Record del log di flusso incompleti Log di flusso attivo, ma nessun record di log di flusso o gruppo di log Errore ’LogDestinationNotFoundException’ o ’Accesso negato per LogDestination ’Superamento del limite di policy del bucket Amazon S3 LogDestination non distribuibile Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione

Risoluzione dei problemi relativi ai log di flusso VPC

Di seguito sono elencati i problemi che si potrebbero riscontrare durante l’utilizzo di log di flusso.

Problemi

Record del log di flusso incompleti
Log di flusso attivo, ma nessun record di log di flusso o gruppo di log
Errore ’LogDestinationNotFoundException’ o ’Accesso negato per LogDestination ’
Superamento del limite di policy del bucket Amazon S3
LogDestination non distribuibile
Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione

Record del log di flusso incompleti

Problema

I record dei log di flusso sono incompleti o non vengono più pubblicati.

Causa

Potrebbe esserci un problema nella distribuzione dei flussi di log nel gruppo di log CloudWatch Logs o potrebbero esserci delle voci SkipData.

Soluzione

Controlla la scheda Log di flusso per l’interfaccia di VPC, sottorete o rete. Tieni presente che non puoi descrivere i log di flusso per un VPC o una sottorete che è stata condivisa con te, ma puoi descrivere i log di flusso per un’interfaccia di rete che crei in un VPC o in una sottorete che è stata condivisa con te. Gli eventuali errori appaiono nella colonna Stato. In alternativa, utilizza il comando describe-flow-logs e verifica il valore restituito nel campo DeliverLogsErrorMessage.

Di seguito sono riportati i valori possibili per lo stato:

Rate limited: questo errore può verificarsi se è stato applicato il throttling di CloudWatch Logs, quando il numero di record di log di flusso per un’interfaccia di rete è superiore al numero massimo di record che è possibile pubblicare all’interno di un intervallo temporale specifico. Questo errore può verificarsi anche se è stata raggiunta la quota del numero di gruppi di log di CloudWatch Logs che possono essere creati. Per maggiori informazioni, consulta Service Quotas di CloudWatch nella Guida per l’utente di Amazon CloudWatch.
Access error: questo errore può verificarsi per uno dei seguenti motivi:
- Il ruolo IAM per il log di flusso non dispone di autorizzazioni sufficienti per pubblicare record di log di flusso nel gruppo di log CloudWatch Logs.
- Il ruolo IAM non ha una relazione di trust con il servizio dei log di flusso.
- La relazione di trust non specifica il servizio di log di flusso come entità principale.
Per ulteriori informazioni, consulta Ruolo IAM per la pubblicazione di log di flusso in File di log CloudWatch.
Unknown error: si è verificato un errore interno nel servizio log di flusso.

Log di flusso attivo, ma nessun record di log di flusso o gruppo di log

Problema

Hai creato un flusso di log e la console Amazon VPC o Amazon EC2; visualizza il log di flusso come Active. Tuttavia, non è possibile visualizzare alcun flusso di log in CloudWatch Logs o nei file di registro nel bucket Amazon S3.

Possibili cause

Il flusso di log è ancora in corso di creazione. In alcuni casi, dopo che il flusso di log è stato creato possono essere richiesti fino a 10 minuti o più per creare il gruppo di log e per visualizzare i dati.
Non è ancora stato registrato alcun traffico per le interfacce di rete. Il gruppo di log in CloudWatch Logs viene creato solo quando viene registrato il traffico.

Soluzione

Attendi alcuni minuti per la creazione del gruppo di log o per la registrazione del traffico.

Errore ’LogDestinationNotFoundException’ o ’Accesso negato per LogDestination ’

Problema

Viene visualizzato un errore Access Denied for LogDestination o LogDestinationNotFoundException quando si tenta di creare un flusso di log.

Possibili cause

Quando si crea un flusso di log che pubblica i dati in un bucket Amazon S3, questo errore indica che non è stato possibile trovare il bucket S3 specificato o che la policy del bucket non permette di inviare i log al bucket.
Quando si crea un flusso di log che pubblica i dati in Amazon CloudWatch Logs, questo errore indica che il ruolo IAM non consente la distribuzione dei log al gruppo di log.

Soluzione

Quando si pubblica in Amazon S3, verifica di aver specificato l’ARN di un bucket S3 esistente e che l’ARN sia nel formato corretto. Se non si possiede il bucket S3, verifica che la policy del bucket disponga delle autorizzazioni richieste e utilizzi l’ID account e il nome del bucket corretti nell’ARN.
Quando si pubblica in CloudWatch Logs, verifica che il Ruolo IAM possieda le autorizzazioni richieste.

Superamento del limite di policy del bucket Amazon S3

Problema

Ricevi il seguente errore quando provi a creare un log di flusso: LogDestinationPermissionIssueException.

Possibili cause

Le dimensioni delle policy dei bucket Amazon S3 sono limitate a 20 KB.

Ogni volta che viene creato un log di flusso che pubblica in un bucket Amazon S3, l’ARN del bucket specificato, che include il percorso della cartella, viene aggiunto automaticamente all’elemento Resource nella policy di bucket.

Creare log di flusso multipli che pubblicano nello stesso bucket potrebbe causare il superamento dei limiti della policy di bucket.

Soluzione

Ripulisci la policy del bucket rimuovendo le voci del flusso di log non più necessarie.
Concedere autorizzazioni all’intero bucket sostituendo le singole voci del log di flusso con quanto segue.
```
arn:aws:s3:::bucket_name/*
```
Se si concedono autorizzazioni all’intero bucket, nuove sottoscrizioni al log di flusso non aggiungono nuove autorizzazioni alla policy di bucket.

LogDestination non distribuibile

Problema

Ricevi il seguente errore quando provi a creare un log di flusso: LogDestination <bucket name> is undeliverable.

Possibili cause

Il bucket Amazon S3 di destinazione viene crittografato utilizzando la crittografia lato server con AWS KMS (SSE-KMS) e la crittografia predefinita del bucket è un ID chiave KMS.

Soluzione

Il valore deve essere l’ARN di una chiave KMS. Cambia il tipo di crittografia S3 predefinita dall’ID chiave KMS ad ARN della chiave KMS. Per ulteriori informazioni, consulta Configurazione della crittografia predefinita nella Guida per l’utente di Amazon Simple Storage Service.

Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione

Problema

La dimensione totale dei dati dei log di flusso non corrisponde alla dimensione riportata dai dati di fatturazione.

Possibili cause

È possibile che nei log di flusso siano presenti delle voci SKIPDATA. Consulta Nessun dato e record ignorati per una spiegazione in merito alle voci SKIPDATA.

Soluzione

Conferma che le voci SKIPDATA siano presenti nelle voci di log eseguendo query nei log per individuare voci diverse nel campo log-status.

Esempi di query per verificare la presenza di SKIPDATA:

Informazioni dettagliate di CW:


fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus

Athena:


SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esecuzione di una query predefinita

Metriche CloudWatch