Akses log untuk VPC Lattice - Kisi VPC Amazon
Izin IAM diperlukan untuk mengaktifkan log aksesAkses tujuan logAktifkan log aksesAkses isi logMemecahkan masalah log akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses log untuk VPC Lattice

Log akses menangkap informasi terperinci tentang layanan VPC Lattice Anda. Anda dapat menggunakan log akses ini untuk menganalisis pola lalu lintas dan mengaudit semua layanan di jaringan.

Log akses bersifat opsional dan dinonaktifkan secara default. Setelah Anda mengaktifkan log akses, Anda dapat menonaktifkannya kapan saja.

Harga

Biaya berlaku ketika log akses dipublikasikan. Log yang diterbitkan AWS secara native atas nama Anda disebut vended logs. Untuk informasi selengkapnya tentang harga untuk log vended, lihat CloudWatch Harga Amazon, pilih Log, dan lihat harga di bawah Vded Logs.

Izin IAM diperlukan untuk mengaktifkan log akses

Untuk mengaktifkan log akses dan mengirim log ke tujuan mereka, Anda harus memiliki tindakan berikut dalam kebijakan yang dilampirkan pada pengguna, grup, atau peran IAM yang Anda gunakan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "ManageVPCLatticeAccessLogSetup",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "vpc-lattice:CreateAccessLogSubscription",
                "vpc-lattice:GetAccessLogSubscription",
                "vpc-lattice:UpdateAccessLogSubscription",
                "vpc-lattice:DeleteAccessLogSubscription",
                "vpc-lattice:ListAccessLogSubscriptions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Untuk informasi selengkapnya, lihat Menambahkan dan menghapus izin identitas IAM di AWS Identity and Access Management Panduan Pengguna.

Setelah memperbarui kebijakan yang dilampirkan ke pengguna, grup, atau peran IAM yang Anda gunakan, buka. Aktifkan log akses

Akses tujuan log

Anda dapat mengirim log akses ke tujuan berikut.

CloudWatch Log Amazon

  • VPC Lattice biasanya mengirimkan log ke CloudWatch Log dalam waktu 2 menit. Namun, perlu diingat bahwa waktu pengiriman log yang sebenarnya adalah upaya terbaik dan mungkin ada latensi tambahan.

  • Kebijakan sumber daya dibuat secara otomatis dan ditambahkan ke grup CloudWatch log jika grup log tidak memiliki izin tertentu. Untuk informasi selengkapnya, lihat Log yang dikirim ke CloudWatch Log di Panduan CloudWatch Pengguna Amazon.

  • Anda dapat menemukan log akses yang dikirim ke CloudWatch bawah Grup Log di CloudWatch konsol. Untuk informasi selengkapnya, lihat Melihat data log yang dikirim ke CloudWatch Log di Panduan CloudWatch Pengguna Amazon.

Amazon S3

  • VPC Lattice biasanya mengirimkan log ke Amazon S3 dalam waktu 6 menit. Namun, perlu diingat bahwa waktu pengiriman log yang sebenarnya adalah upaya terbaik dan mungkin ada latensi tambahan.

  • Kebijakan bucket akan dibuat secara otomatis dan ditambahkan ke bucket Amazon S3 Anda jika bucket tidak memiliki izin tertentu. Untuk informasi selengkapnya, lihat Log yang dikirim ke Amazon S3 di CloudWatchPanduan Pengguna Amazon.

  • Akses log yang dikirim ke Amazon S3 menggunakan konvensi penamaan berikut:

    [bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose

  • VPC Lattice biasanya mengirimkan log ke Firehose dalam waktu 2 menit. Namun, perlu diingat bahwa waktu pengiriman log yang sebenarnya adalah upaya terbaik dan mungkin ada latensi tambahan.

  • Peran terkait layanan dibuat secara otomatis yang memberikan izin VPC Lattice untuk mengirim log akses ke. Amazon Data FirehoseAgar pembuatan peran otomatis berhasil, pengguna harus memiliki izin untuk tindakan iam:CreateServiceLinkedRole nyata. Untuk informasi selengkapnya, lihat Log yang dikirimkan Amazon Data Firehose di Panduan CloudWatch Pengguna Amazon.

  • Untuk informasi selengkapnya tentang melihat log yang dikirimkan Amazon Data Firehose, lihat Memantau Aliran Data Amazon KinesisAmazon Data Firehose di Panduan Pengembang.

Aktifkan log akses

Selesaikan prosedur berikut untuk mengonfigurasi log akses untuk menangkap dan mengirimkan log akses ke tujuan yang Anda pilih.

Aktifkan log akses menggunakan konsol

Anda dapat mengaktifkan log akses untuk jaringan layanan atau untuk layanan selama pembuatan. Anda juga dapat mengaktifkan log akses setelah Anda membuat jaringan layanan atau layanan, seperti yang dijelaskan dalam prosedur berikut.

Untuk membuat layanan dasar menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Pilih jaringan layanan atau layanan.

  3. Pilih Tindakan, Edit pengaturan log.

  4. Aktifkan sakelar sakelar Access logs.

  5. Tambahkan tujuan pengiriman untuk log akses Anda sebagai berikut:

    • Pilih Grup CloudWatch log dan pilih grup log. Untuk membuat grup log, pilih Buat grup log masuk CloudWatch.

    • Pilih bucket S3 dan masukkan path bucket S3, termasuk awalan apa pun. Untuk mencari bucket S3 Anda, pilih Browse S3.

    • Pilih aliran pengiriman Kinesis Data Firehose dan pilih aliran pengiriman. Untuk membuat aliran pengiriman, pilih Buat aliran pengiriman di Kinesis.

  6. Pilih Simpan perubahan.

Aktifkan log akses menggunakan AWS CLI

Gunakan perintah CLI create-access-log-subscriptionuntuk mengaktifkan log akses untuk jaringan layanan atau layanan.

Akses isi log

Tabel berikut menjelaskan bidang entri log akses.

Bidang Deskripsi format
hostHeader

Header otoritas permintaan.

string
sslCipher

Nama OpenSSL untuk set cipher yang digunakan untuk membangun koneksi TLS klien.

string
serviceNetworkArn

Jaringan layanan ARN.

arn:aws:vpc-lattice: wilayah: akun:servicenetwork/ id
resolvedUser

ARN pengguna saat otentikasi diaktifkan dan otentikasi dilakukan.

null | ARN | “Anonim” | “Tidak diketahui”
authDeniedReason

Alasan bahwa akses ditolak ketika otentikasi diaktifkan.

null | “Layanan” | “Jaringan” | “Identitas”
requestMethod

Header metode permintaan.

string
targetGroupArn

Grup host target tempat host target berada.

string
tlsVersion

Versi TLS.

TlSV x
userAgent

Header user-agent.

string
ServerNameIndication

[Hanya HTTPS] Nilai yang ditetapkan pada soket koneksi ssl untuk Indikasi Nama Server (SNI).

string
destinationVpcId

ID VPC tujuan.

vpc- xxxxxxxx
sourceIpPort

Alamat IP dan:port sumber.

ip: port
targetIpPort

Alamat IP dan port target.

ip: port
serviceArn

Layanan ARN.

arn:aws:vpc-lattice: wilayah: akun:layanan/id
sourceVpcId

ID VPC sumber.

vpc- xxxxxxxx
requestPath

Jalur permintaan.

LatticePath? : jalur
startTime

Waktu mulai permintaan.

YYYY - MM - DD T HH: MM: SS Z
protocol

Protokol. Saat ini HTTP/1.1 atau HTTP/2.

string
responseCode

Kode respons HTTP. Hanya kode respons untuk header akhir yang dicatat. Untuk informasi selengkapnya, lihat Memecahkan masalah log akses.

integer
bytesReceived

Body dan header byte diterima.

integer
bytesSent

Body dan header byte dikirim.

integer
duration

Total durasi dalam milidetik permintaan dari waktu mulai hingga byte terakhir keluar.

integer
requestToTargetDuration

Total durasi dalam milidetik permintaan dari waktu mulai hingga byte terakhir yang dikirim ke target.

integer
responseFromTargetDuration

Total durasi dalam milidetik permintaan dari byte pertama yang dibaca dari host target ke byte terakhir yang dikirim ke klien.

integer
grpcResponseCode

Kode respons gRPC. Untuk informasi selengkapnya, lihat Kode status dan penggunaannya di gRPC. Bidang ini dicatat hanya jika layanan mendukung gRPC.

integer
callerPrincipal

Prinsipal yang diautentikasi.

string
callerX509SubjectCN

Nama subjek (CN).

string
callerX509IssuerOU

Penerbit (OU).

string
callerX509SANNameCN

Alternatif penerbit (Nama/CN).

string
callerX509SANDNS

Nama alternatif subjek (DNS).

string
callerX509SANURI

Nama alternatif subjek (URI).

string
sourceVpcArn

ARN dari VPC tempat permintaan berasal.

arn:aws:ec2: wilayah: akun:vpc/ id
Contoh

Berikut ini adalah contoh entri log.

{
    "hostHeader": "example.com",
    "sslCipher": "-",
    "serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
    "resolvedUser": "Unknown",
    "authDeniedReason": "null",
    "requestMethod": "GET",
    "targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
    "tlsVersion": "-",
    "userAgent": "-",
    "serverNameIndication": "-",
    "destinationVpcId": "vpc-0abcdef1234567890",
    "sourceIpPort": "178.0.181.150:80",
    "targetIpPort": "131.31.44.176:80",
    "serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
    "sourceVpcId": "vpc-0abcdef1234567890",
    "requestPath": "/billing",
    "startTime": "2023-07-28T20:48:45Z",
    "protocol": "HTTP/1.1",
    "responseCode": 200,
    "bytesReceived": 42,
    "bytesSent": 42,
    "duration": 375,
    "requestToTargetDuration": 1,
    "responseFromTargetDuration": 1,
    "grpcResponseCode": 1
}

Memecahkan masalah log akses

Bagian ini berisi penjelasan tentang kode kesalahan HTTP yang mungkin Anda lihat di log akses.

Kode kesalahan Kemungkinan penyebab

HTTP 400: Permintaan Buruk

  • Klien mengirim permintaan cacat yang tidak memenuhi spesifikasi HTTP.

  • Header permintaan melebihi 60K untuk seluruh header permintaan atau lebih dari 100 header.

  • Klien menutup koneksi sebelum mengirim badan permintaan lengkap.

HTTP 403: Terlarang

Otentikasi telah dikonfigurasi untuk layanan, tetapi permintaan yang masuk tidak diautentikasi atau diotorisasi.

HTTP 404: Layanan Tidak Ada

Anda mencoba untuk terhubung ke layanan yang tidak ada atau tidak terdaftar ke jaringan layanan yang tepat.

HTTP 500: Kesalahan Server Internal

VPC Lattice telah mengalami kesalahan, seperti kegagalan untuk terhubung ke target.

HTTP 502: Gerbang Buruk

VPC Lattice mengalami kesalahan.