Protokollierung konfigurierbarer AD-Synchronisierungsfehler - AWS IAM Identity Center
Um konfigurierbare AD-Synchronisierungsfehlerprotokolle zu aktivierenUm konfigurierbare AD-Synchronisierungsfehlerprotokolle zu deaktivierenKonfigurierbare Protokollfelder für AD-SynchronisierungsfehlerBeispiele für konfigurierbare AD-Synchronisierungsfehlerprotokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollierung konfigurierbarer AD-Synchronisierungsfehler

Sie können die Protokollierung für Ihre konfigurierbaren Active Directory-Synchronisierungskonfigurationen (AD) aktivieren, um Protokolle mit Informationen über Fehler zu erhalten, die während des Synchronisierungsvorgangs auftreten können. Mit diesen Protokollen können Sie überwachen, ob ein Problem mit Ihrer konfigurierbaren AD-Synchronisierung vorliegt, und gegebenenfalls Maßnahmen ergreifen. Sie können Ihre Protokolle an eine CloudWatch Amazon-Logs-Protokollgruppe, einen Amazon Simple Storage Service (Amazon S3) -Bucket oder einen Amazon Data Firehose senden, wobei die kontoübergreifende Zustellung für Amazon S3-Buckets und Firehose unterstützt.

Weitere Informationen zu Einschränkungen, Berechtigungen und bereitgestellten Protokollen finden Sie unter Aktivieren der Protokollierung von. AWS-Services

Anmerkung

Die Protokollierung wird Ihnen in Rechnung gestellt. Weitere Informationen finden Sie unter Vending Logs auf der Seite mit den CloudWatch Amazon-Preisen.

Um konfigurierbare AD-Synchronisierungsfehlerprotokolle zu aktivieren

  1. Melden Sie sich bei der IAM Identity Center-Konsole an.

  2. Wählen Sie Einstellungen aus.

  3. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“, dann „Aktionen“ und anschließend „Protokolle verwalten“.

  4. Wählen Sie „Protokollzustellung hinzufügen“ und einen der folgenden Zieltypen aus.

    1. Wählen Sie To Amazon CloudWatch Logs. Wählen Sie dann die Ziel-Protokollgruppe aus oder geben Sie sie ein.

    2. Wählen Sie Zu Amazon S3. Wählen Sie dann den Ziel-Bucket aus oder geben Sie ihn ein.

    3. Wählen Sie To Firehose. Wählen Sie dann den Ziel-Lieferstream aus oder geben Sie ihn ein.

  5. Wählen Sie Absenden aus.

Um konfigurierbare AD-Synchronisierungsfehlerprotokolle zu deaktivieren

  1. Melden Sie sich bei der IAM Identity Center-Konsole an.

  2. Wählen Sie Einstellungen aus.

  3. Wählen Sie auf der Seite „Einstellungen“ die Registerkarte „Identitätsquelle“, dann „Aktionen“ und anschließend „Protokolle verwalten“.

  4. Wählen Sie Entfernen für das zu entfernende Ziel Entfernen aus.

  5. Wählen Sie Absenden aus.

Konfigurierbare Protokollfelder für AD-Synchronisierungsfehler

In der folgenden Liste finden Sie mögliche Fehlerprotokollfelder.

sync_profile_name

Der Name des Synchronisierungsprofils.

error_code

Der Fehlercode, der angibt, welche Art von Fehler aufgetreten ist.

error_message

Eine Meldung mit ausführlichen Informationen über den aufgetretenen Fehler.

sync_source

Die Synchronisierungsquelle ist der Ort, von dem aus Entitäten synchronisiert werden. Für IAM Identity Center ist dies ein Active Directory (AD), das von verwaltet wird. AWS Directory Service Die Synchronisierungsquelle enthält die Domain und den ARN des betroffenen Verzeichnisses.

sync_target

Das Synchronisierungsziel ist das Ziel, an dem Entitäten gespeichert werden. Für IAM Identity Center ist dies ein Identity Store. Das Synchronisierungsziel enthält den betroffenen Identity Store-ARN.

source_entity_id

Eine eindeutige ID für die Entität, von der der Fehler stammt. Für IAM Identity Center ist dies die SID der Entität.

source_entity_type

Der Typ der Entität, die den Fehler verursacht hat. Dabei kann es sich um den Wert USER oder GROUP handeln.

eventTimestamp

Der Zeitstempel, zu dem der Fehler aufgetreten ist.

Beispiele für konfigurierbare AD-Synchronisierungsfehlerprotokolle

Beispiel 1: Ein Fehlerprotokoll für ein abgelaufenes Passwort für ein AD-Verzeichnis

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "InvalidDirectoryCredentials", 
        "error_message": "The password for your AD directory has expired. Please reset the password to allow Identity Sync to access the directory." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:123456789:directory/d-123456",
        "domain": "EXAMPLE.com" 
    },
    "eventTimestamp": "1683355579981"
}

Beispiel 2: Ein Fehlerprotokoll für einen Benutzer mit einem nicht eindeutigen Benutzernamen

{
    "sync_profile_name": "EXAMPLE-PROFILE-NAME",
    "error" : {
        "error_code": "ConflictError", 
        "error_message": "The source entity has a username conflict with the sync target. Please verify that the source identity has a unique username in the target." 
    },
    "sync_source": {
        "arn": "arn:aws:ds:us-east-1:111122223333:directory/d-123456",
        "domain": "EXAMPLE.com"
    },
    "sync_target": {
        "arn": "arn:aws:identitystore::111122223333:identitystore/d-123456" 
    },
    "source_entity_id": "SID-1234",
    "source_entity_type": "USER",
    "eventTimestamp": "1683355579981"
}