Enregistrements de journaux de flux incomplets Le journal de flux est actif, mais il n'existe aucun enregistrement de journal de flux ni groupe de journaux Erreur LogDestinationNotFoundException ou Access Denied (accès refusé) pour LogDestination Dépassement de la limite de politique de compartiment Amazon S3 LogDestination non livrable La taille des données des journaux de flux ne correspond pas aux données de facturation

Résoudre les problèmes liés aux journaux de flux de VPC

Voici des problèmes que vous pourriez rencontrer lors de l'utilisation des journaux de flux.

Problèmes

Enregistrements de journaux de flux incomplets
Le journal de flux est actif, mais il n'existe aucun enregistrement de journal de flux ni groupe de journaux
Erreur LogDestinationNotFoundException ou Access Denied (accès refusé) pour LogDestination
Dépassement de la limite de politique de compartiment Amazon S3
LogDestination non livrable
La taille des données des journaux de flux ne correspond pas aux données de facturation

Enregistrements de journaux de flux incomplets

Problème

Vos enregistrements de journaux de flux sont incomplets ou ne sont plus publiés.

Cause

Il est possible que la publication des journaux de flux vers le groupe de journaux CloudWatch Logs pose problème ou que des entrées SkipData soient présentes.

Solution

Consultez l’onglet Journaux de flux du VPC, du sous-réseau ou de l’interface réseau. Notez que vous ne pouvez pas décrire les journaux de flux pour un VPC ou un sous-réseau partagé avec vous. En revanche, vous pouvez décrire les journaux de flux pour une interface réseau que vous créez dans un VPC ou un sous-réseau partagé avec vous. S’il existe des erreurs, elles apparaissent dans la colonne Statut. Vous pouvez aussi utiliser la commande describe-flow-logs et vérifier la valeur qui s'affiche dans le champ DeliverLogsErrorMessage.

Valeurs d’erreur possibles pour le statut :

Rate limited : cette erreur peut se produire si une limitation CloudWatch Logs a été appliquée, lorsque le nombre d'enregistrements de journal de flux pour une interface réseau est supérieur au nombre maximal d'enregistrements susceptibles d'être publiés au cours d'un délai spécifique. Cette erreur peut également se produire si vous avez atteint le quota du nombre de groupes de journaux CloudWatch Logs que vous pouvez créer. Pour plus d’informations, consultez CloudWatch service quotas dans le Guide d’utilisation d’Amazon CloudWatch.
Access error : cette erreur se produit dans les conditions suivantes :
- Le rôle IAM de votre journal de flux ne dispose pas des autorisations suffisantes pour publier des enregistrements de journal de flux dans le groupe de journaux CloudWatch.
- Le rôle IAM n'a pas de relation d'approbation avec le service des journaux de flux.
- La relation d'approbation ne spécifie pas le service des journaux de flux comme principal
Pour de plus amples informations, consultez Rôle IAM pour la publication des journaux de flux vers CloudWatch Logs.
Unknown error : une erreur interne s'est produite dans le service de journaux de flux.

Le journal de flux est actif, mais il n'existe aucun enregistrement de journal de flux ni groupe de journaux

Problème

Vous avez créé un journal de flux et la console Amazon VPC ou Amazon EC2 l'affiche comme étant Active. Toutefois, vous ne pouvez pas voir les flux de journal dans CloudWatch Logs ou les fichiers journaux dans votre compartiment Amazon S3.

Causes possibles :

Le journal de flux est toujours en cours de création. Dans certains cas, la création du groupe de journaux et l'affichage des données peuvent prendre plus de dix minutes après la création du journal de flux.
Aucun trafic n'a encore été enregistré pour vos interfaces réseau. Le groupe de journaux dans CloudWatch Logs n'est créé que lorsque le trafic est enregistré.

Solution

Attendez quelques minutes que le groupe de journaux soit créé ou que le trafic soit enregistré.

Erreur LogDestinationNotFoundException ou Access Denied (accès refusé) pour LogDestination

Problème

Vous obtenez une erreur Access Denied for LogDestination ou une erreur LogDestinationNotFoundException lorsque vous créez un journal de flux.

Causes possibles :

Lorsque vous créez un journal de flux qui publie des données dans un compartiment Amazon S3, cette erreur indique que le compartiment S3 spécifié est introuvable ou que la politique de compartiment n'autorise pas la publication des journaux dans le compartiment.
Lorsque vous créez un journal de flux qui publie des données dans Amazon CloudWatch Logs, cette erreur indique que le rôle IAM n'autorise pas la publication des journaux dans le groupe de journaux.

Solution

Lors de la publication dans Amazon S3, assurez-vous d'avoir spécifié l'ARN d'un compartiment S3 existant et que son format est correct. Si vous ne possédez pas le compartiment S3, vérifiez que la politique de compartiment possède les autorisations requises et utilise l'ID de compte et le nom de compartiment corrects dans l'ARN.
Lorsque vous publiez dans CloudWatch Logs, vérifiez que le rôle IAM dispose des autorisations nécessaires.

Dépassement de la limite de politique de compartiment Amazon S3

Problème

Vous recevez le message d'erreur suivant lorsque vous essayez de créer un journal de flux : LogDestinationPermissionIssueException.

Causes possibles :

La taille des politiques de compartiment Amazon S3 est limitée à 20 Ko.

Chaque fois que vous créez un journal de flux publié dans un compartiment Amazon S3, nous ajoutons automatiquement l'ARN de compartiment spécifié, qui inclut le chemin du dossier, à l'élément Resource dans la politique de compartiment.

Si vous créez plusieurs journaux de flux publiés dans le même compartiment, vous risquez de dépasser la limite de la politique de compartiment.

Solution

Nettoyez la politique de compartiment en supprimant les entrées de journal de flux qui ne sont plus nécessaires.
Accordez des autorisations au compartiment complet en remplaçant les entrées de journal de flux individuelles par ce qui suit.
```
arn:aws:s3:::bucket_name/*
```
Si vous accordez des autorisations au compartiment complet, les nouveaux abonnements de journal de flux n'ajoutent pas de nouvelles autorisations à la politique de compartiment.

LogDestination non livrable

Problème

Vous recevez le message d'erreur suivant lorsque vous essayez de créer un journal de flux : LogDestination <bucket name> is undeliverable.

Causes possibles :

Le compartiment Amazon Simple Storage (Amazon S3) est chiffré au moyen d'un chiffrement côté serveur avec AWS KMS (SSE-KMS) et le chiffrement par défaut du compartiment est un ID de clé KMS.

Solution

La valeur doit être un ARN de clé KMS. Modifiez le type de chiffrement S3 par défaut d'un ID de clé KMS en ARN de la clé KMS. Pour plus d'informations, consultez Configuration du chiffrement par défaut dans le Guide de l'utilisateur Amazon Simple Storage Service.

La taille des données des journaux de flux ne correspond pas aux données de facturation

Problème

La taille totale des données de vos journaux de flux ne correspond pas à la taille indiquée dans les données de facturation.

Causes possibles :

Vos journaux de flux contiennent peut-être des entrées SKIPDATA. Consultez Aucune donnée et enregistrements ignorés pour en savoir plus sur les entrées SKIPDATA.

Solution

Vérifiez que vos entrées de journal contiennent des entrées SKIPDATA en exécutant différentes requêtes dans le champ log-status.

Exemples de requêtes pour la recherche d’entrées SKIPDATA :

CW Insights :


fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus

Athena :


SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exécuter une requête prédéfinie

Métriques CloudWatch