记录 AD 同步和可配置 AD 同步错误 - AWS IAM Identity Center
记录 AD 同步和可配置 AD 同步错误日志禁用 AD 同步和可配置 AD 同步错误日志AD 同步和可配置 AD 同步错误日志字段记录 AD 同步和可配置 AD 同步错误日志示例

记录 AD 同步和可配置 AD 同步错误

您可以启用 Active Directory(AD)同步和可配置 AD 同步配置的日志记录功能,用以接收包含同步过程中可能发生的错误相关信息的日志。利用这些日志,您可以监控 AD 同步和可配置 AD 同步是否存在问题,在有问题时采取措施。借助 Amazon S3 存储桶和 Firehose 支持的跨账户传输,您可以将日志发送到 Amazon CloudWatch Logs 日志组、Amazon Simple Storage Service(Amazon S3)存储桶或 Amazon Data Firehose。

有关限制、权限和公开日志的更多信息,请参阅 Enabling logging from AWS 服务

注意

您需要为日志记录支付费用。有关更多信息,请参阅 Amazon CloudWatch 定价页面中的公开日志

记录 AD 同步和可配置 AD 同步错误日志

  1. 登录到 IAM Identity Center 控制台

  2. 选择设置

  3. 设置页面上,选择身份源选项卡,从中选择操作,然后选择管理日记

  4. 选择添加日志传输和以下某个目标类型。

    1. 选择到 Amazon CloudWatch Logs。再选择或输入目标日志组。

    2. 选择到 Amazon S3。再选择或输入目标存储桶。

    3. 选择到 Firehose。再选择或输入目标传输流。

  5. 选择提交

禁用 AD 同步和可配置 AD 同步错误日志

  1. 登录到 IAM Identity Center 控制台

  2. 选择设置

  3. 设置页面上,选择身份源选项卡,从中选择操作,然后选择管理日记

  4. 为要删除的目标选择删除

  5. 选择提交

AD 同步和可配置 AD 同步错误日志字段

请参阅如下列表,了解可能的错误日志字段。

sync_profile_name

同步配置文件的名称。

error_code

表示发生了哪种错误类型的错误代码。

error_message

包含有关所发生错误的详细信息的一条消息。

sync_source

同步源是指要从中同步实体的位置。对 IAM Identity Center 而言,这是指由 AWS Directory Service 管理的 Active Directory(AD)。同步源包含受影响目录的域和 ARN。

sync_target

同步目标是指要保存实体的目标位置。对 IAM Identity Center 而言,这是指身份存储。同步目标包含受影响的身份存储 ARN。

source_entity_id

导致错误的实体的唯一标识符。对 IAM Identity Center 而言,这是指实体的 SID。

source_entity_type

导致错误的实体类型。该值可以是 USERGROUP

eventTimestamp

错误出现的时间戳。

记录 AD 同步和可配置 AD 同步错误日志示例

示例 1:AD 目录密码过期的错误日志

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

示例 2:用户的用户名不唯一的错误日志

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}