Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Warum werden meine Amazon S3-Serverzugriffsprotokolle nicht zugestellt?

Lesedauer: 4 Minute
0

Ich habe die Serverzugriffsprotokollierung von Amazon Simple Storage Service (Amazon S3) eingerichtet. Die Logs füllen jedoch nicht den Bucket, in den sie geliefert werden sollen.

Kurzbeschreibung

Wenn Sie die Amazon 3-Serverzugriffsprotokollierung eingerichtet haben, aber im erwarteten Bucket keine Protokolle angezeigt werden, überprüfen Sie Folgendes:

  • Die Log Delivery-Gruppe (Lieferkonto) hat Zugriff auf den Ziel-Bucket.
  • Die Bucket-Richtlinie des Ziel-Buckets darf den Zugriff auf die Protokolle nicht verweigern.
  • Amazon S3 Object Lock darf für den Ziel-Bucket nicht aktiviert sein.
  • Wenn die Standardverschlüsselung für den Ziel-Bucket aktiviert ist, muss AES256 (SSE-S3) als Verschlüsselungsschlüssel ausgewählt werden.
  • Warten Sie einige Zeit, bis die letzten Änderungen an der Protokollierungskonfiguration wirksam werden.

Lösung

Die Log Delivery-Gruppe hat Zugriff auf den Ziel-Bucket

Serverzugriffsprotokolle werden über ein Bereitstellungskonto, das als Log Delivery Group bezeichnet wird, an den Ziel-Bucket (den Bucket, an den die Protokolle gesendet werden) übermittelt. Um Serverzugriffsprotokolle zu empfangen, muss die Log Delivery-Gruppe Schreibzugriff auf den Ziel-Bucket haben. Überprüfen Sie in der Zugriffskontrollliste (ACL) des Ziel-Buckets, ob die Log Delivery-Gruppe Schreibzugriff hat.

Gehen Sie wie folgt vor, um die ACL des Ziel-Buckets mithilfe der Amazon S3-Konsole zu überprüfen und zu ändern:

  1. Öffnen Sie die Amazon S3-Konsole.
  2. Wählen Sie aus der Liste der Buckets den Ziel-Bucket aus, an den Serverzugriffsprotokolle gesendet werden sollen.
  3. Wählen Sie den Registerkarte Berechtigungen.
  4. Wählen Sie Access Control List.
  5. Überprüfen Sie unter S3-Protokollbereitstellungsgruppe, ob die Gruppe Zugriff auf Write-Objekte hat. Wenn die Gruppe keinen Zugriff auf Write-Objekte hat, fahren Sie mit dem nächsten Schritt fort.
  6. Wählen Sie Lieferung protokollieren.
  7. Wählen Sie im Dialogfeld LogDelivery unter Zugriff auf die Objekte die Option Objekte schreiben.
  8. Wählen Sie Speichern.

Die Bucket-Richtlinie des Ziel-Buckets darf den Zugriff auf die Protokolle nicht verweigern

Überprüfen Sie die Bucket-Richtlinie des Ziel-Buckets. Suchen Sie in der Bucket-Richtlinie nach Anweisungen, die „Effekt“ enthalten: „Ablehnen“. Stellen Sie dann sicher, dass die Deny-Anweisung nicht verhindert, dass Zugriffsprotokolle in den Bucket geschrieben werden.

Hinweis: Es hat sich bewährt, einen separaten Bucket für Serverzugriffsprotokolle zu verwenden. Standardmäßig sind S3-Buckets privat, sodass Sie in der Bucket-Richtlinie keine Deny-Anweisung verwenden müssen, um unbefugten Zugriff auf den Bucket zu verhindern. Wenn sich ein Benutzer oder eine Rolle von AWS Identity and Access Management (IAM) im selben AWS-Konto wie der Bucket befindet und die IAM-Identität in ihren IAM-Richtlinien über Berechtigungen für den Bucket verfügt, kann der Benutzer oder die Rolle auf den Bucket zugreifen.

Amazon S3 Object Lock darf für den Ziel-Bucket nicht aktiviert sein

Prüfen Sie, ob im Ziel-Bucket die Objektsperre aktiviert ist. Object Lock verhindert, dass Serverzugriffsprotokolle übermittelt werden. Daher müssen Sie Object Lock für den Bucket deaktivieren, an den die Protokolle gesendet werden sollen.

Wenn die Standardverschlüsselung für den Ziel-Bucket aktiviert ist, muss AES256 (SSE-S3) ausgewählt werden

Wenn Sie die Standardverschlüsselung für den Ziel-Bucket verwenden, vergewissern Sie sich, dass AES-256 (SSE-S3) als Verschlüsselungsschlüssel ausgewählt ist. Verschlüsselung mit AWS-KMS (SSE-KMS) wird nicht unterstützt. Anweisungen zur Konfiguration der Standardverschlüsselung mithilfe der Amazon S3-Konsole finden Sie unter Aktivieren der Amazon S3-Standard-Bucket-Verschlüsselung.

Warten Sie einige Zeit, bis die letzten Änderungen an der Protokollierungskonfiguration wirksam werden

Das erste Aktivieren der Serverzugriffsprotokollierung oder das Ändern des Ziel-Buckets für Protokolle kann einige Zeit in Anspruch nehmen, bis die vollständige Implementierung abgeschlossen ist. In der Stunde, nachdem Sie die Protokollierung aktiviert haben, werden einige Anfragen möglicherweise nicht protokolliert. In der Stunde, nachdem Sie den Ziel-Bucket geändert haben, werden einige Protokolle möglicherweise immer noch an den vorherigen Ziel-Bucket übermittelt. Nachdem Sie eine Konfigurationsänderung an der Protokollierung vorgenommen haben, warten Sie nach der Änderung unbedingt etwa eine Stunde, um die Protokolle zu überprüfen. Weitere Informationen finden Sie unter Serverprotokollübermittlung nach besten Kräften.

Ähnliche Informationen

Wie werden Protokolle zur Verfügung gestellt?

Themen
Speicher
Tags
Amazon Simple Storage Service
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt