Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffsprotokolle für VPC Lattice
Zugriffsprotokolle erfassen detaillierte Informationen zu Ihren VPC-Lattice-Services. Sie können diese Zugriffsprotokolle verwenden, um Datenverkehrsmuster zu analysieren und alle Services im Netzwerk zu überprüfen.
Zugriffsprotokolle sind optional und standardmäßig deaktiviert. Nachdem Sie die Zugriffsprotokolle aktiviert haben, können Sie sie jederzeit deaktivieren.
Preisgestaltung
Bei der Veröffentlichung von Zugriffsprotokollen fallen Gebühren an. Protokolle, die AWS nativ in Ihrem Namen veröffentlicht, werden als Verkaufsprotokolle bezeichnet. Weitere Informationen zu den Preisen für angebotene Protokolle finden Sie unter Amazon- CloudWatch Preise
Inhalt
Erforderliche IAM-Berechtigungen zum Aktivieren von Zugriffsprotokollen
Um Zugriffsprotokolle zu aktivieren und die Protokolle an ihre Ziele zu senden, müssen Sie die folgenden Aktionen in der Richtlinie an den IAM-Benutzer, die Gruppe oder die Rolle angehängt haben, die Sie verwenden.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "ManageVPCLatticeAccessLogSetup", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "vpc-lattice:CreateAccessLogSubscription", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:UpdateAccessLogSubscription", "vpc-lattice:DeleteAccessLogSubscription", "vpc-lattice:ListAccessLogSubscriptions" ], "Resource": [ "*" ] } ] }
Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS Identity and Access Management -Benutzerhandbuch.
Nachdem Sie die Richtlinie aktualisiert haben, die dem IAM-Benutzer, der IAM-Gruppe oder der IAM-Rolle zugeordnet ist, die Sie verwenden, gehen Sie zu Aktivieren der Zugriffsprotokolle.
Zugriffsprotokollziele
Sie können Zugriffsprotokolle an die folgenden Ziele senden.
Amazon CloudWatch -Protokolle
-
VPC Lattice übermittelt Protokolle in der Regel innerhalb von 2 Minuten an CloudWatch Protokolle. Beachten Sie jedoch, dass die tatsächliche Protokollzustellungszeit nach bestem Bemühen erfolgt und eine zusätzliche Latenz auftreten kann.
Eine Ressourcenrichtlinie wird automatisch erstellt und der CloudWatch Protokollgruppe hinzugefügt, wenn die Protokollgruppe nicht über bestimmte Berechtigungen verfügt. Weitere Informationen finden Sie unter An CloudWatch Protokolle gesendete Protokolle im Amazon- CloudWatch Benutzerhandbuch.
Sie finden Zugriffsprotokolle, die an gesendet werden, CloudWatch unter Protokollgruppen in der - CloudWatch Konsole. Weitere Informationen finden Sie unter Anzeigen von Protokolldaten, die an - CloudWatch Protokolle gesendet wurden im Amazon- CloudWatch Benutzerhandbuch.
Amazon S3
-
VPC Lattice liefert Protokolle in der Regel innerhalb von 6 Minuten an Amazon S3. Beachten Sie jedoch, dass die tatsächliche Protokollzustellungszeit nach bestem Bemühen erfolgt und eine zusätzliche Latenz auftreten kann.
Eine Bucket-Richtlinie wird automatisch erstellt und Ihrem Amazon S3-Bucket hinzugefügt, wenn der Bucket nicht über bestimmte Berechtigungen verfügt. Weitere Informationen finden Sie unter An Amazon S3 gesendete Protokolle im Amazon CloudWatch-Benutzerhandbuch.
Zugriffsprotokolle, die an Amazon S3 gesendet werden, verwenden die folgende Namenskonvention:
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose
-
VPC Lattice übermittelt Protokolle in der Regel innerhalb von 2 Minuten an Firehose. Beachten Sie jedoch, dass die tatsächliche Protokollzustellungszeit nach bestem Bemühen erfolgt und eine zusätzliche Latenz auftreten kann.
Es wird automatisch eine serviceverknüpfte Rolle erstellt, die VPC Lattice die Berechtigung zum Senden von Zugriffsprotokollen an erteilt Amazon Data Firehose. Damit die automatische Rollenerstellung erfolgreich ist, müssen die Benutzer über die Berechtigung für die Aktion
iam:CreateServiceLinkedRole
verfügen. Weitere Informationen finden Sie unter An gesendete Protokolle Amazon Data Firehose im Amazon- CloudWatch Benutzerhandbuch.Weitere Informationen zum Anzeigen der an gesendeten Protokolle Amazon Data Firehosefinden Sie unter Überwachen von Amazon Kinesis Data Streams im Amazon Data Firehose -Entwicklerhandbuch.
Aktivieren der Zugriffsprotokolle
Führen Sie das folgende Verfahren aus, um Zugriffsprotokolle so zu konfigurieren, dass Zugriffsprotokolle erfasst und an das von Ihnen gewählte Ziel übermittelt werden.
Inhalt
Aktivieren von Zugriffsprotokollen mit der Konsole
Sie können Zugriffsprotokolle für ein Servicenetzwerk oder für einen Service während der Erstellung aktivieren. Sie können Zugriffsprotokolle auch aktivieren, nachdem Sie ein Servicenetzwerk oder einen Service erstellt haben, wie im folgenden Verfahren beschrieben.
So erstellen Sie einen grundlegenden Service mit der Konsole
Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/
. -
Wählen Sie das Servicenetzwerk oder den Service aus.
-
Wählen Sie Aktionen, Protokolleinstellungen bearbeiten aus.
-
Aktivieren Sie den Schalter Zugriffsprotokolle.
-
Fügen Sie wie folgt ein Bereitstellungsziel für Ihre Zugriffsprotokolle hinzu:
-
Wählen Sie CloudWatch Protokollgruppe und dann eine Protokollgruppe aus. Um eine Protokollgruppe zu erstellen, wählen Sie Erstellen einer Protokollgruppe in CloudWatch.
-
Wählen Sie S3-Bucket aus und geben Sie den S3-Bucket-Pfad einschließlich eines beliebigen Präfixes ein. Um Ihre S3-Buckets zu durchsuchen, wählen Sie S3 durchsuchen aus.
-
Wählen Sie den Kinesis-Data-Firehose-Bereitstellungsdatenstrom und dann einen Bereitstellungsdatenstrom aus. Um einen Bereitstellungsdatenstrom zu erstellen, wählen Sie Erstellen eines Bereitstellungsdatenstroms in Kinesis aus.
-
-
Wählen Sie Änderungen speichern aus.
Aktivieren von Zugriffsprotokollen mithilfe der AWS CLI
Verwenden Sie den -CLI-Befehlcreate-access-log-subscription, um Zugriffsprotokolle für Servicenetzwerke oder Services zu aktivieren.
Zugriffsprotokollinhalte
Die folgende Tabelle beschreibt die Felder eines Zugriffsprotokolleintrags.
Feld | Beschreibung | Format |
---|---|---|
hostHeader |
Der Autoritäts-Header der Anforderung. |
Zeichenfolge |
sslCipher |
Der OpenSSL-Name für den Satz von Verschlüsselungen, die zum Herstellen der Client-TLS-Verbindung verwendet werden. |
Zeichenfolge |
serviceNetworkArn |
Der ARN des Servicenetzwerks. |
arn:aws:vpc-lattice: |
resolvedUser |
Der ARN des Benutzers, wenn die Authentifizierung aktiviert ist und die Authentifizierung durchgeführt wird. |
null | ARN | „Anonym“ | „Unbekannt“ |
authDeniedReason |
Der Grund dafür, dass der Zugriff verweigert wird, wenn die Authentifizierung aktiviert ist. |
null | „Service“ | „Netzwerk“ | „Identität“ |
requestMethod |
Der Methoden-Header der Anforderung. |
Zeichenfolge |
targetGroupArn |
Die Ziel-Host-Gruppe, zu der der Ziel-Host gehört. |
Zeichenfolge |
tlsVersion |
Die TLS-Version. |
TLSv |
userAgent |
Der User-Agent-Header. |
Zeichenfolge |
ServerNameIndication |
[Nur HTTPS] Der Wert, der auf dem SSL-Verbindungs-Socket für Server Name Indication (SNI) festgelegt ist. |
Zeichenfolge |
destinationVpcId |
Die Ziel-VPC-ID. |
vpc- |
sourceIpPort |
Die IP-Adresse und der Port der Quelle. |
|
targetIpPort |
Die IP-Adresse und der Port des Ziels. |
|
serviceArn |
Der Service-ARN. |
arn:aws:vpc-lattice: |
sourceVpcId |
Die Quell-VPC-ID. |
vpc- |
requestPath |
Den Pfad der Anfrage. |
LatticePath?: |
startTime |
Die Startzeit der Anforderung. |
|
protocol |
Das Protokoll. Derzeit entweder HTTP/1.1 oder HTTP/2. |
Zeichenfolge |
responseCode |
Der HTTP-Antwort-Code. Nur der Antwortcode für die endgültigen Header wird protokolliert. Weitere Informationen finden Sie unter Fehlerbehebung bei Zugriffsprotokollen. |
Ganzzahl |
bytesReceived |
Die empfangenen Textkörper- und Header-Bytes. |
Ganzzahl |
bytesSent |
Die gesendeten Textkörper- und Header-Bytes. |
Ganzzahl |
duration |
Gesamtdauer der Anforderung in Millisekunden von der Startzeit bis zum letzten Byte-Out. |
Ganzzahl |
requestToTargetDuration |
Gesamtdauer der Anforderung in Millisekunden von der Startzeit bis zum letzten Byte, das an das Ziel gesendet wurde. |
Ganzzahl |
responseFromTargetDuration |
Gesamtdauer der Anforderung in Millisekunden vom ersten vom Ziel-Host gelesenen Byte bis zum letzten an den Client gesendeten Byte. |
Ganzzahl |
grpcResponseCode |
Der gRPC-Antwortcode. Weitere Informationen finden Sie unter Statuscodes und ihre Verwendung in gRPC |
Ganzzahl |
callerPrincipal |
Der authentifizierte Prinzipal. |
Zeichenfolge |
callerX509SubjectCN |
Der Betreffname (CN). |
Zeichenfolge |
callerX509IssuerOU |
Der Aussteller (OU). |
Zeichenfolge |
callerX509SANNameCN |
Die Aussteller-Alternative (Name/CN). |
Zeichenfolge |
callerX509SANDNS |
Der Subject Alternative Name (DNS). |
Zeichenfolge |
callerX509SANURI |
Der alternative Subjektname (URI). |
Zeichenfolge |
sourceVpcArn |
Der ARN der VPC, von der die Anforderung stammt. |
arn:aws:ec2: |
Beispiel
Es folgt ein Beispiel für einen Protokolleintrag.
{
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1
}
Fehlerbehebung bei Zugriffsprotokollen
Dieser Abschnitt enthält eine Erläuterung der HTTP-Fehlercodes, die Sie möglicherweise in den Zugriffsprotokollen sehen.
Fehlercode | Mögliche Ursachen |
---|---|
HTTP 400: Bad Request (Schlechte Anfrage) |
|
HTTP 403: Forbidden (Verboten) |
Die Authentifizierung wurde für den Service konfiguriert, aber die eingehende Anforderung ist nicht authentifiziert oder autorisiert. |
HTTP 404: Nicht vorhandener Service |
Sie versuchen, eine Verbindung zu einem Service herzustellen, der nicht vorhanden ist oder nicht im richtigen Servicenetzwerk registriert ist. |
HTTP 500: Internal Server Error (Interner Serverfehler) |
Bei VPC Lattice ist ein Fehler aufgetreten, z. B. wenn keine Verbindung zu Zielen hergestellt werden konnte. |
HTTP 502: Bad Gateway |
Bei VPC Lattice ist ein Fehler aufgetreten. |