メニュー
Amazon Elasticsearch Service
開発者ガイド (API バージョン 2015-01-01)

トラブルシューティング

以下のセクションでは、Amazon Elasticsearch Service (Amazon ES) と統合されるサービスおよび製品の使用中に発生する可能性がある一般的な問題に対する解決策を示します。

サービス固有のエラーの詳細については、このガイドの「AWS サービスエラー処理」を参照してください。

Kibana: Kibana にアクセスできない

Kibana エンドポイントは、署名付きリクエストをサポートしていません。 ドメインのアクセスコントロールポリシーで、特定の IAM ユーザーまたはロールにのみアクセスが許可される場合、Kibana にアクセスしようとしたときに、次のエラーが発生する場合があります。

"User: anonymous is not authorized to perform: es:ESHttpGet"

Amazon ES ドメインで VPC アクセスを使用している場合、そのエラーは発生しない可能性があります。代わりに、リクエストがタイムアウトする可能性があります。この問題の修正、および利用できるさまざまな設定オプションの詳細については、「Kibana へのアクセスのコントロール」、「VPC ドメインのアクセスポリシーについて」、および「Amazon Elasticsearch Service アクセスコントロール」を参照してください。

スナップショット: 「オブジェクトのストレージクラスで有効ではない」エラー

Amazon ES スナップショットは、Amazon Glacier ストレージクラスをサポートしていません。このエラーは、オブジェクトを Amazon Glacier ストレージクラスに移行するライフサイクルが S3 バケットに含まれている場合に、スナップショットのリストを取得しようとすると発生する場合があります。

バケットからスナップショットを復元する必要がある場合は、Amazon Glacier からオブジェクトを復元し、オブジェクトを新しいバケットにコピーして、新しいバケットをスナップショットリポジトリとして登録します。

Kibana: データ表示時のブラウザエラー

Kibana を使用して、Amazon ES ドメインのデータを表示する場合、ブラウザは HTTP レスポンスオブジェクトのサービスエラーメッセージをラップします。原因となるサービスエラーを表示し、デバッグを支援するため、Chrome の開発者モードなどのウェブブラウザで一般的に利用されている開発ツールを使用できます。

Chrome でサービスエラーを表示する

  1. メニューから、[View]、[開発者]、[開発者用ツール] の順に選択します。

  2. [Network] タブを選択します。

  3. [Status] 列で、ステータスが 500 の任意の HTTP セッションを選択します。

    たとえば、次のサービスエラーメッセージは、検索リクエストが次の表に示す理由のいずれかにより失敗したことを示します。

    "Request to Elasticsearch failed: {"error":"SearchP…be larger than limit of [5143501209/4.7gb]]; }]"}"

    可能性のある原因 回避方法
    JVM リクエストメモリ サーキットブレーカーに達しました。 リクエストブレーカーは、サービスリクエストに応答するために使用される JVM メモリの割合を指定します。 この失敗を回避するために、JVM サーキットブレーカーを設定できます。 JVM サーキットブレーカーの設定の詳細については、このガイドの『AWS サービスエラー処理』の「JVM OutOfMemoryError」を参照してください。
    Kibana ダッシュボードで、logstash* などの汎用的な正規表現を指定します。 過去 7 日の期間にわたるインデックスのサブセットに結果を制限するなど、より制限的な正規表現を使用します。

Firefox でサービスエラーを表示する

  1. メニューで、[ツール]、[ウェブ開発者]、[ネットワーク] の順に選択します。

  2. ステータスが 500 の任意の HTTP セッションを選択します。

  3. [レスポンス] タブを選択して、サービス応答を表示します。

ドメインの作成 : VPC アクセスを選択するときに許可されていない操作

Amazon ES コンソールを使用して新しいドメインを作成する場合、パブリックアクセスまたは VPC アクセスを選択するオプションがあります。[VPC アクセス] を選択した場合、Amazon ES は VPC 情報をクエリし、ユーザー認証情報に正しいポリシーが関連付けられていないときには失敗となります。このエラーメッセージは次のとおりです。

You are not authorized to perform this operation. (Service: AmazonEC2; Status Code: 403; Error Code: UnauthorizedOperation

このクエリを有効にするには、ec2:DescribeVpcsec2:DescribeSubnets、および ec2:DescribeSecurityGroups オペレーションへのアクセス権を持っている必要があります。この要件は、コンソールのみを対象としています。AWS CLI を使用して VPC エンドポイントでドメインを作成して設定する場合、この操作へのアクセス権は必要ありません。

ドメインの作成 : VPC アクセスを選択後、読み込みでスタックする

VPC アクセスを使用した新規のドメインを作成後、ドメインの [設定の状態] が [読み込み中] から先に進行しない場合があります。この問題が発生する場合、お使いのリージョンに対して AWS Security Token Service (AWS STS) が無効になっている可能性があります。

VPC に VPC エンドポイントを追加するには、Amazon ES が AWSServiceRoleForAmazonElasticsearchService ロールを引き受ける必要があります。したがって、指定するリージョンに VPC アクセスを使用する新規のドメインを作成するために AWS STS が有効化されている必要があります。AWS STS の有効化と無効化の詳細については、「IAM ユーザーガイド」を参照してください。

SDK: 証明書エラー

AWS SDK ではご使用のコンピュータ上の CA 証明書が使用されるため、AWS サーバー上の証明書が変更されると、SDK を使用しようとした際に接続エラーが発生することがあります。エラーメッセージはさまざまですが、通常は次のテキストが含まれています。

Failed to query Elasticsearch ... SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

このようなエラーは、コンピュータ上の CA 証明書とオペレーティングシステムを最新の状態にしておくことで回避できます。ユーザーが自分のコンピュータを管理していない企業環境でこの問題が発生した場合は、必要に応じて管理者から支援を得て更新プロセスを行う必要があります。

以下のリストは、オペレーティングシステムと Java の最小バージョンを示しています。

  • 2005 年 1 月以降の更新プログラムがインストールされた Microsoft Windows バージョンでは、必要な CA が信頼リストに 1 つ以上含まれています。

  • Mac OS X 10.4 with Java for Mac OS X 10.4 Release 5 (2007 年 2 月)、Mac OS X 10.5 (2007 年 10 月)、および以降のバージョンでは、必要な CA が信頼リストに 1 つ以上含まれています。

  • Red Hat Enterprise Linux 5 (2007 年 3 月)、6、7、および CentOS 5、6、および 7 では、必要な CA がデフォルトの CA 信頼リストに 1 つ以上含まれています。

  • Java 1.4.2_12 (2006 年 5 月)、5 Update 2 (2005 年 3 月)、および以降のすべてのバージョン (Java 6 (2006 年 12 月)、7、8 を含む) では、必要な CA がデフォルトの CA 信頼リストに 1 つ以上含まれています。

以下に示す 3 つの証明機関があります。

  • Amazon Root CA 1

  • Starfield Services Root Certificate Authority - G2

  • Starfield Class 2 Certification Authority

最初の 2 つの機関からのルート証明書は Amazon Trust Services から入手できますが、もっと簡単なソリューションは、コンピュータを最新の状態にしておくことです。ACM から提供される証明書については、AWS Certificate Manager に関するよくある質問を参照してください。

注記

現時点では、us-east-1 リージョン内の Amazon ES ドメインには別の機関からの証明書が使用されます。近い将来、これらの新しい証明機関が使用されるように、リージョンを更新する予定です。