Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Akses log untuk VPC Lattice
Log akses menangkap informasi terperinci tentang layanan VPC Lattice Anda. Anda dapat menggunakan log akses ini untuk menganalisis pola lalu lintas dan mengaudit semua layanan di jaringan.
Log akses bersifat opsional dan dinonaktifkan secara default. Setelah Anda mengaktifkan log akses, Anda dapat menonaktifkannya kapan saja.
Harga
Biaya berlaku ketika log akses dipublikasikan. Log yang diterbitkan AWS secara native atas nama Anda disebut vended logs. Untuk informasi selengkapnya tentang harga untuk log vended, lihat CloudWatch Harga Amazon
Daftar Isi
Izin IAM diperlukan untuk mengaktifkan log akses
Untuk mengaktifkan log akses dan mengirim log ke tujuan mereka, Anda harus memiliki tindakan berikut dalam kebijakan yang dilampirkan pada pengguna, grup, atau peran IAM yang Anda gunakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "ManageVPCLatticeAccessLogSetup", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "vpc-lattice:CreateAccessLogSubscription", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:UpdateAccessLogSubscription", "vpc-lattice:DeleteAccessLogSubscription", "vpc-lattice:ListAccessLogSubscriptions" ], "Resource": [ "*" ] } ] }
Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM di AWS Identity and Access Management Panduan Pengguna.
Setelah memperbarui kebijakan yang dilampirkan ke pengguna, grup, atau peran IAM yang Anda gunakan, buka. Aktifkan log akses
Akses tujuan log
Anda dapat mengirim log akses ke tujuan berikut.
CloudWatch Log Amazon
-
VPC Lattice biasanya mengirimkan log ke CloudWatch Log dalam waktu 2 menit. Namun, perlu diingat bahwa waktu pengiriman log yang sebenarnya adalah upaya terbaik dan mungkin ada latensi tambahan.
Kebijakan sumber daya dibuat secara otomatis dan ditambahkan ke grup CloudWatch log jika grup log tidak memiliki izin tertentu. Untuk informasi selengkapnya, lihat Log yang dikirim ke CloudWatch Log di Panduan CloudWatch Pengguna Amazon.
Anda dapat menemukan log akses yang dikirim ke CloudWatch bawah Grup Log di CloudWatch konsol. Untuk informasi selengkapnya, lihat Melihat data log yang dikirim ke CloudWatch Log di Panduan CloudWatch Pengguna Amazon.
Amazon S3
-
VPC Lattice biasanya mengirimkan log ke Amazon S3 dalam waktu 6 menit. Namun, perlu diingat bahwa waktu pengiriman log yang sebenarnya adalah upaya terbaik dan mungkin ada latensi tambahan.
Kebijakan bucket akan dibuat secara otomatis dan ditambahkan ke bucket Amazon S3 Anda jika bucket tidak memiliki izin tertentu. Untuk informasi selengkapnya, lihat Log yang dikirim ke Amazon S3 di CloudWatchPanduan Pengguna Amazon.
Akses log yang dikirim ke Amazon S3 menggunakan konvensi penamaan berikut:
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose
-
VPC Lattice biasanya mengirimkan log ke Firehose dalam waktu 2 menit. Namun, perlu diingat bahwa waktu pengiriman log yang sebenarnya adalah upaya terbaik dan mungkin ada latensi tambahan.
Peran terkait layanan dibuat secara otomatis yang memberikan izin VPC Lattice untuk mengirim log akses ke. Amazon Data FirehoseAgar pembuatan peran otomatis berhasil, pengguna harus memiliki izin untuk tindakan
iam:CreateServiceLinkedRole
nyata. Untuk informasi selengkapnya, lihat Log yang dikirimkan Amazon Data Firehose di Panduan CloudWatch Pengguna Amazon.Untuk informasi selengkapnya tentang melihat log yang dikirimkan Amazon Data Firehose, lihat Memantau Aliran Data Amazon KinesisAmazon Data Firehose di Panduan Pengembang.
Aktifkan log akses
Selesaikan prosedur berikut untuk mengonfigurasi log akses untuk menangkap dan mengirimkan log akses ke tujuan yang Anda pilih.
Aktifkan log akses menggunakan konsol
Anda dapat mengaktifkan log akses untuk jaringan layanan atau untuk layanan selama pembuatan. Anda juga dapat mengaktifkan log akses setelah Anda membuat jaringan layanan atau layanan, seperti yang dijelaskan dalam prosedur berikut.
Untuk membuat layanan dasar menggunakan konsol
Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/
. -
Pilih jaringan layanan atau layanan.
-
Pilih Tindakan, Edit pengaturan log.
-
Aktifkan sakelar sakelar Access logs.
-
Tambahkan tujuan pengiriman untuk log akses Anda sebagai berikut:
-
Pilih Grup CloudWatch log dan pilih grup log. Untuk membuat grup log, pilih Buat grup log masuk CloudWatch.
-
Pilih bucket S3 dan masukkan path bucket S3, termasuk awalan apa pun. Untuk mencari bucket S3 Anda, pilih Browse S3.
-
Pilih aliran pengiriman Kinesis Data Firehose dan pilih aliran pengiriman. Untuk membuat aliran pengiriman, pilih Buat aliran pengiriman di Kinesis.
-
-
Pilih Simpan perubahan.
Aktifkan log akses menggunakan AWS CLI
Gunakan perintah CLI create-access-log-subscriptionuntuk mengaktifkan log akses untuk jaringan layanan atau layanan.
Akses isi log
Tabel berikut menjelaskan bidang entri log akses.
Bidang | Deskripsi | format |
---|---|---|
hostHeader |
Header otoritas permintaan. |
string |
sslCipher |
Nama OpenSSL untuk set cipher yang digunakan untuk membangun koneksi TLS klien. |
string |
serviceNetworkArn |
Jaringan layanan ARN. |
|
resolvedUser |
ARN pengguna saat otentikasi diaktifkan dan otentikasi dilakukan. |
null | ARN | “Anonim” | “Tidak diketahui” |
authDeniedReason |
Alasan bahwa akses ditolak ketika otentikasi diaktifkan. |
null | “Layanan” | “Jaringan” | “Identitas” |
requestMethod |
Header metode permintaan. |
string |
targetGroupArn |
Grup host target tempat host target berada. |
string |
tlsVersion |
Versi TLS. |
|
userAgent |
Header user-agent. |
string |
ServerNameIndication |
[Hanya HTTPS] Nilai yang ditetapkan pada soket koneksi ssl untuk Indikasi Nama Server (SNI). |
string |
destinationVpcId |
ID VPC tujuan. |
|
sourceIpPort |
Alamat IP dan:port sumber. |
|
targetIpPort |
Alamat IP dan port target. |
|
serviceArn |
Layanan ARN. |
|
sourceVpcId |
ID VPC sumber. |
|
requestPath |
Jalur permintaan. |
LatticePath? : |
startTime |
Waktu mulai permintaan. |
|
protocol |
Protokol. Saat ini HTTP/1.1 atau HTTP/2. |
string |
responseCode |
Kode respons HTTP. Hanya kode respons untuk header akhir yang dicatat. Untuk informasi selengkapnya, lihat Memecahkan masalah log akses. |
integer |
bytesReceived |
Body dan header byte diterima. |
integer |
bytesSent |
Body dan header byte dikirim. |
integer |
duration |
Total durasi dalam milidetik permintaan dari waktu mulai hingga byte terakhir keluar. |
integer |
requestToTargetDuration |
Total durasi dalam milidetik permintaan dari waktu mulai hingga byte terakhir yang dikirim ke target. |
integer |
responseFromTargetDuration |
Total durasi dalam milidetik permintaan dari byte pertama yang dibaca dari host target ke byte terakhir yang dikirim ke klien. |
integer |
grpcResponseCode |
Kode respons gRPC. Untuk informasi selengkapnya, lihat Kode status dan penggunaannya di gRPC |
integer |
callerPrincipal |
Prinsipal yang diautentikasi. |
string |
callerX509SubjectCN |
Nama subjek (CN). |
string |
callerX509IssuerOU |
Penerbit (OU). |
string |
callerX509SANNameCN |
Alternatif penerbit (Nama/CN). |
string |
callerX509SANDNS |
Nama alternatif subjek (DNS). |
string |
callerX509SANURI |
Nama alternatif subjek (URI). |
string |
sourceVpcArn |
ARN dari VPC tempat permintaan berasal. |
|
Contoh
Berikut ini adalah contoh entri log.
{
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1
}
Memecahkan masalah log akses
Bagian ini berisi penjelasan tentang kode kesalahan HTTP yang mungkin Anda lihat di log akses.
Kode kesalahan | Kemungkinan penyebab |
---|---|
HTTP 400: Permintaan Buruk |
|
HTTP 403: Terlarang |
Otentikasi telah dikonfigurasi untuk layanan, tetapi permintaan yang masuk tidak diautentikasi atau diotorisasi. |
HTTP 404: Layanan Tidak Ada |
Anda mencoba untuk terhubung ke layanan yang tidak ada atau tidak terdaftar ke jaringan layanan yang tepat. |
HTTP 500: Kesalahan Server Internal |
VPC Lattice telah mengalami kesalahan, seperti kegagalan untuk terhubung ke target. |
HTTP 502: Gerbang Buruk |
VPC Lattice mengalami kesalahan. |