翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
VPC Lattice のアクセスログ
アクセスログには、VPC Lattice サービスに関する詳細情報が記録されます。これらのアクセスログを使用して、トラフィックパターンを分析し、ネットワーク内のすべてのサービスを監査できます。
アクセスログはオプションであり、デフォルトでは無効になっています。アクセスログを有効にした後は、いつでも無効にできます。
料金
アクセスログが公開されると料金が発生します。ユーザーに代わって AWS ネイティブに公開されるログは、公開ログと呼ばれます。提供されるログの料金の詳細については、「Amazon CloudWatch 料金表
アクセスログを有効にするために必要な IAM アクセス許可
アクセスログを有効にしてログを送信先に送信するには、使用している IAM ユーザー、グループ、またはロールにアタッチされたポリシーで次のアクションが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "ManageVPCLatticeAccessLogSetup", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "vpc-lattice:CreateAccessLogSubscription", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:UpdateAccessLogSubscription", "vpc-lattice:DeleteAccessLogSubscription", "vpc-lattice:ListAccessLogSubscriptions" ], "Resource": [ "*" ] } ] }
詳細については、[AWS Identity and Access Management ユーザーガイド]の「IAM ID アクセス許可の追加と削除」を参照してください。
IAM ユーザー、IAM グループ、または使用している IAM ロールにアタッチされているポリシーを更新したら、アクセスログの有効化 に進みます。
アクセスログの送信先
アクセスログは、次の宛先に送信できます。
Amazon CloudWatch Logs
-
VPC Lattice は通常 2 分以内にログを CloudWatch Logs に配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。
CloudWatch ロググループに特定のアクセス許可がない場合、リソースポリシーが自動的に作成され、ロググループに追加されます。詳細については、「Amazon ユーザーガイド」の「ログに送信される CloudWatch ログ」を参照してください。 CloudWatch
に送信されるアクセスログは、 CloudWatch コンソールの CloudWatch ロググループにあります。詳細については、「Amazon CloudWatch ユーザーガイド」の「ログに送信された CloudWatch ログデータを表示する」を参照してください。
Amazon S3
-
VPC Lattice は通常 6 分以内に Amazon S3 にログを配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。
バケットに特定の権限がない場合は、バケットポリシーが自動的に作成され、Amazon S3 バケットに追加されます。詳細については、「Amazon ユーザーガイド」の「Amazon S3 に送信されたログ」を参照してください。 CloudWatch
Amazon S3 に送信されるアクセスログには、次の命名規則が使用されます。
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose
-
VPC Lattice は通常、2 分以内に Firehose にログを配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。
アクセスログを Amazon Data Firehoseに送信する権限を VPC Lattice に付与するサービスにリンクされたロールが自動的に作成されます。この自動ロール作成が正常に行われるには、ユーザーが
iam:CreateServiceLinkedRole
アクションに対する許可を持っている必要があります。詳細については、「Amazon CloudWatch ユーザーガイド」の「 に送信されたログ Amazon Data Firehose」を参照してください。に送信されたログの表示の詳細については Amazon Data Firehose、「 Amazon Data Firehose デベロッパーガイド」の「Amazon Kinesis Data Streams のモニタリング」を参照してください。
アクセスログの有効化
次の手順を実行して、アクセスログを取得し、選択した宛先に配信するように設定します。
コンソールを使用してアクセスログを有効にする
サービスネットワークまたはサービスのアクセスログは、作成時に有効にできます。次の手順で説明するように、サービスネットワークまたはサービスの作成後に、アクセスログを有効にすることもできます。
コンソールを使用して基本サービスを作成するには
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
サービスネットワークまたはサービスを選択します。
-
[アクション]、[ログ設定を編集] の順に選択します。
-
[アクセスログ] トグルスイッチをオンにします。
-
アクセスログの配信先を次のように追加します。
-
CloudWatch ロググループを選択し、ロググループを選択します。ロググループを作成するには、 でロググループを作成する CloudWatchを選択します。
-
[S3 バケット] を選択し、プレフィックスを含む S3 バケットパスを入力します。S3 バケットを検索するには、[S3 を参照] を選択します。
-
[Kinesis Data Firehose 配信ストリーム] を選択し、配信ストリームを選択します。配信ストリームを作成するには、[Kinesis で配信ストリームを作成] を選択します。
-
-
[変更の保存] をクリックします。
を使用してアクセスログを有効にする AWS CLI
CLI コマンドを使用してcreate-access-log-subscription、サービスネットワークまたはサービスのアクセスログを有効にします。
アクセスログの内容
次の表は、アクセスログのエントリのフィールドを示しています。
フィールド | 説明 | 形式 |
---|---|---|
hostHeader |
リクエストの権限ヘッダー。 |
string |
sslCipher |
クライアント TLS 接続を確立するために使用される暗号セットの OpenSSL 名。 |
string |
serviceNetworkArn |
サービスネットワーク ARN。 |
arn:aws:vpc-lattice: |
resolvedUser |
認証が有効な場合に認証が行われたときのユーザーの ARN。 |
null | ARN | "Anonymous" | "Unknown" |
authDeniedReason |
認証が有効な場合にアクセスが拒否される理由。 |
null | "Service" | "Network" | "Identity" |
requestMethod |
リクエストのメソッドヘッダー。 |
string |
targetGroupArn |
ターゲットホストが属するターゲットホストグループ。 |
string |
tlsVersion |
TLS バージョン。 |
TLSv |
userAgent |
ユーザーエージェントヘッダー。 |
string |
ServerNameIndication |
[HTTPS のみ] ssl 接続ソケットに設定された Server Name Indication (SNI) の値。 |
string |
destinationVpcId |
送信先 VPC ID。 |
vpc- |
sourceIpPort |
送信元の IP アドレスとポート。 |
|
targetIpPort |
ターゲットの IP アドレスとポート。 |
|
serviceArn |
サービス ARN。 |
arn:aws:vpc-lattice: |
sourceVpcId |
ソース VPC ID。 |
vpc- |
requestPath |
リクエストのパス。 |
LatticePath?: |
startTime |
リクエストの開始時刻。 |
|
protocol |
プロトコル。現在は HTTP/1.1 または HTTP/2。 |
string |
responseCode |
HTTP レスポンスコード。最終ヘッダーのレスポンスコードのみが記録されます。詳細については、「アクセスログのトラブルシューティング」を参照してください。 |
integer |
bytesReceived |
受信した本文とヘッダーのバイト数。 |
integer |
bytesSent |
送信された本文とヘッダーのバイト数。 |
integer |
duration |
リクエストの開始時刻から最後のバイトが送信されるまでの合計期間 (ミリ秒単位)。 |
integer |
requestToTargetDuration |
リクエストの開始時刻から最後のバイトがターゲットに送信されるまでの合計期間 (ミリ秒単位)。 |
integer |
responseFromTargetDuration |
リクエストの最初のバイトがターゲットホストから読み取られてから、最後のバイトがクライアントに送信されるまでの合計期間 (ミリ秒単位)。 |
integer |
grpcResponseCode |
gRPC レスポンスコード。詳細については、「Status codes and their use in gRPC |
integer |
callerPrincipal |
認証されたプリンシパル。 |
string |
callerX509SubjectCN |
サブジェクト名 (CN)。 |
string |
callerX509IssuerOU |
発行者 (OU)。 |
string |
callerX509SANNameCN |
発行者の代替 (名前/CN)。 |
string |
callerX509SANDNS |
サブジェクト代替名 (DNS)。 |
string |
callerX509SANURI |
サブジェクト代替名 (URI)。 |
string |
sourceVpcArn |
リクエストが発生した VPC の ARN。 |
arn:aws:ec2: |
例
ログエントリの例を示します。
{
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1
}
アクセスログのトラブルシューティング
このセクションでは、アクセスログに表示される可能性のある HTTP エラーコードについて説明します。
エラーコード | 考えられる原因 |
---|---|
HTTP 400: Bad Request |
|
HTTP 403: Forbidden |
認証はサービスに対して設定されているが、受信リクエストは認証も承認もされていない。 |
HTTP 404: Non Existent Service |
存在しないサービスに接続しようとしているか、適切なサービスネットワークに登録されていない。 |
HTTP 500: 内部サーバーエラー |
VPC Lattice でターゲットに接続できないなどのエラーが発生した。 |
HTTP 502: Bad Gateway |
VPC Lattice でエラーが発生した。 |