Application Load Balancer のアクセスログ

Elastic Load Balancing は、ロードバランサーに送信されるリクエストについて、詳細情報を収集するアクセスログを提供します。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。これらのアクセスログを使用して、トラフィックパターンの分析や、問題のトラブルシューティングを行うことができます。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログをキャプチャし、圧縮ファイルとして指定した Amazon S3 バケット内に保存します。アクセスログの作成はいつでも無効にできます。

Elastic Load Balancing は、Application Load Balancer のアクセスログのサーバー側暗号化をサポートします。これによって、S3 バケットに格納されたログデータが保護され、保管されるデータのコンプライアンス要件が履行されます。各アクセスログファイルは S3 バケットに保存される前に自動的に暗号化され、アクセス時に復号化されます。暗号化あるいは復号化されたログファイルにアクセスする方法に違いがないため、特別なアクションを実行する必要はありません。各ログファイルは、強力な多要素暗号化を使用した一意のキーで暗号化されます。さらにセキュリティを強化するために、キー自体が定期的に更新されたマスターキーで暗号化されます。詳細については、Amazon Simple Storage Service 開発者ガイドの「Amazon S3 で管理された暗号化キー (SSE-S3) によるサーバー側の暗号化を使用したデータの保護」を参照してください。

アクセスログに対する追加料金はありません。Amazon S3 のストレージコストは発生しますが、Amazon S3 にログファイルを送信するために Elastic Load Balancing が使用する帯域については料金は発生しません。ストレージコストの詳細については、Amazon S3 料金表を参照してください。

アクセスログファイル
アクセスログのエントリ
バケットのアクセス許可
アクセスログの作成の有効化
アクセスログの作成の無効化
アクセスログファイルの処理

アクセスログファイル

Elastic Load Balancing は各ロードバランサーノードのログファイルを 5 分ごとに発行します。ログ配信には結果整合性があります。ロードバランサーでは、同じ期間について複数のログが発行されることがあります。これは通常、サイトに高トラフィックがある場合に発生します。

アクセスログのファイル名には次の形式を使用します。


bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_load-balancer-id_end-time_ip-address_random-string.log.gz

bucket: S3 バケットの名前。
プレフィックス: バケットのプレフィックス (論理階層)。プレフィックスを指定しない場合、ログはバケットのルートレベルに配置されます。
aws-account-id: 所有者の AWS アカウント ID。
リージョン: ロードバランサーおよび S3 バケットのリージョン。
yyyy/mm/dd: ログが配信された日付。
load-balancer-id: ロードバランサーのリソース ID。リソース ID にスラッシュ (/) が含まれている場合、ピリオド (.) に置換されます。
end-time: ログ作成の間隔が終了した日時。たとえば、終了時間 20140215T2340Z には、23:35～23:40 に行われたリクエストのエントリが含まれます。
ip-address: リクエストを処理したロードバランサーノードの IP アドレス。内部ロードバランサーの場合、プライベート IP アドレスです。
random-string: システムによって生成されたランダム文字列。

ログファイル名の例は次のようになります。


s3://my-bucket/prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2016/05/01/123456789012_elasticloadbalancing_us-east-2_my-loadbalancer_20140215T2340Z_172.160.001.192_20sg8hgm.log.gz

ログファイルは無期限に保管できますが、ログファイルを自動的にアーカイブまたは削除するように Amazon S3 ライフサイクルルールを定義することもできます。詳細については、Amazon Simple Storage Service 開発者ガイドの「オブジェクトのライフサイクル管理」を参照してください。

アクセスログのエントリ

Elastic Load Balancing は、ターゲットに到達しなかったリクエストを含め、ロードバランサーに送信されたリクエストを記録します。たとえば、クライアントが誤った形式のリクエストを送信した場合や、リクエストに応答できる正常に動作しているターゲットがない場合も、そのリクエストは記録されます。Elastic Load Balancing はヘルスチェックリクエストをログに記録しません。

各ログエントリには、ロードバランサーに対して行われた 1 つのリクエスト (または WebSocket の場合は接続) の詳細が含まれます。WebSocket の場合、エントリは接続を閉じた後にのみ書き込まれます。アップグレードされた接続を確立できない場合、エントリは HTTP または HTTPS リクエストと同じです。

重要

Elastic Load Balancing はベストエフォートベースでリクエストを記録します。アクセスログは、すべてのリクエストを完全に報告するためのものではなく、リクエストの本質を把握するものとして使用することをお勧めします。

構文

次の表は、アクセスログのエントリのフィールドを順に示しています。すべてのフィールドはスペースで区切られています。新しいフィールドが導入されると、ログエントリの最後に追加されます。予期していなかったログエントリの最後のフィールドは無視する必要があります。

フィールド	説明
type	リクエストまたは接続のタイプ。有効な値は次のとおりです (その他の値は無視してください)。 `http` — HTTP `https` — HTTP over SSL/TLS `h2` — HTTP/2 over SSL/TLS `ws` — WebSockets `wss` — WebSockets over SSL/TLS
timestamp	ロードバランサーがクライアントに対してレスポンスを生成した時刻 (ISO 8601 形式)。WebSocket の場合、これは接続を閉じる時間です。
elb	ロードバランサーのリソース ID。アクセスログエントリを解析する場合、リソース ID にはスラッシュ (/) を含めることができます。
client:port	リクエストを送信したクライアントの IP アドレスとポート。
target:port	このリクエストを処理したターゲットの IP アドレスとポート。クライアントがリクエスト全体を送信しなかった場合、ロードバランサーはターゲットにリクエストをディスパッチできず、この値が `-` に設定されます。リクエストが AWS WAF によってブロックされた場合、この値は `-` に設定され、elb_status_code の値は 403 に設定されます。
request_processing_time	ロードバランサーがリクエストを受け取った時点からターゲットに送信するまでの合計経過時間 (秒単位)。ロードバランサーがリクエストをターゲットにディスパッチできない場合、この値は `-1` に設定されます。この状況が発生するのは、ターゲットがアイドルタイムアウト前に接続を閉じた場合か、クライアントが誤った形式のリクエストを送信した場合です。登録済みターゲットからアイドルタイムアウトまで応答がない場合にも、この値は -1 に設定される場合があります。
target_processing_time	ロードバランサーがターゲットにリクエストを送信した時点から、そのターゲットが応答ヘッダーの送信を開始した時点までの合計経過時間 (秒単位)。ロードバランサーがリクエストをターゲットにディスパッチできない場合、この値は `-1` に設定されます。この状況が発生するのは、ターゲットがアイドルタイムアウト前に接続を閉じた場合か、クライアントが誤った形式のリクエストを送信した場合です。登録済みターゲットからアイドルタイムアウトまで応答がない場合にも、この値は -1 に設定される場合があります。
response_processing_time	ロードバランサーがターゲットから応答ヘッダーを受け取った時点から、クライアントへの応答の送信を開始した時点までの合計経過時間 (秒単位)。これには、ロードバランサーでの待機時間と、ロードバランサーからクライアントへの接続の取得時間の両方が含まれます。ロードバランサーがリクエストをターゲットに送信できない場合、この値は `-1` に設定されます。この状況が発生するのは、ターゲットがアイドルタイムアウト前に接続を閉じた場合か、クライアントが誤った形式のリクエストを送信した場合です。
elb_status_code	ロードバランサーからの応答のステータスコード。
target_status_code	ターゲットから応答のステータスコード。この値は、ターゲットへの接続が確立され、ターゲットが応答を送信した場合のみ記録されます。それ以外の場合、値は `-` に設定されます。
received_bytes	クライアント (リクエスタ) から受け取ったリクエストのサイズ(バイト単位)。HTTP リクエストの場合、これにはヘッダーが含まれます。WebSocket の場合、これは接続でクライアントから受信した合計バイト数です。
sent_bytes	クライアント (リクエスタ) に返される応答のサイズ(バイト単位)。HTTP リクエストの場合、これにはヘッダーが含まれます。WebSocket の場合、これは接続でクライアントに送信した合計バイト数です。
リクエスト	クライアントからのリクエスト行は二重引用符で囲まれており、次の形式を使用してログに記録されます。HTTP メソッド + プロトコル://ホスト:ポート/uri + HTTP バージョン。
user_agent	リクエスト元のクライアントを特定する User-Agent 文字列。この文字列は、1 つ以上の製品 ID (製品[/バージョン]) から構成されます。文字列が 8 KB より長い場合は切り捨てられます。
ssl_cipher	[HTTPS リスナー] SSL 暗号。正常なネゴシエーションの後に受信接続が確立した場合にのみ、この値が記録されます。それ以外の場合、値は `-` に設定されます。
ssl_protocol	[HTTPS リスナー] SSL プロトコル。正常なネゴシエーションの後に受信接続が確立した場合にのみ、この値が記録されます。それ以外の場合、値は `-` に設定されます。
target_group_arn	ターゲットグループの Amazon リソースネーム (ARN)。
trace_id	[X-Amzn-Trace-Id] ヘッダーのコンテンツです。
domain_name	[HTTPS リスナー] TLS ハンドシェイク中にクライアントから提供される SNI ドメイン。クライアントが SNI をサポートしない場合、あるいはドメインが証明書と一致せず、デフォルトの証明書がクライアントに提示された場合、この値は `-` となります。
chosen_cert_arn	[HTTPS リスナー] クライアントに提示される証明書の ARN。セッションが再利用される場合、この値は `session-reused` に設定されます。
matched_rule_priority	リクエストに一致したルールの優先度の値。ルールが一致した場合、この値は 1～50,000 になります。一致するルールがなく、デフォルトのアクションが実行された場合、値は 0 になります。エラーが発生した場合、値は -1 になります。
request_creation_time	ロードバランサーがクライアントからリクエストを受け取った時刻 (ISO 8601 形式)。
actions_executed	リクエストの処理時に実行されるアクション。この値は、次のような値を持つカンマ区切りリストです: `waf`、`authenticate` および `forward`。アクションが実行されなかった場合、この値は `-` に設定されます。

例

以下にログエントリの例を示します。読みやすくするためだけの目的で、テキストは複数の行に表示されています。

HTTP エントリ例

次の例は、HTTP リスナーのログエントリです (ポート 80 からポート 80)。


http 2016-08-10T22:08:42.945958Z app/my-loadbalancer/50dc6c495c0c9188 
192.168.131.39:2817 10.0.0.1:80 0.000 0.001 0.000 200 200 34 366 
"GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - - 
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337262-36d228ad5d99923122bbe354" - -

HTTPS エントリ例

次の例は、HTTPS リスナーのログエントリです (ポート 443 からポート 80)。


https 2016-08-10T23:39:43.065466Z app/my-loadbalancer/50dc6c495c0c9188 
192.168.131.39:2817 10.0.0.1:80 0.086 0.048 0.037 200 200 0 57 
"GET https://www.example.com:443/ HTTP/1.1" "curl/7.46.0" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337281-1d84f3d73c47ec4e58577259" www.example.com arn:aws:acm:us-east-2:123456789012:certificate/12345678-1234-1234-1234-123456789012

HTTP/2 エントリ例

HTTP/2 ストリームのログエントリの例を次に示します。


h2 2016-08-10T00:10:33.145057Z app/my-loadbalancer/50dc6c495c0c9188 
10.0.1.252:48160 10.0.0.66:9000 0.000 0.002 0.000 200 200 5 257 
"GET https://10.0.2.105:773/ HTTP/2.0" "curl/7.46.0" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337327-72bd00b0343d75b906739c42" - -

WebSocket エントリの例

WebSocket 接続のログエントリの例を次に示します。


ws 2016-08-10T00:32:08.923954Z app/my-loadbalancer/50dc6c495c0c9188 
10.0.0.140:40914 10.0.1.192:8010 0.001 0.003 0.000 101 101 218 587 
"GET http://10.0.0.30:80/ HTTP/1.1" "-" - - 
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337364-23a8c76965a2ef7629b185e3" - -

安全な WebSocket エントリの例

安全な WebSocket 接続のログエントリの例を次に示します。


wss 2016-08-10T00:42:46.423695Z app/my-loadbalancer/50dc6c495c0c9188 
10.0.0.140:44244 10.0.0.171:8010 0.000 0.001 0.000 101 101 218 786
"GET https://10.0.0.30:443/ HTTP/1.1" "-" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 
arn:aws:elasticloadbalancing:us-west-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337364-23a8c76965a2ef7629b185e3" - -

バケットのアクセス許可

アクセスログの作成を有効にするときは、アクセスログの S3 バケットを指定する必要があります。このバケットは、ロードバランサーと同じリージョンにある必要があり、バケットにアクセスログを書き込む許可を Elastic Load Balancing に付与するバケットポリシーが必要です。バケットポリシーは、バケットのアクセス許可を定義するためにアクセスポリシー言語で記述された JSON ステートメントのコレクションです。各ステートメントには 1 つのアクセス許可に関する情報が含まれ、一連のエレメントが使用されます。

重要

コンソールを使用してアクセスログの作成を有効にする場合は、「アクセスログの作成の有効化」に進むことができます。AWS CLI または API を使用してアクセスログの作成を有効にする場合は、バケットが存在していて、必要なバケットポリシーがある必要があります。

アクセスログのバケットを作成する必要がある場合は、次の手順を使用してバケットを作成し、必要なバケットポリシーを追加します。すでにバケットがある場合は、ステップ 4 から開始し、バケットのバケットポリシーを追加または更新します。

必要なアクセス権限を持つ Amazon S3 バケットを作成するには

https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。
[Create Bucket] を選択します。
[Create a Bucket] ダイアログボックスで、以下の作業を行います。
1. [Bucket Name] に、バケットの名前 (例: my-loadbalancer-logs) を入力します。この名前は、Amazon S3 にある既存のすべてのバケット名と異なる必要があります。リージョンによっては、バケット名にその他の制限があることがあります。詳細は、Amazon Simple Storage Service 開発者ガイドの「Bucket Restrictions and Limitations」を参照してください。
2. [Region] で、ロードバランサーを作成したリージョンを選択します。
3. [Create] を選択します。
バケットを選択し、[Permissions] を選択します。
[バケットポリシー] を選択します。バケットにポリシーがすでにアタッチされている場合、必要なステートメントを既存のポリシーに追加できます。

[Policy generator] を選択します。[AWS Policy Generator] ページで、次の操作を実行します。

[Select Type of Policy] で、[S3 Bucket Policy] を選択します。
[Effect] で、[Allow] を選択します。

[Principal] で、S3 バケットへのアクセス権を Elastic Load Balancing に付与する次のいずれかの AWS アカウント ID を指定します。ロードバランサーとバケットのリージョンに対応するアカウント ID を使用します。

サービス対象	リージョン名	Elastic Load Balancing アカウント ID
`us-east-1`	米国東部（バージニア北部）	127311923021
`us-east-2`	米国東部 (オハイオ)	033677994240
`us-west-1`	米国西部 (北カリフォルニア)	027434742980
`us-west-2`	米国西部 (オレゴン)	797873946194
`ca-central-1`	カナダ (中部)	985666609251
`eu-central-1`	欧州 (フランクフルト)	054676820928
`eu-west-1`	欧州 (アイルランド)	156460612806
`eu-west-2`	欧州 (ロンドン)	652711504416
`eu-west-3`	EU (パリ)	009996457667
`ap-northeast-1`	アジアパシフィック (東京)	582318560864
`ap-northeast-2`	アジアパシフィック (ソウル)	600734575887
`ap-northeast-3`	アジアパシフィック (大阪: ローカル)	383597477331
`ap-southeast-1`	アジアパシフィック (シンガポール)	114774131450
`ap-southeast-2`	アジアパシフィック (シドニー)	783225319266
`ap-south-1`	アジアパシフィック (ムンバイ)	718504428378
`sa-east-1`	南米 (サンパウロ)	507241528517
`us-gov-west-1`*	AWS GovCloud (米国)	048591011584
`cn-north-1`*	中国 (北京)	638102146993
`cn-northwest-1`*	中国 (寧夏)	037604701340

* これらのリージョンには個別のアカウントが必要です。詳細については、「AWS GovCloud (米国)」および「中国 (北京)」を参照してください。

[Actions] で [PutObject] を選択し、Elastic Load Balancing が S3 バケットにオブジェクトを保存するのを許可します。
[Amazon Resource Name (ARN)] に、S3 バケットの ARN を次の形式で入力します。[aws-account-id] に、ロードバランサーを所有している AWS アカウントの ID (たとえば、123456789012) を指定します。
```
arn:aws:s3:::bucket/prefix/AWSLogs/aws-account-id/*
```
us-gov-west-1 リージョンを使用している場合は、arn:aws ではなく arn:aws-us-gov の ARN 形式を指定することに注意してください。

[Add Statement]、[Generate Policy] を選択します。ポリシードキュメントは次の例のようになります。


{
  "Id": "Policy1429136655940",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1429136633762",
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-loadbalancer-logs/my-app/AWSLogs/123456789012/*",
      "Principal": {
        "AWS": [
          "797873946194"
        ]
      }
    }
  ]
}

新しいバケットポリシーを作成する場合は、ポリシードキュメント全体をコピーし、[Close] を選択します。

既存のバケットポリシーを編集する場合は、ポリシードキュメントから新しいステートメント (Statement 要素の [ と ] の間のテキスト) をコピーし、[Close] を選択します。

Amazon S3 コンソールに戻り、必要に応じてポリシーをテキストエリアに貼り付けます。
[Save] を選択します。

アクセスログの作成の有効化

ロードバランサーのアクセスログの作成を有効にする場合は、ロードバランサーがログを保存する S3; バケットの名前を指定する必要があります。このバケットは、ロードバランサーと同じリージョンにあり、バケットにアクセスログを書き込む許可を Elastic Load Balancing に付与するバケットポリシーが必要です。バケットは、ロードバランサーを所有するアカウントとは別のアカウントが所有するものでもかまいません。

コンソールを使用してアクセスログの作成を有効にするには

https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで、[Load Balancers] を選択します。
ロードバランサーを選択します。
[Description] タブで、[Edit attributes] を選択します。
[Edit load balancer attributes] ページで、以下を実行します。
1. [Enable access logs] を選択します。
2. [S3 location] に、プレフィックスを含めて S3 バケットの名前を入力します (たとえば my-loadbalancer-logs/my-app)。既存のバケットの名前や新しいバケットの名前を指定できます。既存のバケットを指定する場合は、このバケットを所有していること、および必要なバケットポリシーを設定したことを確認します。
3. (オプション) バケットが存在しない場合は、[Create this location for me] を選択します。Amazon S3 内のすべての既存のバケット名全体で一意な名前を指定し、DNS 命名規則に従う必要があります。詳細については、Amazon Simple Storage Service 開発者ガイドの「バケット命名規則」を参照してください。
4. [Save] を選択します。

AWS CLI を使用してアクセスログの作成を有効にするには

modify-load-balancer-attributes コマンドを使用します。

Elastic Load Balancing により S3 バケットにテストファイルが作成されたことを確認するには

アクセスログの作成をロードバランサーで有効にすると、Elastic Load Balancing は S3 バケットを検証し、テストファイルを作成して、バケットポリシーが必要なアクセス権限を指定するようにします。Amazon S3 コンソールを使用して、テストファイルが作成されたことを確認できます。テストファイルは実際のアクセスログファイルではなく、レコード例は含まれていません。

https://console.aws.amazon.com/s3/ にある Amazon S3 コンソールを開きます。
[All Buckets] で、S3 バケットを選択します。
テストログファイルがある場所に移動します。パスは次のようになります。
```
my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile
```

アクセスログの S3 バケットを管理するには

アクセスログを有効にしたら、アクセスログを有効にしたバケットを削除する前に、必ずアクセスログを無効にします。そうしないと、同じ名前を持ち、所有していない AWS アカウントで必要なバケットポリシーが作成された新しいバケットがある場合、Elastic Load Balancing はロードバランサーのアクセスログをその新しいバケットに書き込む可能性があります。

アクセスログの作成の無効化

ロードバランサーのアクセスログの作成は、いつでも無効にできます。アクセスログの作成を無効にした後は、削除するまでアクセスログは S3; バケットに残されたままです。詳細については、Amazon Simple Storage Service コンソールユーザーガイドの「バケットの使用」を参照してください。

コンソールを使用してアクセスログの作成を無効にするには

https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
ナビゲーションペインで、[Load Balancers] を選択します。
ロードバランサーを選択します。
[Description] タブで、[Edit attributes] を選択します。
[Edit load balancer attributes] ページで、[Enable access logs] をオフにします。
[Save] を選択します。

AWS CLI を使用してアクセスログの作成を無効にするには

modify-load-balancer-attributes コマンドを使用します。

アクセスログファイルの処理

アクセスログファイルは圧縮されます。Amazon S3 コンソールを使用してファイルを開くと、ファイルは解凍され、情報が表示されます。ファイルをダウンロードする場合、情報を表示するには解凍する必要があります。

ウェブサイトの需要が大きい場合は、ロードバランサーによって数 GB のデータ量のログファイルが生成されることがあります。このような大容量のデータは、行単位で処理できない場合があります。このため、場合によっては、並列処理ソリューションを提供する分析ツールを使用する必要があります。たとえば、次の分析ツールを使用するとアクセスログの分析と処理を行うことができます。

Amazon Athena は、標準 SQL を使用して Amazon S3 のデータの分析を簡易化するインタラクティブなクエリサービスです。詳細については、Amazon Athena ユーザーガイドの「Application Load Balancer ログのクエリ」を参照してください。
Loggly
Splunk
Sumo Logic

ブラウザで JavaScript が無効になっているか、または使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。詳細については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

« 前次 »