Konfigurieren der Standardprotokollierung (Legacy) - Amazon CloudFront
Auswählen eines Amazon-S3-Buckets für StandardprotokolleBerechtigungenAktivieren der Standardprotokollierung (Legacy)Bearbeiten der StandardprotokollierungseinstellungenSenden von Protokollen an Amazon S3Dateiformat des StandardprotokollsLöschen von ProtokolldateienPreisgestaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren der Standardprotokollierung (Legacy)

Hinweise

  • Dieses Thema bezieht sich auf die vorherige Version der Standardprotokollierung. Informationen zur neuesten Version finden Sie unter Konfigurieren der Standardprotokollierung (v2).

  • Wenn Sie die Standardprotokollierung (Legacy) bereits aktiviert haben und die Standardprotokollierung (v2) für Amazon S3 aktivieren möchten, empfehlen wir Ihnen, einen anderen Amazon-S3-Bucket anzugeben oder einen separaten Pfad in demselben Bucket zu verwenden (z. B. ein Protokollpräfix oder eine Partitionierung zu verwenden). Auf diese Weise behalten Sie den Überblick darüber, welche Protokolldateien mit welcher Distribution verknüpft sind, und es wird verhindert, dass sich Protokolldateien gegenseitig überschreiben.

Führen Sie für den Einstieg in die Standardprotokollierung (Legacy) die folgenden Schritte aus:

  1. Wählen Sie einen Amazon-S3-Bucket aus, der Ihre Protokolle empfängt, und fügen Sie die erforderlichen Berechtigungen hinzu.

  2. Konfigurieren Sie die Standardprotokollierung (Legacy) über die CloudFront-Konsole oder die CloudFront-API. Sie können nur einen Amazon-S3-Bucket zum Empfang Ihrer Protokolle auswählen.

  3. Zeigen Sie Ihre Zugriffsprotokolle an.

Auswählen eines Amazon-S3-Buckets für Standardprotokolle

Beim Aktivieren der Protokollierung für eine Verteilung geben Sie auch den Amazon S3-Bucket an, in dem CloudFront die Protokolldatei speichern soll. Wenn Sie Amazon S3 als Ursprung verwenden, empfehlen wir, einen separaten Bucket für Ihre Protokolldateien zu verwenden.

Wählen Sie den Amazon-S3-Bucket aus, in dem CloudFront Zugriffsprotokolle speichern soll, z. B. amzn-s3-demo-bucket.s3.amazonaws.com.

Sie können Protokolldateien für mehrere Verteilungen in demselben Bucket speichern. Wenn Sie die Protokollierung aktivieren, können Sie ein optionales Präfix für den Dateinamen festlegen; so behalten Sie den Überblick darüber, welche Protokolldateien welchen Verteilungen zugeordnet sind.

Informationen zur Auswahl eines S3-Buckets

  • Für Ihren Bucket muss die Zugriffssteuerungsliste (ACL) aktiviert sein. Wenn Sie in der CloudFront-Konsole einen Bucket ohne aktivierte ACL auswählen, wird eine Fehlermeldung angezeigt. Siehe Berechtigungen.

  • Wählen Sie keinen Amazon-S3-Bucket, wenn S3-Objekteigentümerschaft auf Bucket-Eigentümer erzwungen festgelegt ist. Diese Einstellung deaktiviert ACLs für den Bucket und die darin enthaltenen Objekte, wodurch verhindert wird, dass CloudFront Protokolldateien an den Bucket übermittelt.

  • Wählen Sie keinen Amazon-S3-Bucket in den folgenden AWS-Regionen aus. CloudFront stellt keine Standardprotokolle für Buckets in diesen Regionen bereit:

    • Afrika (Kapstadt)

    • Asien-Pazifik (Hongkong)

    • Asien-Pazifik (Hyderabad)

    • Asien-Pazifik (Jakarta)

    • Asien-Pazifik (Melbourne)

    • Kanada West (Calgary)

    • Europa (Milan)

    • Europa (Spain)

    • Europa (Zürich)

    • Israel (Tel Aviv)

    • Naher Osten (Bahrain)

    • Naher Osten (VAE)

Berechtigungen

Wichtig

Ab April 2023 müssen Sie S3-ACLs für neue S3-Buckets aktivieren, die für CloudFront-Standardprotokolle verwendet werden. Sie können ACLs aktivieren, wenn Sie einen Bucket erstellen, oder ACLs für einen vorhandenen Bucket aktivieren.

Weitere Informationen zu den Änderungen finden Sie unter Häufig gestellte Fragen zu Standardeinstellungen für neue S3-Buckets im Benutzerhandbuch zu Amazon Simple Storage Service und unter Achtung: Sicherheitsänderungen in Amazon S3 im April 2023 im AWS News-Blog.

Ihr AWS-Konto muss über die folgenden Berechtigungen für den Bucket verfügen, den Sie für die Protokolldateien angegeben haben:

  • Die ACL muss Ihnen FULL_CONTROL für den Bucket gewähren. Wenn Sie der Bucket-Eigentümer sind, verfügt Ihr Konto standardmäßig über diese Berechtigung. Sind Sie das nicht, muss der Bucket-Eigentümer die ACL für den Bucket aktualisieren.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

ACL für den Bucket

Wenn Sie eine Verteilung erstellen oder aktualisieren und die Protokollierung aktivieren, verwendet CloudFront diese Berechtigungen bei der Aktualisierung der ACL für den Bucket, um dem awslogsdelivery-Konto die FULL_CONTROL-Berechtigung zu gewähren. Das awslogsdelivery-Konto schreibt Protokolldateien in den Bucket. Wenn Ihr Konto nicht über die erforderlichen Berechtigungen zum Aktualisieren der ACL verfügt, schlägt das Erstellen oder Aktualisieren der Verteilung fehl.

Wenn Sie programmgesteuert eine Anfrage senden, um einen Bucket zu erstellen, aber ein Bucket mit dem angegebenen Namen bereits vorhanden ist, setzt S3 in einigen Fällen die Berechtigungen für den Bucket auf den Standardwert zurück. Wenn Sie CloudFront so konfiguriert haben, dass Zugriffsprotokolle in einem S3-Bucket gespeichert werden, und Sie keine Protokolle mehr in diesem Bucket erhalten, dann prüfen Sie die Berechtigungen für diesen Bucket und stellen Sie sicher, dass CloudFront über die erforderlichen Berechtigungen verfügt.

Wiederherstellung der ACL für den Bucket

Wenn Sie Berechtigungen für das awslogsdelivery-Konto aufheben, kann CloudFront keine Protokolle in dem S3-Bucket speichern. Um CloudFront zu ermöglichen, wieder Protokolle für Ihre Verteilung zu speichern, stellen Sie die ACL-Berechtigung wieder her, indem Sie einen der folgenden Schritte ausführen:

  • Deaktivieren Sie die Protokollierung für Ihre Verteilung in CloudFront und aktivieren Sie sie dann wieder. Weitere Informationen finden Sie unter Standardprotokollierung.

  • Fügen Sie die ACL-Berechtigung für awslogsdelivery manuell hinzu, indem Sie in der Amazon S3-Konsole zu dem S3-Bucket gehen und die Berechtigung hinzufügen. Um die ACL für awslogsdelivery hinzuzufügen, müssen Sie die kanonische ID für das Konto angeben, nämlich:

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Weitere Informationen zum Hinzufügen von ACLs zu S3-Buckets finden Sie unter Konfigurieren von ACLs im Benutzerhandbuch für Amazon Simple Storage Service.

ACL für jede Protokolldatei

Neben der ACL für den Bucket gibt es auch ACLs für jede einzelne Protokolldatei. Der Bucket-Eigentümer verfügt für jede Protokolldatei über die Berechtigung FULL_CONTROL, der Eigentümer der Verteilung (wenn dieser vom Bucket-Eigentümer abweicht) hat keine Berechtigung und das awslogsdelivery-Konto verfügt über Lese- und Schreibberechtigungen.

Deaktivieren der Protokollierung

Wenn Sie die Protokollierung deaktivieren, löscht CloudFront weder die ACLs für den Bucket noch die für die Protokolldateien. Sie können die ACLs bei Bedarf löschen.

Erforderliche Schlüsselrichtlinie für SSE-KMS Buckets

Wenn der S3-Bucket für Ihre Standardprotokolle serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines kundenseitig verwalteten Schlüssels verwendet, müssen Sie der Schlüsselrichtlinie für Ihren kundenseitig verwalteten Schlüssel die folgende Anweisung hinzufügen: Dies ermöglicht es CloudFront, Protokolldateien in den Bucket zu schreiben. Sie können SSE-KMS nicht mit dem Von AWS verwalteter Schlüssel verwenden, da CloudFront dann keine Protokolldateien in den Bucket schreiben kann.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Wenn der S3-Bucket für Ihre Standardprotokolle SSE-KMS mit einem S3-Bucket-Schlüssel verwendet, müssen Sie auch die kms:Decrypt-Berechtigung zur Richtlinienanweisung hinzufügen. In diesem Fall sieht die vollständige Richtlinienanweisung wie folgt aus.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Anmerkung

Wenn Sie SSE-KMS für Ihren S3-Bucket aktivieren, geben Sie den vollständigen ARN für den kundenseitig verwalteten Schlüssel an. Weitere Informationen finden Sie unter Festlegen einer serverseitigen Verschlüsselung mit AWS KMS keys (SSE-KMS) im Benutzerhandbuch von Amazon Simple Storage Service.

Aktivieren der Standardprotokollierung (Legacy)

Zur Aktivierung von Standardprotokollen können Sie die CloudFront-Konsole oder die CloudFront-API verwenden.

Aktivieren der Standardprotokollierung (Legacy) (CloudFront-Konsole)

So aktivieren Sie Standardprotokolle für eine CloudFront-Distribution (Konsole)

  1. Verwenden Sie die CloudFront-Konsole, um eine neue Distribution zu erstellen oder eine bestehende zu aktualisieren.

  2. Wählen Sie im Bereich Standardprotokollierung für die Protokollbereitstellung die Option Ein aus.

  3. (Optional) Wählen Sie für die Cookie-Protokollierung die Option Ein, wenn Sie Cookies in Ihre Protokolle aufnehmen möchten. Weitere Informationen finden Sie unter Protokollierung von Cookies.

    Tipp

    Die Cookie-Protokollierung ist eine globale Einstellung, die für alle Standardprotokolle Ihrer Distribution gilt. Sie können diese Einstellung nicht für separate Bereitstellungsziele überschreiben.

  4. Im Abschnitt Bereitstellen an geben Sie Amazon S3 (Legacy) an.

  5. Wählen Sie Ihren Amazon-S3-Bucket aus. Wenn Sie noch keinen haben, können Sie Erstellen auswählen oder die Dokumentation zum Erstellen eines Buckets konsultieren.

  6. (Optional) Geben Sie ggf. unter Protokollpräfix die Zeichenfolge an, die CloudFront den Dateinamen von Zugriffsprotokollen für diese Distribution als Präfix voranstellen soll, z. B. exampleprefix/. Der abschließende Schrägstrich (/) ist optional, jedoch empfohlen, um das Durchsuchen Ihrer Protokolldateien zu vereinfachen. Weitere Informationen finden Sie unter Protokollpräfix.

  7. Führen Sie die Schritte zum Aktualisieren oder Erstellen Ihrer Distribution aus.

  8. Vergewissern Sie sich auf der Seite Protokolle, dass der Status der Standardprotokolle neben der Distribution aktiviert lautet.

    Weitere Informationen zur standardmäßigen Bereitstellung der Protokollierung und den Protokollfeldern finden Sie in der Referenz zur Standardprotokollierung.

Aktivieren der Standardprotokollierung (Legacy) (CloudFront-API)

Sie können auch die CloudFront-API verwenden, um Standardprotokolle für Ihre Distributionen zu aktivieren.

So aktivieren Sie Standardprotokolle für eine Distribution (CloudFront-API)

Bearbeiten der Standardprotokollierungseinstellungen

Sie können die Protokollierung aktivieren oder deaktivieren, den Amazon S3-Bucket ändern, in dem Ihre Protokolle gespeichert werden, und das Präfix für Protokolldateien ändern, indem Sie die CloudFront-Konsole oder die CloudFront-API verwenden. Ihre Änderungen der Protokollierungseinstellungen werden innerhalb von 12 Stunden wirksam.

Weitere Informationen finden Sie unter den folgenden Themen:

  • Informationen zum Aktualisieren einer Verteilung über die CloudFront-Konsole finden Sie unter Eine Verteilung aktualisieren.

  • Informationen zum Aktualisieren einer Verteilung mithilfe der CloudFront-API finden Sie unter UpdateDistribution in der Amazon CloudFront-API-Referenz.

Senden von Protokollen an Amazon S3

Wenn Sie Ihre Protokolle an Amazon S3 senden, werden sie im folgenden Format angezeigt.

Dateinamenformat

CloudFront verwendet das folgende Dateinamenformat für die Protokolldateien, die in Ihrem Amazon S3-Bucket gespeichert werden:

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

Datum und Uhrzeit entsprechen der Zeitzone UTC (Coordinated Universal Time).

Wenn Sie beispielsweise example-prefix als Präfix verwenden und Ihre Verteilungs-ID EMLARXS9EXAMPLE lautet, sehen Ihre Dateinamen folgendermaßen aus:

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Wenn Sie die Protokollierung für eine Verteilung aktivieren, können Sie ein optionales Präfix für den Dateinamen festlegen; so behalten Sie den Überblick darüber, welche Protokolldateien welchen Verteilungen zugeordnet sind. Wenn Sie einen Wert für das Protokolldatei-Präfix angeben und das Präfix nicht mit einem Schrägstrich (/) endet, hängt CloudFront automatisch einen an. Wenn Ihr Präfix mit einem Schrägstrich endet, fügt CloudFront keinen weiteren hinzu.

.gz am Ende des Dateinamens zeigt an, dass CloudFront die Protokolldatei mithilfe von gzip komprimiert hat.

Dateiformat des Standardprotokolls

Jeder Eintrag in einer Protokolldatei enthält detaillierte Informationen zu den einzelnen Viewer-Anfragen. Die Protokolldateien weisen folgende Merkmale auf:

  • Sie verwenden das erweiterte W3C-Format für Protokolldateien.

  • Sie enthalten tabulatorgetrennte Werte.

  • Sie enthalten Datensätze in nicht unbedingt chronologischer Reihenfolge.

  • Sie enthalten zwei Headerzeilen: eine mit der Version des Dateiformats und eine andere mit den W3C-Feldern für jeden einzelnen Datensatz.

  • Sie enthalten URL-codierte Äquivalente für Leerzeichen und bestimmte andere Zeichen in Feldwerten.

    URL-kodierte Äquivalente werden für die folgenden Zeichen verwendet:

    • ASCII-Zeichencodes 0 bis 32, inklusive

    • ASCII-Zeichencodes 127 und höher

    • Alle Zeichen in der folgenden Tabelle

    Der URL-Codierungsstandard ist in RFC 1738 definiert.

URL-codierter Wert

Zeichen

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

Leerzeichen

Löschen von Protokolldateien

CloudFront löscht Protokolldateien nicht automatisch aus Ihrem Amazon-S3-Bucket. Informationen zum Löschen von Protokolldateien aus einem Amazon-S3-Bucket finden Sie unter Löschen von Objekten im Konsolen-Benutzerhandbuch für Amazon Simple Storage Service.

Preisgestaltung

Die Standardprotokollierung ist eine optionale Funktion von CloudFront. CloudFront erhebt keine Gebühren für die Aktivierung von Standardprotokollen. Sie müssen jedoch die normalen Amazon-S3-Gebühren für das Speichern und den Zugriff auf die Dateien in Amazon S3 entrichten. Sie können sie jederzeit löschen.

Weitere Informationen zu Preisen finden Sie unter Amazon S3-Preise.

Weitere Informationen zu CloudFront-Preisen finden Sie unter CloudFront-Preise.