VPC フローログトラブルシューティング - Amazon Virtual Private Cloud
不完全なフローログレコードフローログが有効でも、フローログレコードまたはロググループがない「LogDestinationNotFoundException」または「Access Denied for LogDestination」エラーAmazon S3 バケットポリシーの制限の超過LogDestination が配信できない

VPC フローログトラブルシューティング

フローログを操作する際、発生する可能性のある問題を以下に示します。

不完全なフローログレコード

問題

フローログレコードが不完全であるか、公開されていません。

原因

CloudWatch Logs ロググループへのフローログの配信に問題がある可能性があります。

ソリューション

Amazon EC2 コンソールまたは Amazon VPC コンソールで、関連するリソースの [フローログ] タブを選択します。フローログの表で、エラーは [Status] 列に表示されます。または、describe-flow-logs コマンドを使用し、DeliverLogsErrorMessage フィールドに返された値を確認します。次のいずれかのエラーが表示される場合があります。

  • Rate limited: このエラーは、CloudWatch Logs のスロットリングが適用されている場合に発生することがあります。ネットワークインターフェイスのフローログのレコード数が、特定の期間内に発行できるレコードの最大数より多い場合などが該当します。このエラーは、作成できる CloudWatch Logs ロググループの数がクォータに達した場合にも発生することがあります。詳細については、Amazon CloudWatch ユーザーガイドの「CloudWatch Service Quotas」を参照してください。

  • Access error: このエラーは、次のいずれかの原因で発生することがあります。

    • フローログの IAM ロールに、CloudWatch Logs ロググループにフローログレコードを発行するための十分なアクセス許可がありません。

    • IAM ロールにフローログサービスとの信頼関係がない

    • 信頼関係によりフローログサービスがプリンシパルとして指定されていない

    詳細については、「CloudWatch Logs へのフローログ発行のための IAM ロール」を参照してください。

  • Unknown error: 内部エラーがフローログサービスで発生しました。

フローログが有効でも、フローログレコードまたはロググループがない

問題

フローログを作成すると、Amazon VPC または Amazon EC2 コンソールにフローログが Active として表示されます。ただし、CloudWatch Logs のログストリームや、Amazon S3 バケットのログファイルは表示できない場合があります。

考えられる原因

  • フローログはまだ作成中である。場合によっては、ロググループのフローログを作成してからデータが表示されるまでに、10 分以上かかることがあります。

  • ネットワークインターフェイスに対して記録されたトラフィックがまだありません。CloudWatch Logs のロググループは、トラフィックの記録時にのみ作成されます。

ソリューション

ロググループが作成されるか、トラフィックが記録されるまで数分待ちます。

「LogDestinationNotFoundException」または「Access Denied for LogDestination」エラー

問題

フローログを作成すると、Access Denied for LogDestination または LogDestinationNotFoundException エラーが発生します。

考えられる原因

  • Amazon S3 バケットにデータを発行するフローログを作成している場合、このエラーは、指定された S3 バケットが見つからないか、バケットポリシーでバケットへのログの配信が許可されていないことを示します。

  • Amazon CloudWatch Logs にデータを発行するフローログを作成している場合、このエラーは、IAM ロールでロググループへのログの配信が許可されていないことを示します。

ソリューション

  • Amazon S3 に配信する場合、既存の S3 バケットの ARN を指定したこと、および ARN が正しい形式であることを確認します。S3 バケットを所有していない場合は、バケットポリシーに必要な許可があり、ARN に正しいアカウント ID とバケット名が使用されていることを確認します。

  • CloudWatch Logs に配信する場合は、IAM ロールに必要な許可があることを確認します。

Amazon S3 バケットポリシーの制限の超過

問題

フローログを作成しようとすると、LogDestinationPermissionIssueException エラーが発生します。

考えられる原因

Amazon S3 バケットポリシーのサイズは 20 KB に制限されています。

Amazon S3 バケットに発行するフローログを作成するたびに、指定されたバケットの ARN (フォルダパスを含む) がバケットのポリシーの Resource 要素に自動的に追加されます。

同じバケットに発行する複数のフローログを作成すると、バケットポリシーの制限を超える可能性があります。

ソリューション

  • 不要になったフローログエントリを削除して、バケットのポリシーをクリーンアップします。

  • 個々のフローログエントリを以下で置き換えて、バケット全体にアクセス権限を付与します。

    arn:aws:s3:::bucket_name/*

    バケット全体にアクセス権限を付与した場合、新しいフローログのサブスクリプションによってバケットポリシーに新しいアクセス権限が追加されることはありません。

LogDestination が配信できない

問題

フローログを作成しようとすると、LogDestination <bucket name> is undeliverable エラーが発生します。

考えられる原因

ターゲットの Amazon S3 バケットは、AWS KMS (SSE-KMS) によるサーバー側の暗号化を使って暗号化されます。バケットのデフォルトの暗号化は KMS キー ID です。

ソリューション

値は KMS キー ARN である必要があります。デフォルトの S3 暗号化タイプを KMS キー ID から KMS キー ARN に変更してください。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「デフォルト暗号化の設定」を参照してください。