Обработка ошибок

Если трейл не может отправить аудитные логи в объект назначения, статус трейла изменится на Error. Инструкция содержит рекомендации по восстановлению нормальной работы трейла.

Объекты назначения:

• Бакет Object Storage.
• Поток данных Data Streams.
• Лог-группа Cloud Logging.

Бакет Object StorageБакет Object Storage

ACCESS_DENIEDACCESS_DENIED

• Проверьте, что сервисному аккаунту, от имени которого трейл загружает аудитные логи в бакет, назначена роль storage.uploader или выше.
• Если бакет зашифрован ключом Yandex Key Management Service, убедитесь, что у сервисного аккаунта, от имени которого трейл загружает аудитные логи в бакет, есть роль kms.keys.decrypter на ключ.
• Если трейл поставляет события в зашифрованный бакет, проверьте существование ключа Key Management Service данного бакета.
• Проверьте список управления доступом (ACL) и политики доступа (bucket policy): в них не должно быть правил, которые запрещают сервисному аккаунту запись в бакет.

BUCKET_QUOTA_EXCEEDEDBUCKET_QUOTA_EXCEEDED

Увеличьте размер бакета или удалите ненужные объекты.

BUCKET_CLOUD_QUOTA_EXCEEDEDBUCKET_CLOUD_QUOTA_EXCEEDED

Обратитесь в поддержку для увеличения квоты Object Storage на облако.

BUCKET_NOT_FOUNDBUCKET_NOT_FOUND

Проверьте бакет, который указан в настройках трейла. Если бакет был удален:

1. Создайте новый бакет с тем же именем, которое было указано в настройках трейла.

   Также вы можете изменить настройки трейла, указав в блоке Назначение другой бакет.

2. Если бакет зашифрован ключом Yandex Key Management Service, выдайте сервисному аккаунту, от имени которого трейл загружает аудитные логи в бакет, роль kms.keys.decrypter на ключ.

BUCKET_INVALID_ENCRYPTIONBUCKET_INVALID_ENCRYPTION

Проверьте, что ключ Yandex Key Management Service, которым зашифрован бакет, находится в статусе Active.

UNKNOWN или INTERNAL_ERRORUNKNOWN или INTERNAL_ERROR

Обратитесь в поддержку за дополнительной информацией и рекомендациями.

Поток данных Data StreamsПоток данных Data Streams

ACCESS_DENIEDACCESS_DENIED

Проверьте, что сервисному аккаунту, от имени которого трейл загружает аудитные логи в поток данных, назначена роль yds.writer или выше.

STREAM_NOT_FOUNDSTREAM_NOT_FOUND

Проверьте поток данных, который указан в настройках трейла. Если поток данных или его база данных YDB были удалены:

1. Создайте новый поток данных.
2. Измените настройки трейла, указав в блоке Назначение новый поток данных.

DATABASE_INACTIVEDATABASE_INACTIVE

Убедитесь, что база данных YDB находится в статусе Running. При необходимости запустите БД, например, с помощью консоли управления:

1. В списке сервисов выберите Managed Service for YDB.
2. Справа от имени нужной БД нажмите значок и выберите Запустить.

DATABASE_NOT_FOUNDDATABASE_NOT_FOUND

Убедитесь, что база данных YDB находится в статусе Running, а привязанный к ней поток данных — в статусе Active. Если поток данных или его БД YDB были удалены, создайте новый поток данных или новую БД.

UNKNOWN или INTERNAL_ERRORUNKNOWN или INTERNAL_ERROR

Обратитесь в поддержку за дополнительной информацией и рекомендациями.

Лог-группа Cloud LoggingЛог-группа Cloud Logging

ACCESS_DENIEDACCESS_DENIED

Проверьте, что сервисному аккаунту, от имени которого трейл загружает аудитные логи в лог-группу, назначена роль logging.writer или выше.

LOG_GROUP_NOT_FOUNDLOG_GROUP_NOT_FOUND

Проверьте лог-группу, которая указана в настройках трейла. Если лог-группа была удалена:

1. Создайте новую лог-группу.
2. Измените настройки трейла, указав в блоке Назначение новую лог-группу.

UNKNOWN или INTERNAL_ERRORUNKNOWN или INTERNAL_ERROR

Обратитесь в поддержку за дополнительной информацией и рекомендациями.

См. такжеСм. также

• Назначение роли сервисному аккаунту