왜 CloudWatch Logs가 S3 버킷으로 내보내지지 않는 건가요?
Amazon CloudWatch 로그 데이터를 Amazon Simple Storage Service(Amazon S3) 버킷으로 내보내고 싶습니다. 하지만 내보내기 작업이 실패했습니다.
해결 방법
생성 중에 실패한 작업의 문제를 해결하려면 다음 설정을 확인하세요.
- 리전(Region) – CloudWatch Logs 로그 스트림과 S3 버킷이 동일한 리전에 있는지 확인합니다.
- S3 버킷 정책(S3 bucket policies) – 기본적으로 모든 S3 버킷과 객체는 비공개입니다. 리소스 소유자(버킷을 생성한 AWS 계정)만 버킷과 그 버킷에 포함된 객체에 액세스할 수 있습니다. 버킷 정책을 사용하여 S3 버킷에서 CloudWatch Logs로 액세스하기 위한 권한을 설정하세요.
참고: S3 버킷에 내보내기 권한을 설정할 때 로그를 버킷으로 내보낼 수 있는 계정의 계정 ID를 지정해야 합니다. 이러한 계정을 aws:SourceAccount 키 아래에 나열합니다. 하지만 s3:GetBucketAcl 작업 내에 aws:SourceAccount을을 추가할 수 없습니다.
- S3 버킷 접두사(S3 bucket prefixes) – S3 버킷 정책을 설정할 때 무작위로 생성된 문자열을 버킷의 접두사로 포함하는 것이 좋습니다. 접두사를 사용하는 경우, 내보내기 작업을 생성할 때 S3 버킷 접두사 설정에서 무작위로 생성된 문자열을 지정해야 합니다. 그렇지 않으면 내보내기 작업 생성이 실패합니다.
- AWS Identity and Access Management(IAM) 정책(AWS Identity and Access Management (IAM) policies) – 내보내기 작업을 생성한 IAM 사용자(IAM 역할)에게 Amazon S3 및 CloudWatch Logs에 대한 완전한 액세스 권한이 있는지 확인합니다.
- 리소스 할당량(Resource quotas) – CloudWatch Logs 서비스 할당량은 리전별 계정당 실행 중이거나 보류 중인 내보내기 작업을 하나만 허용합니다. 이 할당량은 변경할 수 없습니다. 허용된 할당량 내에서 작업하고 있는지 확인합니다.
- 서버 측 암호화 유형(Type of server-side encryption) – 지원되는 서버 측 암호화 유형을 사용하고 있는지 확인합니다. AES-256 및 SSE-KMS로 암호화된 S3 버킷으로 내보낼 수 있습니다.
생성 후 실패한 작업의 문제를 해결하려면 시간 범위(Time Range) 설정을 확인하세요. 대량의 데이터가 포함된 로그 스트림을 내보내고 시간 범위를 길게 지정하면 내보내기 작업이 실패할 수 있습니다. 이 경우, 시간 범위를 더 짧게 설정하세요.
참고: 로그를 내보낼 수 있게 되기까지 최대 12시간이 걸릴 수 있습니다. 내보내기 작업 자체에 다소 시간이 걸릴 수 있습니다. 실시간으로 처리하거나 새 데이터를 S3에 연속적으로 보관하려면 구독 필터를 사용하세요. Amazon Kinesis Data Firehose로 스트리밍하고 Amazon S3를 대상으로 설정할 수 있습니다. 기록 데이터를 S3에 보관하려면 데이터를 Amazon S3로 내보내세요.
관련 정보
로그 데이터를 Amazon S3로 내보내도록 Amazon CloudWatch를 구성했는데, 로그 데이터가 누락되거나 잘못된 데이터입니다. 이 문제를 해결하려면 어떻게 해야 하나요?
관련 콘텐츠
- AWS 공식업데이트됨 7달 전
- AWS 공식업데이트됨 9달 전
