2025年AWS认证利用CloudWatch排查VPC内网络连接问题专题试卷及解析.pdfVIP

2025年AWS认证利用CLOUDWATCH排查VPC内网络连接问题专题试卷及解析1

2025年AWS认证利用CloudWatch排查VPC内网络

连接问题专题试卷及解析

2025年AWS认证利用CloudWatch排查VPC内网络连接问题专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、当您发现EC2实例无法访问互联网时，首先应该通过CloudWatch的哪个指标

来排查NAT网关问题？

A、NetworkOut

B、BytesOutToDestination

C、NatGatewayErrorPortAllocation

D、CPUUtilization

【答案】C

【解析】正确答案是C。NatGatewayErrorPortAllocation指标专门用于监控NAT网

关端口分配错误，这是导致EC2实例无法访问互联网的常见原因。A选项NetworkOut

是通用网络流出指标，不够具体；B选项BytesOutToDestination不是标准CloudWatch

指标；D选项CPUUtilization与网络连接问题无关。知识点：NAT网关监控指标。易

错点：容易混淆通用网络指标和NAT网关专用指标。

2、在排查VPC内跨AZ连接问题时，应该重点关注CloudWatch的哪个维度？

A、AvailabilityZone

B、InstanceId

C、VpcId

D、SubnetId

【答案】A

【解析】正确答案是A。跨AZ连接问题需要按可用区维度分析，AvailabilityZone

维度可以区分不同AZ的网络性能。B选项InstanceId过于细粒度；C选项VpcId范

围过大；D选项SubnetId虽然相关但不如AZ维度直接。知识点：CloudWatch维度选

择。易错点：容易忽略维度粒度对问题定位的影响。

3、当发现VPC流日志记录了大量”REJECT”动作时，最可能的原因是？

A、安全组配置错误

B、路由表配置错误

C、NACL配置错误

D、InternetGateway故障

【答案】C

【解析】正确答案是C。NACL作为无状态防火墙，会记录所有拒绝的流量，“RE-

JECT”动作通常表示NACL规则阻止了流量。A选项安全组是状态防火墙，不会产

2025年AWS认证利用CLOUDWATCH排查VPC内网络连接问题专题试卷及解析2

生REJECT记录；B选项路由表问题会导致”DROP”而非”REJECT”；D选项Internet

Gateway故障不会产生具体流日志记录。知识点：VPC流日志分析。易错点：容易混

淆安全组和NACL的日志特征。

4、要监控VPC内VPN连接的隧道状态，应该查看哪个CloudWatch指标？

A、TunnelState

B、TunnelDataIn

C、TunnelDataOut

D、VPNConnectionState

【答案】A

【解析】正确答案是A。TunnelState指标直接反映VPN隧道状态，是排查VPN连

接问题的首选。B和C选项反映数据传输量，不直接反映连接状态；D选项VPNCon-

nectionState不是标准指标名称。知识点：VPN监控指标。易错点：容易混淆连接状态

指标和数据传输指标。

5、当发现EC2实例无法解析DNS时，应该优先检查哪个CloudWatch日志？

A、/var/log/messages

B、/var/log/dnsmasq.log

C、/var/log/cloudinit.log

D、/var/log/syslog

【答案】B

【解析】正确答案是B。dnsmasq.log记录了DNS解析的详细信息，是排查DNS问

题的首选日志。A选项messages是系统通用日志；C选项cloudinit.log记录初始化过

程；D选项syslog虽然包含DNS信息但不如dnsmasq.log专业。知识点：DNS问题排

查。易错点：容易忽略专门的DNS