Risolvi i problemi relativi VPC ai log di flusso

Di seguito sono elencati i problemi che si potrebbero riscontrare durante l'utilizzo di log di flusso.

Record del log di flusso incompleti

Problema

I record dei log di flusso sono incompleti o non vengono più pubblicati.

Causa

Potrebbe esserci un problema nel recapitare i log di flusso al gruppo Logs log. CloudWatch

Soluzione

Nella EC2 console Amazon o nella VPC console Amazon, scegli la scheda Flow Logs per la risorsa pertinente. La tabella dei log di flusso contiene gli eventuali errori nella colonna State (Stato). In alternativa, usa il describe-flow-logscomando e controlla il valore restituito nel DeliverLogsErrorMessage campo. Potrebbe essere visualizzato uno degli errori seguenti:

• Rate limited: Questo errore può verificarsi se è stata applicata la limitazione dei CloudWatch log, ovvero quando il numero di record del log di flusso per un'interfaccia di rete è superiore al numero massimo di record che possono essere pubblicati entro un periodo di tempo specifico. Questo errore può verificarsi anche se è stata raggiunta la quota per il numero di gruppi di log dei CloudWatch log che è possibile creare. Per ulteriori informazioni, consulta CloudWatchService Quotas nella Amazon CloudWatch User Guide.

• Access error: questo errore può verificarsi per uno dei seguenti motivi:

  • Il IAM ruolo del log di flusso non dispone di autorizzazioni sufficienti per pubblicare i record del log di flusso nel CloudWatch gruppo di log

  • Il IAM ruolo non ha una relazione di fiducia con il servizio di log di flusso

  • La relazione di trust non specifica il servizio di log di flusso come entità principale.

  Per ulteriori informazioni, consulta IAMruolo per la pubblicazione dei log di flusso su Logs CloudWatch .

• Unknown error: si è verificato un errore interno nel servizio log di flusso.

Log di flusso attivo, ma nessun record di log di flusso o gruppo di log

Problema

Hai creato un log di flusso e la EC2 console Amazon VPC o Amazon visualizza il log di flusso comeActive. Tuttavia, non è possibile visualizzare alcun flusso di log in CloudWatch Logs o file di log nel bucket Amazon S3.

Possibili cause

• Il flusso di log è ancora in corso di creazione. In alcuni casi, dopo che il flusso di log è stato creato possono essere richiesti fino a 10 minuti o più per creare il gruppo di log e per visualizzare i dati.

• Non è ancora stato registrato alcun traffico per le interfacce di rete. Il gruppo di log in CloudWatch Logs viene creato solo quando viene registrato il traffico.

Soluzione

Attendi alcuni minuti per la creazione del gruppo di log o per la registrazione del traffico.

'LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'errore

Problema

Viene visualizzato un errore Access Denied for LogDestination o LogDestinationNotFoundException quando si tenta di creare un flusso di log.

Possibili cause

• Quando si crea un flusso di log che pubblica i dati in un bucket Amazon S3, questo errore indica che non è stato possibile trovare il bucket S3 specificato o che la policy del bucket non permette di inviare i log al bucket.

• Quando si crea un log di flusso che pubblica dati su Amazon CloudWatch Logs, questo errore indica che il IAM ruolo non consente la consegna dei log al gruppo di log.

Soluzione

• Quando pubblichi su Amazon S3, assicurati di aver specificato il valore ARN per un bucket S3 esistente e che ARN sia nel formato corretto. Se non possiedi il bucket S3, verifica che la policy del bucket disponga delle autorizzazioni richieste e utilizzi l'ID dell'account e il nome del bucket corretti nel. ARN

• Durante la pubblicazione su CloudWatch Logs, verifica che il ruolo disponga delle IAM autorizzazioni richieste.

Superamento del limite di policy del bucket Amazon S3

Problema

Ricevi il seguente errore quando provi a creare un log di fluss: LogDestinationPermissionIssueException.

Possibili cause

Le dimensioni delle policy dei bucket Amazon S3 sono limitate a 20 KB.

Ogni volta che crei un log di flusso che viene pubblicato su un bucket Amazon S3, aggiungiamo automaticamente il ARN bucket specificato, che include il percorso della cartella, all'elemento Resource della policy del bucket.

Creare log di flusso multipli che pubblicano nello stesso bucket potrebbe causare il superamento dei limiti della policy di bucket.

Soluzione

• Ripulisci la policy del bucket rimuovendo le voci del flusso di log non più necessarie.

• Concedere autorizzazioni all'intero bucket sostituendo le singole voci del log di flusso con quanto segue.

  arn:aws:s3:::bucket_name/*

  Se si concedono autorizzazioni all'intero bucket, nuove sottoscrizioni al log di flusso non aggiungono nuove autorizzazioni alla policy di bucket.

LogDestination non consegnabile

Problema

Ricevi il seguente errore quando provi a creare un log di fluss: LogDestination <bucket name> is undeliverable.

Possibili cause

Il bucket Amazon S3 di destinazione è crittografato utilizzando la crittografia lato server con AWS KMS (SSE-KMS) e la crittografia predefinita del bucket è un ID chiave. KMS

Soluzione

Il valore deve essere una chiave. KMS ARN Cambia il tipo di crittografia S3 predefinito dall'ID KMS della chiave alla KMS chiaveARN. Per ulteriori informazioni, consulta Configurazione della crittografia predefinita nella Guida per l'utente di Amazon Simple Storage Service.