Amazon Virtual Private Cloud
Guía del usuario

Solución de problemas

A continuación se indican los posibles problemas que pueden surgir al trabajar con registros de flujo.

Registros de logs de flujo incompletos

Problema

Sus registros de flujo están incompletos o ya no se publican.

Causa

Puede que haya un problema con la entrega de registros de flujo al grupo de registros de CloudWatch Logs.

Solución

En la consola de Amazon EC2 o de Amazon VPC, elija la pestaña Flow Logs (Registros de flujo) del recurso correspondiente. Para obtener más información, consulte Visualización de logs de flujo. La tabla de logs de flujo muestra los errores en la columna Status. De forma alternativa, puede utilizar el comando describe-flow-logs y comprobar el valor devuelto en el campo DeliverLogsErrorMessage. Puede que se muestre uno de los siguientes errores:

  • Rate limited: este error puede suceder si se ha aplicado una limitación controlada de registros de CloudWatch (cuando el número de registros de flujo para una interfaz de red es superior al número máximo de registros que se pueden publicar en un tiempo determinado). Este error también se puede producir si ha alcanzado el límite del número de grupos de logs de CloudWatch Logs que puede crear. Para obtener más información, consulte Límites de CloudWatch en la Guía del usuario de Amazon CloudWatch.

  • Access error: la función de IAM de su registro de flujo no tiene permisos suficientes para publicar registros de flujo en el grupo de registros de CloudWatch. Para obtener más información, consulte Funciones de IAM para publicar registros de flujo en CloudWatch Logs.

  • Unknown error: se ha producido un error interno en el servicio de logs de flujo.

El log de flujo está activo, pero no hay suficientes registros de log ni grupo de logs

Problema

Ha creado un registro de flujo y la consola de Amazon VPC o Amazon EC2 muestra el registro de flujo como Active. Sin embargo, no puede ver los flujos de registros de CloudWatch Logs; ni los archivos de registro de su bucket de Amazon S3.

Causa

Esto puede deberse a una de las siguientes causas:

  • El log de flujo sigue en proceso de creación. En algunos casos, pueden necesitarse diez minutos o más después de crear el log de flujo para que se cree el grupo de logs y para que se muestren los datos.

  • Aún no se ha registrado tráfico en sus interfaces de red. El grupo de logs de CloudWatch Logs solo se crea cuando se ha registrado tráfico.

Solución

Espere unos minutos a que se cree el grupo de registros o a que se registre el tráfico.

Error: LogDestinationNotFoundException

Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error: LogDestinationNotFoundException.

Causa

Este error podría aparecer al crear un log de flujo que publique datos en un bucket de Amazon S3. Este error indica que no se ha encontrado el bucket de S3 especificado.

Solución

Asegúrese de que ha especificado el ARN de un bucket de S3 existente y de que el ARN tiene el formato correcto.

Superación del límite de la política de bucket de Amazon S3

Problema

Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error: LogDestinationPermissionIssueException.

Causa

Las políticas de bucket de Amazon S3 tienen un límite de tamaño de 20 KB.

Cada vez que crea un registro de flujo que publica en un bucket de Amazon S3, añadimos automáticamente el ARN de bucket especificado, que incluye la ruta de la carpeta, al elemento Resource de la política del bucket.

La creación de varios registros de flujo que publican en el mismo bucket podría provocar que se superara el límite de la política de bucket.

Solución

Aplique alguna de las siguientes acciones:

  • Limpie la política del bucket eliminando las entradas del registro de flujo que ya no se necesitan.

  • Otorgue permisos a todo el bucket reemplazando las entradas individuales del registro de flujo por las siguientes:

    arn:aws:s3:::bucket_name/*

    Si concede permisos a todo el bucket, las nuevas suscripciones de registro de flujo no añaden nuevos permisos a la política de bucket.