VPC 流日志疑难解答
下面是您在使用流日志时可能遇到的问题。
问题
未完成的流日志记录
问题
您的流日志记录不完整,或者已不再发布。
原因
将流日志传送到 CloudWatch Logs 日志组时可能会出现问题。
解决方案
在 Amazon EC2 控制台或 Amazon VPC 控制台中,选择 Flow Logs (流日志) 以获取相关资源。流日志表显示 Status(状态)列中的所有错误。或者,使用 describe-flow-logs 命令,然后检查 DeliverLogsErrorMessage
字段中返回的值。可能会显示以下错误之一:
-
Rate limited
:如果应用了 CloudWatch Logs 日志限制,则当某个网络接口的流日志记录数超过了可以在特定时间范围内发布的最大记录数时,会出现此错误。如果已达到您可创建的 CloudWatch Logs 日志组数量的配额,也可能出现此错误。有关更多信息,请参阅 Amazon CloudWatch 用户指南 中的 CloudWatch Service Quotas。 -
Access error
:出现此错误的原因为以下之一:-
您的流日志的 IAM 角色没有足够的权限,无法将流日志记录发布到 CloudWatch 日志组
-
IAM 角色与流日志服务没有信任关系
-
信任关系不指定用作委托人的流日志服务
有关更多信息,请参阅 用于将流日志发布到 CloudWatch Logs 的 IAM 角色。
-
-
Unknown error
:流日志服务中出现内部错误。
流日志处于活动状态,但没有流日志记录或日志组
问题
您已创建流日志,并且 Amazon VPC 或 Amazon EC2 控制台会将流日志显示为 Active
。但是,您无法看到 CloudWatch Logs 中的任何日志流或 Amazon S3 存储桶中的日志文件。
可能的原因
-
流日志仍在创建中。在某些情况下,当您为要创建的日志组创建流日志后,有时会需要数十分钟或更长时间才会显示数据。
-
还没有为您的网络接口记录任何流量。只有在记录流量时,才会创建 CloudWatch Logs 中的日志组。
解决方案
等待几分钟,以便系统创建日志组,或者记录流量。
“LogDestinationNotFoundException”或“Access Denied for LogDestination”错误
问题
当您创建流日志时,会出现 Access Denied for LogDestination
或 LogDestinationNotFoundException
错误。
可能的原因
-
创建将数据发布到 Amazon S3 存储桶的流日志时,此错误表示找不到指定的 S3 存储桶或存储桶策略不允许将日志传送到存储桶。
-
创建将数据发布到 Amazon CloudWatch Logs 的流日志时,此错误表示 IAM 角色不允许将日志传送到日志组。
解决方案
超出 Amazon S3 存储桶策略限制
问题
在您尝试创建流日志时收到了以下错误:LogDestinationPermissionIssueException
可能的原因
Amazon S3 存储桶策略有 20 KB 的大小限制。
每次创建发布到 Amazon S3 存储桶的流日志时,我们都会自动将指定的存储桶 ARN(包括文件夹路径)添加到存储桶策略中的 Resource
元素。
创建发布到同一个存储桶的多个流日志可能会导致超出存储桶策略限制。
解决方案
-
通过删除不再需要的流日志条目来清理存储桶策略。
-
通过使用以下内容替换各个流日志条目,为整个存储桶授予权限。
arn:aws:s3:::
bucket_name/*
如果您授予整个存储桶的权限,则新的流日志订阅不会向存储桶策略添加新权限。
LogDestination 无法送达
问题
在您尝试创建流日志时收到了以下错误:LogDestination <bucket name> is undeliverable
可能的原因
目标 Amazon S3 存储桶将使用 Amazon KMS(SSE-KMS)和服务器端加密进行加密,并且存储桶的默认加密方式为 KMS 密钥 ID。
解决方案
该值必须为 KMS 密钥 ARN。将默认 S3 加密类型从 KMS 密钥 ID 更改为 KMS 密钥 ARN。有关更多信息,请参阅《Amazon Simple Storage Service 控制台用户指南》中的 配置默认加密。