Pencegahan rekursi log

Ada risiko menyebabkan rekursi log tak terbatas dengan filter langganan yang dapat menyebabkan peningkatan besar dalam penagihan konsumsi di CloudWatch Log dan tujuan Anda, jika tidak dicegah. Hal ini dapat terjadi ketika filter langganan dikaitkan dengan grup log yang menerima peristiwa log sebagai hasil dari alur kerja pengiriman langganan Anda. Log yang tertelan ke dalam grup log akan dikirim ke tujuan, menyebabkan grup log menelan lebih banyak log yang kemudian akan diteruskan lagi ke tujuan, membuat loop rekursi.

Misalnya, pertimbangkan filter langganan dengan tujuan sebagai Firehose, yang mengirimkan peristiwa log ke Amazon S3. Selain itu, ada juga fungsi Lambda yang memproses peristiwa baru yang dikirim ke Amazon S3 dan menghasilkan beberapa log itu sendiri. Jika filter langganan diterapkan ke grup log fungsi Lambda, maka peristiwa log yang dihasilkan oleh fungsi akan diteruskan ke Firehose dan Amazon S3 di tujuan, yang kemudian akan memanggil fungsi lagi, menyebabkan lebih banyak log diproduksi dan diteruskan ke Firehose dan Amazon S3, menyebabkan pemanggilan fungsi lainnya dan seterusnya. Ini akan terjadi dalam loop tak terbatas, yang mengarah ke peningkatan penagihan tak terduga pada log ingestion, Firehose, dan Amazon S3.

Jika fungsi Lambda dilampirkan ke VPC dengan log aliran diaktifkan untuk Log, maka grup CloudWatch log VPC dapat menyebabkan rekursi log juga.

Kami menyarankan agar Anda tidak menerapkan filter langganan ke grup log yang merupakan bagian dari alur kerja pengiriman langganan Anda. Untuk filter langganan tingkat akun, gunakan selectionCriteria parameter di PutAccountPolicy API untuk mengecualikan grup log ini dari kebijakan.

Saat mengecualikan grup log, pertimbangkan AWS layanan berikut yang menghasilkan log dan mungkin menjadi bagian dari alur kerja pengiriman langganan Anda: