如何排查网络管理器中注册和事件监控问题?

上次更新日期:2022 年 8 月 12 日

我无法通过 Amazon CloudWatch Events 将我的中转网关注册到全局网络并监控全局网络。如何解决此问题?

解决方案

要排查 AWS 网络管理器注册和事件监控问题,请执行以下操作:

检查您的全局网络配置和中转网关注册

首先,确保已创建全局网络。要以 AWS Identity and Access Management (IAM) 用户的身份创建全局网络,您必须拥有名为 AWSServiceRoleForNetworkManager 的服务相关角色 (SLR)。有关更多信息,请参阅 AWS 网络管理器服务相关角色。有关创建服务相关角色的说明,请参阅使用服务相关角色

然后,确认您已使用网络管理器控制台AWS 命令行界面 (AWS CLI) 在全局网络中注册了中转网关。如果您在运行 AWS 命令行界面 (AWS CLI) 命令时遇到错误,请确保您使用的是最新版的 AWS CLI
注意:如果您使用的是 AWS CLI 或 AWS SDK,则必须指定美国西部(俄勒冈州)区域。

如果中转网关与全局账户不在同一 AWS 账户中,请确认以下事项:

  • 中转网关和全局账户属于同一 AWS Organization。有关更多信息,请参阅使用 AWS Organization 在网络管理器中管理多个账户
  • 开启可信访问以将所需的 SLR 和自定义 IAM 角色部署到中转网关账户。管理账户或委派的管理员账户需要可信访问才能担任这些角色。
  • 开启多账户访问权限。最佳实践是使用网络管理器控制台开启多账户访问权限。网络管理器控制台会自动为可信访问创建所有必需的角色和权限,并允许注册委派管理员。

查看您的 Amazon CloudWatch Log Insights 配置

确认您已加入 CloudWatch Log Insights。要确认您已加入 CloudWatch Log Insights,请运行以下命令:

aws logs describe-resource-policies --region us-west-2

然后,验证名为 DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents 的 CloudWatch 资源策略是在美国西部(俄勒冈州)区域创建的。还必须存在以下资源:

  • 位于美国西部(俄勒冈州)区域的名为 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。
  • 位于美国西部(俄勒冈州)区域的名为 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日志组
  • CloudWatch 事件规则配置为以 CloudWatch Logs 日志组为目标。

如果您无法加入 CloudWatch Logs Insights,请检查 IAM 用户或角色是否具有执行此操作的以下权限:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

注意:如果您使用的是 AWS CLI 或 AWS SDK,则必须指定美国西部(俄勒冈州)区域。

若要添加或修改角色权限,请参阅向用户添加权限(控制台)修改角色权限策略(控制台)

检查您的 CloudWatch 事件监控配置

首先,请确保您已经创建全局网络,并且已加入 CloudWatch Logs Insights

注意:只有在全局网络中注册中转网关之后,才会捕获监控事件。在注册前对中转网关执行的任何更改都不会显示在事件监控下。

如果您仍然无法监控事件,请确认以下事项:

  • 为每个捕获的事件调用名为 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。此操作必须在美国西部(俄勒冈州)区域执行。
  • 事件规则 DO_NOT_DELETE_networkmanager_ruleFailedInvocations 图表为 0。通过访问名为 DO_NOT_DELETE_networkmanager_rule 的事件规则来找到 FailedInvocations 图表,然后选择 Monitoring(监控)选项卡。
  • 如果有匹配捕获事件的成功规则调用,请确认这些事件存在于美国西部(俄勒冈州)区域中名为 /aws/events/networkmanagerloggroupCloudWatch Logs 日志组。

这篇文章对您有帮助吗?


您是否需要账单或技术支持?