18

我将查看器请求和源响应 Lambda 函数部署到 CloudFront 分配,它们正在触发,但没有记录到 CloudWatch。我花了相当多的时间来研究这个主题,并浏览了其他帖子的所有建议,包括:

  • 检查所有区域的日志,因为我知道它们 CloudWatch 日志将在 labmda@edge 函数运行的区域中创建。没有任何登录。
  • 我已检查 AWSServiceRoleForCloudFrontLogger 角色是否存在。

有趣的是,当我故意将错误编码到一个 Lambda 函数中时,我确实会在一个名为/aws/cloudfront/LambdaEdge/<cloudfront distribution id>包含错误日志的组中创建日志,但是这里的 console.log 语句没有输出。

对于我的一生,我无法弄清楚如何启用将所有请求(包括成功和失败)记录到 CloudWatch,其中包含使用 console.log() 的调试语句。

AWSServiceRoleForCloudFrontLogger 包含一个策略AWSCloudFrontLogger

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:/aws/cloudfront/*"
        }
    ]
}

编辑:

以下是 AWS 支持建议的 AWS 角色。我可以确认这有效并解决了问题。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}```
4

1 回答 1

4

问题很可能是 Lambda 没有将日志输出到 CloudWatch 的权限。

您可以仔细检查 Lambda 函数执行角色权限吗?

相关链接:无法让 AWS Lambda 函数记录(文本输出)到 CloudWatch

解释

所以这里有两种日志,因此您必须在两个不同的地方为 CloudWatch 提供权限。

  1. 您放入 Lambda 函数的日志(使用 console.log),由于这些日志将由函数发布到 CloudWatch,因此函数执行角色应该具有 CloudWatch 的权限。无论谁触发 Lambda 函数,这都是正确的。
  2. 现在来了 L@E,有时您最终可能会以根据 CloudFront 无效的方式修改请求/响应。在这些场景中,只有 ClodFront 知道您搞砸了(您的 Lambda 函数不知道这一点),并将此知识以日志的形式发布到 CloudWatch。现在,由于这是一个不同的实体,它需要自己的权限才能将日志推送到 CloudWatch(您已通过 AWSServiceRoleForCloudFrontLogger 提供)。
于 2019-07-12T03:11:08.313 回答