我无法通过 Amazon CloudWatch Events 将我的中转网关注册到全局网络并监控全局网络。如何解决此问题?
解决方案
要排查 AWS 网络管理器注册和事件监控问题,请执行以下操作:
检查您的全局网络配置和中转网关注册
首先,确保已创建全局网络。要以 AWS Identity and Access Management (IAM) 用户的身份创建全局网络,您必须拥有名为 AWSServiceRoleForNetworkManager 的服务相关角色 (SLR)。有关更多信息,请参阅 AWS 网络管理器服务相关角色。有关创建服务相关角色的说明,请参阅使用服务相关角色。
然后,确认您已使用网络管理器控制台或 AWS 命令行界面 (AWS CLI) 在全局网络中注册了中转网关。如果您在运行 AWS 命令行界面 (AWS CLI) 命令时遇到错误,请确保您使用的是最新版的 AWS CLI。
**注意:**如果您使用的是 AWS CLI 或 AWS SDK,则必须指定美国西部(俄勒冈州)区域。
如果中转网关与全局账户不在同一 AWS 账户中,请确认以下事项:
查看您的 Amazon CloudWatch Log Insights 配置
确认您已加入 CloudWatch Log Insights。要确认您已加入 CloudWatch Log Insights,请运行以下命令:
aws logs describe-resource-policies --region us-west-2
然后,验证名为 DO_NOT_DELETE_networkmanager_TrustEventsToStoreLogEvents 的 CloudWatch 资源策略是在美国西部(俄勒冈州)区域创建的。还必须存在以下资源:
- 位于美国西部(俄勒冈州)区域的名为 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。
- 位于美国西部(俄勒冈州)区域的名为 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日志组
- CloudWatch 事件规则配置为以 CloudWatch Logs 日志组为目标。
如果您无法加入 CloudWatch Logs Insights,请检查 IAM 用户或角色是否具有执行此操作的以下权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"events:PutTargets",
"events:DescribeRule",
"logs:PutResourcePolicy",
"logs:DescribeLogGroups",
"logs:DescribeResourcePolicies",
"events:PutRule",
"logs:CreateLogGroup"
],
"Resource": "*"
}
]
}
**注意:**如果您使用的是 AWS CLI 或 AWS SDK,则必须指定美国西部(俄勒冈州)区域。
若要添加或修改角色权限,请参阅向用户添加权限(控制台)或修改角色权限策略(控制台)。
检查您的 CloudWatch 事件监控配置
首先,请确保您已经创建全局网络,并且已加入 CloudWatch Logs Insights。
**注意:**只有在全局网络中注册中转网关之后,才会捕获监控事件。在注册前对中转网关执行的任何更改都不会显示在事件监控下。
如果您仍然无法监控事件,请确认以下事项:
- 为每个捕获的事件调用名为 DO_NOT_DELETE_networkmanager_rule 的 CloudWatch 事件规则。此操作必须在美国西部(俄勒冈州)区域执行。
- 事件规则 DO_NOT_DELETE_networkmanager_rule 的 FailedInvocations 图表为 0。通过访问名为 DO_NOT_DELETE_networkmanager_rule 的事件规则来找到 FailedInvocations 图表,然后选择 Monitoring(监控)选项卡。
- 如果有匹配捕获事件的成功规则调用,请确认这些事件存在于美国西部(俄勒冈州)区域中名为 /aws/events/networkmanagerloggroup 的 CloudWatch Logs 日志组。