Como soluciono problemas de registro e monitoramento de eventos do Network Manager?

4 minuto de leitura
0

Não consigo registrar meu gateway de trânsito na rede global e monitorar a rede global com o Amazon CloudWatch Events. Como solucionar esse problema?

Resolução

Para solucionar problemas de registro e monitoramento de eventos do AWS Network Manager, faça o seguinte:

Verifique a configuração de rede global e o registro do gateway de trânsito

Primeiro, certifique-se de que você já criou uma rede global. Para criar uma rede global como um usuário do AWS Identity and Access Management (IAM), você deve ter a função vinculada ao serviço (SLR) denominada AWSServiceRoleForNetworkManager. Para obter mais informações, consulte Funções vinculadas ao serviço do AWS Network Manager. Para obter instruções sobre como criar uma função vinculada ao serviço, consulte Usar funções vinculadas ao serviço.

Em seguida, confirme que você registrou o gateway de trânsito na rede global usando o console do Network Manager ou a AWS Command Line Interface (AWS CLI). Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), certifique-se de estar usando a versão mais recente da AWS CLI.
Observação: você deverá especificar a região Oeste dos EUA (Oregon) se estiver usando a AWS CLI ou o AWS SDK.

Se o gateway de trânsito não estiver localizado na mesma conta da AWS que a conta global, confirme o seguinte:

  • O gateway de trânsito e as contas globais fazem parte da mesma organização da AWS. Para obter mais informações, consulte Gerenciar várias contas no Network Manager com o AWS Organizations.
  • O acesso confiável é ativado para implantar as SLRs e perfis do IAM personalizados, necessários na conta do gateway de trânsito. O acesso confiável é necessário para que a conta de gerenciamento ou a conta de administrador delegado assumam essas funções.
  • O acesso a várias contas está ativado. É uma prática recomendada ativar o acesso de várias contas usando o console do Network Manager. O console do Network Manager cria automaticamente todas as funções e permissões necessárias para o acesso confiável e permite registrar administradores delegados.

Verifique a configuração do Amazon CloudWatch Log Insights

Confirme se você ingressou com o CloudWatch Logs Insights. Para confirmar que você ingressou com o CloudWatch Logs Insights, execute o seguinte comando:

aws logs describe-resource-policies --region us-west-2

Em seguida, verifique se uma política de recursos do CloudWatch com o nome de DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents foi criada na região Oeste dos EUA (Oregon). Os seguintes recursos também devem estar presentes:

  • Uma regra de eventos do CloudWatch com o nome de DO_NOT_DELETE_networkmanager_rule na região Oeste dos EUA (Oregon).
  • Um grupo de logs do CloudWatch Logs com o nome de /aws/events/networkmanagerloggroup na região Oeste dos EUA (Oregon)
  • A regra de eventos do CloudWatch é configurada tendo o grupo de logs do CloudWatch Logs como alvo.

Se você não conseguir ingressar no CloudWatch Logs Insights, verifique se o usuário ou o perfil do IAM têm as seguintes permissões para executar essa ação:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

Observação: você deverá especificar a região Oeste dos EUA (Oregon) se estiver usando a AWS CLI ou o AWS SDK.

Para obter instruções, consulte Adicionar permissões a um usuário (console) ou Modificar uma política de permissões de função (console).

Verificar a configuração de monitoramento do CloudWatch Events

Primeiro, certifique-se de ter criado uma rede global e ingressado com o CloudWatch Logs Insights.

Observação: os eventos de monitoramento só são capturados após o gateway de trânsito ser registrado na rede global. As alterações feitas no gateway de trânsito antes do registro não aparecerão no monitoramento de eventos.

Se você ainda não conseguir monitorar os eventos, confirme o seguinte:

  • A regra de eventos do CloudWatch com o nome de DO_NOT_DELETE_networkmanager_rule foi invocada para todos os eventos capturados. Essa ação deve ser executada na região Oeste dos EUA (Oregon).
  • O gráfico FailedInvocations para a regra de eventos DO_NOT_DELETE_NETWORKMANAGER_RULE é 0. Localize o gráfico FailedInvocations acessando a regra de eventos com o nome de DO_NOT_DELETE_networkmanager_rule e escolha a guia Monitoring (Monitoramento).
  • Se houver chamadas de regras bem-sucedidas que correspondam aos eventos capturados, confirme se esses eventos estão presentes no grupo de logs do CloudWatch Logs com o nome de /aws/events/networkmanagerloggroup na região Oeste dos EUA (Oregon).

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos