Risoluzione dei problemi relativi ai log di flusso VPC - Amazon Virtual Private Cloud
Record del log di flusso incompletiLog di flusso attivo, ma nessun record di log di flusso o gruppo di log'LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'erroreSuperamento del limite di policy del bucket Amazon S3LogDestination non distribuibile

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi relativi ai log di flusso VPC

Di seguito sono elencati i problemi che si potrebbero riscontrare durante l'utilizzo di log di flusso.

Record del log di flusso incompleti

Problema

I record dei log di flusso sono incompleti o non vengono più pubblicati.

Causa

Potrebbe esserci un problema nella distribuzione dei log di flusso nel gruppo di log CloudWatch Logs.

Soluzione

Nella EC2 console Amazon o Amazon, selezionare la scheda Flow Logs (Log di flusso) per la risorsa pertinente. VPC La tabella dei log di flusso contiene gli eventuali errori nella colonna State (Stato). In alternativa, utilizza il describe-flow-logscomando e verifica il valore restituito nel DeliverLogsErrorMessage campo. Potrebbe essere visualizzato uno degli errori seguenti:

  • Rate limited: questo errore può verificarsi se è stato applicato il throttling dei CloudWatch log, quando il numero di record di log di flusso per un'interfaccia di rete è superiore al numero massimo di record che è possibile pubblicare all'interno di un intervallo temporale specifico. Questo errore può anche verificarsi se è stata raggiunta la quota del numero di gruppi di log CloudWatch Logs che possono essere creati. Per ulteriori informazioni, consulta CloudWatchService Quotas nella Amazon CloudWatch User Guide.

  • Access error: questo errore può verificarsi per uno dei seguenti motivi:

    • Il IAM ruolo del log di flusso non dispone di autorizzazioni sufficienti per pubblicare record di log di flusso nel gruppo di CloudWatch log.

    • Il IAM ruolo non ha una relazione di trust con il servizio dei log di flusso

    • La relazione di trust non specifica il servizio di log di flusso come entità principale.

    Per ulteriori informazioni, consulta IAMruolo per la pubblicazione di log di flusso in Logs CloudWatch .

  • Unknown error: si è verificato un errore interno nel servizio log di flusso.

Log di flusso attivo, ma nessun record di log di flusso o gruppo di log

Problema

Hai creato un log di flusso e la EC2 console Amazon VPC o Amazon; visualizza il log di flusso comeActive. Tuttavia, non è possibile visualizzare alcun flusso di log nei CloudWatch log o nei file di registro nel bucket Amazon S3.

Possibili cause

  • Il flusso di log è ancora in corso di creazione. In alcuni casi, dopo che il flusso di log è stato creato possono essere richiesti fino a 10 minuti o più per creare il gruppo di log e per visualizzare i dati.

  • Non è ancora stato registrato alcun traffico per le interfacce di rete. Il gruppo di log in CloudWatch Logs viene creato solo quando viene registrato il traffico.

Soluzione

Attendi alcuni minuti per la creazione del gruppo di log o per la registrazione del traffico.

'LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'errore

Problema

Viene visualizzato un errore Access Denied for LogDestination o LogDestinationNotFoundException quando si tenta di creare un flusso di log.

Possibili cause

  • Quando si crea un flusso di log che pubblica i dati in un bucket Amazon S3, questo errore indica che non è stato possibile trovare il bucket S3 specificato o che la policy del bucket non permette di inviare i log al bucket.

  • Quando si crea un log di flusso che pubblica i dati in Amazon CloudWatch Logs, questo errore indica che il IAM ruolo non consente la distribuzione dei log al gruppo di flussi di log.

Soluzione

  • Quando si pubblica in Amazon S3, verifica di aver specificato ARN per un bucket S3 esistente e che ARN sia nel formato corretto. Se non si possiede il bucket S3, verifica che la policy del bucket disponga delle autorizzazioni richieste e utilizzi l'ID account e il nome del bucket corretti nel. ARN

  • Quando si pubblica in CloudWatch Logs, verifica che il IAMruolo possieda le autorizzazioni richieste.

Superamento del limite di policy del bucket Amazon S3

Problema

Ricevi il seguente errore quando provi a creare un log di fluss: LogDestinationPermissionIssueException.

Possibili cause

Le dimensioni delle policy dei bucket Amazon S3 sono limitate a 20 KB.

Ogni volta che viene creato un log di flusso che pubblica in un bucket Amazon S3, l'elemento nella policy di ARN bucket viene aggiunto automaticamente all'elemento Resource nella policy di bucket.

Creare log di flusso multipli che pubblicano nello stesso bucket potrebbe causare il superamento dei limiti della policy di bucket.

Soluzione

  • Ripulisci la policy del bucket rimuovendo le voci del flusso di log non più necessarie.

  • Concedere autorizzazioni all'intero bucket sostituendo le singole voci del log di flusso con quanto segue.

    arn:aws:s3:::bucket_name/*

    Se si concedono autorizzazioni all'intero bucket, nuove sottoscrizioni al log di flusso non aggiungono nuove autorizzazioni alla policy di bucket.

LogDestination non distribuibile

Problema

Ricevi il seguente errore quando provi a creare un log di fluss: LogDestination <bucket name> is undeliverable.

Possibili cause

Il bucket Amazon S3 di destinazione viene crittografato utilizzando la crittografia lato server con AWS KMS (SSE-KMS) e la crittografia predefinita del bucket è un ID chiave. KMS

Soluzione

Il valore deve essere una chiave. KMS ARN Cambia il tipo di crittografia S3 predefinita dall'ID KMS chiave a KMS chiaveARN. Per ulteriori informazioni, consulta Configurazione della crittografia predefinita nella Guida per l'utente di Amazon Simple Storage Service.