遥测配置问题排查
本节介绍使用遥测配置功能时可能遇到的常见问题以及解决方案。
资源未显示
如果资源未显示在发现中,请验证以下内容:
-
遥测配置支持该资源类型。有关支持的数据来源的列表,请参阅支持的数据来源。
-
AWS Config 记录器已在您的账户中启用。遥测配置需要 AWS Config 服务关联记录器来发现资源。
-
具备查看资源的适当 IAM 权限。
-
自启用遥测配置以来已经过了足够长的时间。在某些情况下,资源的首次发现流程可能需要最长 24 小时才能完成。
规则未应用
如果启用规则不适用于您的资源,请检查以下内容:
-
验证规则作用域配置。确保规则针对的是正确的组织、OU 或账户。
-
检查标签筛选条件。如果规则使用基于标签的筛选,请验证目标资源是否具有预期的标签。
-
检查是否存在规则冲突。若是存在相互冲突的多条规则,这些相互冲突的规则都不会应用。有关更多信息,请参阅 规则评估层次结构。
注意
创建启用规则后,系统会先通过 AWS Config 配置项(CI)识别出不合规资源(即未启用遥测功能的资源),再根据您设定的启用规则作用域为这类资源开启遥测功能。在某些情况下,资源的首次识别流程可能需要最长 24 小时才能完成。
多区域问题
在使用多区域遥测配置时,可能会遇到以下问题:
-
分支区域失败:如果规则未能复制到分支区域,则失败将在规则状态控制面板中显示。系统会自动重试失败的复制。在控制台中或使用 API 检查每个区域的状态,确定哪些区域受到影响。
-
资源发现延迟:分支区域的资源可能需要更长的时间才能显示在主区域视图中,因为 CloudWatch 使用 AWS Config 聚合器跨区域收集资源数据。
-
协调偏差:系统定期协调各区域的规则以纠正偏差。如果您发现主区域与分支区域之间存在不一致之处,请留出时间让协调过程完成。
主区域冲突
尝试编辑或删除不是该规则主区域的区域中的规则时,可能会遇到错误。复制的规则只能在最初创建它们的主区域中进行修改。
要解决主区域冲突,请执行以下操作:
-
在控制台中查看规则上显示的信息警报。警报会标识规则的主区域。
-
在 CloudWatch 控制台中导航到主区域以编辑或删除规则。
-
如果需要在分支区域中创建不同的规则,请使用不同的名称和作用域创建与复制的规则不冲突的新规则。
