Amazon Virtual Private Cloud
사용 설명서

문제 해결

다음은 플로우 로그로 작업할 때 발생할 수 있는 문제입니다.

불완전한 흐름 로그 레코드

사용자의 흐름 로그 레코드가 불완전하거나 더 이상 게시되지 않는 경우, CloudWatch Logs 로그 그룹에 흐름 로그를 전달하는 데 문제가 있을 수 있습니다. Amazon EC2 콘솔 또는 Amazon VPC 콘솔에서 해당 리소스에 대한 플로우 로그 탭을 확인합니다. 자세한 정보는 흐름 로그 확인 단원을 참조하십시오. 흐름 로그 테이블의 [Status] 열에는 오류가 표시됩니다. 또는 describe-flow-logs 명령을 사용하여 DeliverLogsErrorMessage 필드에 반환된 값을 확인하십시오. 다음 중 하나의 오류가 표시될 수 있습니다.

  • Rate limited: 이 오류는 CloudWatch 로그 조절이 적용된 경우 — 즉, 네트워크 인터페이스에 대한 플로우 로그 레코드의 수가 특정 시간 범위 내에 게시될 수 있는 최대 레코드의 수보다 많을 경우에 발생할 수 있습니다. 이 오류는 만들 수 있는 CloudWatch Logs 로그 그룹 수의 제한에 도달한 경우에도 발생할 수 있습니다. 자세한 정보는 Amazon CloudWatch 사용 설명서CloudWatch 제한을 참조하십시오.

  • Access error: 흐름 로그에 대한 IAM 역할에 CloudWatch 로그 그룹에 흐름 로그를 게시할 권한이 없습니다. 자세한 정보는 CloudWatch Logs에 플로우 로그를 게시하기 위한 IAM 역할 단원을 참조하십시오.

  • Unknown error: 흐름 로그 서비스에서 내부 오류가 발생했습니다.

흐름 로그가 활성화되었지만 흐름 로그 레코드 또는 로그 그룹이 없음

흐름 로그를 생성하면 Amazon VPC 또는 Amazon EC2 콘솔에 흐름 로그가 Active로 표시됩니다. 하지만 CloudWatch Logs에서 어떠한 로그 스트림도 볼 수 없거나 Amazon S3 버킷에서 로그 파일을 볼 수 없습니다. 원인은 다음 중 하나일 수 있습니다.

  • 흐름 로그가 아직 생성되는 중입니다. 경우에 따라 플로우 로그를 생성한 후 로그 그룹이 생성되고 데이터가 표시되기까지 10분 이상 걸릴 수 있습니다.

  • 네트워크 인터페이스에 대해 기록된 트래픽이 아직 없습니다. CloudWatch Logs의 로그 그룹은 트래픽이 기록될 경우에만 생성됩니다.

오류: LogDestinationNotFoundException

데이터를 Amazon S3 버킷에 게시하는 플로우 로그를 생성할 때 이 오류 코드가 뜰 수 있습니다. 이 오류 코드는 지정한 S3 버킷을 찾을 수 없음을 표시합니다.

이 오류를 해결하려면 기존 S3 버킷에 ARN을 지정했는지, 그리고 그 ARN의 형식이 올바른지 확인해야 합니다.

Amazon S3 버킷 정책 제한 초과

Amazon S3버킷 정책은 크기가 20KB로 제한됩니다.

Amazon S3 버킷에 게시하는 플로우 로그를 생성할 때마다, 폴더 경로를 포함하는 지정된 버킷 ARN을 버킷 정책의 Resource 요소에 자동으로 추가합니다.

동일한 버킷에 게시하는 여러 개의 플로우 로그를 생성하면 버킷 정책 제한을 초과할 수 있습니다. 버킷 정책 제한을 초과할 경우 LogDestinationPermissionIssueException 오류가 발생합니다.

버킷 정책 제한을 초과하여 이 오류 메시지를 받은 경우 다음 중 하나를 수행하십시오.

  • 더 이상 필요 없는 플로우 로그 항목을 제거하여 버킷의 정책을 정리합니다.

  • 개별 플로우 로그 항목을 다음으로 대체하여 전체 버킷에 권한을 부여합니다.

    arn:aws:s3:::bucket_name/*

    전체 버킷에 권한을 부여할 경우, 새 플로우 로그 구독이 버킷 정책에 새 권한을 추가합니다.