Mengatasi masalah Log Alur VPC - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatasi masalah Log Alur VPC

Berikut ini adalah masalah yang mungkin Anda miliki saat bekerja dengan log alur.

Catatan log alur tidak lengkap

Masalah

Catatan log alur Anda tidak lengkap, atau tidak lagi diterbitkan.

Penyebab

Mungkin ada masalah saat mengirimkan log aliran ke grup CloudWatch log Log.

Solusi

Dalam konsol Amazon EC2 atau konsol Amazon VPC, pilih tab log alur untuk sumber daya yang relevan. Untuk informasi selengkapnya, lihat Melihat log aliran. Tabel log alur menampilkan kesalahan dalam kolom Status. Atau, gunakan describe-flow-logsperintah, dan periksa nilai yang dikembalikan di DeliverLogsErrorMessage lapangan. Salah satu kesalahan berikut mungkin ditampilkan:

  • Rate limited: Kesalahan ini dapat terjadi jika pelambatan CloudWatch Log telah diterapkan — ketika jumlah catatan log aliran untuk antarmuka jaringan lebih tinggi dari jumlah maksimum catatan yang dapat dipublikasikan dalam jangka waktu tertentu. Kesalahan ini juga dapat terjadi jika Anda telah mencapai kuota untuk jumlah grup CloudWatch log Log yang dapat Anda buat. Untuk informasi selengkapnya, lihat CloudWatchService Quotas di CloudWatch Panduan Pengguna Amazon.

  • Access error: Kesalahan ini dapat terjadi karena salah satu alasan berikut:

    • Peran IAM untuk log alur Anda tidak memiliki izin yang cukup untuk mempublikasikan catatan log alur ke grup log CloudWatch

    • IAM role tidak memiliki hubungan kepercayaan dengan layanan log alur

    • Hubungan kepercayaan tidak menentukan layanan log alur sebagai prinsipal

    Untuk informasi selengkapnya, lihat Peran IAM untuk menerbitkan log alur ke CloudWatch Log.

  • Unknown error: Terjadi kesalahan internal dalam layanan log alur.

Log alur aktif, tetapi tidak ada catatan log alur atau grup log

Masalah

Anda membuat log aliran, dan konsol Amazon VPC atau Amazon EC2 menampilkan log aliran sebagai. Active Namun, Anda tidak dapat melihat aliran log apa pun di CloudWatch Log atau file log di bucket Amazon S3 Anda.

Kemungkinan penyebab
  • Log aliran masih dibuat. Dalam beberapa kasus, ini bisa memakan waktu sepuluh menit atau lebih setelah Anda membuat log aliran untuk grup log yang akan dibuat, dan untuk data yang akan ditampilkan.

  • Belum ada lalu lintas yang dicatat untuk antarmuka jaringan Anda. Grup log di CloudWatch Log hanya dibuat saat lalu lintas direkam.

Solusi

Tunggu beberapa menit untuk membuat grup log, atau mencatat lalu lintas.

'LogDestinationNotFoundException' atau 'Akses Ditolak untuk kesalahan LogDestination '

Masalah

Anda mendapatkan LogDestinationNotFoundException kesalahan Access Denied for LogDestination atau kesalahan saat membuat log aliran.

Kemungkinan penyebab
  • Saat membuat log alur yang memublikasikan data ke bucket Amazon S3, kesalahan ini menunjukkan bahwa bucket S3 yang ditentukan tidak dapat ditemukan atau kebijakan bucket tidak mengizinkan log dikirimkan ke bucket.

  • Saat membuat log alur yang menerbitkan data ke Amazon CloudWatch Logs, kesalahan ini menunjukkan bahwa peran IAM tidak mengizinkan log dikirimkan ke grup log.

Solusi
  • Saat memublikasikan ke Amazon S3, pastikan Anda telah menentukan ARN untuk bucket S3 yang ada, dan ARN dalam format yang benar. Jika Anda tidak memiliki bucket S3, verifikasi bahwa kebijakan bucket memiliki izin yang diperlukan dan gunakan ID akun dan nama bucket yang benar di ARN.

  • Saat memublikasikan ke CloudWatch Log, verifikasi bahwa peran IAM memiliki izin yang diperlukan.

Melebihi batas kebijakan bucket Amazon S3

Masalah

Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: LogDestinationPermissionIssueException.

Kemungkinan penyebab

Kebijakan bucket Amazon S3 dibatasi hingga ukuran 20 KB.

Setiap kali Anda membuat log alur yang menerbitkan ke Amazon S3 bucket, kita secara otomatis menambahkan ARN bucket tertentu, yang mencakup jalur folder, untuk unsur Resource dalam kebijakan bucket ini.

Membuat beberapa log alur yang menerbitkan ke bucket yang sama dapat menyebabkan Anda melebihi batas kebijakan bucket.

Solusi
  • Bersihkan kebijakan bucket dengan menghapus entri log alur yang tidak lagi diperlukan.

  • Memberikan izin untuk seluruh bucket dengan mengganti entri log alur individu dengan berikut ini.

    arn:aws:s3:::bucket_name/*

    Jika Anda memberikan izin untuk seluruh bucket, langganan log alur baru tidak menambahkan izin baru untuk bucket kebijakan.

LogDestination tidak terkirim

Masalah

Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: LogDestination <bucket name> is undeliverable.

Kemungkinan penyebab

Bucket Amazon S3 target dienkripsi menggunakan enkripsi sisi server dengan AWS KMS (SSE-KMS) dan enkripsi default bucket adalah ID kunci KMS.

Solusi

Nilai harus berupa ARN kunci KMS. Ubah jenis enkripsi S3 default dari ID kunci KMS ke ARN kunci KMS. Untuk informasi selengkapnya, lihat Mengonfigurasi enkripsi default di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.