Pourquoi l'exportation de mes données de journaux CloudWatch Logs vers des compartiments S3 échoue-t-elle ?

Date de la dernière mise à jour : 08/04/2022

J'essaye d'exporter mes données de journaux Amazon CloudWatch Logs vers des compartiments Amazon Simple Storage Service (Amazon S3). Malheureusement, la tâche d'exportation échoue. Pourquoi l'exportation de mes données de journaux CloudWatch Logs vers des compartiments S3 échoue-t-elle ?

Résolution

Pour dépanner le problème d'échec des tâches d'exportation lors de leur création, vérifiez les paramètres suivants :

  • Région : confirmez que vos flux de journaux CloudWatch Logs et vos compartiments S3 se trouvent dans la même région.
  • Politiques de compartiment S3 : tous les objets et compartiments S3 sont privés par défaut. Seul le propriétaire de la ressource (le compte AWS qui a créé le compartiment) peut accéder au compartiment et aux objets qu'il contient. Utilisez des politiques de compartiment pour définir des autorisations d'accès sur les compartiments S3 sur CloudWatch Logs.
  • Préfixes de compartiment S3 : lorsque vous définissez la politique de compartiment S3, une bonne pratique consiste à inclure une chaîne générée de façon aléatoire comme préfixe du compartiment. Si vous utilisez un préfixe, vous devez spécifier la chaîne générée de façon aléatoire dans les paramètres de préfixe de compartiment S3 lorsque vous créez la tâche d'exportation. Sinon, la tâche d'exportation ne sera pas créée.
  • Politiques AWS Identity and Access Management (IAM) : confirmez que l'utilisateur IAM (rôle IAM) qui a créé la tâche d'exportation dispose d'un accès complet à Simple Storage Service (Amazon S3) et CloudWatch Logs.
  • Quotas de ressources – Le quota de service CloudWatch Logs n'autorise qu'une seule tâche d'exportation en cours ou en attente par compte et par région. Ce quota ne peut pas être modifié. Assurez-vous que vous ne dépassez pas le quota autorisé.
  • Type de chiffrement côté serveur : assurez-vous que vous utilisez un type de chiffrement côté serveur pris en charge. L'exportation vers des compartiments S3 chiffrés avec SSE-KMS n'est pas prise en charge. L'exportation vers des compartiments S3 chiffrés avec AES-256 est prise en charge.

Pour dépanner les tâches qui ont échoué après leur création, vérifiez le paramètre Time Range (Plage de temps). Si vous exportez des flux de journaux avec de grandes quantités de données et que vous spécifiez une longue plage de temps, la tâche d'exportation peut échouer. Dans ce cas, spécifiez une plage de temps plus courte.

Remarque : il peut s'écouler jusqu'à 12 heures avant que les journaux ne soient disponibles pour l'exportation. La tâche d'exportation elle-même peut prendre un certain temps. Pour le traitement en temps réel ou l'archivage continu de nouvelles données dans S3, utilisez les filtres d'abonnements. Vous pouvez diffuser des flux vers Amazon Kinesis Data Firehose et définir Simple Storage Service (Amazon S3) comme cible. Pour archiver des données historiques dans S3, exportez vos données vers Simple Storage Service (Amazon S3).