如何排查网络管理器中注册和事件监控问题?
我无法通过 Amazon CloudWatch Events 将我的中转网关注册到全局网络并监控全局网络。如何解决此问题?
解决方案
要排查 AWS 网络管理器注册和事件监控问题,请执行以下操作:
检查您的全局网络配置和中转网关注册
首先,确保已创建全局网络。要以 AWS Identity and Access Management (IAM) 用户的身份创建全局网络,您必须拥有名为 AWSServiceRoleForNetworkManager 的服务相关角色 (SLR)。有关更多信息,请参阅 AWS 网络管理器服务相关角色。有关创建服务相关角色的说明,请参阅使用服务相关角色。
然后,确认您已使用网络管理器控制台或 AWS 命令行界面 (AWS CLI) 在全局网络中注册了中转网关。如果您在运行 AWS 命令行界面 (AWS CLI) 命令时遇到错误,请确保您使用的是最新版的 AWS CLI。
**注意:**如果您使用的是 AWS CLI 或 AWS SDK,则必须指定美国西部(俄勒冈州)区域。
如果中转网关与全局账户不在同一 AWS 账户中,请确认以下事项:
- 中转网关和全局账户属于同一 AWS Organization。有关更多信息,请参阅使用 AWS Organization 在网络管理器中管理多个账户。
- 开启可信访问以将所需的 SLR 和自定义 IAM 角色部署到中转网关账户。管理账户或委派的管理员账户需要可信访问才能担任这些角色。
- 开启多账户访问权限。最佳实践是使用网络管理器控制台开启多账户访问权限。网络管理器控制台会自动为可信访问创建所有必需的角色和权限,并允许注册委派管理员。
查看您的 Amazon CloudWatch Log Insights 配置
确认您已加入 CloudWatch Log Insights。要确认您已加入 CloudWatch Log Insights,请运行以下命令:
aws logs describe-resource-policies --region us-west-2
然后,验证名为 DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents 的 CloudWatch 资源策略是在美国西部(俄勒冈州)区域创建的。还必须存在以下资源:
- 位于美国西部(俄勒冈州)区域的名为 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。
- 位于美国西部(俄勒冈州)区域的名为 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日志组
- CloudWatch 事件规则配置为以 CloudWatch Logs 日志组为目标。
如果您无法加入 CloudWatch Logs Insights,请检查 IAM 用户或角色是否具有执行此操作的以下权限:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "events:PutTargets", "events:DescribeRule", "logs:PutResourcePolicy", "logs:DescribeLogGroups", "logs:DescribeResourcePolicies", "events:PutRule", "logs:CreateLogGroup" ], "Resource": "*" } ] }
**注意:**如果您使用的是 AWS CLI 或 AWS SDK,则必须指定美国西部(俄勒冈州)区域。
若要添加或修改角色权限,请参阅向用户添加权限(控制台)或修改角色权限策略(控制台)。
检查您的 CloudWatch 事件监控配置
首先,请确保您已经创建全局网络,并且已加入 CloudWatch Logs Insights。
**注意:**只有在全局网络中注册中转网关之后,才会捕获监控事件。在注册前对中转网关执行的任何更改都不会显示在事件监控下。
如果您仍然无法监控事件,请确认以下事项:
- 为每个捕获的事件调用名为 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。此操作必须在美国西部(俄勒冈州)区域执行。
- 事件规则 DO_NOT_DELETE_networkmanager_rule 的 FailedInvocations 图表为 0。通过访问名为 DO_NOT_DELETE_networkmanager_rule 的事件规则来找到 FailedInvocations 图表,然后选择 Monitoring(监控)选项卡。
- 如果有匹配捕获事件的成功规则调用,请确认这些事件存在于美国西部(俄勒冈州)区域中名为 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日志组。
相关内容
- AWS 官方已更新 2 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 4 年前