诊断汇总作业

下表详细列出了各种问题和错误状态代码,以及可能的原因和您可以采取的缓解部署的措施。如果您想查看汇总服务的完整错误规范和缓解措施,请参阅我们当前的公开指南。

指南主题

权限和授权错误

问题 当您对公共云项目执行 terraform planterraform apply 时,出现权限问题。
错误示例 Error: UnauthorizedOperation: You are not authorized to perform this operation.
分辨率

检查您是否已正确通过身份验证,登录到所使用的公有云的 CLI(命令行界面)。

Amazon Web Services

AWS 要求用户拥有创建实例和汇总服务所需的其他服务的权限。应用此配置后,您应该能够顺利执行 Terraform 计划和应用。

Google Cloud Platform

在 Google Cloud 中,请注意,您必须模拟服务账号才能部署 Terraform 的后半部分。如果您跳过此步骤,您的 terraform apply 命令可能会失败,因为部署服务账号拥有创建资源的所有必要权限。请参阅 GitHub 文档中“设置部署环境”的第 4 步

隐私预算错误

错误 PRIVACY_BUDGET_ERROR
原因 这表示由于隐私保护预算服务出现错误,该服务无法处理报告。
检查 在重试作业以查看错误是否是间歇性错误后,请通过技术支持表单与我们联系。
错误 PRIVACY_BUDGET_AUTHORIZATION_ERROR
原因 您可能使用的是与他们在初始配置期间提供的报告来源不同的报告来源。
检查

验证您在 createJob 请求的 attribution_report_to 字段中提交的网站是否与在初始配置期间提交的网站相同。

网站应与已完成初始配置的网站匹配,或者属于已完成初始配置的网站的子网域。请注意,汇总服务启用流程是在顶级网域层面处理的,顶级网域完成启用流程后,所有子网域都可以使用汇总服务。
错误 PRIVACY_BUDGET_AUTHENTICATION_ERROR
原因 您可能使用的是过时或不正确的 ARN。
检查 Google Cloud Platform

检查您的汇总服务部署中使用的服务账号是否与在初始配置期间提供的服务账号一致。必须完全一致,而不仅仅是属于同一项目。

Amazon Web Services

您应使用通过电子邮件收到的相同协调员。如果您仍然遇到问题,请收集您的 auto.tfvars 文件和报告来源信息,并通过技术支持表单与我们联系。
错误 PRIVACY_BUDGET_EXHAUSTED
原因 错误
            "result_info": {
              "return_code": "PRIVACY_BUDGET_EXHAUSTED",
              "return_message": "com.google.aggregate.adtech.worker.exceptions.AggregationJobProcessException:
              Insufficient privacy budget for one or more aggregatable reports. No aggregatable report can appear
              in more than one aggregation job. Information related to reports that do not have budget can be
              found in the following file:
              File path: //
              Filename: privacy budget exhausted debugging information  \n
              com.google.aggregate.adtech.worker.aggregation.concurrent.ConcurrentAggregationProcessor.consumePrivacyBudgetUnits(ConcurrentAggregationProcessor.java:525) \n com.google.aggregate.adtech.worker.aggregation.concurrent.ConcurrentAggregationProcessor.process(ConcurrentAggregationProcessor.java:319) \n com.google.aggregate.adtech.worker.WorkerPullWorkService.run(WorkerPullWorkService.java:157)",
              "error_summary": {
                  "error_counts": [],
                  "error_messages": []
              },
              "finished_at": 
            }

当您尝试批量处理报告时,如果报告的共享 ID 已包含在之前成功处理的批次中,就会出现隐私预算耗尽问题。此错误是由“无重复”规则导致的,根据该规则,可汇总报告只能出现在单个批次中,并且只能用于生成一份汇总报告。

每个报告都将分配一个“共享 ID”,该 ID 由 shared_info 字段 API、reporting_origindestination_sitesource_registration_time(按天截断)、scheduled_report_time(按小时截断)和 version 组成。这意味着,如果多个报告共享 shared_info 字段的相同属性,则这些报告可以属于同一“共享 ID”。
检查

我们建议您尝试使用作业响应中提供的隐私预算耗尽支持来检查和解决错误。这提供了一个新的辅助 JSON 文件,可用于了解哪些报告导致了错误。

请注意,如果您正确地进行批处理,则可能符合预算恢复条件(说明)。建议他们阅读说明并填写表单,但请注意,他们的请求需要获得批准,才能成功恢复预算并再次运行作业。
错误 DEBUG_SUCCESS_WITH_PRIVACY_BUDGET_EXHAUSTED
原因 这表示您正在调试模式下运行作业。createJob 请求中的 job_parameters 包含 debug_run: true。启用 debug_run 标志后,您可以多次运行报告以进行调试。此错误消息会告知您,如果作业不是在调试模式下运行,则会因报告的隐私权预算耗尽而失败。此错误仅在 v2.10.0 或更早版本中有效。
检查 createJob 请求正文将在 job_parameters 中包含 debug_run
            {
              "job_request_id": "{job_request_id}",
              "input_data_blob_prefix": "{input_prefix}",
              "input_data_bucket_name": "{input_bucket}",
              "output_data_blob_prefix": "{output_prefix}",
              "output_data_bucket_name": "{output_bucket}",
              "job_parameters": {
                "output_domain_blob_prefix": "{output_domain_prefix}",
                "output_domain_bucket_name": "{output_domain_bucket}",
                "attribution_report_to": "{reporting_origin}",
                "debug_run": "true"
              }
            }

作业运行时错误

错误 INVALID_JOB
端点 createJob
原因 如果提供的调试隐私保护 epsilon 不在边界 (0.64] 内,或者作业参数未能通过验证,则可能会发生这种情况。
检查 使用了什么 epsilon 值?createJob 请求中使用了哪些作业参数,这些参数是否与您的环境相符?格式是否正确?进行必要的更正,然后重试作业。
错误 INTERNAL_ERROR
端点 getJob
原因 可能是格式设置问题,导致输出网域或报告的处理失败。也可能是您的 Aggregation Service 部署存在问题。
检查 验证输出网域位置是否为有效路径。重试作业。如果错误仍然存在,请索取 auto.tfvars 文件和 Terraform 计划输出,以便排查其汇总服务部署问题。
错误 RESULT_WRITE_ERROR
端点 getJob
原因 如果写入输出目录失败(无论是暂时性失败还是由于目录缺少写入权限而失败),就会发生这种情况。请注意,写入错误会消耗隐私预算,并且无法重试作业。这可能会导致另一个错误结果,即 PRIVACY_BUDGET_EXHAUSTED 错误。
检查 此错误是每次作业都会发生,还是仅偶尔发生?如果每个作业都出现此问题,请验证您是否已启用对输出目录的写入权限。如果这是间歇性故障,则权限应正确无误。这是一个已知问题,即写入摘要报告可能会失败,但隐私预算仍会被消耗。在这种情况下,您可以申请预算返还(说明)。
问题 在运行作业和检索证明服务令牌时遇到 403 错误,并且作业始终返回“RECEIVED”状态。
错误 
            {
                "job_status": "RECEIVED",
                "request_received_at": "{utc timestamp}",
                "request_updated_at": "{utc timestamp}",
                "job_request_id": "0001",
                "input_data_blob_prefix": "reports/",
                "input_data_bucket_name": "{bucket_name}",
                "output_data_blob_prefix": "summary/",
                "output_data_bucket_name": "{bucket_name}",
                "postback_url": "",
                "job_parameters": {
                    "output_domain_bucket_name": "{bucket_name}",
                    "output_domain_blob_prefix": "output_domain/",
                    "attribution_report_to": 
                }
            }
分辨率

当服务账号尚未完成初始配置时,作业通常会卡在 RECEIVED 状态,并出现 403 错误。验证您使用的服务账号是否与您在初始配置请求中提供的服务账号一致。如果您尚未完成新手入门请求,请填写新手入门表单和注册表单。

验证您的注册和初始配置状态后,请检查正在运行的作业发生了什么情况。

Amazon Web Services

发生这种情况时,可能是 AWS Enclave 未运行或已崩溃,因此作业未被选取。

  1. 连接到 EC2 实例会话管理器。
  2. 请参阅此 AWS 文档,其中包含连接到会话管理器的以下步骤。
  3. 前往 AWS 控制台管理器 > EC2 > 实例。
  4. 选择正在运行的汇总服务的实例 ID。
  5. 依次选择“会话管理器”标签页 >“连接”按钮。这会将您连接到您的实例。
  6. Enclave 实例运行后,在终端中执行以下命令:
    sudo nitro-cli describe-enclaves
    如果此命令未按预期显示日志,请先执行以下命令,然后再重试:
    sudo nitro-cli run-enclave --cpu-count=2 --memory=7000 --eif-path=/opt/google/worker/enclave.eif
  7. 如需检查 AWS 飞地是否已崩溃,请运行以下命令: sudo journalctl -u aggregate-worker.service
  8. 您应该会看到输出日志,例如:
    Starting aggregate-worker.service - Watcher script for nitro enclave.
    如果出现任何故障等情况,此处应会显示错误。
Google Cloud Platform

托管式实例组 (MIG) 的健康状况可能不佳。如果这是首次设置,或者您销毁并重新创建了 adtech_setup Terraform,请确认您的服务账号已完成初始配置。如果服务账号未完成初始配置,MIG 将处于不健康状态。

  1. 在 Cloud 控制台中,前往 Compute Engine > 实例组
  2. 查看状态列(绿色对勾标记表示正常)
  3. 点击其中一个实例组,然后查看“错误”标签页,详细了解相应问题。点击实例名称以访问虚拟机级信息。
  4. 您还可以使用终端与实例组互动,并获取相同的信息。 尝试使用 list-errors 命令:
    gcloud compute instance-groups managed list-errors --region=
    以下是输出示例。 
                      INSTANCE_URL: https://www.googleapis.com/compute/v1/projects/aggservice-sandbox/zones/us-central1-c/instances/collector-operator-demo-env-67hd
                  ACTION: VERIFYING
                  ERROR_CODE: WAITING_FOR_HEALTHY_TIMEOUT_EXCEEDED
                  ERROR_MESSAGE: Waiting for HEALTHY state timed out (autohealingPolicy.initialDelay=200 sec) for instance projects/aggservice-sandbox/zones/us-central1-c/instances/collector-operator-demo-env-67hd and health check projects/aggservice-sandbox/global/healthChecks/operator-demo-env-collector-auto-heal-hc.
                  TIMESTAMP: 
                  INSTANCE_TEMPLATE: https://www.googleapis.com/compute/v1/projects/aggservice-sandbox/global/instanceTemplates/operator-demo-env-collector
                  VERSION_NAME: primary
如果您仍然遇到问题,请保存此文件并提供给我们的团队。继续执行后续步骤。

您的摘要报告是否按预期进行转化?

有时,您的 getJob 调用会成功,但汇总服务返回的摘要报告存在问题。总结报告采用 AVRO 格式,需要转换为 JSON 格式。转换为 JSON 格式后,它将类似如下所示。

{
  "bucket": "\u0005Y",
  "metric": 26308
}

如果 AVRO 转换出现任何问题,请尝试使用 AVRO 工具,并在 AVRO 报告中使用以下命令。 java -jar avro-tools-1.11.1.jar tojson [report_name].avro > [report_name].json 您可以从此处下载稳定版。如果您需要进一步的帮助,请继续执行后续步骤。

后续步骤

Privacy Sandbox 状态信息中心公共 GitHub 代码库中查看是否有人遇到过相同的问题。

如果您没有看到汇总服务问题的解决方案,请通过提交 GitHub 问题技术支持表单通知我们。