Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung bei VPC Flow Logs
Im Folgenden finden Sie mögliche Probleme, die auftreten können, wenn Sie mit Flow-Protokollen arbeiten.
**Topics**
+ [Unvollständige Flow-Protokolldatensätze](#flow-logs-troubleshooting-incomplete-records)
+ [Flow-Protokoll ist aktiv, aber keine Flow-Protokolldatensätze oder Protokollgruppen vorhanden](#flow-logs-troubleshooting-no-log-group)
+ [Fehler LogDestinationNotFoundException '' oder 'Zugriff verweigert für LogDestination '](#flow-logs-troubleshooting-not-found)
+ [Überschreiten des Amazon S3-Bucket-Richtlinienlimits](#flow-logs-troubleshooting-policy-limit)
+ [LogDestination nicht zustellbar](#flow-logs-troubleshooting-kms-id)
+ [Die Datengröße der Flow-Protokolle stimmt nicht mit den Abrechnungsdaten überein](#flow-logs-data-size-mismatch)
## Unvollständige Flow-Protokolldatensätze
**Problem**
Ihre Flow-Protokolldatensätze sind unvollständig oder werden nicht mehr veröffentlicht.
**Ursache**
Möglicherweise liegt ein Problem bei der Übermittlung der Flow-Protokolle an die Protokollgruppe CloudWatch Logs vor, oder [es sind SkipData Einträge vorhanden](flow-logs-records-examples.md#flow-log-example-no-data).
**Lösung**
Überprüfen Sie die Registerkarte **Flow-Protokolle** für die VPC, das Subnetz oder die Netzwerkschnittstelle. Beachten Sie, dass Sie keine Flow-Protokolle für eine VPC oder ein Subnetz beschreiben können, das mit Ihnen geteilt wurde, aber Sie können Flow-Protokolle für eine Netzwerkschnittstelle beschreiben, die Sie in einer VPC oder einem Subnetz erstellen, das mit Ihnen geteilt wurde. Sofern Fehler auftreten, werden sie in der Spalte **Status** angezeigt. Verwenden Sie alternativ den [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)Befehl und überprüfen Sie den Wert, der in dem `DeliverLogsErrorMessage` Feld zurückgegeben wird.
Die folgenden Werte sind mögliche Fehlerwerte für den Status:
+ `Rate limited`: Dieser Fehler kann auftreten, wenn die CloudWatch Protokolldrosselung angewendet wurde — wenn die Anzahl der Flow-Log-Datensätze für eine Netzwerkschnittstelle höher ist als die maximale Anzahl von Datensätzen, die innerhalb eines bestimmten Zeitraums veröffentlicht werden können. Dieser Fehler kann auch auftreten, wenn Sie das Kontingent für die Anzahl der CloudWatch Logs-Protokollgruppen, die Sie erstellen können, erreicht haben. Weitere Informationen finden Sie unter [CloudWatchServicekontingenten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) im * CloudWatch Amazon-Benutzerhandbuch*.
+ `Access error`: Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die IAM-Rolle für Ihr Flow-Protokoll verfügt nicht über ausreichende Berechtigungen, um Flow-Protokolldatensätze in der CloudWatch Protokollgruppe zu veröffentlichen
+ Die IAM-Rolle hat keine Vertrauensbeziehung zum Flow-Protokoll-Service.
+ Die Vertrauensbeziehung legt den Flow-Protokoll-Service nicht als Prinzipal fest.
Weitere Informationen finden Sie unter [IAM-Rolle für die Veröffentlichung von Flow-Protokollen in Logs CloudWatch](flow-logs-iam-role.md).
+ `Unknown error`: Es ist ein interner Fehler im Flow-Protokoll-Service aufgetreten.
## Flow-Protokoll ist aktiv, aber keine Flow-Protokolldatensätze oder Protokollgruppen vorhanden
**Problem**
Sie haben ein Flow-Protokoll erstellt und in der Amazon VPC- bzw. Amazon EC2-Konsole wird das Flow-Protokoll als `Active` angezeigt. Sie können jedoch keine Protokollstreams in CloudWatch Protokollen oder Protokolldateien in Ihrem Amazon S3 S3-Bucket sehen.
**Mögliche Ursachen**
+ Das Flow-Protokoll wird noch erstellt. Es kann unter Umständen zehn Minuten oder länger dauern, bis nach dem Erstellen des Flow-Protokolls die Protokollgruppe erstellt bzw. Daten angezeigt werden.
+ Es wurde noch kein Datenverkehr für Ihre Netzwerkschnittstellen erfasst. Die Protokollgruppe in CloudWatch Logs wird nur erstellt, wenn Datenverkehr aufgezeichnet wird.
**Lösung**
Warten Sie ein paar Minuten, bis die Protokollgruppe erstellt oder der Datenverkehr aufgezeichnet wird.
## Fehler LogDestinationNotFoundException '' oder 'Zugriff verweigert für LogDestination '
**Problem**
Sie erhalten, wenn Sie ein Flow-Protokoll erstellen einen `Access Denied for LogDestination`- oder einen `LogDestinationNotFoundException`-Fehler.
**Mögliche Ursachen**
+ Wenn Sie ein Flow-Protokoll erstellen, das Daten in einem Amazon-S3-Bucket veröffentlicht, weist dieser Fehler darauf hin, dass der angegebene S3-Bucket nicht gefunden wurde oder dass die Bucket-Richtlinie die Zustellung von Protokollen nicht zulässt.
+ Bei der Erstellung eines Flow-Protokolls, das Daten in Amazon CloudWatch Logs veröffentlicht, weist dieser Fehler darauf hin, dass die IAM-Rolle die Übermittlung von Protokollen an die Protokollgruppe nicht zulässt.
**Lösung**
+ Stellen Sie beim Veröffentlichen in Amazon S3 sicher, dass Sie den ARN für einen vorhandenen S3-Bucket angegeben haben und dass der ARN das richtige Format hat. Wenn Sie nicht Eigentümer des S3-Buckets sind, überprüfen Sie, ob die [Bucket-Richtlinie](flow-logs-s3-permissions.md) über die erforderlichen Berechtigungen verfügt und die richtige Konto-ID und den richtigen Bucket-Namen im ARN verwendet.
+ Stellen Sie beim Veröffentlichen in CloudWatch Logs sicher, dass die [IAM-Rolle](flow-logs-iam-role.md) über die erforderlichen Berechtigungen verfügt.
## Überschreiten des Amazon S3-Bucket-Richtlinienlimits
**Problem**
Wenn Sie versuchen, ein Flow-Protokoll zu erstellen, wird die folgende Fehlermeldung angezeig: `LogDestinationPermissionIssueException`.
**Mögliche Ursachen**
Amazon S3 Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt.
Jedes Mal, wenn Sie ein Flow-Protokoll erstellen, das in einem Amazon S3-Bucket veröffentlicht, fügen wir den angegebenen Bucket-ARN, der den Ordnerpfad enthält, automatisch zum `Resource`-Element in der Richtlinie des Buckets hinzu.
Wenn mehrere Flow-Protokolle erstellt werden, die in den gleichen Bucket veröffentlichen, kann dies zu einer Überschreitung des Bucket-Richtlinienlimits führen.
**Lösung**
+ Bereinigen Sie die Richtlinie des Buckets, indem Sie nicht mehr benötigte Flow-Protokolleinträge entfernen.
+ Erteilen Sie Berechtigungen für den gesamten Bucket, indem Sie die einzelnen Protokolleinträge folgendermaßen ersetzen:
```
arn:aws:s3:::bucket_name/*
```
Wenn Sie Berechtigungen für den gesamten Bucket erteilen, fügen neue Flow-Protokollabonnements keine neuen Berechtigungen zur Bucket-Richtlinie hinzu.
## LogDestination nicht zustellbar
**Problem**
Wenn Sie versuchen, ein Flow-Protokoll zu erstellen, wird die folgende Fehlermeldung angezeig: `LogDestination is undeliverable`.
**Mögliche Ursachen**
Der Amazon S3 S3-Ziel-Bucket wird mit serverseitiger Verschlüsselung mit AWS KMS (SSE-KMS) verschlüsselt, und die Standardverschlüsselung des Buckets ist eine KMS-Schlüssel-ID.
**Lösung**
Der Wert muss ein KMS-Schlüssel-ARN sein. Ändern Sie den standardmäßigen S3-Verschlüsselungstyp von KMS-Schlüssel-ID zu KMS-Schlüssel-ARN. Weitere Informationen finden Sie unter [Standardverschlüsselung konfigurieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.
## Die Datengröße der Flow-Protokolle stimmt nicht mit den Abrechnungsdaten überein
**Problem**
Die Gesamtdatengröße Ihrer Flow-Protokolle entspricht nicht der in den Abrechnungsdaten angegebenen Größe.
**Mögliche Ursachen**
In Ihren Flow-Protokollen befinden sich ggf. SKIPDATA-Einträge. Eine Erläuterung der SKIPDATA-Einträge finden Sie unter [Keine Daten und übersprungene Datensätze](flow-logs-records-examples.md#flow-log-example-no-data).
**Lösung**
Vergewissern Sie sich, ob SKIPDATA-Einträge in Ihren Protokolleinträgen vorhanden sind, indem Sie Ihre Protokolle nach verschiedenen Einträgen im Protokollstatusfeld abfragen.
Beispielabfragen zur Prüfung nach SKIPDATA:
CW Insights:
```
fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus
```
Athena:
```
SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id
```