本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
排解VPC流程記錄
以下是使用流量日誌時可能會遇到的問題。
問題
不完整的流量日誌記錄
問題
您的流量日誌記錄不完整,或已不再發佈。
原因
將流程記錄傳送至記錄檔記 CloudWatch 錄群組時可能發生問題。
解決方案
在 Amazon EC2 主控台或 Amazon 主控台中,選擇相關資源的「流程日誌」索引標籤。VPC流量日誌表會在 Status (狀態) 欄中顯示所有錯誤。或者,使用describe-flow-logs命令,並檢查DeliverLogsErrorMessage字段中返回的值。可能會顯示下列任一項錯誤:
-
Rate limited:如果已套用記 CloudWatch 錄節流,則會發生此錯誤 — 當網路介面的流程記錄數目大於特定時間範圍內可發佈的記錄數目上限時,就會發生此錯誤。如果您已達到可建立之 CloudWatch 記錄檔群組數目的配額,也會發生這個錯誤。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南中的 Ser CloudWatch vice Quotas。 -
Access error:此錯誤可能的發生原因如下:-
流程記錄檔的IAM角色沒有足夠的權限,無法將流程記錄發佈至記 CloudWatch 錄群組
-
IAM角色與流程記錄服務沒有信任關係
-
信任關係不指定流量日誌服務為委託人
如需詳細資訊,請參閱IAM將流程記錄發佈到 CloudWatch 記錄檔的角色。
-
-
Unknown error:流量日誌服務發生內部錯誤。
流量日誌作用中,但沒有任何流量日誌記錄或日誌群組
問題
您已建立流程日誌,Amazon VPC 或 Amazon EC2 主控台會將流程日誌顯示為Active。但是,您無法在 Amazon S3 儲存貯體的 CloudWatch 日誌或日誌檔中看到任何日誌串流。
可能原因
-
系統仍在建立流量日誌。在某些情況下,在您建立流量日誌之後,可能需要十分鐘以上,才會建立日誌群組及顯示資料。
-
尚未記錄到任何網路介面的流量。記錄 CloudWatch 檔中的記錄群組只會在記錄流量時建立。
解決方案
等待幾分鐘建立日誌群組或記錄流量。
'' 或 LogDestinationNotFoundException '存取被拒絕 LogDestination' 錯誤
問題
當您建立流量記錄檔時,會收到 Access Denied for LogDestination 或 LogDestinationNotFoundException 錯誤。
可能原因
-
建立可將資料發佈至 Amazon S3 儲存貯體的流量記錄檔時若出現此錯誤,表示找不到指定的 S3 儲存貯體,或儲存貯體政策不允許將記錄檔傳送至該儲存貯體。
-
建立將資料發佈到 Amazon CloudWatch Logs 的流程日誌時,此錯誤表示IAM角色不允許將日誌傳送到日誌群組。
解決方案
超過 Amazon S3 儲存貯體原則限制
問題
當您嘗試建立流量日誌時,得到下列錯誤:LogDestinationPermissionIssueException。
可能原因
此外,Amazon S3 儲存貯體原則的大小限制為 20 KB。
每當您建立發佈到 Amazon S3 儲存貯體的流程日誌時,我們都會自動將指定的儲存貯ARN體 (包括資料夾路徑) 新增到儲存貯體政策中的Resource元素。
建立多個發布到相同儲存貯體的流量日誌可能造成您超過儲存貯體政策限制。
解決方案
-
移除不再需要的流量記錄檔項目以清除儲存貯體的政策。
-
以下列內容取代個別的流量日誌項目,將許可授予整個儲存貯體。
arn:aws:s3:::bucket_name/*若您授予許可給整個儲存貯體,新的流量日誌訂閱不會將新的許可加入到儲存貯體政策。
LogDestination 無法交付的
問題
當您嘗試建立流量日誌時,得到下列錯誤:LogDestination <bucket name> is undeliverable。
可能原因
目標 Amazon S3 儲存貯體使用伺服器端加密 AWS KMS (SSE-KMS) 進行加密,而儲存貯體的預設加密是KMS金鑰 ID。
解決方案
該值必須是一個KMS鍵ARN。將預設 S3 加密類型從KMS金鑰 ID 變更為KMS金鑰ARN。如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的設定預設加密。
