Pourquoi mes journaux d'accès au serveur Amazon S3 ne sont-ils pas livrés ?

Date de la dernière mise à jour : 19/11/2019

J'ai activé la journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) mais les journaux n’alimentent pas le compartiment dans lequel ils sont censés être livrés. Comment résoudre ce problème ?

Brève description

Vérifiez les éléments suivants :

  • Le groupe de livraison des journaux (compte de livraison) a accès au compartiment cible.
  • La stratégie du compartiment cible ne doit pas refuser l'accès aux journaux.
  • Le verrouillage d'objet Amazon S3 ne doit pas être activé sur le compartiment cible.
  • Si le chiffrement par défaut est activé sur le compartiment cible, AES256 (SSE-S3) doit être sélectionné comme clé de chiffrement.
  • Patientez le temps nécessaire à l’application des modifications récentes de configuration de la journalisation.

Solution

Le groupe de livraison des journaux a accès au compartiment cible.

Les journaux d'accès au serveur sont livrés au compartiment cible (le compartiment auquel les journaux sont envoyés) par un compte de livraison appelé groupe de livraison des journaux. Pour recevoir les journaux d'accès au serveur, le groupe de livraison des journaux doit posséder un accès en écriture au compartiment cible. Vérifiez la liste de contrôle d'accès (ACL) du compartiment cible pour savoir si le groupe de livraison des journaux possède un accès en écriture.

Pour vérifier et modifier la liste ACL du compartiment cible à l'aide de la console Amazon S3, procédez comme suit :

  1. Ouvrez la console Amazon S3.
  2. Dans la liste des compartiments, choisissez le compartiment cible auquel les journaux d'accès au serveur doivent être envoyés.
  3. Sélectionnez l'onglet Permissions (Autorisations).
  4. Choisissez Access Control List (Liste de contrôle d’accès).
  5. Sous S3 log delivery group (Groupe de livraison des journaux S3), vérifiez si le groupe a accès aux objets Write. Si le groupe n'a pas accès aux objets Write, passez à l'étape suivante.
  6. Sélectionnez Log Delivery (Livraison des journaux).
  7. Dans la boîte de dialogue LogDelivery (Livraison des journaux), sous Access to the objects (Accès aux objets), sélectionnez Write objects (Objets Write).
  8. Choisissez Save (Enregistrer).

La stratégie du compartiment cible ne doit pas refuser l'accès aux journaux.

Vérifiez la stratégie du compartiment cible. Recherchez dans la stratégie de compartiment les instructions contenant "Effect": "Deny". Vérifiez ensuite que l’instruction de refus n'empêche pas l'écriture des journaux d'accès dans le compartiment.

Il est recommandé d’utiliser un compartiment distinct pour les journaux d'accès au serveur. Par défaut, les compartiments S3 étant privés, il n'est pas nécessaire d'utiliser une instruction de refus dans la stratégie de compartiment pour empêcher tout accès non autorisé au compartiment. Si un utilisateur ou un rôle AWS Identity and Access Management (IAM) se trouve dans le même compte AWS que le compartiment et que l'identité IAM dispose des autorisations nécessaires pour l’accès au compartiment dans ses stratégies IAM, l'utilisateur ou le rôle peut accéder au compartiment.

Le verrouillage d'objet Amazon S3 ne doit pas être activé sur le compartiment cible.

Vérifiez si le verrouillage d'objet est activé pour le compartiment cible. Le verrouillage d'objet empêche la livraison des journaux d'accès au serveur. Vous devez donc désactiver le verrouillage d'objet sur le compartiment auquel vous voulez envoyer les journaux.

Si le chiffrement par défaut est activé sur le compartiment cible, AES256 (SSE-S3) doit être sélectionné.

Si vous utilisez le chiffrement par défaut sur le compartiment cible, vérifiez que AES-256 (SSE-S3) est sélectionné comme clé de chiffrement. Le chiffrement à l'aide d'AWS-KMS (SSE-KMS) n'est pas pris en charge. Pour obtenir des instructions sur la configuration du chiffrement par défaut à l'aide de la console Amazon S3, consultez la section Comment activer le chiffrement par défaut pour un compartiment Amazon S3 ?

Patientez le temps nécessaire à l’application des modifications récentes de configuration de la journalisation.

La première activation de la journalisation des accès au serveur ou la modification du compartiment cible pour les journaux peut nécessiter un certain temps pour être entièrement réalisée. Pendant l'heure qui suit l'activation de la journalisation, certaines requêtes ne seront peut-être pas journalisées. Pendant l'heure qui suit la modification du compartiment cible, certains journaux seront peut-être livrés au compartiment cible précédent. Après avoir modifié la configuration de la journalisation, patientez environ une heure avant de vérifier les journaux. Pour plus d'informations, consultez la section Livraison des journaux du serveur dans la mesure du possible.


Cet article vous a-t-il été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d'aide ?