Log di accesso per Amazon VPC Lattice - Amazon VPC Lattice
Autorizzazioni IAM necessarie per abilitare i log di accessoAccedi alle destinazioni dei logAbilitare log di accessoAccedere al contenuto del registroRisolvi i problemi relativi ai log di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Log di accesso per Amazon VPC Lattice

I log di accesso acquisiscono informazioni dettagliate sui tuoi servizi VPC Lattice. Puoi utilizzare questi log di accesso per analizzare i modelli di traffico e controllare tutti i servizi della rete.

I registri di accesso sono opzionali e sono disabilitati per impostazione predefinita. Dopo aver abilitato i registri di accesso, è possibile disabilitarli in qualsiasi momento.

Prezzi

Quando i registri di accesso vengono pubblicati, vengono applicati dei costi. I log pubblicati AWS in modo nativo per conto dell'utente sono denominati registri venduti. Per ulteriori informazioni sui prezzi dei log venduti, consulta la pagina CloudWatch Prezzi di Amazon, scegli Logs e visualizza i prezzi in Vended Logs.

Autorizzazioni IAM necessarie per abilitare i log di accesso

Per abilitare i log di accesso e inviarli alle relative destinazioni, devi avere le seguenti azioni nella policy allegate all'utente, al gruppo o al ruolo IAM che stai utilizzando.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "ManageVPCLatticeAccessLogSetup",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "vpc-lattice:CreateAccessLogSubscription",
                "vpc-lattice:GetAccessLogSubscription",
                "vpc-lattice:UpdateAccessLogSubscription",
                "vpc-lattice:DeleteAccessLogSubscription",
                "vpc-lattice:ListAccessLogSubscriptions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Per ulteriori informazioni, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di AWS Identity and Access Management .

Dopo aver aggiornato la policy allegata all'utente, al gruppo o al ruolo IAM che stai utilizzando, vai a. Abilitare log di accesso

Accedi alle destinazioni dei log

È possibile inviare i log di accesso alle seguenti destinazioni.

CloudWatch Registri Amazon

  • VPC Lattice in genere consegna i log ai CloudWatch log entro 2 minuti. Tuttavia, tenete presente che i tempi effettivi di consegna dei log vengono effettuati con la massima diligenza possibile e che potrebbe esserci una latenza aggiuntiva.

  • Una politica delle risorse viene creata automaticamente e aggiunta al gruppo di CloudWatch log se il gruppo di log non dispone di determinate autorizzazioni. Per ulteriori informazioni, consulta Logs sent to CloudWatch Logs nella Amazon CloudWatch User Guide.

  • Puoi trovare i log di accesso inviati alla CloudWatch sezione Log Groups nella console. CloudWatch Per ulteriori informazioni, consulta Visualizza i dati di registro inviati ai CloudWatch registri nella Amazon CloudWatch User Guide.

Amazon S3

  • VPC Lattice in genere consegna i log ad Amazon S3 entro 6 minuti. Tuttavia, tieni presente che i tempi effettivi di consegna dei log vengono effettuati al massimo e che potrebbe esserci una latenza aggiuntiva.

  • Una policy relativa ai bucket verrà creata automaticamente e aggiunta al bucket Amazon S3 se il bucket non dispone di determinate autorizzazioni. Per ulteriori informazioni, consulta Logs sent to Amazon S3 nella CloudWatchAmazon User Guide.

  • I log di accesso inviati ad Amazon S3 utilizzano la seguente convenzione di denominazione:

    [bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose

  • VPC Lattice in genere consegna i log a Firehose entro 2 minuti. Tuttavia, tenete presente che il tempo effettivo di consegna dei log viene effettuato con la massima diligenza possibile e potrebbe esserci una latenza aggiuntiva.

  • Viene creato automaticamente un ruolo collegato al servizio che concede a VPC Lattice l'autorizzazione a inviare i log di accesso. Amazon Data Firehose Affinché la creazione automatica di un ruolo riesca, gli utenti devono disporre dell'autorizzazione per l'operazione iam:CreateServiceLinkedRole. Per ulteriori informazioni, consulta Logs sent to Amazon Data Firehose nella Amazon CloudWatch User Guide.

  • Per ulteriori informazioni sulla visualizzazione dei log inviati a Amazon Data Firehose, consulta Monitoring Amazon Kinesis Data Streams nella Developer Guide.Amazon Data Firehose

Abilitare log di accesso

Completa la seguente procedura per configurare i log di accesso per acquisire e consegnare i log di accesso alla destinazione prescelta.

Abilita i log di accesso utilizzando la console

È possibile abilitare i log di accesso per una rete di servizi o per un servizio durante la creazione. È inoltre possibile abilitare i log di accesso dopo aver creato una rete o un servizio di assistenza, come descritto nella procedura seguente.

Per creare un servizio di base utilizzando la console

  1. Apri alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Seleziona la rete o il servizio di assistenza.

  3. Scegli Azioni, Modifica impostazioni di registro.

  4. Attiva l'interruttore dei registri di accesso.

  5. Aggiungi una destinazione di consegna per i registri di accesso come segue:

    • Seleziona Gruppo di CloudWatch log e scegli un gruppo di log. Per creare un gruppo di log, scegli Crea un gruppo di log in CloudWatch.

    • Seleziona il bucket S3 e inserisci il percorso del bucket S3, incluso qualsiasi prefisso. Per cercare nei bucket S3, scegli Browse S3.

    • Seleziona il flusso di distribuzione di Kinesis Data Firehose e scegli un flusso di distribuzione. Per creare un flusso di distribuzione, scegli Crea un flusso di distribuzione in Kinesis.

  6. Seleziona Salvataggio delle modifiche.

Abilita i log di accesso utilizzando il AWS CLI

Utilizza il comando CLI create-access-log-subscriptionper abilitare i log di accesso per reti o servizi di servizio.

Accedere al contenuto del registro

La seguente tabella descrive i campi di una voce di un log di accesso.

Campo Descrizione Formato
hostHeader

L'intestazione dell'autorità della richiesta.

string
sslCipher

Il nome OpenSSL per il set di cifrari utilizzati per stabilire la connessione TLS del client.

string
serviceNetworkArn

La rete di assistenza ARN.

arn:aws:vpc-lattice: region: account:servicenetwork/ id
resolvedUser

L'ARN dell'utente quando l'autenticazione è abilitata e l'autenticazione è stata effettuata.

null | ARN | «Anonimo» | «Sconosciuto»
authDeniedReason

Il motivo per cui l'accesso viene negato quando l'autenticazione è abilitata.

null | «Servizio» | «Rete» | «Identità»
requestMethod

L'intestazione del metodo della richiesta.

string
targetGroupArn

Il gruppo di host di destinazione a cui appartiene l'host di destinazione.

string
tlsVersion

La versione TLS.

TLSv x
userAgent

L'intestazione user-agent.

string
ServerNameIndication

[Solo HTTPS] Il valore impostato sul socket di connessione ssl per Server Name Indication (SNI).

string
destinationVpcId

L'ID VPC di destinazione.

vpc- xxxxxxxx
sourceIpPort

L'indirizzo IP e la porta della sorgente.

ip: porta
targetIpPort

L'indirizzo IP e la porta della destinazione.

ip: porta
serviceArn

Il servizio ARN.

arn:aws:vpc-lattice: region: account:service/ id
sourceVpcId

L'ID VPC di origine.

vpc- xxxxxxxx
requestPath

Il percorso della richiesta.

LatticePath? : percorso
startTime

L'ora di inizio della richiesta.

YYYY - MM - DA GG A A HH: MM: SS Z
protocol

Il protocollo. Attualmente HTTP/1.1 o HTTP/2.

string
responseCode

Il codice di risposta HTTP. Viene registrato solo il codice di risposta per le intestazioni finali. Per ulteriori informazioni, consulta Risolvi i problemi relativi ai log di accesso.

integer
bytesReceived

I byte del corpo e dell'intestazione ricevuti.

integer
bytesSent

I byte del corpo e dell'intestazione inviati.

integer
duration

Durata totale in millisecondi della richiesta dall'ora di inizio all'ultimo byte in uscita.

integer
requestToTargetDuration

Durata totale in millisecondi della richiesta dall'ora di inizio all'ultimo byte inviato alla destinazione.

integer
responseFromTargetDuration

Durata totale in millisecondi della richiesta dal primo byte letto dall'host di destinazione all'ultimo byte inviato al client.

integer
grpcResponseCode

Il codice di risposta gRPC. Per ulteriori informazioni, vedere Codici di stato e loro utilizzo in gRPC. Questo campo viene registrato solo se il servizio supporta gRPC.

integer
callerPrincipal

Il principale autenticato.

string
callerX509SubjectCN

Il nome del soggetto (CN).

string
callerX509IssuerOU

L'emittente (OU).

string
callerX509SANNameCN

L'alternativa all'emittente (nome/CN).

string
callerX509SANDNS

Il nome alternativo del soggetto (DNS).

string
callerX509SANURI

Il nome alternativo dell'oggetto (URI).

string
sourceVpcArn

L'ARN del VPC da cui ha avuto origine la richiesta.

arn:aws:ec2: region: account:vpc/ id
Esempio

Nell'esempio seguente viene mostrata una voce di log.

{
    "hostHeader": "example.com",
    "sslCipher": "-",
    "serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
    "resolvedUser": "Unknown",
    "authDeniedReason": "null",
    "requestMethod": "GET",
    "targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
    "tlsVersion": "-",
    "userAgent": "-",
    "serverNameIndication": "-",
    "destinationVpcId": "vpc-0abcdef1234567890",
    "sourceIpPort": "178.0.181.150:80",
    "targetIpPort": "131.31.44.176:80",
    "serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
    "sourceVpcId": "vpc-0abcdef1234567890",
    "requestPath": "/billing",
    "startTime": "2023-07-28T20:48:45Z",
    "protocol": "HTTP/1.1",
    "responseCode": 200,
    "bytesReceived": 42,
    "bytesSent": 42,
    "duration": 375,
    "requestToTargetDuration": 1,
    "responseFromTargetDuration": 1,
    "grpcResponseCode": 1
}

Risolvi i problemi relativi ai log di accesso

Questa sezione contiene una spiegazione dei codici di errore HTTP che è possibile visualizzare nei log di accesso.

Codice di errore Possibili cause

HTTP 400: Bad Request

  • Il client ha inviato una richiesta non valida che non soddisfa la specifica HTTP.

  • L'intestazione della richiesta ha superato i 60K per l'intera intestazione della richiesta o più di 100 intestazioni.

  • Il client ha chiuso la connessione prima di inviare l'intero corpo della richiesta.

HTTP 403: Forbidden

L'autenticazione è stata configurata per il servizio, ma la richiesta in arrivo non è autenticata o autorizzata.

HTTP 404: servizio inesistente

Stai tentando di connetterti a un servizio che non esiste o non è registrato nella rete di assistenza corretta.

HTTP 500: Internal Server Error

VPC Lattice ha riscontrato un errore, ad esempio la mancata connessione ai target.

HTTP 502: Bad Gateway

VPC Lattice ha riscontrato un errore.