CloudFront 및 엣지 함수 로깅
Amazon CloudFront는 다양한 종류의 로깅을 제공합니다. CloudFront 배포에 전달되는 최종 사용자 요청을 로깅하거나 AWS 계정에 CloudFront 서비스 활동(API 활동)을 로깅할 수 있습니다. CloudFront Functions 및 Lambda@Edge 함수의 로그를 가져올 수도 있습니다.
요청 로깅
CloudFront는 다음과 같이 배포에 전달되는 요청을 로깅하는 방법을 제공합니다.
- 액세스 로그(표준 로그)
-
CloudFront 액세스 로그는 배포에 대해 이루어진 모든 요청에 대한 상세 기록을 제공합니다. 보안 및 액세스 감사와 같은 시나리오에 로그를 사용할 수 있습니다.
CloudFront 액세스 로그는 지정한 전송 대상으로 전송됩니다.
필요한 경우 액세스 로그를 사용합니다.
-
기록 분석 및 보고
-
보안 감사 및 규정 준수 요구 사항
-
비용 효율적인 장기 로그 보존
자세한 내용은 액세스 로그(표준 로그) 섹션을 참조하세요.
-
- 실시간 액세스 로그
-
CloudFront 실시간 액세스 로그는 요청 수신 후 몇 초 이내에 제공되며, 배포에 대해 이루어진 요청에 대한 정보를 실시간으로 제공합니다. 실시간 액세스 로그에 대한 샘플링 비율(즉, 실시간 액세스 로그 레코드를 수신하려는 요청의 백분율)을 선택할 수 있습니다. 또한 로그 레코드에서 수신하려는 특정 필드도 선택할 수 있습니다. 실시간 액세스 로그는 콘텐츠 전송 성능을 실시간으로 모니터링하는 데 적합합니다.
CloudFront 실시간 액세스 로그는 Amazon Kinesis Data Streams에서 선택한 데이터 스트림으로 전송됩니다. CloudFront는 Kinesis Data Streams 사용 요금 외에도, 실시간 액세스 로그에 대한 요금을 청구합니다.
필요한 경우 실시간 액세스 로그를 사용합니다.
-
실시간 모니터링 및 알림
-
라이브 대시보드 및 운영 인사이트
자세한 내용은 실시간 액세스 로그 사용 섹션을 참조하세요.
-
- 연결 로그
-
연결 로그는 mTLS 지원 배포를 위한 서버와 클라이언트 간의 연결에 대한 자세한 정보를 제공합니다. 연결 로그는 클라이언트 인증서 정보, mTLS 인증 실패 이유, 연결 허용 또는 거부 여부에 대한 가시성을 제공합니다.
액세스 로그(표준 로그)와 마찬가지로 연결 로그는 지정한 전송 대상으로 전송됩니다.
참고
연결 로그를 활성화하려면 먼저 배포에 대해 mTLS를 활성화해야 합니다.
필요한 경우 연결 로그를 사용합니다.
-
TLS 핸드셰이크 중 연결 성공 또는 실패 이유
-
클라이언트 인증서 정보에 대한 가시성
자세한 내용은 연결 로그를 사용한 관찰성 섹션을 참조하세요.
-
엣지 함수 로깅
Amazon CloudWatch Logs를 사용하여 엣지 함수(Lambda@Edge 및 CloudFront Functions 모두)에 대한 로그를 가져올 수 있습니다. CloudWatch 콘솔 또는 CloudWatch Logs API를 사용하여 로그에 액세스할 수 있습니다. 자세한 내용은 엣지 함수 로그 섹션을 참조하세요.
서비스 활동 로깅
AWS CloudTrail을 사용하여 AWS 계정에 CloudFront 서비스 활동(API 활동)을 로깅할 수 있습니다. CloudTrail은 CloudFront에서 사용자, 역할 또는 AWS 서비스가 수행한 API 작업의 기록을 제공합니다. CloudTrail에서 수집한 정보를 사용하여 CloudFront에 수행된 API 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
자세한 내용은 AWS CloudTrail을 사용하여 Amazon CloudFront API 직접 호출 로깅 섹션을 참조하세요.
로깅에 대한 자세한 내용은 다음 주제를 참조하세요.
