Por que os logs de acesso ao servidor do Amazon S3 não estão sendo entregues?

Breve descrição

Se você configurou o registro de acesso ao servidor do Amazon 3, mas não está vendo logs no bucket esperado, verifique se:

• O grupo Entrega de log (conta de entrega) tem acesso ao bucket de destino.
• A política de bucket do bucket de destino não deve negar o acesso aos registros.
• O Amazon S3 Object Lock não deve ser ativado para o bucket de destino.
• Se a criptografia padrão estiver ativada para o bucket de destino, o AES256 (SSE-S3) deverá ser selecionado como a chave de criptografia.
• Aguarde algum tempo para que as alterações recentes na configuração de registro entrem em vigor.

Resolução

O grupo Entrega de logs tem acesso ao bucket de destino

Os registros de acesso ao servidor são entregues ao bucket de destino (o bucket para o qual os logs são enviados) por uma conta de entrega chamada grupo de Entrega de logs. Para receber logs de acesso ao servidor, o grupo Entrega de logs deve ter acesso de gravação ao bucket de destino. Verifique a lista de controle de acesso (ACL) do bucket de destino para verificar se o grupo Entrega de log tem acesso de gravação.

Para verificar e modificar a ACL do bucket de destino usando o console do Amazon S3, faça o seguinte:

1. Abra o console do Amazon S3.
2. Na lista de buckets, escolha o bucket de destino para o qual os logs de acesso do servidor devem ser enviados.
3. Escolha a guia Permissões.
4. Escolha Lista de controle de acesso.
5. No grupo de entrega de logs do S3, verifique se o grupo tem acesso aos Objetos de gravação. Se o grupo não tiver acesso aos Objetos de gravação, vá para a próxima etapa.
6. Selecione Entrega de logs.
7. Na caixa de diálogo LogDelivery, em Acesso aos objetos, selecione Gravar objetos.
8. Escolha Salvar.

A política de bucket do bucket de destino não deve negar o acesso aos logs

Verifique a política do bucket de destino. Pesquise na política de bucket quaisquer declarações que contenham “Efeito”: “Negar”. Em seguida, verifique se a declaração de negação não está impedindo que os logs de acesso sejam gravados no bucket.

Observação: É uma prática recomendada usar um bucket separado para logs de acesso ao servidor. Por padrão, os buckets do S3 são privados, então você não precisa usar uma declaração de negação na política de bucket para impedir o acesso não autorizado ao bucket. Se um usuário ou perfil do AWS Identity and Access Management (IAM) estiver na mesma conta da AWS que o bucket e a identidade do IAM tiver permissões para o bucket em suas políticas do IAM, o usuário ou perfil poderá acessar o bucket.

O bloqueio de objetos do Amazon S3 não deve ser ativado para o bucket de destino

Verifique se o Bloqueio de objetos está ativado no bucket de destino. O Bloqueio de objetos impede que os logs de acesso ao servidor sejam entregues, então você deve desativar desativá-lo no bucket para o qual deseja que os logs sejam enviados.

Se a criptografia padrão estiver ativada para o bucket de destino, deverá ser selecionado AES256 (SSE-S3)

Se você usar a criptografia padrão no bucket de destino, confirme se AES-256 (SSE-S3) está selecionado como a chave de criptografia. A criptografia usando AWS-KMS (SSE-KMS) não é compatível. Para obter instruções sobre como configurar a criptografia padrão usando o console do Amazon S3, consulte Ativação da criptografia padrão de bucket do Amazon S3.

Aguarde até que as alterações recentes na configuração de registro entrem em vigor

A ativação do registro de acesso ao servidor pela primeira vez ou a alteração do bucket de destino para logs pode levar algum tempo para ser totalmente implementada. Durante uma hora após você ativar o registro, algumas solicitações podem não ser registradas. Durante uma hora após a alteração do bucket de destino, alguns logs ainda podem ser entregues ao bucket de destino anterior. Depois de fazer uma alteração na configuração do registro, aguarde cerca de uma hora após a alteração para verificar os logs. Para mais informações, consulte Entrega de log do servidor de melhor esforço.

Informações relacionadas

Como os logs são entregues?