Come posso risolvere i problemi di registrazione e monitoraggio degli eventi di Network Manager?

Risoluzione

Per risolvere i problemi di registrazione e monitoraggio degli eventi di AWS Network Manager, procedi come segue:

Verifica la configurazione di rete globale e la registrazione del gateway di transito

Innanzitutto, assicurati di aver già creato una rete globale. Per creare una rete globale come utente AWS Identity and Access Management (IAM), è necessario disporre del ruolo collegato al servizio (SLR) denominato AWSServiceRoleForNetworkManager. Per ulteriori informazioni, consulta i ruoli collegati ai servizi di AWS Network Manager. Per istruzioni sulla creazione di ruoli collegati ai servizi, consulta Utilizzo dei ruoli collegati ai servizi.

Quindi, conferma di aver registrato il gateway di transito con la tua rete globale utilizzando la console di Network Manager o l'Interfaccia della linea di comando AWS (AWS CLI). se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.
Nota: devi specificare la regione Stati Uniti occidentali (Oregon) se utilizzi l'interfaccia della linea di comando AWS (AWS CLI) o l'SDK AWS.

Se il gateway di transito non si trova nello stesso account AWS dell'account globale, confermare quanto segue:

• Il gateway di transito e gli account globali fanno parte della stessa organizzazione AWS. Per maggiori informazioni, consulta Gestire più account in Network Manager con AWS Organizations.
• L'accesso attendibile è attivato per distribuire gli SLR richiesti e i ruoli IAM personalizzati nell'account del gateway di transito. L'accesso attendibile è necessario affinché l'account di gestione o l'account amministratore delegato assuma questi ruoli.
• L'accesso a più account è attivato. È consigliabile attivare l'accesso a più account utilizzando la console di Network Manager. La console di Network Manager crea automaticamente tutti i ruoli e le autorizzazioni necessari per l'accesso attendibile e consente la registrazione degli amministratori delegati.

Verifica la configurazione di Amazon CloudWatch Log Insights

Conferma di aver effettuato l'onboarding con CloudWatch Logs Insights. Per confermare di aver eseguito l'onboarding con CloudWatch Logs Insights, esegui il seguente comando:

aws logs describe-resource-policies --region us-west-2

Quindi, verifica che un criterio delle risorse di CloudWatch con il nome DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents sia stato creato nella regione Stati Uniti occidentali (Oregon). Devono essere presenti anche le seguenti risorse:

• Una regola di evento CloudWatch con il nome DO_NOT_DELETE_networkmanager_rule nella regione Stati Uniti occidentali (Oregon).
• Un gruppo di log di CloudWatch Logs con il nome /aws/events/networkmanagerloggroup nella regione Stati Uniti occidentali (Oregon)
• La regola di evento CloudWatch è configurata con il gruppo di log CloudWatch Logs come destinazione.

Se non riesci a eseguire l'onboarding su CloudWatch Logs Insights, verifica che l'utente o il ruolo IAM disponga delle seguenti autorizzazioni per eseguire questa azione:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "events:PutTargets",
                "events:DescribeRule",
                "logs:PutResourcePolicy",
                "logs:DescribeLogGroups",
                "logs:DescribeResourcePolicies",
                "events:PutRule",
                "logs:CreateLogGroup"
            ],
            "Resource": "*"
        }
    ]
}

Nota: devi specificare la regione Stati Uniti occidentali (Oregon) se utilizzi l'interfaccia della linea di comando AWS (AWS CLI) o l'SDK AWS.

Per aggiungere o modificare le autorizzazioni dei ruoli, consulta Aggiunta di autorizzazioni a un utente (console) o Modifica di una policy di autorizzazione di ruolo (console).

Controlla la configurazione di monitoraggio degli eventi CloudWatch

Innanzitutto, assicurati di aver creato una rete globale e di aver effettuato l'onboarding con CloudWatch Logs Insights.

Nota: gli eventi di monitoraggio vengono acquisiti solo dopo la registrazione del gateway di transito nella rete globale. Eventuali modifiche apportate al gateway di transito prima della registrazione non verranno visualizzate nel monitoraggio degli eventi.

Se non riesci ancora a monitorare gli eventi, conferma quanto segue:

• La regola degli eventi di CloudWatch con il nome DO_NOT_DELETE_networkmanager_rule è stata richiamata per ogni evento acquisito. Questa operazione deve essere eseguita nella regione degli Stati Uniti occidentali (Oregon).
• Il grafico FailedInvocations per la regola evento DO_NOT_DELETE_networkmanager_rule è 0. Individuare il grafico FailedInvocations accedendo alla regola di evento con il nome DO_NOT_DELETE_networkmanager_rule, quindi scegliere la scheda Monitoraggio.
• Se sono presenti invocazioni di regole che corrispondono agli eventi acquisiti, verificare che tali eventi siano presenti nel gruppo di log di CloudWatch Logs con il nome /aws/events/networkmanagerloggroup nella regione Stati Uniti occidentali (Oregon).

---