Configuration de la journalisation standard (ancienne version)

Remarques

• Cette rubrique concerne la version précédente de la journalisation standard. Pour obtenir la dernière version, consultez Configuration de la journalisation standard (v2).

• Si vous avez déjà activé la journalisation standard (ancienne) et que vous souhaitez activer la journalisation standard (v2) sur Amazon S3, nous vous recommandons de spécifier un autre compartiment Amazon S3 ou d'utiliser un chemin distinct dans le même compartiment (par exemple, utilisez un préfixe de journal ou un partitionnement). Cela vous permet de savoir quels fichiers journaux sont associés à quelle distribution et empêche les fichiers journaux de se remplacer les uns les autres.

Pour commencer à utiliser la journalisation standard (ancienne), procédez comme suit :

1. Choisissez un compartiment Amazon S3 qui recevra vos journaux et ajoutez-y les autorisations requises.

2. Configurez la journalisation standard (ancienne) depuis la CloudFront console ou l' CloudFront API. Vous ne pouvez choisir qu'un compartiment Amazon S3 pour recevoir vos journaux.

3. Consultez vos journaux d'accès.

Choisissez un compartiment Amazon S3 pour les journaux standard

Lorsque vous activez la journalisation pour une distribution, vous spécifiez le compartiment Amazon S3 dans lequel vous CloudFront souhaitez stocker les fichiers journaux. Si vous utilisez Amazon S3 comme origine, nous vous recommandons d'utiliser un compartiment distinct pour vos fichiers journaux.

Spécifiez le compartiment Amazon S3 dans lequel vous CloudFront souhaitez stocker les connexions d'accès, par exempleamzn-s3-demo-bucket.s3.amazonaws.com.

Vous pouvez stocker les fichiers journaux de plusieurs distributions dans le même compartiment. Lorsque vous activez la journalisation, vous pouvez spécifier un préfixe facultatif pour les noms de fichier et vous pouvez ainsi savoir quels fichiers journaux sont associés à quelles distributions.

À propos du choix d'un compartiment S3

• La liste de contrôle d'accès (ACL) doit être activée pour votre bucket. Si vous choisissez un bucket sans ACL activé depuis la CloudFront console, un message d'erreur s'affiche. Consultez Autorisations.

• Ne choisissez pas un compartiment Amazon S3 avec l’option S3 Object Ownership (Propriété de l’objet S3) définie sur bucket owner enforced (appliqué par le propriétaire du compartiment). Ce paramètre désactive ACLs le compartiment et les objets qu'il contient, ce qui CloudFront empêche de fournir des fichiers journaux au compartiment.

• Ne choisissez pas de compartiment Amazon S3 dans les cas suivants Régions AWS. CloudFront ne fournit pas de journaux standard aux compartiments dans les régions suivantes :

  • Afrique (Le Cap)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Hyderabad)

  • Asie-Pacifique (Jakarta)

  • Asie-Pacifique (Melbourne)

  • Canada-Ouest (Calgary)

  • Europe (Milan)

  • Europe (Espagne)

  • Europe (Zurich)

  • Israël (Tel Aviv)

  • Moyen-Orient (Bahreïn)

  • Moyen-Orient (EAU)

Autorisations

Important

À compter d'avril 2023, vous devez activer S3 ACLs pour les nouveaux compartiments S3 utilisés pour les journaux CloudFront standard. Vous pouvez l'activer ACLs lorsque vous créez un bucket ou l'activer ACLs pour un bucket existant.

Pour plus d'informations sur ces modifications, consultez Paramètres par défaut pour les nouveaux compartiments S3 FAQ dans le Guide de l'utilisateur d'Amazon Simple Storage Service et Attention : des modifications de sécurité seront apportées à Amazon S3 en avril 2023 dans le Blog d'actualités AWS .

Vous Compte AWS devez disposer des autorisations suivantes pour le compartiment que vous spécifiez pour les fichiers journaux :

• L'ACL du bucket doit vous accorderFULL_CONTROL. Si vous êtes le propriétaire du compartiment, votre compte dispose de cette autorisation par défaut. Si vous ne l’êtes pas, le propriétaire du compartiment doit mettre à jour l’ACL de ce compartiment.

• s3:GetBucketAcl

• s3:PutBucketAcl

Liste ACL pour le compartiment

Lorsque vous créez ou mettez à jour une distribution et que vous activez la CloudFront journalisation, utilisez ces autorisations pour mettre à jour l'ACL du bucket afin d'FULL_CONTROLautoriser le awslogsdelivery compte. Le compte awslogsdelivery écrit les fichiers journaux dans le compartiment. Si votre compte ne dispose pas des autorisations requises pour mettre à jour la liste ACL, la création ou la mise à jour de la distribution échouera.

Dans certaines circonstances, si vous envoyez par programmation une demande pour créer un compartiment, mais qu’un compartiment avec le nom spécifié existe déjà, S3 réinitialise les autorisations sur le compartiment à la valeur par défaut. Si vous avez configuré CloudFront pour enregistrer les journaux d'accès dans un compartiment S3 et que vous ne recevez plus de journaux dans ce compartiment, vérifiez les autorisations sur le compartiment pour vous assurer qu'il CloudFront dispose des autorisations nécessaires.

Restauration de la liste ACL pour le compartiment

Si vous supprimez des autorisations pour le compte awslogsdelivery, CloudFront ne peut plus enregistrer des journaux dans le compartiment S3. Pour permettre CloudFront de recommencer à enregistrer les journaux pour votre distribution, restaurez l'autorisation ACL en effectuant l'une des opérations suivantes :

• Désactivez la journalisation de votre distribution CloudFront, puis réactivez-la. Pour de plus amples informations, veuillez consulter Journalisation standard.

• Ajoutez manuellement l’autorisation de la liste ACL pour le compte awslogsdelivery en accédant au compartiment S3 dans la console Amazon S3 et en ajoutant l’autorisation. Afin d’ajouter la liste ACL pour le compte awslogsdelivery, vous devez fournir l’ID canonique suivant pour le compte :

  c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

  Pour plus d'informations sur l'ajout ACLs aux compartiments S3, consultez la section Configuration ACLs dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Liste ACL pour chaque fichier journal

En plus de la liste ACL sur le compartiment, il existe une ACL sur chaque fichier journal. Le propriétaire du compartiment dispose de l’autorisation FULL_CONTROL sur chaque fichier journal, le propriétaire de la distribution (s’il est différent du propriétaire du compartiment) n’a aucune autorisation et le compte awslogsdelivery a les autorisations en lecture et écriture.

Désactivation de la journalisation

Si vous désactivez la ACLs journalisation, CloudFront cela ne supprime ni le bucket ni les fichiers journaux. Vous pouvez les supprimer ACLs si nécessaire.

Politique de clé requise pour les compartiments SSE-KMS

Si le compartiment S3 de vos journaux standard utilise le chiffrement côté serveur avec AWS KMS keys (SSE-KMS) utilisant une clé gérée par le client, vous devez ajouter l’instruction suivante à la politique de clé pour la clé gérée par votre client. Cela permet CloudFront d'écrire des fichiers journaux dans le compartiment. Vous ne pouvez pas utiliser SSE-KMS avec le Clé gérée par AWS car vous CloudFront ne pourrez pas écrire de fichiers journaux dans le compartiment.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Si le compartiment S3 de vos journaux standard utilise SSE-KMS avec une clé de compartiment S3, vous devez également ajouter l’autorisation kms:Decrypt à l’instruction de politique. Dans ce cas, l’énoncé de stratégie complet ressemble à ce qui suit.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}

Activer la journalisation standard (ancienne version)

Pour activer les journaux standard, utilisez la CloudFront console ou l' CloudFront API.

Table des matières

• Activer la journalisation standard (ancienne) (CloudFrontconsole)

• Activer la journalisation standard (ancienne) (CloudFrontAPI)

Activer la journalisation standard (ancienne) (CloudFrontconsole)

Pour activer les journaux standard pour une CloudFront distribution (console)

1. Utilisez la CloudFront console pour créer une nouvelle distribution ou mettre à jour une distribution existante.

2. Pour la section de journalisation standard, pour la livraison du journal, sélectionnez Activé.

3. (Facultatif) Pour l'enregistrement des cookies, choisissez Activé si vous souhaitez inclure des cookies dans vos journaux. Pour de plus amples informations, veuillez consulter Journalisation des cookies.

   Astuce

   L'enregistrement des cookies est un paramètre global qui s'applique à tous les journaux standard de votre distribution. Vous ne pouvez pas annuler ce paramètre pour des destinations de livraison distinctes.

4. Dans la section Livrer à, spécifiez Amazon S3 (Legacy).

5. Spécifiez votre compartiment Amazon S3. Si vous n'en avez pas déjà un, vous pouvez choisir Create ou consulter la documentation pour créer un bucket.

6. (Facultatif) Pour le préfixe du journal, spécifiez la chaîne, le cas échéant, que vous CloudFront souhaitez préfixer aux noms des fichiers journaux d'accès pour cette distribution, par exemple,. exampleprefix/ La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour de plus amples informations, veuillez consulter Préfixe de journal.

7. Suivez les étapes pour mettre à jour ou créer votre distribution.

8. Sur la page Logs, vérifiez que le statut standard des logs est Activé à côté de la distribution.

   Pour plus d'informations sur la livraison de journalisation standard et les champs de journalisation, consultez leRéférence de journalisation standard.

Activer la journalisation standard (ancienne) (CloudFrontAPI)

Vous pouvez également utiliser l' CloudFront API pour activer les journaux standard pour vos distributions.

Pour activer les journaux standard pour une distribution (CloudFront API)

• Utilisez l'opération CreateDistributionou UpdateDistributionAPI et configurez l'LoggingConfigobjet.

Modifier les paramètres de journalisation standard

Vous pouvez activer ou désactiver la journalisation, modifier le compartiment Amazon S3 dans lequel vos journaux sont stockés et modifier le préfixe des fichiers journaux à l'aide de la CloudFront console ou de l' CloudFront API. Les modifications apportées aux paramètres de journalisation prennent effet dans les 12 heures.

Pour plus d’informations, consultez les rubriques suivantes :

• Pour mettre à jour une distribution à l'aide de la CloudFront console, consultezMettre à jour une distribution.

• Pour mettre à jour une distribution à l'aide de l' CloudFront API, consultez UpdateDistributionle Amazon CloudFront API Reference.

Envoyer des journaux à Amazon S3

Lorsque vous envoyez vos journaux à Amazon S3, ils apparaissent dans le format suivant.

Format de nom de fichier

Le nom de chaque fichier journal enregistré CloudFront dans votre compartiment Amazon S3 utilise le format de nom de fichier suivant :

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

Les dates et heures sont exprimées en heure UTC (temps universel coordonné).

Par exemple, si vous utilisez example-prefix comme préfixe et que votre ID de distribution est EMLARXS9EXAMPLE, les noms de fichiers ressemblent à ceci :

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Lorsque vous activez la journalisation pour une distribution, vous pouvez spécifier un préfixe facultatif pour les noms de fichier et vous pouvez ainsi savoir quels fichiers journaux sont associés à quelles distributions. Si vous incluez une valeur pour le préfixe du fichier journal et que celui-ci ne se termine pas par une barre oblique (/), il en CloudFront ajoute une automatiquement. Si votre préfixe se termine par une barre oblique, CloudFront il n'en ajoute pas un autre.

Le nom .gz à la fin du fichier indique que le fichier journal CloudFront a été compressé à l'aide de gzip.

Format de fichier journal standard

Chaque entrée d’un fichier journal fournit des informations détaillées sur une seule demande utilisateur. Les fichiers journaux présentent les caractéristiques suivantes :

• Utilisez le format de fichier journal étendu W3C.

• Contiennent des valeurs séparées par des virgules.

• Contiennent des enregistrements qui ne sont pas nécessairement dans l’ordre chronologique.

• Contiennent deux lignes d’en-tête : l’une avec la version fichier-format et l’autre qui répertorie les champs W3C inclus dans chaque enregistrement.

• Contiennent des équivalents encodés en URL pour des espaces et certains autres caractères dans les valeurs de champ.

  Les équivalents encodés en URL sont utilisés pour les caractères suivants :

  • Codes de caractères ASCII 0 à 32 inclus

  • Codes de caractères ASCII 127 et suivants

  • Tous les caractères du tableau suivant

  La norme d’encodage d’URL est définie dans la norme RFC 1738.

Valeur codée par URL	Caractère
%3C	<
%3E	>
%22	"
%23	#
%25	%
%7B	{
%7D	}
%7C	|
%5C	\
%5E	^
%7E	~
%5B	[
%5D	]
%60	`
%27	'
%20	espace

Supprimer les fichiers journaux

CloudFront ne supprime pas automatiquement les fichiers journaux de votre compartiment Amazon S3. Pour plus d'informations sur la suppression de fichiers journaux d'un compartiment Amazon S3, consultez Supprimer des objets dans le guide de l'utilisateur de la console Amazon Simple Storage Service.

Tarification

La journalisation standard est une fonctionnalité facultative de CloudFront. CloudFront l'activation des journaux standard est gratuite. Cependant, vous devez payer les frais habituels d'Amazon S3 pour le stockage et l'accès aux fichiers sur Amazon S3. Vous pouvez les supprimer à tout moment.

Pour plus d’informations sur la tarification Amazon S3, consultez Tarification Amazon S3.

Pour plus d'informations sur la CloudFront tarification, consultez la section CloudFront Tarification.