In che modo posso risolvere i problemi di registrazione tra account in CloudWatch?

Breve descrizione

Puoi inviare i registri di CloudWatch all'interno del tuo account o a un altro account AWS quasi in tempo reale. La condivisione dei registri con un altro account AWS o la ricezione dei rispettivi registri è definita registrazione tra account. È possibile configurare la registrazione tra account utilizzando Amazon Kinesis o il flusso Amazon Kinesis Data Firehose. Oppure puoi eseguire lo streaming dei dati su Amazon OpenSearch utilizzando un filtro di sottoscrizione. La console CloudWatch supporta tutte queste opzioni. Per ulteriori informazioni sull'utilizzo della registrazione tra account, consulta questi articoli:

• Elaborazione di dati dei registri in tempo reale con iscrizioni
• Come posso creare, configurare e risolvere i problemi di un filtro di sottoscrizione per Kinesis utilizzando la console di CloudWatch?
• Streaming dei dati di CloudWatch Logs in Amazon OpenSearch Service

Risoluzione

Risolvi il flusso di consegna Kinesis Data Stream/Kinesis Data Firehose come destinazione

1.    Assicurati che il tuo flusso Kinesis o Kinesis Data Firehose sia in uno stato attivo. Puoi visualizzare lo stato sulla console Kinesis o utilizzare le chiamate API DescribeStream o DescribeDeliveryStream.

2.    Verifica che la regione del gruppo di registri di CloudWatch e la regione del flusso dei dati Kinesis corrispondano.

3.    Verifica di aver creato un ruolo AWS Identity and Access Management (IAM) con le autorizzazioni di trust corrette. Il ruolo IAM deve consentire ai registri di CloudWatch di inviare eventi di registro al flusso dei dati Kinesis o a Kinesis Data Firehose.

In questo esempio, l'account del destinatario dei dati di registro ha l’ID account AWS 999999999999. L'ID account AWS del mittente dei dati di registro è 111111111111. Assicurati che l'account 111111111111 sia consentito nella policy di attendibilità dell'account del destinatario per Kinesis Data Streams o per il flusso Kinesis Data Firehose. Questo è un esempio di policy di fiducia IAM per i flussi di consegna Kinesis Data Streams o Kinesis Data Firehose:

{
  "Statement": {
    "Effect": "Allow",
    "Principal": {
      "Service": "logs.region.amazonaws.com"
    },
    "Condition": {
      "StringLike": {
        "aws:SourceArn": [
          "arn:aws:logs:region:sourceAccountId:*",
          "arn:aws:logs:region:recipientAccountId:*"
        ]
      }
    },
    "Action": "sts:AssumeRole"
  }
}

In questo esempio viene illustrata una policy del ruolo IAM per Kinesis Data Streams:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "kinesis:PutRecord",
      "Resource": "arn:aws:kinesis:region:999999999999:stream/RecipientStream"
    }
  ]
}
 
IAM role policy for kinesis Firehose stream.
 
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "firehose:*"
      ],
      "Resource": [
        "arn:aws:firehose:region:999999999999:*"
      ]
    }
  ]
}

4.    Verifica che le regioni e gli ARN delle risorse nella tua policy IAM siano corretti.

5.    Assicurati di non selezionare Kinesis Firehose durante la configurazione di un filtro di sottoscrizione per il flusso dei dati Kinesis.

6.    Dopo aver avviato lo streaming, controlla i parametri per il filtro di sottoscrizione. Verifica che il pattern di filtro sia valido e corrisponda al Registro eventi in arrivo. Per ulteriori informazioni, consulta Monitoraggio con i parametri CloudWatch. Usa questi parametri:

• ForwardedBytes: il volume dei registri evento in byte compressi inoltrati alla destinazione della sottoscrizione.
• ForwardedLogEvents: il numero di registri eventi inoltrati alla destinazione della sottoscrizione.

7.    Per verificare che non vi siano errori durante lo streaming dei registri eventi alla destinazione, controlla che questi parametri non contengano errori di destinazione. È possibile trovare un data point che confermi che l'evento di registro abbia ricevuto un errore durante lo streaming di registri eventi alla destinazione.

• DeliveryErrors: il numero di registri eventi per i quali i registri CloudWatch hanno ricevuto un errore durante l'inoltro dei dati alla destinazione della sottoscrizione.
• DeliveryThrottling: il numero di registri eventi che i registri CloudWatch hanno limitato durante l'inoltro dei dati alla destinazione della sottoscrizione.

8.    Se disponi di un flusso dedicato che fornisce informazioni dettagliate sulla funzionalità Kinesis Data Streams, controlla i parametri per Kinesis Data Stream o Kinesis Firehose. Per ulteriori informazioni, consulta Monitoraggio di Amazon Kinesis Data Streams Service con Amazon CloudWatch e Monitoraggio di Kinesis Data Firehose utilizzando i parametri CloudWatch.

Risolvere i problemi relativi a OpenSearch come destinazione

1.    Verifica che il dominio OpenSearch consenta l'accesso pubblico o l'accesso VPC. Per ulteriori informazioni sulla creazione di un dominio, consulta Creazione e gestione di domini Amazon OpenSearch Service.

2.    Assicurati che la funzione AWS Lambda abbia un ruolo di esecuzione IAM che abbia una relazione di fiducia per lambda.amazonaws.com con questa policy di ruolo:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "es:*"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:es:region:account-id:domain/target-domain-name/*"
    }
  ]
}

3.    Se il dominio OpenSearch di destinazione utilizza l'accesso VPC, verifica che al ruolo sia associata la policy AWSLambdaVPCAccessExecutionRole.

---

Informazioni correlate

Creazione di dashboard CloudWatch tra account e tra regioni