Mengatasi masalah Log Alur VPC - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengatasi masalah Log Alur VPC

Berikut ini adalah masalah yang mungkin Anda miliki saat bekerja dengan log alur.

Catatan log alur tidak lengkap

Masalah

Catatan log alur Anda tidak lengkap, atau tidak lagi diterbitkan.

Penyebab

Mungkin ada masalah saat mengirim log alur ke log alur ke CloudWatch Grup log.

Solusi

Dalam konsol Amazon EC2 atau konsol Amazon VPC, pilih tab log alur untuk sumber daya yang relevan. Untuk informasi selengkapnya, lihat Melihat log alur. Tabel log alur menampilkan kesalahan dalam kolom Status. Atau, gunakandescribe-flow-logsperintah, dan periksa nilai yang dikembalikan dalamDeliverLogsErrorMessagebidang. Salah satu galat berikut mungkin ditampilkan:

  • Rate limited: Kesalahan ini dapat terjadi jika CloudWatch Pembatasan log telah diterapkan — ketika jumlah catatan log alur untuk antarmuka jaringan lebih tinggi daripada jumlah maksimum catatan yang dapat diterbitkan dalam jangka waktu tertentu. Kesalahan ini juga dapat terjadi jika Anda telah mencapai kuota untuk jumlah CloudWatch Log log kelompok yang dapat Anda buat. Untuk informasi selengkapnya, lihatCloudWatchKuota Layanandi dalamAmazon CloudWatch Panduan Pengguna.

  • Access error: Kesalahan ini dapat terjadi karena salah satu alasan berikut:

    • IAM role untuk log alur Anda tidak memiliki izin yang memadai untuk menerbitkan catatan log alur ke CloudWatch grup log

    • IAM role tidak memiliki hubungan kepercayaan dengan layanan log alur

    • Hubungan kepercayaan tidak menentukan layanan log alur sebagai prinsipal

    Untuk informasi selengkapnya, lihat IAM role untuk menerbitkan log alur ke CloudWatch Beberapa catatan.

  • Unknown error: Terjadi kesalahan internal dalam layanan log alur.

Log alur aktif, tetapi tidak ada catatan log alur atau grup log

Masalah

Anda membuat log alur, dan konsol Amazon VPC atau Amazon EC2 menampilkan log alur sebagaiActive. Namun, Anda tidak dapat melihat pengaliran log apa pun di CloudWatch Log atau berkas log di bucket Amazon S3.

Kemungkinan penyebab

  • Log alur masih dibuat. Dalam beberapa kasus, dibutuhkan sepuluh menit atau lebih untuk membuat grup log dan menampilkan data setelah Anda membuat log alur.

  • Belum ada lalu lintas yang dicatat untuk antarmuka jaringan Anda. Grup log masuk CloudWatch Log hanya dibuat saat lalu lintas dicatat.

Solusi

Tunggu beberapa menit untuk membuat grup log, atau mencatat lalu lintas.

'LogDestinationNotFoundException'Atau 'Akses Ditolak LogDestination'kesalahan

Masalah

Anda mendapatkanAccess Denied for LogDestinationatauLogDestinationNotFoundExceptionerror saat Anda membuat log alur.

Kemungkinan penyebab

  • Saat membuat log alur yang menerbitkan data ke bucket Amazon S3, kesalahan ini menunjukkan bahwa bucket S3 tertentu tidak dapat ditemukan atau bahwa kebijakan bucket tidak mengizinkan log dikirim ke bucket.

  • Saat membuat log alur yang menerbitkan data ke Amazon CloudWatch Log, kesalahan ini menunjukkan bahwa peran IAM tidak mengizinkan log dikirim ke grup log.

Solusi

  • Saat menerbitkan Amazon S3, pastikan bahwa Anda telah menentukan ARN untuk bucket S3 yang ada, dan bahwa ARN dalam format yang benar. Jika Anda tidak memiliki bucket S3, verifikasi bahwa bucketkebijakan bucketmemiliki izin yang diperlukan dan menggunakan ID akun dan nama bucket yang benar di ARN.

  • Saat menerbitkan ke CloudWatch Log, memverifikasi bahwaPeran IAMmemiliki izin yang diperlukan.

Melebihi batas kebijakan bucket Amazon S3

Masalah

Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: LogDestinationPermissionIssueException.

Kemungkinan penyebab

Kebijakan bucket Amazon S3 dibatasi hingga ukuran 20 KB.

Setiap kali Anda membuat log alur yang menerbitkan ke Amazon S3 bucket, kita secara otomatis menambahkan ARN bucket tertentu, yang mencakup jalur folder, untuk unsur Resource dalam kebijakan bucket ini.

Membuat beberapa log alur yang menerbitkan ke bucket yang sama dapat menyebabkan Anda melebihi batas kebijakan bucket.

Solusi

  • Bersihkan kebijakan bucket dengan menghapus entri log alur yang tidak lagi diperlukan.

  • Memberikan izin untuk seluruh bucket dengan mengganti entri log alur individu dengan berikut ini.

    arn:aws:s3:::bucket_name/*

    Jika Anda memberikan izin untuk seluruh bucket, langganan log alur baru tidak menambahkan izin baru untuk bucket kebijakan.