Memecahkan Masalah Log Aliran VPC - Amazon Virtual Private Cloud
Catatan log alur tidak lengkapLog alur aktif, tetapi tidak ada catatan log alur atau grup log'LogDestinationNotFoundException' atau 'Akses Ditolak untuk kesalahan LogDestination 'Melebihi batas kebijakan bucket Amazon S3LogDestination tidak terkirim

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan Masalah Log Aliran VPC

Berikut ini adalah masalah yang mungkin Anda miliki saat bekerja dengan log alur.

Catatan log alur tidak lengkap

Masalah

Catatan log alur Anda tidak lengkap, atau tidak lagi diterbitkan.

Penyebab

Mungkin ada masalah saat mengirimkan log aliran ke grup CloudWatch log Log.

Solusi

Baik di EC2 konsol Amazon atau VPC konsol Amazon, pilih tab Flow Logs untuk sumber daya yang relevan. Tabel log alur menampilkan kesalahan dalam kolom Status. Atau, gunakan describe-flow-logsperintah, dan periksa nilai yang dikembalikan di DeliverLogsErrorMessage lapangan. Salah satu kesalahan berikut mungkin ditampilkan:

  • Rate limited: Kesalahan ini dapat terjadi jika pelambatan CloudWatch Log telah diterapkan — ketika jumlah catatan log aliran untuk antarmuka jaringan lebih tinggi dari jumlah maksimum catatan yang dapat dipublikasikan dalam jangka waktu tertentu. Kesalahan ini juga dapat terjadi jika Anda telah mencapai kuota untuk jumlah grup CloudWatch log Log yang dapat Anda buat. Untuk informasi selengkapnya, lihat CloudWatchService Quotas di CloudWatch Panduan Pengguna Amazon.

  • Access error: Kesalahan ini dapat terjadi karena salah satu alasan berikut:

    • IAMPeran untuk log alur Anda tidak memiliki izin yang cukup untuk mempublikasikan catatan log alur ke grup CloudWatch log

    • IAMPeran tidak memiliki hubungan kepercayaan dengan layanan flow logs

    • Hubungan kepercayaan tidak menentukan layanan log alur sebagai prinsipal

    Untuk informasi selengkapnya, lihat IAMperan untuk menerbitkan log alur ke CloudWatch Log.

  • Unknown error: Terjadi kesalahan internal dalam layanan log alur.

Log alur aktif, tetapi tidak ada catatan log alur atau grup log

Masalah

Anda membuat log aliran, dan EC2 konsol Amazon VPC atau Amazon menampilkan log aliran sebagaiActive. Namun, Anda tidak dapat melihat aliran log apa pun di CloudWatch Log atau file log di bucket Amazon S3 Anda.

Kemungkinan penyebab

  • Log aliran masih dibuat. Dalam beberapa kasus, ini bisa memakan waktu sepuluh menit atau lebih setelah Anda membuat log aliran untuk grup log yang akan dibuat, dan untuk data yang akan ditampilkan.

  • Belum ada lalu lintas yang dicatat untuk antarmuka jaringan Anda. Grup log di CloudWatch Log hanya dibuat saat lalu lintas direkam.

Solusi

Tunggu beberapa menit untuk membuat grup log, atau mencatat lalu lintas.

'LogDestinationNotFoundException' atau 'Akses Ditolak untuk kesalahan LogDestination '

Masalah

Anda mendapatkan LogDestinationNotFoundException kesalahan Access Denied for LogDestination atau kesalahan saat membuat log aliran.

Kemungkinan penyebab

  • Saat membuat log alur yang memublikasikan data ke bucket Amazon S3, kesalahan ini menunjukkan bahwa bucket S3 yang ditentukan tidak dapat ditemukan atau kebijakan bucket tidak mengizinkan log dikirimkan ke bucket.

  • Saat membuat log alur yang menerbitkan data ke Amazon CloudWatch Logs, kesalahan ini menunjukkan bahwa IAM peran tidak mengizinkan log dikirimkan ke grup log.

Solusi

  • Saat memublikasikan ke Amazon S3, pastikan Anda telah menentukan bucket S3 yang sudah ada, dan format ARN yang benar. ARN Jika Anda tidak memiliki bucket S3, verifikasi bahwa kebijakan bucket memiliki izin yang diperlukan dan gunakan ID akun dan nama bucket yang benar di. ARN

  • Saat memublikasikan ke CloudWatch Log, verifikasi bahwa IAMperan tersebut memiliki izin yang diperlukan.

Melebihi batas kebijakan bucket Amazon S3

Masalah

Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: LogDestinationPermissionIssueException.

Kemungkinan penyebab

Kebijakan bucket Amazon S3 dibatasi hingga ukuran 20 KB.

Setiap kali Anda membuat log alur yang dipublikasikan ke bucket Amazon S3, kami secara otomatis menambahkan ARN bucket yang ditentukan, yang menyertakan jalur folder, ke Resource elemen dalam kebijakan bucket.

Membuat beberapa log alur yang menerbitkan ke bucket yang sama dapat menyebabkan Anda melebihi batas kebijakan bucket.

Solusi

  • Bersihkan kebijakan bucket dengan menghapus entri log alur yang tidak lagi diperlukan.

  • Memberikan izin untuk seluruh bucket dengan mengganti entri log alur individu dengan berikut ini.

    arn:aws:s3:::bucket_name/*

    Jika Anda memberikan izin untuk seluruh bucket, langganan log alur baru tidak menambahkan izin baru untuk bucket kebijakan.

LogDestination tidak terkirim

Masalah

Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: LogDestination <bucket name> is undeliverable.

Kemungkinan penyebab

Bucket Amazon S3 target dienkripsi menggunakan enkripsi sisi server dengan AWS KMS (SSE-KMS) dan enkripsi default bucket adalah ID kunci. KMS

Solusi

Nilai harus menjadi KMS kunciARN. Ubah jenis enkripsi S3 default dari ID KMS kunci ke KMS kunciARN. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.