¿Por qué mis registros de CloudWatch no se exportan a los buckets de S3?

Resolución

Para solucionar las tareas que fallaron durante la creación, compruebe la siguiente configuración:

• Region (Región): confirme que sus flujos de registro y buckets de S3 de CloudWatch Logs se encuentran en la misma región.
• Políticas de bucket de S3: de forma predeterminada, todos los buckets y objetos de S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el depósito) puede acceder al depósito y a los objetos que contiene. Utilice las políticas de bucket para establecer los permisos de acceso a los buckets de S3 a CloudWatch Logs.

Nota: Al configurar los permisos de exportación en su bucket de S3, debe especificar los ID de cuenta de las cuentas que pueden exportar los registros a su bucket. Incluya estas cuentas en la clave aws:SourceAccount. Sin embargo, aws:SourceAccount no se puede añadir a la acción s3:GetBucketACL.

• Prefijos de bucket de S3: al configurar la política de bucket de S3, se recomienda incluir una cadena generada aleatoriamente como prefijo del bucket. Si usa un prefijo, debe especificar la cadena generada aleatoriamente en la configuración del prefijo del bucket de S3 al crear la tarea de exportación. De lo contrario, se producirá un error en la creación de la tarea de exportación.
• Políticas de AWS Identity and Access Management (IAM): confirme que el usuario de IAM (rol de IAM) que creó la tarea de exportación tiene acceso total a Amazon S3 y CloudWatch Logs.
• Cuotas de recursos: la cuota del servicio CloudWatch Logs solo permite una tarea de exportación en ejecución o pendiente por cuenta y región. Esta cuota no se puede cambiar. Asegúrese de operar dentro de la cuota permitida.
• Tipo de cifrado del lado del servidor: asegúrese de utilizar un tipo de cifrado del lado del servidor compatible. Puede exportar a buckets de S3 cifrados con AES-256 y SSE-KMS.

Para solucionar las tareas que fallaron tras su creación, compruebe la configuración Time Range (Intervalo de tiempo). Si exporta flujos de registro con grandes cantidades de datos y especifica un intervalo de tiempo largo, la tarea de exportación podría fallar. En este caso, especifique un intervalo de tiempo más corto.

Nota: Los registros pueden tardar hasta 12 horas en estar disponibles para su exportación. La tarea de exportación en sí misma puede llevar algún tiempo. Para procesar en tiempo real o archivar continuamente nuevos datos en S3, utilice filtros de suscripción. Puede transmitir a Amazon Kinesis Data Firehose y establecer Amazon S3 como destino. Para archivar datos históricos en S3, exporte sus datos a Amazon S3.

Información relacionada

I configured Amazon CloudWatch to export log data to Amazon S3, but the log data is either missing or not valid. How do I resolve this issue? (He configurado Amazon CloudWatch para exportar los datos de registro a Amazon S3, pero los datos de registro faltan o no son válidos. ¿Cómo puedo resolver este problema?)

How do I retrieve log data from CloudWatch Logs? (¿Cómo puedo recuperar los datos de registro de CloudWatch Logs?)

Exportación de datos de registro a Simple Storage Service (Amazon S3)

Uso de filtros de suscripción de CloudWatch Logs