Zugriffsprotokolle für VPC Lattice - Amazon VPC Lattice
Erforderliche IAM-Berechtigungen zum Aktivieren von ZugriffsprotokollenZugriffsprotokollzieleAktivieren der ZugriffsprotokolleZugriffsprotokollinhalteFehlerbehebung bei Zugriffsprotokollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffsprotokolle für VPC Lattice

Zugriffsprotokolle erfassen detaillierte Informationen zu Ihren VPC-Lattice-Services. Sie können diese Zugriffsprotokolle verwenden, um Datenverkehrsmuster zu analysieren und alle Services im Netzwerk zu überprüfen.

Zugriffsprotokolle sind optional und standardmäßig deaktiviert. Nachdem Sie die Zugriffsprotokolle aktiviert haben, können Sie sie jederzeit deaktivieren.

Preisgestaltung

Bei der Veröffentlichung von Zugriffsprotokollen fallen Gebühren an. Protokolle, die AWS nativ in Ihrem Namen veröffentlicht, werden als Verkaufsprotokolle bezeichnet. Weitere Informationen zu den Preisen für angebotene Protokolle finden Sie unter Amazon- CloudWatch Preise, wählen Sie Protokolle und sehen Sie sich die Preise unter Vended Logs an.

Erforderliche IAM-Berechtigungen zum Aktivieren von Zugriffsprotokollen

Um Zugriffsprotokolle zu aktivieren und die Protokolle an ihre Ziele zu senden, müssen Sie die folgenden Aktionen in der Richtlinie an den IAM-Benutzer, die Gruppe oder die Rolle angehängt haben, die Sie verwenden.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "ManageVPCLatticeAccessLogSetup",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "vpc-lattice:CreateAccessLogSubscription",
                "vpc-lattice:GetAccessLogSubscription",
                "vpc-lattice:UpdateAccessLogSubscription",
                "vpc-lattice:DeleteAccessLogSubscription",
                "vpc-lattice:ListAccessLogSubscriptions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Informationen finden Sie im Abschnitt Hinzufügen und Entfernen von IAM-Identitätsberechtigungen im AWS Identity and Access Management -Benutzerhandbuch.

Nachdem Sie die Richtlinie aktualisiert haben, die dem IAM-Benutzer, der IAM-Gruppe oder der IAM-Rolle zugeordnet ist, die Sie verwenden, gehen Sie zu Aktivieren der Zugriffsprotokolle.

Zugriffsprotokollziele

Sie können Zugriffsprotokolle an die folgenden Ziele senden.

Amazon CloudWatch -Protokolle

  • VPC Lattice übermittelt Protokolle in der Regel innerhalb von 2 Minuten an CloudWatch Protokolle. Beachten Sie jedoch, dass die tatsächliche Protokollzustellungszeit nach bestem Bemühen erfolgt und eine zusätzliche Latenz auftreten kann.

  • Eine Ressourcenrichtlinie wird automatisch erstellt und der CloudWatch Protokollgruppe hinzugefügt, wenn die Protokollgruppe nicht über bestimmte Berechtigungen verfügt. Weitere Informationen finden Sie unter An CloudWatch Protokolle gesendete Protokolle im Amazon- CloudWatch Benutzerhandbuch.

  • Sie finden Zugriffsprotokolle, die an gesendet werden, CloudWatch unter Protokollgruppen in der - CloudWatch Konsole. Weitere Informationen finden Sie unter Anzeigen von Protokolldaten, die an - CloudWatch Protokolle gesendet wurden im Amazon- CloudWatch Benutzerhandbuch.

Amazon S3

  • VPC Lattice liefert Protokolle in der Regel innerhalb von 6 Minuten an Amazon S3. Beachten Sie jedoch, dass die tatsächliche Protokollzustellungszeit nach bestem Bemühen erfolgt und eine zusätzliche Latenz auftreten kann.

  • Eine Bucket-Richtlinie wird automatisch erstellt und Ihrem Amazon S3-Bucket hinzugefügt, wenn der Bucket nicht über bestimmte Berechtigungen verfügt. Weitere Informationen finden Sie unter An Amazon S3 gesendete Protokolle im Amazon CloudWatch-Benutzerhandbuch.

  • Zugriffsprotokolle, die an Amazon S3 gesendet werden, verwenden die folgende Namenskonvention:

    [bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose

  • VPC Lattice übermittelt Protokolle in der Regel innerhalb von 2 Minuten an Firehose. Beachten Sie jedoch, dass die tatsächliche Protokollzustellungszeit nach bestem Bemühen erfolgt und eine zusätzliche Latenz auftreten kann.

  • Es wird automatisch eine serviceverknüpfte Rolle erstellt, die VPC Lattice die Berechtigung zum Senden von Zugriffsprotokollen an erteilt Amazon Data Firehose. Damit die automatische Rollenerstellung erfolgreich ist, müssen die Benutzer über die Berechtigung für die Aktion iam:CreateServiceLinkedRole verfügen. Weitere Informationen finden Sie unter An gesendete Protokolle Amazon Data Firehose im Amazon- CloudWatch Benutzerhandbuch.

  • Weitere Informationen zum Anzeigen der an gesendeten Protokolle Amazon Data Firehosefinden Sie unter Überwachen von Amazon Kinesis Data Streams im Amazon Data Firehose -Entwicklerhandbuch.

Aktivieren der Zugriffsprotokolle

Führen Sie das folgende Verfahren aus, um Zugriffsprotokolle so zu konfigurieren, dass Zugriffsprotokolle erfasst und an das von Ihnen gewählte Ziel übermittelt werden.

Aktivieren von Zugriffsprotokollen mit der Konsole

Sie können Zugriffsprotokolle für ein Servicenetzwerk oder für einen Service während der Erstellung aktivieren. Sie können Zugriffsprotokolle auch aktivieren, nachdem Sie ein Servicenetzwerk oder einen Service erstellt haben, wie im folgenden Verfahren beschrieben.

So erstellen Sie einen grundlegenden Service mit der Konsole

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie das Servicenetzwerk oder den Service aus.

  3. Wählen Sie Aktionen, Protokolleinstellungen bearbeiten aus.

  4. Aktivieren Sie den Schalter Zugriffsprotokolle.

  5. Fügen Sie wie folgt ein Bereitstellungsziel für Ihre Zugriffsprotokolle hinzu:

    • Wählen Sie CloudWatch Protokollgruppe und dann eine Protokollgruppe aus. Um eine Protokollgruppe zu erstellen, wählen Sie Erstellen einer Protokollgruppe in CloudWatch.

    • Wählen Sie S3-Bucket aus und geben Sie den S3-Bucket-Pfad einschließlich eines beliebigen Präfixes ein. Um Ihre S3-Buckets zu durchsuchen, wählen Sie S3 durchsuchen aus.

    • Wählen Sie den Kinesis-Data-Firehose-Bereitstellungsdatenstrom und dann einen Bereitstellungsdatenstrom aus. Um einen Bereitstellungsdatenstrom zu erstellen, wählen Sie Erstellen eines Bereitstellungsdatenstroms in Kinesis aus.

  6. Wählen Sie Änderungen speichern aus.

Aktivieren von Zugriffsprotokollen mithilfe der AWS CLI

Verwenden Sie den -CLI-Befehlcreate-access-log-subscription, um Zugriffsprotokolle für Servicenetzwerke oder Services zu aktivieren.

Zugriffsprotokollinhalte

Die folgende Tabelle beschreibt die Felder eines Zugriffsprotokolleintrags.

Feld Beschreibung Format
hostHeader

Der Autoritäts-Header der Anforderung.

Zeichenfolge
sslCipher

Der OpenSSL-Name für den Satz von Verschlüsselungen, die zum Herstellen der Client-TLS-Verbindung verwendet werden.

Zeichenfolge
serviceNetworkArn

Der ARN des Servicenetzwerks.

arn:aws:vpc-lattice:region :account :servicenetwork/id
resolvedUser

Der ARN des Benutzers, wenn die Authentifizierung aktiviert ist und die Authentifizierung durchgeführt wird.

null | ARN | „Anonym“ | „Unbekannt“
authDeniedReason

Der Grund dafür, dass der Zugriff verweigert wird, wenn die Authentifizierung aktiviert ist.

null | „Service“ | „Netzwerk“ | „Identität“
requestMethod

Der Methoden-Header der Anforderung.

Zeichenfolge
targetGroupArn

Die Ziel-Host-Gruppe, zu der der Ziel-Host gehört.

Zeichenfolge
tlsVersion

Die TLS-Version.

TLSv x
userAgent

Der User-Agent-Header.

Zeichenfolge
ServerNameIndication

[Nur HTTPS] Der Wert, der auf dem SSL-Verbindungs-Socket für Server Name Indication (SNI) festgelegt ist.

Zeichenfolge
destinationVpcId

Die Ziel-VPC-ID.

vpc-xxxxxxxx
sourceIpPort

Die IP-Adresse und der Port der Quelle.

ip:port
targetIpPort

Die IP-Adresse und der Port des Ziels.

ip:port
serviceArn

Der Service-ARN.

arn:aws:vpc-lattice:region :account :service/id
sourceVpcId

Die Quell-VPC-ID.

vpc-xxxxxxxx
requestPath

Den Pfad der Anfrage.

LatticePath?:Pfad
startTime

Die Startzeit der Anforderung.

JJJJ -MM -TT THH :MM :SS Z
protocol

Das Protokoll. Derzeit entweder HTTP/1.1 oder HTTP/2.

Zeichenfolge
responseCode

Der HTTP-Antwort-Code. Nur der Antwortcode für die endgültigen Header wird protokolliert. Weitere Informationen finden Sie unter Fehlerbehebung bei Zugriffsprotokollen.

Ganzzahl
bytesReceived

Die empfangenen Textkörper- und Header-Bytes.

Ganzzahl
bytesSent

Die gesendeten Textkörper- und Header-Bytes.

Ganzzahl
duration

Gesamtdauer der Anforderung in Millisekunden von der Startzeit bis zum letzten Byte-Out.

Ganzzahl
requestToTargetDuration

Gesamtdauer der Anforderung in Millisekunden von der Startzeit bis zum letzten Byte, das an das Ziel gesendet wurde.

Ganzzahl
responseFromTargetDuration

Gesamtdauer der Anforderung in Millisekunden vom ersten vom Ziel-Host gelesenen Byte bis zum letzten an den Client gesendeten Byte.

Ganzzahl
grpcResponseCode

Der gRPC-Antwortcode. Weitere Informationen finden Sie unter Statuscodes und ihre Verwendung in gRPC . Dieses Feld wird nur protokolliert, wenn der Service gRPC unterstützt.

Ganzzahl
callerPrincipal

Der authentifizierte Prinzipal.

Zeichenfolge
callerX509SubjectCN

Der Betreffname (CN).

Zeichenfolge
callerX509IssuerOU

Der Aussteller (OU).

Zeichenfolge
callerX509SANNameCN

Die Aussteller-Alternative (Name/CN).

Zeichenfolge
callerX509SANDNS

Der Subject Alternative Name (DNS).

Zeichenfolge
callerX509SANURI

Der alternative Subjektname (URI).

Zeichenfolge
sourceVpcArn

Der ARN der VPC, von der die Anforderung stammt.

arn:aws:ec2:region :account :vpc/id
Beispiel

Es folgt ein Beispiel für einen Protokolleintrag.

{
    "hostHeader": "example.com",
    "sslCipher": "-",
    "serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
    "resolvedUser": "Unknown",
    "authDeniedReason": "null",
    "requestMethod": "GET",
    "targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
    "tlsVersion": "-",
    "userAgent": "-",
    "serverNameIndication": "-",
    "destinationVpcId": "vpc-0abcdef1234567890",
    "sourceIpPort": "178.0.181.150:80",
    "targetIpPort": "131.31.44.176:80",
    "serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
    "sourceVpcId": "vpc-0abcdef1234567890",
    "requestPath": "/billing",
    "startTime": "2023-07-28T20:48:45Z",
    "protocol": "HTTP/1.1",
    "responseCode": 200,
    "bytesReceived": 42,
    "bytesSent": 42,
    "duration": 375,
    "requestToTargetDuration": 1,
    "responseFromTargetDuration": 1,
    "grpcResponseCode": 1
}

Fehlerbehebung bei Zugriffsprotokollen

Dieser Abschnitt enthält eine Erläuterung der HTTP-Fehlercodes, die Sie möglicherweise in den Zugriffsprotokollen sehen.

Fehlercode Mögliche Ursachen

HTTP 400: Bad Request (Schlechte Anfrage)

  • Der Client hat eine fehlerhafte Anfrage gesendet, die nicht der HTTP-Spezifikation entspricht.

  • Der Anforderungs-Header hat 60K00 für den gesamten Anforderungs-Header oder mehr als 100 Header überschritten.

  • Der Client hat die Verbindung beendet, bevor er den vollständigen Anfragetext gesendet hat.

HTTP 403: Forbidden (Verboten)

Die Authentifizierung wurde für den Service konfiguriert, aber die eingehende Anforderung ist nicht authentifiziert oder autorisiert.

HTTP 404: Nicht vorhandener Service

Sie versuchen, eine Verbindung zu einem Service herzustellen, der nicht vorhanden ist oder nicht im richtigen Servicenetzwerk registriert ist.

HTTP 500: Internal Server Error (Interner Serverfehler)

Bei VPC Lattice ist ein Fehler aufgetreten, z. B. wenn keine Verbindung zu Zielen hergestellt werden konnte.

HTTP 502: Bad Gateway

Bei VPC Lattice ist ein Fehler aufgetreten.