Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione dei problemi di registrazione degli accessi al server
Gli argomenti seguenti possono essere utili per risolvere i problemi che possono verificarsi durante la configurazione della registrazione con Amazon S3.
Argomenti
Messaggi di errore comuni durante la configurazione della registrazione
I seguenti messaggi di errore comuni possono apparire quando abiliti la registrazione tramite AWS Command Line Interface (AWS CLI) e: AWS SDKs
Errore: Registrazione multi-posizione S3 non consentita
Se il bucket di destinazione (noto anche come bucket target) si trova in una regione diversa da quella del bucket di origine, si verifica l'errore Registrazione multi-posizione S3 non consentita. Per risolvere questo errore, assicuratevi che il bucket di destinazione configurato per ricevere i log di accesso si trovi nello stesso Regione AWS bucket di Account AWS origine.
Errore: Il proprietario del bucket da registrare e quello del bucket di destinazione devono coincidere
Quando si abilita la registrazione degli accessi al server, questo errore si verifica se il bucket di destinazione specificato appartiene a un account diverso. Per risolvere questo errore, assicurati che il bucket di destinazione sia nello stesso Account AWS del bucket di origine.
Nota
Ti consigliamo di scegliere un bucket di destinazione diverso dal bucket di origine. Quando il bucket di origine e il bucket di destinazione coincidono, vengono creati log aggiuntivi per i log scritti nel bucket. Questa situazione può causare l'aumento delle spese di archiviazione. La registrazione di questi log aggiuntivi può rendere difficile la ricerca di log specifici. Tuttavia, per una gestione più semplice dei log, si consiglia di salvare i log degli accessi in un bucket diverso. Per ulteriori informazioni, consulta Come si abilita il recapito dei log?.
Errore: Il bucket di destinazione per la registrazione non esiste
Il bucket di destinazione deve esistere prima di impostare la configurazione. Questo errore indica che il bucket di destinazione non esiste o non può essere trovato. Verifica che il nome del bucket sia stato digitato correttamente, quindi riprova.
Errore: Concessioni di destinazione non consentite per i bucket con l'opzione Bucket owner enforced abilitata
Questo errore indica che il bucket di destinazione utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3. L'impostazione Proprietario del bucket applicato non supporta le concessioni di destinazione (target). Per ulteriori informazioni, consulta Autorizzazioni per la distribuzione dei registri.
Risoluzione dei problemi di consegna
Per evitare problemi di registrazione degli accessi al server, assicurati di seguire queste best practice:
Il gruppo di distribuzione dei log S3 dispone dell'accesso in scrittura al bucket di destinazione: il gruppo di distribuzione dei log S3 fornisce i log degli accessi al server al bucket di destinazione. Puoi usare una policy del bucket o una lista di controllo degli accessi (ACL) di un bucket per concedere l'accesso in scrittura al bucket di destinazione. Invece di una lista di controllo degli accessi (ACL) consigliamo di utilizzare una policy di bucket. Per ulteriori informazioni su come concedere l'accesso in scrittura al bucket di destinazione, consulta Autorizzazioni per la distribuzione dei registri.
Nota
Se il bucket di destinazione utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto, tieni presente quanto segue:
-
ACLs sono disabilitati e non influiscono più sulle autorizzazioni. Ciò significa che non è possibile aggiornare l'ACL del bucket per concedere l'accesso al gruppo di distribuzione dei log S3. Invece, è necessario aggiornare la policy del bucket per il bucket di destinazione per concedere l'accesso al principale del servizio di registrazione.
-
Non puoi includere concessioni di destinazione nella configurazione
PutBucketLogging.
-
La policy del bucket per il bucket di destinazione consente l'accesso ai log: controlla la policy del bucket del bucket di destinazione. Nella policy di bucket cerca tutte le istruzioni contenenti
"Effect": "Deny". Verifica quindi che l'istruzioneDenynon impedisca la scrittura dei log di accesso nel bucket.S3 Object Lock non è abilitato sul bucket di destinazione: controlla se per il bucket di destinazione è stata abilitata l'opzione Object Lock. L'opzione Blocco oggetti blocca la consegna del log degli accessi al server. È necessario scegliere un bucket di destinazione in cui non sia abilitata l'opzione Object Lock.
Le chiavi gestite da Amazon S3 (SSE-S3) vengono selezionate se la crittografia predefinita è abilitata sul bucket di destinazione: puoi usare la crittografia bucket predefinita sul bucket di destinazione solo se utilizzi la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). La crittografia predefinita lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) non è supportata per i bucket di destinazione per la registrazione degli accessi al server. Per ulteriori informazioni su come abilitare la crittografia predefinita, consulta Configurazione della crittografia predefinita.
Nel bucket di destinazione l'opzione Pagamento a carico del richiedente non è abilitata: non è supportato l'uso di un bucket con pagamento a carico del richiedente come bucket di destinazione per la registrazione degli accessi al server. Per consentire la consegna dei log di accesso ai server, disabilita l'opzione Pagamento a carico del richiedente nel bucket di destinazione.
Rivedi le politiche di controllo del AWS Organizations servizio (SCPs) e le politiche di controllo delle risorse (RCPs): quando utilizzi AWS Organizations, controlla le politiche di controllo del servizio e le politiche di controllo delle risorse per assicurarti che l'accesso ad Amazon S3 sia consentito. Queste policy specificano le autorizzazioni massime per i principali e le risorse negli account interessati. Cerca nelle policy tutte le istruzioni che contengono
"Effect": "Deny"e verificare che le istruzioniDenynon impediscano la scrittura dei log degli accessi nel bucket. Per ulteriori informazioni, consulta le policy di autorizzazione in AWS Organizations nella Guida all'utente AWS Organizations .-
Attendi qualche minuto affinché le modifiche recenti alla configurazione dei log siano effettive: l'abilitazione della registrazione di accesso ai server per la prima volta o la modifica del bucket di destinazione per i log richiede tempo per essere pienamente effettiva. Potrebbe essere necessaria più di un'ora prima che tutte le richieste vengano registrate e consegnate correttamente.
Per verificare eventuali errori di consegna dei log, abilita le metriche delle richieste in Amazon. CloudWatch Se i log non vengono consegnati entro poche ore, cerca la metrica
4xxErrors, che può indicare gli errori di consegna dei log. Per ulteriori informazioni sull'abilitazione delle metriche delle richieste, consulta Creazione di una configurazione CloudWatch dei parametri per tutti gli oggetti nel bucket.
