica que no se pudo encontrar el bucket de S3 especificado o que la política de bucket no permite que los registros se entreguen al bucket.

  • Al crear un registro de flujo que publica datos en Amazon CloudWatch Logs, este error indica que el rol de IAM no permite que los registros se entreguen al grupo de registros.

Solución
  • Al publicar en Amazon S3, asegúrese de que ha especificado el ARN de un bucket de S3 existente y de que el ARN tiene el formato correcto. Si no es propietario del bucket de S3, compruebe que la política de bucket cuente con los permisos necesarios y utilice el ID de cuenta y el nombre de bucket correctos en el ARN.

  • Al publicar en CloudWatch Logs, compruebe que el rol de IAM cuente con los permisos necesarios.

Superación del límite de la política de bucket de Amazon S3

Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error: LogDestinationPermissionIssueException.

Causas posibles

Las políticas de bucket de Amazon S3 tienen un límite de tamaño de 20 KB.

Cada vez que crea un registro de flujo que publica en un bucket de Amazon S3, se agrega automáticamente el ARN del bucket especificado, que incluye la ruta de la carpeta, al elemento Resource de la política del bucket.

La creación de varios registros de flujo que publican en el mismo bucket podría provocar que se superara el límite de la política de bucket.

Solución
  • Elimine la política de bucket al quitar las entradas del registro de flujo que ya no se necesitan.

  • Otorgue permisos a todo el bucket reemplazando las entradas individuales del log de flujo por las siguientes:

    arn:aws:s3:::bucket_name/*

    Si concede permisos a todo el bucket, las nuevas suscripciones de registro de flujo no añaden nuevos permisos a la política de bucket.

LogDestination undeliverable

Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error: LogDestination <bucket name> is undeliverable.

Causas posibles

El bucket de Amazon S3 de destino se cifra mediante el cifrado del lado del servidor con AWS KMS (SSE-KMS) y el cifrado predeterminado del bucket es un ID de la clave de KMS.

Solución

El valor debe ser un ARN de la clave de KMS. Cambie el tipo de cifrado predeterminado de S3 de ID de la clave de KMS a ARN de la clave de KMS. Para obtener más información, consulte Configuración del cifrado predeterminado en la Guía del usuario de Amazon Simple Storage Service.