Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memecahkan masalah pencatatan akses server
Topik berikut dapat membantu Anda memecahkan masalah yang mungkin Anda alami saat menyiapkan pencatatan dengan Amazon S3.
Pesan kesalahan umum saat mengatur pencatatan
Pesan galat umum berikut dapat muncul saat Anda mengaktifkan logging melalui AWS Command Line Interface (AWS CLI) dan AWS SDKs:
Kesalahan: Pencatatan lokasi Cross S3 tidak diizinkan
Jika bucket tujuan (juga dikenal sebagai bucket target) berada di Region yang berbeda dari bucket sumber, kesalahan Pencatatan lokasi Cross S3 tidak diizinkan
akan terjadi. Untuk mengatasi kesalahan ini, pastikan bucket tujuan yang dikonfigurasi untuk menerima log akses sama Wilayah AWS dan Akun AWS sebagai bucket sumber.
Kesalahan: Pemilik bucket yang akan dicatat dan bucket target harus sama
Saat Anda mengaktifkan pencatatan akses server, kesalahan ini terjadi jika bucket tujuan yang ditentukan dimiliki akun lain. Untuk mengatasi kesalahan ini, pastikan bucket tujuan Akun AWS sama dengan bucket sumber.
catatan
Kami menyarankan Anda memilih bucket tujuan yang berbeda dari bucket sumber. Ketika bucket sumber dan bucket tujuan sama, log tambahan dibuat untuk log yang ditulis ke bucket, yang dapat menambah tagihan penyimpanan Anda. Log tambahan tentang log ini juga dapat menyulitkan untuk menemukan log tertentu yang Anda cari. Untuk manajemen pencatatan yang lebih sederhana, kami sarankan untuk menyimpan log akses dalam bucket yang berbeda. Untuk informasi selengkapnya, lihat Bagaimana cara mengaktifkan log pengiriman?.
Kesalahan: Bucket target untuk pencatatan tidak ada
Bucket tujuan harus ada sebelum menyetel konfigurasi. Kesalahan ini menunjukkan bahwa bucket tujuan tidak ada atau tidak dapat ditemukan. Pastikan bahwa nama bucket dieja dengan benar, lalu coba lagi.
Kesalahan: Pemberian target tidak diizinkan untuk bucket yang diberlakukan pemilik bucket
Kesalahan ini menunjukkan bahwa bucket tujuan menggunakan pengaturan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek S3. Pengaturan yang diberlakukan pemilik Bucket tidak mendukung pemberian tujuan (target). Untuk informasi selengkapnya, lihat Izin untuk pengiriman log.
Memecahkan masalah kegagalan pengiriman
Untuk menghindari masalah pencatatan akses server, pastikan Anda mengikuti praktik terbaik berikut ini:
Grup pengiriman log S3 memiliki akses tulis ke bucket tujuan–Grup pengiriman log S3 mengirimkan log akses server ke bucket tujuan. Kebijakan bucket atau bucket access control list (ACL) dapat digunakan untuk memberikan akses tulis ke bucket tujuan. Namun, kami menyarankan Anda menggunakan kebijakan bucket, bukan kebijakanACL. Untuk informasi selengkapnya tentang cara memberikan akses tulis ke bucket tujuan, lihat Izin untuk pengiriman log.
catatan
Jika bucket tujuan menggunakan setelan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek, perhatikan hal-hal berikut:
-
ACLsdinonaktifkan dan tidak lagi memengaruhi izin. Ini berarti Anda tidak dapat memperbarui bucket ACL untuk memberikan akses ke grup pengiriman log S3. Sebagai gantinya, untuk memberikan akses ke pengguna utama layanan pencatatan, Anda harus memperbarui kebijakan bucket untuk bucket tujuan.
-
Anda tidak dapat menyertakan pemberian tujuan dalam konfigurasi
PutBucketLogging
Anda.
-
Kebijakan bucket untuk bucket tujuan memungkinkan akses ke log–Periksa kebijakan bucket dari bucket tujuan. Cari kebijakan bucket untuk setiap pernyataan yang berisi
"Effect": "Deny"
. Kemudian, verifikasi bahwa pernyataanDeny
tersebut tidak mencegah log akses ditulis ke bucket.Kunci Objek S3 tidak diaktifkan di bucket tujuan–Periksa apakah bucket tujuan mengaktifkan Kunci Objek. Kunci Objek memblokir pengiriman log akses server. Anda harus memilih bucket tujuan yang tidak mengaktifkan Kunci Objek.
Kunci terkelola Amazon S3 (SSE-S3) dipilih jika enkripsi default diaktifkan pada bucket tujuan — Anda dapat menggunakan enkripsi bucket default pada bucket tujuan hanya jika Anda menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3). SSE Enkripsi sisi server default dengan AWS Key Management Service (AWS KMS) keys (SSE-KMS) tidak didukung untuk bucket tujuan pencatatan akses server. Untuk informasi selengkapnya tentang cara mengaktifkan enkripsi default, lihatMengonfigurasi enkripsi default.
Bucket tujuan tidak mengaktifkan Pembayaran Pemohon–Menggunakan bucket Pembayaran Pemohon sebagai bucket tujuan untuk pencatatan akses server tidak didukung. Untuk mengizinkan pengiriman log akses server, nonaktifkan opsi Pembayaran Pemohon di bucket tujuan.
Tinjau kebijakan kontrol AWS Organizations layanan Anda — Saat Anda menggunakan AWS Organizations, periksa kebijakan kontrol layanan untuk memastikan akses Amazon S3 diizinkan. Kebijakan kontrol layanan menentukan izin maksimum untuk akun yang terpengaruh. Cari kebijakan kontrol layanan untuk setiap pernyataan yang berisi
"Effect": "Deny"
dan verifikasi bahwa pernyataanDeny
tidak mencegah log akses apa pun ditulis ke bucket. Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna.-
Berikan beberapa waktu agar perubahan konfigurasi pencatatan terbaru diterapkan–Mengaktifkan pencatatan akses server untuk pertama kalinya, atau mengubah bucket tujuan untuk log, memerlukan waktu untuk sepenuhnya diterapkan. Mungkin diperlukan waktu lebih dari satu jam agar semua permintaan dicatat dan dikirim dengan benar.
Untuk memeriksa kegagalan pengiriman log, aktifkan metrik permintaan di Amazon CloudWatch. Jika log tidak dikirim dalam beberapa jam, cari metrik
4xxErrors
, yang dapat menunjukkan kegagalan pengiriman log. Untuk informasi lebih lanjut tentang mengaktifkan metrik permintaan, lihat Membuat konfigurasi CloudWatch metrik untuk semua objek di bucket.