Solucionar problemas do VPC Flow Logs - Amazon Virtual Private Cloud
Registros incompletos de log de fluxoO log de fluxo está ativo, mas não há registro de log de fluxo nem grupo de logsErro “LogDestinationNotFoundException” ou “Access Denied for LogDestination”Exceder o limite de políticas de buckets do Amazon S3LogDestination não pode ser entregue

Solucionar problemas do VPC Flow Logs

Veja a seguir os possíveis problemas que você pode ter ao trabalhar com logs de fluxo.

Registros incompletos de log de fluxo

Problema

Os registros do log de fluxo estão incompletos ou não estão mais sendo publicados.

Causa

Pode haver um problema ao entregar os logs de fluxo para o grupo de logs do CloudWatch Logs.

Solução

Tanto no console do Amazon EC2 quanto no console da Amazon VPC, selecione a guia Flow Logs (Logs de fluxo) do recurso em questão. Para obter mais informações, consulte Visualizar um log de fluxo. A tabela de logs de fluxo exibe qualquer erro na coluna Status. Outra opção é usar o comando describe-flow-logs e verificar o valor retornado no campo DeliverLogsErrorMessage. Um dos erros a seguir pode ser exibido:

  • Rate limited: esse erro poderá ocorrer se o controle de utilização de logs do CloudWatch Logs tiver sido aplicado: quando o número de registros de log de fluxo de uma interface de rede for superior ao número máximo de registros que podem ser publicados em um intervalo de tempo específico. Esse erro também poderá ocorrer se for atingida a cota do número de grupos de logs do CloudWatch Logs que podem ser criados. Para obter mais informações, consulte Service Quotas do CloudWatch no Manual do usuário do Amazon CloudWatch.

  • Access error: esse erro pode ocorrer por um dos seguintes motivos:

    • A função do IAM de seu log de fluxo não tem permissões suficientes para publicar registros de log de fluxo no grupo de logs do CloudWatch.

    • A função do IAM não tem uma relação de confiança com o serviço de logs de fluxo

    • A relação de confiança não especifica o serviço de logs de fluxo como principal

    Para ter mais informações, consulte Perfil do IAM para publicar logs de fluxo no CloudWatch Logs.

  • Unknown error: ocorreu um erro interno nos logs de fluxos.

O log de fluxo está ativo, mas não há registro de log de fluxo nem grupo de logs

Problema

Você criou um log de fluxo. O console da Amazon VPC ou do Amazon EC2 exibe esse log de fluxo como Active. No entanto, não é possível ver nenhum stream de log no CloudWatch Logs nem arquivos de log no bucket do Amazon S3.

Possíveis causas

  • O log de fluxo ainda está sendo criado. Em alguns casos, pode demorar dez minutos ou mais após a criação do log de fluxo para que o grupo de logs seja criado e para que os dados sejam exibidos.

  • Nenhum tráfego foi registrado até o momento para suas interfaces de rede. O grupo de logs no CloudWatch Logs só é criado quando o tráfego é registrado.

Solução

Aguarde alguns minutos para que o grupo de logs seja criado ou para o tráfego ser registrado.

Erro “LogDestinationNotFoundException” ou “Access Denied for LogDestination”

Problema

Você recebe um erro Access Denied for LogDestination ou LogDestinationNotFoundException quando tenta criar um log de fluxo.

Possíveis causas

  • Ao criar um log de fluxo que publica dados em um bucket do Amazon S3, esse erro indica que o bucket do S3 especificado não pôde ser encontrado ou que a política de bucket não permite que logs sejam entregues ao bucket.

  • Ao criar um log de fluxo que publica dados no Amazon CloudWatch Logs, esse erro indica que a função do IAM não permite que os logs sejam entregues ao grupo de logs.

Solução

  • Ao publicar no Amazon S3, verifique se você especificou o ARN de um bucket do S3 existente e se o ARN está no formato correto. Se não for proprietário do bucket do S3, verifique se a política de bucket tem as permissões necessárias e usa o ID da conta e o nome do bucket corretos no ARN.

  • Ao publicar no CloudWatch Logs, verifique se a função do IAM tem as permissões necessárias.

Exceder o limite de políticas de buckets do Amazon S3

Problema

Você obtém o seguinte erro ao tentar criar um log de fluxo: LogDestinationPermissionIssueException.

Possíveis causas

As políticas de buckets do Amazon S3 são limitadas a 20 KB.

Toda vez que você cria um log de fluxo que é publicado em um bucket do Amazon S3, automaticamente adicionamos o ARN do bucket especificado, que inclui o caminho da pasta, ao elemento Resource na política do bucket.

Criar vários logs de fluxo que são publicados no mesmo bucket pode fazer com que você exceda o limite da política do bucket.

Solução

  • Limpe a política de bucket removendo as entradas de log de fluxo que não são mais necessárias.

  • Conceda permissões para o bucket inteiro substituindo as entradas de log de fluxo individuais pelo seguinte.

    arn:aws:s3:::bucket_name/*

    Se você conceder permissões para o bucket inteiro, as novas assinaturas de log de fluxo não adicionam novas permissões à política de bucket.

LogDestination não pode ser entregue

Problema

Você obtém o seguinte erro ao tentar criar um log de fluxo: LogDestination <bucket name> is undeliverable.

Possíveis causas

O bucket de destino do Amazon S3 é criptografado usando a criptografia do lado do servidor com AWS KMS (SSE-KMS) e a criptografia padrão do bucket é um ID de chave do KMS.

Solução

O valor deve ser um ARN de chave do KMS. Altere o tipo de criptografia S3 padrão, de ID da chave KMS para ARN de chave do KMS. Para obter mais informações, consulte Configuração da criptografia padrão no Guia do usuário do Amazon Simple Storage Service.