Amazon Virtual Private Cloud
ユーザーガイド

トラブルシューティング

フローログを操作する際、発生する可能性のある問題を以下に示します。

不完全なフローログレコード

フローログレコードが不完全であるか、発行されなくなった場合、フローログの CloudWatch Logs ロググループへの提供に問題がある可能性があります。Amazon EC2 コンソールまたは Amazon VPC コンソールで、関連するリソースの [フローログ] タブを選択します。詳細については、「フローログの表示」を参照してください。フローログの表で、エラーは [Status] 列に表示されます。または、describe-flow-logs コマンドを使用し、DeliverLogsErrorMessage フィールドに返された値を確認します。次のいずれかのエラーが表示される場合があります。

  • Rate limited: このエラーは、CloudWatch ログの調整が適用されている場合に発生することがあります。ネットワークインターフェイスのフローログのレコード数が、特定の期間内に発行できるレコードの最大数より多い場合などが該当します。このエラーは、作成できる CloudWatch Logs ロググループの数が制限に達した場合にも発生することがあります。詳細については、Amazon CloudWatch ユーザーガイドの「CloudWatch の制限」を参照してください。

  • Access error: フローログの IAM ロールに、CloudWatch ロググループにフローログレコードを発行するための十分なアクセス権限がありません。詳細については、「CloudWatch Logs へのフローログ発行のための IAM ロール」を参照してください。

  • Unknown error: 内部エラーがフローログサービスで発生しました。

フローログが有効でも、フローログレコードまたはロググループがない

フローログを作成し、Amazon VPC または Amazon EC2 コンソールにフローログが Active と表示されます。ただし、CloudWatch Logs のログストリームや、Amazon S3 バケットのログファイルは表示できない場合があります。原因は、次のいずれかである可能性があります。

  • フローログはまだ作成中です。場合によっては、対象のロググループのフローログを作成してから、データが表示されるまでに 10 分以上かかることがあります。

  • ネットワークインターフェイスに対して記録されたトラフィックがまだありません。CloudWatch Logs のロググループは、トラフィックの記録時にのみ作成されます。

エラー: LogDestinationNotFoundException

データを Amazon S3 バケットに発行するフローログを作成するときに、このエラーが発生する場合があります。このエラーは、指定された S3 バケットが見つからないことを示します。

このエラーを解決するには、既存の S3 バケットの ARN を指定したこと、および ARN が正しい形式であることを確認します。

Amazon S3 バケットポリシーの制限の超過

Amazon S3 バケットポリシーのサイズは 20 KB に制限されています。

Amazon S3 バケットに発行するフローログを作成するたびに、指定されたバケットの ARN (フォルダパスを含む) がバケットのポリシーの Resource 要素に自動的に追加されます。

同じバケットに発行する複数のフローログを作成すると、バケットポリシーの制限を超える可能性があります。バケットポリシーの制限を超えると LogDestinationPermissionIssueException エラーが発生します。

バケットポリシーの制限を超えたためにこのエラーが発生した場合は、次のいずれかを実行します。

  • 不要になったフローログエントリを削除して、バケットのポリシーをクリーンアップします。

  • 個々のフローログエントリを以下で置き換えて、バケット全体にアクセス権限を付与します。

    arn:aws:s3:::bucket_name/*

    バケット全体にアクセス権限を付与した場合、新しいフローログのサブスクリプションによってバケットポリシーに新しいアクセス権限が追加されることはありません。