Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione dei problemi relativi ai log di flusso VPC
Di seguito sono elencati i problemi che si potrebbero riscontrare durante l’utilizzo di log di flusso.
**Topics**
+ [Record del log di flusso incompleti](#flow-logs-troubleshooting-incomplete-records)
+ [Log di flusso attivo, ma nessun record di log di flusso o gruppo di log](#flow-logs-troubleshooting-no-log-group)
+ ['LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'errore](#flow-logs-troubleshooting-not-found)
+ [Superamento del limite di policy del bucket Amazon S3](#flow-logs-troubleshooting-policy-limit)
+ [LogDestination non consegnabile](#flow-logs-troubleshooting-kms-id)
+ [Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione](#flow-logs-data-size-mismatch)
## Record del log di flusso incompleti
**Problema**
I record dei log di flusso sono incompleti o non vengono più pubblicati.
**Causa**
Potrebbe esserci un problema nel recapitare i log di flusso al gruppo CloudWatch Logs log o [potrebbero essere SkipData presenti delle voci](flow-logs-records-examples.md#flow-log-example-no-data).
**Soluzione**
Controlla la scheda **Log di flusso** per l’interfaccia di VPC, sottorete o rete. Tieni presente che non puoi descrivere i log di flusso per un VPC o una sottorete che è stata condivisa con te, ma puoi descrivere i log di flusso per un’interfaccia di rete che crei in un VPC o in una sottorete che è stata condivisa con te. Gli eventuali errori appaiono nella colonna **Stato**. In alternativa, utilizza il comando [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) e verifica il valore restituito nel campo `DeliverLogsErrorMessage`.
Di seguito sono riportati i valori possibili per lo stato:
+ `Rate limited`: Questo errore può verificarsi se è stata applicata la limitazione dei CloudWatch log, ovvero quando il numero di record del log di flusso per un'interfaccia di rete è superiore al numero massimo di record che possono essere pubblicati entro un periodo di tempo specifico. Questo errore può verificarsi anche se è stata raggiunta la quota per il numero di gruppi di log dei CloudWatch log che è possibile creare. Per ulteriori informazioni, consulta le [quote CloudWatch di servizio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) nella *Amazon CloudWatch User Guide*.
+ `Access error`: questo errore può verificarsi per uno dei seguenti motivi:
+ Il ruolo IAM per il log di flusso non dispone di autorizzazioni sufficienti per pubblicare i record del log di flusso nel CloudWatch gruppo di log
+ Il ruolo IAM non ha una relazione di trust con il servizio dei log di flusso.
+ La relazione di trust non specifica il servizio di log di flusso come entità principale.
Per ulteriori informazioni, consulta [Ruolo IAM per la pubblicazione dei log di flusso su Logs CloudWatch](flow-logs-iam-role.md).
+ `Unknown error`: si è verificato un errore interno nel servizio log di flusso.
## Log di flusso attivo, ma nessun record di log di flusso o gruppo di log
**Problema**
Hai creato un flusso di log e la console Amazon VPC o Amazon EC2; visualizza il log di flusso come `Active`. Tuttavia, non è possibile visualizzare alcun flusso di log in CloudWatch Logs o file di log nel bucket Amazon S3.
**Possibili cause**
+ Il flusso di log è ancora in corso di creazione. In alcuni casi, dopo che il flusso di log è stato creato possono essere richiesti fino a 10 minuti o più per creare il gruppo di log e per visualizzare i dati.
+ Non è ancora stato registrato alcun traffico per le interfacce di rete. Il gruppo di log in CloudWatch Logs viene creato solo quando viene registrato il traffico.
**Soluzione**
Attendi alcuni minuti per la creazione del gruppo di log o per la registrazione del traffico.
## 'LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'errore
**Problema**
Viene visualizzato un errore `Access Denied for LogDestination` o `LogDestinationNotFoundException` quando si tenta di creare un flusso di log.
**Possibili cause**
+ Quando si crea un flusso di log che pubblica i dati in un bucket Amazon S3, questo errore indica che non è stato possibile trovare il bucket S3 specificato o che la policy del bucket non permette di inviare i log al bucket.
+ Quando si crea un log di flusso che pubblica dati su Amazon CloudWatch Logs, questo errore indica che il ruolo IAM non consente la consegna dei log al gruppo di log.
**Soluzione**
+ Quando si pubblica in Amazon S3, verifica di aver specificato l’ARN di un bucket S3 esistente e che l’ARN sia nel formato corretto. Se non si possiede il bucket S3, verifica che la [policy del bucket](flow-logs-s3-permissions.md) disponga delle autorizzazioni richieste e utilizzi l’ID account e il nome del bucket corretti nell’ARN.
+ Durante la pubblicazione su CloudWatch Logs, verifica che il [ruolo IAM disponga delle autorizzazioni](flow-logs-iam-role.md) richieste.
## Superamento del limite di policy del bucket Amazon S3
**Problema**
Ricevi il seguente errore quando provi a creare un log di flusso: `LogDestinationPermissionIssueException`.
**Possibili cause**
Le dimensioni delle policy dei bucket Amazon S3 sono limitate a 20 KB.
Ogni volta che viene creato un log di flusso che pubblica in un bucket Amazon S3, l’ARN del bucket specificato, che include il percorso della cartella, viene aggiunto automaticamente all’elemento `Resource` nella policy di bucket.
Creare log di flusso multipli che pubblicano nello stesso bucket potrebbe causare il superamento dei limiti della policy di bucket.
**Soluzione**
+ Ripulisci la policy del bucket rimuovendo le voci del flusso di log non più necessarie.
+ Concedere autorizzazioni all’intero bucket sostituendo le singole voci del log di flusso con quanto segue.
```
arn:aws:s3:::{{bucket_name/*}}
```
Se si concedono autorizzazioni all’intero bucket, nuove sottoscrizioni al log di flusso non aggiungono nuove autorizzazioni alla policy di bucket.
## LogDestination non consegnabile
**Problema**
Ricevi il seguente errore quando provi a creare un log di flusso: `LogDestination is undeliverable`.
**Possibili cause**
Il bucket Amazon S3 di destinazione è crittografato utilizzando la crittografia lato server con AWS KMS (SSE-KMS) e la crittografia predefinita del bucket è un ID chiave KMS.
**Soluzione**
Il valore deve essere l’ARN di una chiave KMS. Cambia il tipo di crittografia S3 predefinita dall’ID chiave KMS ad ARN della chiave KMS. Per ulteriori informazioni, consulta [Configurazione della crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) nella *Guida per l’utente di Amazon Simple Storage Service*.
## Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione
**Problema**
La dimensione totale dei dati dei log di flusso non corrisponde alla dimensione riportata dai dati di fatturazione.
**Possibili cause**
È possibile che nei log di flusso siano presenti delle voci SKIPDATA. Consulta [Nessun dato e record ignorati](flow-logs-records-examples.md#flow-log-example-no-data) per una spiegazione in merito alle voci SKIPDATA.
**Soluzione**
Conferma che le voci SKIPDATA siano presenti nelle voci di log eseguendo query nei log per individuare voci diverse nel campo log-status.
Esempi di query per verificare la presenza di SKIPDATA:
Informazioni dettagliate di CW:
```
fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus
```
Athena:
```
SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id
```