Solução de problemas do registro em log de acessos ao servidor - Amazon Simple Storage Service

Solução de problemas do registro em log de acessos ao servidor

Os tópicos a seguir podem ajudar a solucionar problemas que você pode encontrar ao configurar o registro em log com o Amazon S3.

Mensagens de erro comuns ao configurar o registro em log

As seguintes mensagens de erro comuns podem aparecer quando você ativa o registro em log por meio da AWS Command Line Interface (AWS CLI) e dos AWS SDKs:

Erro: registro em log de localização cruzada do S3 não é permitido

Se o bucket de destino (também conhecido como bucket-alvo) estiver em uma região diferente do bucket de origem, ocorrerá um erro Não é permitido o registro em log entre locais do S3. Para resolver esse erro, verifique se o bucket de destino configurado para receber os logs de acesso está na mesma Região da AWS e Conta da AWS que o bucket de origem.

Erro: o proprietário do bucket a ser registrado e o bucket de destino devem ser os mesmos

Quando você habilitar o registro em log de acesso ao servidor, esse erro ocorrerá se o bucket de destino especificado pertencer a uma conta diferente. Para resolver esse erro, verifique se o bucket de destino está na mesma Conta da AWS que o bucket de origem.

nota

Recomendamos que você escolha um bucket de destino diferente do bucket de origem. Quando o bucket de origem e o bucket de destino são os mesmos, logs adicionais são criados para os logs que são gravados no bucket, o que pode aumentar a fatura de armazenamento. Esses logs extras sobre logs também podem dificultar a localização dos logs específicos que você está procurando. Para um gerenciamento de logs mais simples, recomendamos salvar logs de acesso em um bucket diferente. Para ter mais informações, consulte Como faço para habilitar a entrega de logs?.

Erro: o bucket de destino para registro em log não existe

O bucket de destino precisa existir antes de definir a configuração. Esse erro indica que o bucket de destino não existe ou não pôde ser encontrado. Verifique se o nome do bucket está escrito corretamente e tente novamente.

Erro: concessões de destino não são permitidas para buckets com proprietário de bucket aplicado

Esse erro indica que o bucket de destino usa a configuração Imposto pelo proprietário do bucket para a funcionalidade Propriedade de Objetos do S3. A configuração Imposto pelo proprietário do bucket não é compatível com concessões de destino (alvo). Para ter mais informações, consulte Permissões para entrega de logs.

Solução de problemas de falha de entrega

Para evitar problemas de registro em log de acesso ao servidor, siga estas práticas recomendadas:

  • O grupo de entrega de logs do S3 tem acesso de gravação ao bucket de destino: o grupo de entrega de logs do S3 entrega logs de acesso ao servidor para o bucket de destino. Uma política de bucket ou uma lista de controle de acesso (ACL) do bucket para conceder acesso de gravação ao bucket de destino. No entanto, recomendamos usar uma política de bucket em vez de uma ACL. Para obter mais informações sobre como conceder acesso de gravação ao bucket de destino, consulte Permissões para entrega de logs.

    nota

    Se o bucket de destino usar a configuração Imposto pelo proprietário do bucket para a funcionalidade Propriedade de Objetos, esteja ciente do seguinte:

    • As ACLs estão desativadas e não afetam mais as permissões. Isso significa que não é possível atualizar a ACL do bucket para conceder acesso ao grupo de entrega de log do S3. Em vez disso, para conceder acesso à entidade principal de serviço do registro em log, é necessário atualizar a política de bucket para o bucket de destino.

    • Não é possível incluir concessões de destino na configuração de PutBucketLogging.

  • A política de bucket para o bucket de destino permite o acesso aos logs: verifique a política do bucket de destino. Pesquise na política de bucket declarações que contenham "Effect": "Deny". Depois, verifique se a declaração Deny não está impedindo que os logs de acesso sejam gravados no bucket.

  • A funcionalidade Bloqueio de Objetos do S3 não está habilitada no bucket de destino: verifique se o bucket de destino está com a funcionalidade Bloqueio de Objetos habilitada. O bloqueio de objetos bloqueia a entrega do log de acesso ao servidor. Você deve escolher um bucket de destino que não esteja com funcionalidade Bloqueio de Objetos habilitada.

  • As chaves gerenciadas pelo Amazon S3 (SSE-S3) são selecionadas se a criptografia padrão está habilitada no bucket de destino: é possível usar a criptografia de bucket padrão no bucket de destino somente se você usa a criptografia do lado do servidor com as chaves gerenciadas pelo Amazon S3 (SSE-S3). A criptografia padrão do lado do servidor com chaves do AWS Key Management Service (AWS KMS) (SSE-KMS) não é compatível com os buckets de destino do registro em log de acesso ao servidor. Para obter mais informações sobre como ativar a criptografia padrão, consulte Configurar a criptografia padrão.

  • O bucket de destino não tem a opção Pagamento pelo solicitante habilitada: o uso de um bucket de Pagamento pelo solicitante como bucket de destino para o registro em log de acesso ao servidor não é compatível. Para permitir a entrega de logs de acesso ao servidor, desabilite a opção Pagamento pelo solicitante no bucket de destino.

  • Revise a política de controle de serviço do AWS Organizations: quando estiver usando o AWS Organizations, verifique as políticas de controle de serviço para garantir que o acesso ao Amazon S3 seja permitido. As políticas de controle de serviço especificam o número máximo de permissões para as contas afetadas. Pesquise na política de controle de serviço as declarações que contenham "Effect": "Deny" e verifique se as declarações Deny não estão impedindo que nenhum log de acesso seja gravado no bucket. Para obter mais informações, consulte Políticas de controle de serviços (SCPs) no Guia do usuário do AWS Organizations.

  • Aguarde um tempo para que as alterações recentes na configuração do registro em log entrem em vigor: as ações de habilitar o registro em log de acesso ao servidor pela primeira vez ou alterar o bucket de destino para os logs levam tempo para entrar em vigor totalmente. Pode levar mais de uma hora para que todas as solicitações sejam registradas e entregues adequadamente.

    Para verificar se há falha de entrega de log, ative as métricas de solicitação do Amazon CloudWatch. Se os logs não forem entregues em algumas horas, procure a métrica 4xxErrors, que pode indicar falhas na entrega dos logs. Para obter mais informações sobre como ativar as métricas de solicitação, consulte Criar uma configuração de métricas do CloudWatch para todos os objetos em seu bucket.