Behebung von Fehlern bei der Server-Zugriffsprotokollierung - Amazon Simple Storage Service
Häufige Fehlermeldungen beim Einrichten der ProtokollierungBehebung von Bereitstellungsfehlern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Fehlern bei der Server-Zugriffsprotokollierung

Die folgenden Themen können Ihnen bei der Behebung von Problemen helfen, die beim Einrichten der Protokollierung mit Amazon S3 auftreten können.

Häufige Fehlermeldungen beim Einrichten der Protokollierung

Die folgenden häufigen Fehlermeldungen können angezeigt werden, wenn Sie die Protokollierung über die AWS Command Line Interface (AWS CLI) und AWS-SDKs aktivieren:

Fehler: S3-standortübergreifende Protokollierung nicht zulässig

Wenn sich der Ziel-Bucket in einer anderen Region als der Quell-Bucket befindet, tritt der Fehler S3-standortübergreifende Protokollierung nicht zulässig auf. Um diesen Fehler zu beheben, stellen Sie sicher, dass sich der Ziel-Bucket, der für den Empfang der Zugriffsprotokolle konfiguriert ist, in derselben AWS-Region und demselben AWS-Konto wie der Quell-Bucket befindet.

Fehler: Die Eigentümer des zu protokollierenden Buckets und des Ziel-Buckets müssen identisch sein

Wenn Sie die Server-Zugriffsprotokollierung aktivieren, tritt dieser Fehler auf, wenn der angegebene Ziel-Bucket zu einem anderen Konto gehört. Um diesen Fehler zu beheben, stellen Sie sicher, dass sich der Ziel-Bucket in demselben AWS-Konto wie der Quell-Bucket befindet.

Anmerkung

Wir empfehlen, einen anderen Ziel-Bucket als den Quell-Bucket auszuwählen. Wenn Quell-Bucket und Ziel-Bucket identisch sind, werden für die Protokolle, die in den Bucket geschrieben werden, zusätzliche Protokolle erstellt, wodurch die Speicherkosten steigen können. Diese zusätzlichen Protokolle zu den Protokollen können es zudem schwierig machen, die gesuchten Protokolle zu finden. Zur einfacheren Protokollverwaltung empfehlen wir, Zugriffsprotokolle in einem anderen Bucket zu speichern. Weitere Informationen finden Sie unter Wie aktiviere ich die Protokollzustellung?.

Fehler: Der Ziel-Bucket für die Protokollierung ist nicht vorhanden

Der Ziel-Bucket muss vorhanden sein, bevor die Konfiguration festgelegt wird. Dieser Fehler weist darauf hin, dass der Ziel-Bucket nicht vorhanden ist oder nicht gefunden werden kann. Vergewissern Sie sich, dass der Bucket-Name richtig geschrieben ist, und wiederholen Sie den Vorgang.

Fehler: Ziel-Erteilungen sind für Buckets mit „Bucket-Eigentümer erzwungen“ nicht zulässig

Dieser Fehler weist darauf hin, dass der Ziel-Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für die S3-Objekt-Eigentümerschaft verwendet. Die Einstellung „Vom Bucket-Eigentümer erzwungen“ unterstützt keine Ziel-Erteilungen. Weitere Informationen finden Sie unter Berechtigungen für Protokollbereitstellung.

Behebung von Bereitstellungsfehlern

Halten Sie sich an die folgenden bewährten Methoden, um Probleme mit der Server-Zugriffsprotokollierung zu vermeiden:

  • Die S3-Protokollbereitstellungsgruppe hat Schreibzugriff auf den Ziel-Bucket – Die S3-Protokollbereitstellungsgruppe liefert Serverzugriffsprotokolle an den Ziel-Bucket. Es kann eine Bucket-Richtlinie oder eine Bucket-Zugriffssteuerungsliste (ACL) verwendet werden, um Schreibzugriff auf den Ziel-Bucket zu gewähren. Wir empfehlen jedoch, eine Bucket-Richtlinie anstelle einer ACL zu verwenden. Weitere Informationen zum Gewähren von Schreibzugriff für Ihren Ziel-Bucket finden Sie unter Berechtigungen für Protokollbereitstellung.

    Anmerkung

    Wenn der Ziel-Bucket die Einstellung „Vom Bucket-Eigentümer erzwungen“ für die Objekt-Eigentümerschaft verwendet, beachten Sie Folgendes:

    • ACLs sind deaktiviert und wirken sich nicht mehr auf die Berechtigungen aus. Somit können Sie Ihre Bucket-ACL nicht aktualisieren, um Zugriff auf die S3-Protokollbereitstellungsgruppe zu gewähren. Sie müssen vielmehr die Bucket-Richtlinie für den Ziel-Bucket aktualisieren, um Zugriff auf den Prinzipal des Protokollierungsservices zu gewähren.

    • Sie können keine Ziel-Erteilungen in Ihre PutBucketLogging-Konfiguration einschließen.

  • Die Bucket-Richtlinie für den Ziel-Bucket lässt den Zugriff auf die Protokolle zu – Überprüfen Sie die Bucket-Richtlinie des Ziel-Buckets. Suchen Sie in der Bucket-Richtlinie nach allen Anweisungen, die "Effect": "Deny" enthalten. Stellen Sie anschließend sicher, dass die Deny-Anweisung das Schreiben von Zugriffsprotokollen in den Bucket nicht verhindert.

  • S3 Object Lock ist auf dem Ziel-Bucket nicht aktiviert – Prüfen Sie, ob Object Lock für den Ziel-Bucket aktiviert ist. Die Objektsperre blockiert die Bereitstellung von Server-Zugriffsprotokollen. Sie müssen einen Ziel-Bucket auswählen, für den Object Lock nicht aktiviert ist.

  • Von Amazon S3 verwaltete Schlüssel (SSE-S3) sind ausgewählt, wenn die Standardverschlüsselung auf dem Ziel-Bucket aktiviert ist – Sie können die Bucket-Standardverschlüsselung nur für den Ziel-Bucket verwenden, wenn Sie die serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) verwenden. Die standardmäßige serverseitige Verschlüsselung mit AWS Key Management Service (AWS KMS)-Schlüsseln (SSE-KMS) wird für Ziel-Buckets für die Server-Zugriffsprotokollierung nicht unterstützt. Weitere Informationen zum Aktivieren der Standardverschlüsselung finden Sie unter Konfigurieren der Standardverschlüsselung.

  • Für den Ziel-Bucket ist „Zahlung durch den Anforderer“ nicht aktiviert – Die Verwendung eines Buckets mit „Zahlung durch den Anforderer“ als Ziel-Bucket für die Server-Zugriffsprotokollierung wird nicht unterstützt. Um die Bereitstellung von Serverzugriffsprotokollen zu ermöglichen, deaktivieren Sie die Option „Zahlung durch den Anforderer“ im Ziel-Bucket.

  • Überprüfen Sie Ihre AWS Organizations-Service-Kontrollrichtlinie – Überprüfen Sie bei Verwendung von AWS Organizations die Service-Kontrollrichtlinien, um sicherzustellen, dass der Amazon-S3-Zugriff zulässig ist. Service-Kontrollrichtlinien geben die maximalen Berechtigungen für die betroffenen Konten an. Suchen Sie in der Service-Kontrollrichtlinie nach Anweisungen, die "Effect": "Deny" enthalten, und stellen Sie sicher, dass Deny-Anweisungen das Schreiben von Zugriffsprotokollen in den Bucket nicht verhindern. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPs) im AWS Organizations-Benutzerhandbuch.

  • Eine gewisse Zeit warten, bis die letzten Änderungen an der Protokollierungskonfiguration wirksam werden – Die erstmalige Aktivierung der Server-Zugriffsprotokollierung oder die Änderung des Ziel-Buckets für Protokolle wird erst nach einer gewissen Zeit vollständig wirksam. Es kann über eine Stunde dauern, bis alle Anforderungen ordnungsgemäß protokolliert und übermittelt wurden.

    Um nach Fehlern bei der Protokollzustellung zu suchen, aktivieren Sie Anforderungsmetriken in Amazon CloudWatch. Wenn die Protokolle nicht innerhalb weniger Stunden bereitgestellt werden, suchen Sie nach der Metrik 4xxErrors, die auf Protokollbereitstellungsfehler hinweisen kann. Weitere Informationen zur Aktivierung von Anforderungsmetriken finden Sie unter Erstellen einer CloudWatch Metrikkonfiguration für alle Objekte in Ihrem Bucket.