Enregistrement des demandes avec journalisation des accès au serveur - Amazon Simple Storage Service

Enregistrement des demandes avec journalisation des accès au serveur

La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les journaux d'accès au serveur sont utiles pour de nombreuses applications. Par exemple, les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Cela peut également vous aider à en savoir plus sur votre base de clients et à comprendre votre facture Amazon S3.

Note

Les journaux d'accès au serveur n'enregistrent pas les informations concernant les erreurs de réacheminement en cas de Région incorrecte pour les Régions lancées après le 20 mars 2019. Les erreurs de réacheminement en cas de Région incorrecte se produisent lorsqu'une demande pour un objet/compartiment est faite hors de la Région dans laquelle se trouve le compartiment.

Comment activer la livraison des journaux ?

Suivez ces quelques étapes pour activer la livraison des journaux. Pour de plus amples informations, veuillez consulter Activation de la journalisation des accès au serveur Amazon S3.

  1. Indiquez le nom du compartiment cible. Amazon S3 enregistrera dans ce compartiment les journaux d'accès en tant qu'objets. Les compartiments source et cible doivent être dans la même Région AWS et être détenus par le même compte.

    Les journaux peuvent être fournis dans n'importe quel compartiment que vous possédez qui est situé dans la même Région que le compartiment source, y compris le compartiment source lui-même. Mais pour simplifier la gestion des journaux, nous vous recommandons d'enregistrer les journaux d'accès dans un autre compartiment.

    Lorsque votre compartiment source et votre compartiment cible correspondent au même compartiment, des journaux supplémentaires sont créés pour les journaux qui sont écrits dans le compartiment. Nous ne recommandons pas de procéder ainsi, car cela peut entraîner une légère augmentation de votre facture de stockage. En outre, les journaux supplémentaires à propos des journaux peuvent rendre difficile l'identification du journal que vous cherchez. Si vous choisissez d'enregistrer les journaux d'accès dans le compartiment source, nous vous recommandons de spécifier un préfixe pour toutes les clés d'objet des journaux, afin que les noms des objets commencent par une chaîne commune et que les objets des journaux puissent être identifiés plus facilement.

    Les préfixes de clés sont également utiles pour distinguer les compartiments source lorsque plusieurs compartiments se connectent au même compartiment cible.

  2. (Facultatif) Affectez un préfixe à toutes les clés d'objets de journal Amazon S3. Le préfixe simplifie la localisation des objets des journaux. Par exemple, si vous spécifiez la valeur de préfixe logs/, chaque objet de journal créé par Amazon S3 commence par le préfixe logs/ dans sa clé.

    logs/2013-11-01-21-32-16-E568B2907131C0C0

    Le préfixe de clé peut également s'avérer utile lors de la suppression des journaux. Par exemple, vous pouvez configurer des règles de configuration du cycle de vie pour qu'Amazon S3 supprime les objets avec un préfixe de clé spécifique. Pour plus d'informations, consultez Suppression des fichiers journaux Amazon S3.

  3. (Facultatif) Définissez des autorisations dans les octrois cibles pour que d'autres utilisateurs puissent accéder aux journaux générés. Par défaut, seul le propriétaire du compartiment possède un accès total aux objets des journaux. Si votre compartiment cible (où sont stockés vos journaux d'accès au serveur) utilise le paramètre appliqué par le propriétaire du compartiment pour la propriété d'objet S3 pour désactiver les listes de contrôle d'accès (ACL), vous ne pouvez pas accorder d'autorisations dans les octrois cibles qui utilisent des listes ACL. Toutefois, vous pouvez mettre à jour la stratégie de compartiment pour le compartiment cible afin d'autoriser l'accès à d'autres personnes. Pour plus d'informations, consultez Identity and Access Management dans Amazon S3 et Autorisations de diffusion de journaux.

Format de la clé d'objet des journaux

Amazon S3 utilise le format de la clé d'objet suivant pour les objets des journaux qu'il charge dans le compartiment cible :

TargetPrefixYYYY-mm-DD-HH-MM-SS-UniqueString/

Dans la clé, YYYY, mm, DD, HH, MM et SS correspondent (respectivement) à l'année, au mois, au jour, aux heures, aux minutes et aux secondes auxquels le fichier journal est fourni. Ces dates et heures sont exprimées en heure UTC (temps universel coordonné).

Un fichier journal distribué à un moment précis peut contenir des enregistrements écrits à tout moment avant ce moment. Il n'existe aucun moyen de savoir si tous les enregistrements d'un intervalle de temps donné ont été distribués.

Le composant UniqueString de la clé empêche le remplacement des fichiers. Il n'a aucune signification, et doit être ignoré par les logiciels de traitement des journaux.

La barre oblique de fin / est nécessaire pour indiquer la fin du préfixe.

Comment sont fournis les journaux ?

Amazon S3 collecte régulièrement les enregistrements des journaux d'accès, consolide ces enregistrements dans des fichiers journaux, et ensuite charge les fichiers journaux dans le compartiment cible comme objets de journal. Si vous activez la journalisation sur plusieurs compartiments source qui identifient le même compartiment cible, ce dernier dispose de journaux d'accès pour tous ces compartiments source. Toutefois, chaque objet des journaux rapporte des enregistrements de journaux d'accès pour un compartiment source spécifique.

Amazon S3 utilise un compte de livraison de journaux spécial pour écrire des journaux d'accès au serveur. Ces journaux sont sujets aux restrictions habituelles de contrôle d'accès en écriture. Nous vous recommandons de mettre à jour la stratégie de compartiment sur le compartiment cible pour accorder l'accès au principal du service de journalisation (logging.s3.amazonaws.com) pour la livraison du journal d'accès. Cependant, vous pouvez également accorder l'accès à la remise du journal d'accès au groupe de mise à disposition du journal S3 via votre liste de contrôle d'accès au compartiment (ACL). Il n'est pas recommandé d'accorder l'accès au groupe de mise à disposition du journal S3 à l'aide de votre liste ACL de compartiment.

Lorsque vous activez la journalisation des accès au serveur et que vous accordez l'accès à la livraison du journal d'accès via votre stratégie de compartiment, vous mettez à jour la stratégie de compartiment sur le compartiment cible pour autoriser l'accès s3:PutObject au principal du service de journalisation. Si vous utilisez la console Amazon S3 pour activer la journalisation des accès serveur sur un compartiment, la console met automatiquement la stratégie de compartiment sur le compartiment cible à jour, afin d'accorder ces autorisations au principal du service de journalisation. Pour plus d'informations sur l'accord d'autorisations de la livraison de journaux d'accès serveur, consultez Autorisations de diffusion de journaux.

Paramètre bucket owner enforced (propriétaire du compartiment imposé) pour S3 Object Ownership (Propriété de l'objet S3)

Si le compartiment cible utilise le paramètre appliqué par le propriétaire du compartiment pour la propriété de l'objet, les listes ACL sont désactivées et n'affectent plus les autorisations. Vous devez mettre à jour la stratégie de compartiment sur le compartiment cible pour accorder l'accès au principal du service de journalisation. Pour en savoir plus sur la propriété des objets, veuillez consulter Accordez l'accès au groupe de mise à disposition des journaux S3 pour la journalisation de l'accès.

Livraison des journaux du serveur dans la mesure du possible

Les enregistrements des journaux d'accès au serveur sont fournis dans la mesure du possible. La plupart des demandes soumises à un compartiment qui sont correctement configurées pour la journalisation se traduisent par la remise d'un enregistrement de journal. La plupart des enregistrements de journal sont fournis quelques heures après leur enregistrement, mais ils peuvent être livrés plus fréquemment.

L'exhaustivité et la disponibilité de la journalisation du serveur ne sont pas garanties. Il se peut que l'enregistrement du journal pour une demande particulière soit fourni bien après le traitement de la demande, ou ne soit fourni du tout. Le but des journaux du serveur est de vous donner une idée de la nature du trafic dans le compartiment. Il est rare de perdre des enregistrements de journaux, mais la journalisation n'est pas conçue pour comptabiliser toutes les demandes.

Il découle de la nature perfectionniste de la fonction de journalisation du serveur que les rapports d'utilisation disponibles sur le portail AWS (rapports de facturation et de gestion des coûts sur la AWS Management Console) peuvent inclure une ou plusieurs demandes qui n'apparaissent pas dans un journal du serveur fourni.

Les changements du statut de journalisation d'un compartiment prennent effet au fil du temps

Les modifications du statut de l'état de journalisation d'un compartiment prennent du temps avant d'affecter réellement la distribution des fichiers journaux. Par exemple, si vous activez la journalisation pour un compartiment, certaines demandes faites dans l'heure qui suit peuvent être enregistrées, alors que d'autres ne le sont pas. Si vous changez le compartiment cible pour consigner d'un compartiment A vers un compartiment B, certains journaux pour l'heure suivante continuent d'être fournis au compartiment A, tandis que d'autres doivent être fournis au nouveau compartiment B. Dans tous les cas, les nouveaux paramètres prennent effet à terme sans action supplémentaire de votre part.

Pour plus d'informations sur la journalisation et les fichiers journaux, consultez les sections suivantes :