Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résoudre les problèmes liés aux journaux VPC de flux
Voici des problèmes que vous pourriez rencontrer lors de l'utilisation des journaux de flux.
Problèmes
- Enregistrements de journaux de flux incomplets
- Le journal de flux est actif, mais il n'existe aucun enregistrement de journal de flux ni groupe de journaux
- Erreur LogDestinationNotFoundException « » ou « Accès refusé pour LogDestination »
- Dépassement de la limite de politique de compartiment Amazon S3
- LogDestination non livrable
Enregistrements de journaux de flux incomplets
Problème
Vos enregistrements de journaux de flux sont incomplets ou ne sont plus publiés.
Cause
Il se peut qu'un problème se produise lors de la transmission des journaux de flux au groupe de CloudWatch journaux Logs.
Solution
Dans la EC2 console Amazon ou dans la VPC console Amazon, choisissez l'onglet Flow Logs pour la ressource correspondante. Le tableau des journaux de flux affiche les erreurs dans la colonne Status (Status). Vous pouvez également utiliser la describe-flow-logscommande et vérifier la valeur renvoyée dans le DeliverLogsErrorMessage champ. L'une des erreurs suivantes peut s'afficher :
-
Rate limited: Cette erreur peut se produire si la limitation CloudWatch des journaux a été appliquée, c'est-à-dire lorsque le nombre d'enregistrements du journal de flux pour une interface réseau est supérieur au nombre maximum d'enregistrements pouvant être publiés dans un délai donné. Cette erreur peut également se produire si vous avez atteint le quota du nombre de groupes de CloudWatch journaux que vous pouvez créer. Pour plus d'informations, consultez la section CloudWatchService Quotas dans le guide de CloudWatch l'utilisateur Amazon. -
Access error: cette erreur se produit dans les conditions suivantes :-
Le IAM rôle de votre journal de flux ne dispose pas des autorisations suffisantes pour publier les enregistrements du journal de flux dans le groupe de CloudWatch journaux
-
Le IAM rôle n'a pas de relation de confiance avec le service de journaux de flux
-
La relation d'approbation ne spécifie pas le service des journaux de flux comme principal
Pour de plus amples informations, veuillez consulter IAMrôle pour la publication des journaux de flux dans CloudWatch Logs.
-
-
Unknown error: une erreur interne s'est produite dans le service de journaux de flux.
Le journal de flux est actif, mais il n'existe aucun enregistrement de journal de flux ni groupe de journaux
Problème
Vous avez créé un journal de flux, et la EC2 console Amazon VPC ou Amazon affiche le journal de flux sous la formeActive. Cependant, vous ne pouvez voir aucun flux de journal dans CloudWatch les journaux ni dans les fichiers journaux de votre compartiment Amazon S3.
Causes possibles :
-
Le journal de flux est toujours en cours de création. Dans certains cas, la création du groupe de journaux et l'affichage des données peuvent prendre plus de dix minutes après la création du journal de flux.
-
Aucun trafic n'a encore été enregistré pour vos interfaces réseau. Le groupe de CloudWatch journaux dans Logs n'est créé que lorsque le trafic est enregistré.
Solution
Attendez quelques minutes que le groupe de journaux soit créé ou que le trafic soit enregistré.
Erreur LogDestinationNotFoundException « » ou « Accès refusé pour LogDestination »
Problème
Vous obtenez une erreur Access Denied for LogDestination ou une erreur LogDestinationNotFoundException lorsque vous créez un journal de flux.
Causes possibles :
-
Lorsque vous créez un journal de flux qui publie des données dans un compartiment Amazon S3, cette erreur indique que le compartiment S3 spécifié est introuvable ou que la politique de compartiment n'autorise pas la publication des journaux dans le compartiment.
-
Lorsque vous créez un journal de flux qui publie des données sur Amazon CloudWatch Logs, cette erreur indique que le IAM rôle n'autorise pas la remise de journaux au groupe de journaux.
Solution
-
Lorsque vous publiez sur Amazon S3, assurez-vous que vous avez spécifié le ARN compartiment S3 existant et que le format ARN est correct. Si vous ne possédez pas le compartiment S3, vérifiez que la politique de compartiment dispose des autorisations requises et utilise l'ID de compte et le nom de compartiment corrects dans leARN.
-
Lors de la publication dans CloudWatch Logs, vérifiez que le IAMrôle dispose des autorisations requises.
Dépassement de la limite de politique de compartiment Amazon S3
Problème
Vous recevez le message d'erreur suivant lorsque vous essayez de créer un journal de flux : LogDestinationPermissionIssueException.
Causes possibles :
La taille des politiques de compartiment Amazon S3 est limitée à 20 Ko.
Chaque fois que vous créez un journal de flux publié dans un compartiment Amazon S3, nous ajoutons automatiquement le compartiment spécifiéARN, qui inclut le chemin du dossier, à l'Resourceélément de la politique du compartiment.
Si vous créez plusieurs journaux de flux publiés dans le même compartiment, vous risquez de dépasser la limite de la politique de compartiment.
Solution
-
Nettoyez la politique de compartiment en supprimant les entrées de journal de flux qui ne sont plus nécessaires.
-
Accordez des autorisations au compartiment complet en remplaçant les entrées de journal de flux individuelles par ce qui suit.
arn:aws:s3:::bucket_name/*Si vous accordez des autorisations au compartiment complet, les nouveaux abonnements de journal de flux n'ajoutent pas de nouvelles autorisations à la politique de compartiment.
LogDestination non livrable
Problème
Vous recevez le message d'erreur suivant lorsque vous essayez de créer un journal de flux : LogDestination <bucket name> is undeliverable.
Causes possibles :
Le compartiment Amazon S3 cible est chiffré à l'aide du chiffrement côté serveur avec AWS KMS (SSE-KMS) et le chiffrement par défaut du compartiment est un identifiant de KMS clé.
Solution
La valeur doit être une KMS cléARN. Changez le type de chiffrement S3 par défaut d'KMSID de KMS clé en cléARN. Pour plus d'informations, consultez Configuration du chiffrement par défaut dans le Guide de l'utilisateur Amazon Simple Storage Service.
