Enregistrement de demandes avec journalisation des accès au serveur - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement de demandes avec journalisation des accès au serveur

La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les journaux d'accès au serveur sont utiles pour de nombreuses applications. Par exemple, les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Ces informations peuvent également vous aider à en savoir plus sur votre clientèle et à comprendre votre facture Amazon S3.

Note

Les journaux d’accès au serveur n’enregistrent pas les informations concernant les erreurs de redirection en cas de région incorrecte pour les régions lancées après le 20 mars 2019. Les erreurs de redirection en cas de région incorrecte se produisent lorsqu’une demande pour un objet ou un compartiment est effectuée en dehors de la région où se trouve le compartiment.

Comment activer la livraison des journaux ?

Suivez ces quelques étapes pour activer la livraison des journaux. Pour de plus amples informations, veuillez consulter Activation de la journalisation des accès au serveur Amazon S3.

  1. Indiquez le nom du compartiment de destination (également appelé compartiment cible). Amazon S3 enregistrera dans ce compartiment les journaux d'accès en tant qu'objets. Les compartiments source et de destination doivent être dans la même Région AWS et appartenir au même compte. Le compartiment de destination ne doit pas avoir de configuration de période de rétention par défaut pour le verrouillage d’objet S3. Le paiement par le demandeur ne doit pas non plus être activé pour le compartiment de destination.

    Les journaux peuvent être fournis dans n'importe quel compartiment que vous possédez qui est situé dans la même Région que le compartiment source, y compris le compartiment source lui-même. Mais pour simplifier la gestion des journaux, nous vous recommandons d'enregistrer les journaux d'accès dans un autre compartiment.

    Lorsque votre compartiment source et votre compartiment de destination correspondent au même compartiment, des journaux supplémentaires sont créés pour les journaux qui sont écrits dans le compartiment, ce qui crée une boucle infinie de journaux. Nous ne recommandons pas de procéder ainsi, car cela peut entraîner une légère augmentation de votre facture de stockage. En outre, les journaux supplémentaires concernant les journaux peuvent rendre plus difficile la recherche du journal que vous recherchez.

    Si vous choisissez d’enregistrer les journaux d’accès dans le compartiment source, nous vous recommandons de spécifier un préfixe de destination (également appelé préfixe cible) pour toutes les clés d’objets journaux. Lorsque vous spécifiez un préfixe, tous les noms des objets journaux commencent par une chaîne commune, ce qui facilite l’identification des objets journaux.

  2. (Facultatif) Affectez un préfixe de destination à toutes les clés d’objets journaux Amazon S3. Le préfixe de destination (également appelé préfixe cible) vous aide à localiser les objets journaux. Par exemple, si vous spécifiez la valeur de préfixe logs/, chaque objet journal créé par Amazon S3 commence par le préfixe logs/ dans sa clé, par exemple :

    logs/2013-11-01-21-32-16-E568B2907131C0C0

    Si vous spécifiez la valeur de préfixe logs, l’objet journal apparaît comme suit :

    logs2013-11-01-21-32-16-E568B2907131C0C0

    Les préfixes sont également utiles pour distinguer les compartiments sources lorsque plusieurs compartiments sont journalisés dans le même compartiment de destination.

    Ce préfixe peut également s’avérer utile lors de la suppression des journaux. Par exemple, vous pouvez définir une règle de configuration du cycle de vie pour qu’Amazon S3 supprime les objets dotés d’un préfixe spécifique. Pour plus d’informations, consultez Suppression des fichiers journaux Amazon S3.

  3. (Facultatif) Définissez des autorisations pour que d’autres utilisateurs puissent accéder aux journaux générés. Par défaut, seul le propriétaire du compartiment possède un accès total aux objets des journaux. Si votre compartiment de destination utilise le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets S3 afin de désactiver les listes de contrôle d’accès (ACL), vous ne pouvez pas accorder d’autorisations dans des octrois de destination (également appelés octrois cibles) qui utilisent des listes ACL. Toutefois, vous pouvez mettre à jour votre politique de compartiment pour le compartiment de destination afin d’accorder l’accès à d’autres personnes. Pour plus d’informations, consultez Identity and Access Management dans Amazon S3 et Autorisations de diffusion de journaux.

  4. (Facultatif) Définissez un format de clé d’objet journal pour les fichiers journaux. Deux options s’offrent à vous pour le format de clé d’objet journal (également appelé format de clé d’objet cible) :

    • N on-date-based partitionnement : il s'agit du format de clé de l'objet journal d'origine. Si vous choisissez ce format, le format de clé de fichier journal apparaît comme suit :

      [DestinationPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

      Par exemple, si vous spécifiez logs/ comme préfixe, vos objets journaux sont nommés comme suit :

      logs/2013-11-01-21-32-16-E568B2907131C0C0
    • Partitionnement basé sur la date : si vous choisissez un partitionnement basé sur la date, vous pouvez choisir l’heure de l’événement ou l’heure de livraison du fichier journal comme source de date utilisée dans le format de journal. Ce format facilite l’interrogation des journaux.

      Si vous choisissez un partitionnement basé sur la date, le format de clé de fichier journal apparaît comme suit :

      [DestinationPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

      Par exemple, si vous spécifiez logs/ comme préfixe cible, vos objets journaux sont nommés comme suit :

      logs/123456789012/us-west-2/DOC-EXAMPLE-SOURCE-BUCKET/2023/03/01/2023-03-01-21-32-16-E568B2907131C0C0

      Pour la livraison de l’heure de livraison, l’heure indiquée dans les noms des fichiers journaux correspond à l’heure de livraison des fichiers journaux.

      Pour la livraison de l’heure d’événement, l’année, le mois et le jour correspondent au jour où l’événement s’est produit, et l’heure, les minutes et les secondes sont définies sur 00 dans la clé. Les journaux livrés dans ces fichiers journaux se rapportent à un jour spécifique uniquement.

    Si vous configurez vos journaux via AWS Command Line Interface (AWS CLI), les AWS SDK ou l'API REST Amazon S3, utilisez-le TargetObjectKeyFormat pour spécifier le format de clé de l'objet du journal. Pour spécifier le non-date-based partitionnement, utilisezSimplePrefix. Pour spécifier un partitionnement basé sur la date, utilisez PartitionedPrefix. Si vous utilisez PartitionedPrefix, utilisez PartitionDateSource pour spécifier EventTime ou DeliveryTime.

    Pour SimplePrefix, le format de clé de fichier journal apparaît comme suit :

    [TargetPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

    Pour PartitionedPrefix avec l’heure d’événement ou l’heure de livraison, le format de clé de fichier journal apparaît comme suit :

    [TargetPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

Format de clé d'objet journal

Amazon S3 utilise les formats de clé d’objet suivants pour les objets journaux qu’il charge dans le compartiment de destination :

  • N on-date-based partitionnement : il s'agit du format de clé de l'objet journal d'origine. Si vous choisissez ce format, le format de clé de fichier journal apparaît comme suit :

    [DestinationPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]
  • Partitionnement basé sur la date : si vous choisissez un partitionnement basé sur la date, vous pouvez choisir l’heure de l’événement ou l’heure de livraison du fichier journal comme source de date utilisée dans le format de journal. Ce format facilite l’interrogation des journaux.

    Si vous choisissez un partitionnement basé sur la date, le format de clé de fichier journal apparaît comme suit :

    [DestinationPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

Dans la clé d’objet journal, YYYY, MM, DD, hh, mm et ss correspondent (respectivement) à l’année, au mois, au jour, aux heures, aux minutes et aux secondes. Ces dates et heures sont exprimées en heure UTC (temps universel coordonné).

Un fichier journal distribué à un moment précis peut contenir des enregistrements écrits à tout moment avant ce moment. Il n'existe aucun moyen de savoir si tous les enregistrements d'un intervalle de temps donné ont été distribués.

Le composant UniqueString de la clé empêche le remplacement des fichiers. Il n'a aucune signification, et doit être ignoré par les logiciels de traitement des journaux.

Comment sont distribués les journaux ?

Amazon S3 collecte régulièrement les enregistrements des journaux d’accès, consolide ces enregistrements dans des fichiers journaux, puis charge les fichiers journaux dans le compartiment de destination comme objets journaux. Si vous activez la journalisation sur plusieurs compartiments sources qui identifient le même compartiment de destination, ce dernier dispose de journaux d’accès pour tous ces compartiments sources. Cependant, chaque objet journal contient des enregistrements de journal d'accès pour un compartiment source spécifique.

Amazon S3 utilise un compte de livraison de journaux spécial pour écrire des journaux d'accès au serveur. Ces journaux sont sujets aux restrictions habituelles de contrôle d'accès en écriture. Nous vous recommandons de mettre à jour la politique de compartiment sur le compartiment de destination pour accorder l’accès au principal du service de journalisation (logging.s3.amazonaws.com) pour la livraison des journaux des accès. Vous pouvez également accorder l’accès pour la livraison des journaux des d’accès au groupe de livraison des journaux S3 via votre liste de contrôle d’accès (ACL) de compartiment. Toutefois, il n’est pas recommandé d’accorder l’accès au groupe de livraison des journaux S3 en utilisant votre liste ACL de compartiment.

Lorsque vous activez la journalisation des accès au serveur et que vous accordez l’accès à la livraison des journaux des accès via votre politique de compartiment de destination, vous devez mettre à jour la politique pour autoriser l’accès s3:PutObject pour le principal du service de journalisation. Si vous utilisez la console Amazon S3 pour activer la journalisation des accès au serveur, la console met automatiquement à jour la politique de compartiment de destination, afin d’accorder ces autorisations au principal du service de journalisation. Pour plus d’informations sur l’accord d’autorisations pour la livraison de journaux d’accès au serveur, consultez Autorisations de diffusion de journaux.

Note

Les journaux d’accès au serveur ne sont pas livrés au demandeur ni au propriétaire du compartiment pour les demandes de point de terminaison de cloud privé virtuel (VPC) si la politique du point de terminaison de VPC refuse de telles demandes.

Paramètre bucket owner enforced (propriétaire du compartiment imposé) pour S3 Object Ownership (Propriété de l'objet S3)

Si le compartiment de destination utilise le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets, les listes ACL sont désactivées et n’affectent plus les autorisations. Vous devez mettre à jour la politique de compartiment sur le compartiment de destination pour accorder l’accès au principal du service de journalisation. Pour en savoir plus sur la propriété des objets, veuillez consulter Octroi de l’accès au groupe de livraison des journaux S3 pour la journalisation des accès au serveur.

Livraison des journaux du serveur dans la mesure du possible

Les enregistrements des journaux d’accès au serveur sont fournis dans la mesure du possible. La plupart des demandes pour un compartiment correctement configuré pour l'enregistrement se traduisent par un enregistrement de journal distribué. La plupart des enregistrements de journal sont fournis quelques heures après leur enregistrement, mais ils peuvent être livrés plus fréquemment.

L'exhaustivité et la disponibilité de la journalisation du serveur ne sont pas garanties. Il se peut que l'enregistrement du journal pour une demande particulière soit fourni bien après le traitement de la demande, ou ne soit fourni du tout. Il est même possible que vous voyiez une duplication d'un enregistrement de journal. Le but des journaux du serveur est de vous donner une idée de la nature du trafic dans le compartiment. Bien qu’il soit rare de perdre des enregistrements de journaux ou de constater une duplication d’enregistrements de journaux, sachez que la journalisation du serveur n’a pas pour but de comptabiliser toutes les demandes.

En raison de la nature de la journalisation du serveur, visant un effort maximal, vos rapports d’utilisation peuvent inclure une ou plusieurs demandes qui n’apparaissent pas dans un journal de serveur livré. Ces rapports d’utilisation se trouvent sous Rapports d’utilisation et de coût dans la console AWS Billing and Cost Management .

Les changements de statut de la journalisation des compartiments prennent effet au fil du temps

Les modifications du statut de l'état de journalisation d'un compartiment prennent du temps avant d'affecter réellement la distribution des fichiers journaux. Par exemple, si vous activez la journalisation pour un compartiment, certaines demandes faites dans l’heure qui suit peuvent être journalisées, alors que d’autres ne le sont pas. Supposons que vous changiez le compartiment de destination de la journalisation du compartiment A au compartiment B. L’heure suivante, certains journaux peuvent continuer à être livrés dans le compartiment A, tandis que d’autres peuvent être livrés dans le nouveau compartiment de destination B. Dans tous les cas, les nouveaux paramètres finissent par prendre effet sans aucune autre action de votre part.

Pour plus d'informations sur la journalisation et les fichiers journaux, consultez les sections suivantes :