Memecahkan masalah pencatatan akses server

Topik berikut dapat membantu Anda memecahkan masalah yang mungkin Anda alami saat menyiapkan pencatatan dengan Amazon S3.

Pesan kesalahan umum saat mengatur pencatatan

Pesan galat umum berikut dapat muncul saat Anda mengaktifkan pencatatan melalui AWS Command Line Interface (AWS CLI) dan SDK AWS:

Kesalahan: Pencatatan lokasi Cross S3 tidak diizinkan

Jika bucket tujuan (juga dikenal sebagai bucket target) berada di Region yang berbeda dari bucket sumber, kesalahan Pencatatan lokasi Cross S3 tidak diizinkan akan terjadi. Untuk mengatasi kesalahan ini, pastikan bucket tujuan yang dikonfigurasi untuk menerima log akses berada dalam Wilayah AWS dan Akun AWS yang sama dengan bucket sumber.

Kesalahan: Pemilik bucket yang akan dicatat dan bucket target harus sama

Saat Anda mengaktifkan pencatatan akses server, kesalahan ini terjadi jika bucket tujuan yang ditentukan dimiliki akun lain. Untuk mengatasi kesalahan ini, pastikan bucket tujuan yang dikonfigurasi untuk menerima log akses berada dalam Akun AWS yang sama dengan bucket sumber.

catatan

Kami menyarankan Anda memilih bucket tujuan yang berbeda dari bucket sumber. Ketika bucket sumber dan bucket tujuan sama, log tambahan dibuat untuk log yang ditulis ke bucket, yang dapat menambah tagihan penyimpanan Anda. Log tambahan tentang log ini juga dapat menyulitkan untuk menemukan log tertentu yang Anda cari. Untuk manajemen pencatatan yang lebih sederhana, kami sarankan untuk menyimpan log akses dalam bucket yang berbeda. Untuk informasi selengkapnya, lihat Bagaimana cara mengaktifkan log pengiriman?.

Kesalahan: Bucket target untuk pencatatan tidak ada

Bucket tujuan harus ada sebelum menyetel konfigurasi. Kesalahan ini menunjukkan bahwa bucket tujuan tidak ada atau tidak dapat ditemukan. Pastikan bahwa nama bucket dieja dengan benar, lalu coba lagi.

Kesalahan: Pemberian target tidak diizinkan untuk bucket yang diberlakukan pemilik bucket

Kesalahan ini menunjukkan bahwa bucket tujuan menggunakan pengaturan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek S3. Pengaturan yang diberlakukan pemilik Bucket tidak mendukung pemberian tujuan (target). Untuk informasi selengkapnya, lihat Izin untuk pengiriman log.

Memecahkan masalah kegagalan pengiriman

Untuk menghindari masalah pencatatan akses server, pastikan Anda mengikuti praktik terbaik berikut ini:

• Grup pengiriman log S3 memiliki akses tulis ke bucket tujuan – Grup pengiriman log S3 mengirimkan log akses server ke bucket tujuan. Kebijakan bucket atau bucket daftar kontrol akses (ACL) dapat digunakan untuk memberikan akses tulis ke bucket tujuan. Namun, kami menyarankan Anda menggunakan kebijakan bucket, bukan ACL. Untuk informasi selengkapnya tentang cara memberikan akses tulis ke bucket tujuan, lihat Izin untuk pengiriman log.

  catatan

  Jika bucket tujuan menggunakan setelan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek, perhatikan hal-hal berikut:

  • ACL dinonaktifkan dan tidak lagi memengaruhi izin. Ini berarti Anda tidak dapat memperbarui ACL bucket untuk memberikan akses ke grup pengiriman log S3. Sebagai gantinya, untuk memberikan akses ke pengguna utama layanan pencatatan, Anda harus memperbarui kebijakan bucket untuk bucket tujuan.

  • Anda tidak dapat menyertakan pemberian tujuan dalam konfigurasi PutBucketLogging Anda.

• Kebijakan bucket untuk bucket tujuan memungkinkan akses ke log – Periksa kebijakan bucket dari bucket tujuan. Cari kebijakan bucket untuk setiap pernyataan yang berisi "Effect": "Deny". Kemudian, verifikasi bahwa pernyataan Deny tersebut tidak mencegah log akses ditulis ke bucket.

• Kunci Objek S3 tidak diaktifkan di bucket tujuan – Periksa apakah bucket tujuan mengaktifkan Kunci Objek. Kunci Objek memblokir pengiriman log akses server. Anda harus memilih bucket tujuan yang tidak mengaktifkan Kunci Objek.

• Kunci terkelola Amazon S3 (SSE-S3) dipilih jika enkripsi default diaktifkan pada bucket tujuan – Anda dapat menggunakan enkripsi bucket default pada bucket tujuan hanya jika Anda menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3). Enkripsi sisi server dengan AWS Key Management Service (AWS KMS) kunci (SSE-KMS) tidak didukung untuk bucket tujuan pencatatan akses server. Untuk informasi selengkapnya tentang cara mengaktifkan enkripsi default, lihatMengonfigurasi enkripsi default.

• Bucket tujuan tidak mengaktifkan Pembayaran Pemohon – Menggunakan bucket Pembayaran Pemohon sebagai bucket tujuan untuk pencatatan akses server tidak didukung. Untuk mengizinkan pengiriman log akses server, nonaktifkan opsi Pembayaran Pemohon di bucket tujuan.

• Tinjau kebijakan kontrol layanan AWS Organizations Anda – Saat Anda menggunakan AWS Organizations, periksa kebijakan kontrol layanan untuk memastikan akses Amazon S3 diizinkan. Kebijakan kontrol layanan menentukan izin maksimum untuk akun yang terpengaruh. Cari kebijakan kontrol layanan untuk setiap pernyataan yang berisi "Effect": "Deny" dan verifikasi bahwa pernyataan Deny tidak mencegah log akses apa pun ditulis ke bucket. Untuk informasi selengkapnya , lihat Kebijakan Kontrol Layanan (SCP) di Panduan Pengguna AWS Organizations.

• Berikan beberapa waktu agar perubahan konfigurasi pencatatan terbaru diterapkan – Mengaktifkan pencatatan akses server untuk pertama kalinya, atau mengubah bucket tujuan untuk log, memerlukan waktu untuk sepenuhnya diterapkan. Mungkin diperlukan waktu lebih dari satu jam agar semua permintaan dicatat dan dikirim dengan benar.

  Untuk memeriksa kegagalan pengiriman log, aktifkan metrik permintaan di Amazon CloudWatch. Jika log tidak dikirim dalam beberapa jam, cari metrik 4xxErrors, yang dapat menunjukkan kegagalan pengiriman log. Untuk informasi lebih lanjut tentang mengaktifkan metrik permintaan, lihat Membuat konfigurasi CloudWatch metrik untuk semua objek di bucket.