에 대한 액세스 로그Application Load Balancer - Elastic Load Balancing

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

에 대한 액세스 로그Application Load Balancer

Elastic Load Balancing은 로드 밸런서에 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

액세스 로그는 Elastic Load Balancing의 옵션 기능으로, 기본적으로 비활성화됩니다. 로드 밸런서에 대한 액세스 로깅을 활성화한 후, Elastic Load Balancing 로그를 캡처하고 Amazon S3 이(가) Fixlet 파일로 지정되어 있습니다. 액세스 로그는 언제든지 비활성화할 수 있습니다.

각 액세스 로그 파일은 S3 버킷에 저장되기 전에 SSE-S를 사용하여 자동으로 암호화되고, 액세스할 때 해독됩니다. 어떤 조치도 취할 필요가 없습니다. 암호화 및 암호 해독이 투명하게 수행됩니다. 각 로그 파일은 고유 키로 암호화되며, 주기적으로 바뀌는 마스터 키를 사용하여 키 자체가 암호화됩니다. 자세한 내용은 서버 측 암호화를 사용하여 데이터 보호 Amazon S3-관리 암호화 키(SSE-S3) in the Amazon Simple Storage Service 개발자 가이드.

액세스 로그에 대한 추가 요금은 없습니다;. 다음에 대한 스토리지 비용이 청구됩니다. Amazon S3, 하지만 대역폭에 대해서는 Elastic Load Balancing 로그 파일을 Amazon S3. 스토리지 비용에 대한 자세한 내용은 Amazon S3 가격 책정.

액세스 로그 파일

Elastic Load Balancing는 5분마다 각 로드 밸런서 노드에 대한 로그 파일을 게시합니다. 로그 전달은 결과의 일관성이 있습니다. 로드 밸런서는 같은 기간 동안 여러 개의 로그를 전달할 수 있습니다. 이러한 상황은 보통 사이트에 트래픽이 많은 경우에 발생합니다.

액세스 로그의 파일 이름은 다음 형식을 사용합니다.

bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_load-balancer-id_end-time_ip-address_random-string.log.gz
bucket

S3 버킷의 이름

prefix.

버킷의 접두사(논리적 계층 구조)입니다. 접두사를 지정하지 않는 경우 로그는 버킷의 루트 수준에 저장됩니다.

aws-account-id

소유자의 AWS 계정 ID입니다.

region

로드 밸런서 및 S3 버킷을 위한 리전입니다.

yyyy/mm/dd

로그가 전달된 날짜입니다.

load-balancer-id

로드 밸런서의 리소스 ID입니다. 리소스 ID에 포함되어 있는 슬래시(/)가 마침표(.)로 대체됩니다.

end-time

로깅 간격이 끝나는 날짜와 시간입니다. 예를 들어 종료 시간이 20140215T2340Z이면 23:35와 23:40 사이의 요청에 대한 항목이 포함됩니다.

ip-address

요청을 처리한 로드 밸런서 노드의 IP 주소입니다. 내부 로드 밸런서의 경우 프라이빗 IP 주소가 됩니다.

random-string

시스템에서 생성된 임의 문자열입니다.

다음은 로그 파일 이름의 예제입니다.

s3://my-bucket/prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2016/05/01/123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20140215T2340Z_172.160.001.192_20sg8hgm.log.gz

원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 그러나 Amazon S3 수명 주기 규칙을 정의하여 자동으로 로그 파일을 보관하거나 삭제할 수도 있습니다. 자세한 내용은 객체 수명 주기 관리 in the Amazon Simple Storage Service 개발자 가이드.

액세스 로그 항목

Elastic Load Balancing는 대상으로 전달되지 않는 요청을 포함해 로드 밸런서로 전송된 모든 요청을 기록합니다. 예를 들어 클라이언트가 잘못된 요청을 보내거나 요청에 응답할 정상 인스턴스가 없는 경우에도 요청은 계속 기록됩니다. 참고: Elastic Load Balancing 상태 점검 요청을 기록하지 않습니다.

각 로그 항목에는 로드 밸런서에 대한 단일 요청(WebSockets의 경우 연결)의 세부 정보가 포함되어 있습니다. WebSockets의 경우, 연결이 종료된 이후에만 항목이 기록됩니다. 업그레이드 연결을 설정할 수 없는 경우에는 HTTP 또는 HTTPS 요청과 항목이 동일합니다.

중요

Elastic Load Balancing은 최대한 요청을 기록합니다. 모든 요청을 완벽하게 기록하기 위한 용도가 아니라 요청 특성을 이해하는 데 액세스 로그를 사용하는 것이 좋습니다.

Syntax

다음 표에서는 액세스 로그 항목의 필드를 순서대로 설명합니다. 모든 필드는 공백으로 구분됩니다. 새 필드가 도입되면 로그 항목 끝에 추가됩니다. 예상하지 못했던 방식으로 로그 항목이 끝나면 모든 필드를 무시해야 합니다.

Field 설명

type

요청 또는 연결의 유형입니다. 사용 가능한 값은 다음과 같습니다(기타 값은 모두 무시).

  • http — HTTP

  • https — SSL/TLS 기반 HTTP

  • h2 — SSL/TLS를 통한 HTTP/2

  • ws — 웹소켓

  • wss — SSL/TLS를 통한 웹소켓

시간

로드 밸런서가 클라이언트에 응답을 생성한 시간(ISO 8601 형식)입니다. WebSockets의 경우, 연결이 종료된 시점이 됩니다.

elb

로드 밸런서의 리소스 ID입니다. 액세스 로그 항목을 분석하고 있다면 리소스 ID에 슬래시(/)가 포함될 수 있다는 것을 기억하십시오.

client:port

요청을 하는 클라이언트의 IP 주소 및 포트입니다.

target:port

이 요청을 처리한 대상의 IP 주소 및 포트입니다.

클라이언트가 전체 요청을 전송하지 않은 경우에는 로드 밸런서가 대상으로 요청을 디스패치 할 수 없고 이 값은 -로 설정됩니다.

대상이 Lambda 함수인 경우 이 값은 -로 설정됩니다.

요청이 차단된 경우 AWS WAF이 값은 - 로 설정되며 elb_status_code 값은 403으로 설정됩니다.

request_processing_time

부하 분산 장치가 요청을 받은 시점부터 타겟으로 요청을 보낸 시간까지 경과한 총 시간(초 단위: 초).

로드 밸런서가 대상으로 요청을 디스패치할 수 없는 경우 이 값은 -1로 설정됩니다. 대상이 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 이런 상황이 발생할 수 있습니다.

등록된 대상 유휴 시간 초과 횟수 이전에 응답하지 않는 경우에도 이 값이 -1로 설정될 수 있습니다.

target_processing_time

로드 밸런서가 대상에 요청을 보낸 시간부터 대상이 응답 헤더를 보내기 시작할 때까지의 총 경과 시간(초, 밀리초 단위)입니다.

로드 밸런서가 대상으로 요청을 디스패치할 수 없는 경우 이 값은 -1로 설정됩니다. 대상이 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 이런 상황이 발생할 수 있습니다.

등록된 대상 유휴 시간 초과 횟수 이전에 응답하지 않는 경우에도 이 값이 -1로 설정될 수 있습니다.

response_processing_time

로드 밸런서가 대상에서 응답 헤더를 수신한 시간부터 클라이언트에 응답을 보내기 시작할 때까지의 총 경과 시간(초, 밀리초 단위)입니다. 여기에는 로드 밸런서의 대기 시간과 로드 밸런서에서 클라이언트까지의 연결 확보 시간이 모두 포함됩니다.

로드 밸런서가 대상으로 요청을 전송할 수 없는 경우 이 값은 -1로 설정됩니다. 대상이 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 이런 상황이 발생할 수 있습니다.

elb_status_code

로드 밸런서의 응답 상태 코드입니다.

target_status_code

대상의 응답 상태 코드입니다. 대상으로 연결이 설정되고 대상이 응답을 전송한 경우에만 이 값이 기록됩니다. 그렇지 않으면 -에 설정됩니다.

received_bytes

클라이언트(요청자)로부터 수신된 요청의 크기(바이트)입니다. HTTP 요청의 경우, 헤더가 포함이 됩니다. WebSockets의 경우에는 연결 시 클라이언트에서 수신된 총 바이트 수입니다.

sent_bytes

클라이언트(요청자)에게 보낸 응답의 크기(바이트)입니다. HTTP 요청의 경우, 헤더가 포함이 됩니다. WebSockets의 경우에는 연결 시 클라이언트에 전송된 총 바이트 수입니다.

"요청"

클라이언트의 요청 줄은 다음 형식을 사용하여 큰따옴표로 묶고 기록됩니다. HTTP 메서드 + 프로토콜://host:port/uri + HTTP 버전. 로드 밸런서는 요청 URI를 기록할 때 클라이언트가 보낸 URL을 원본 그대로 보관합니다. 또한 액세스 로그 파일에 대한 콘텐츠 유형을 설정하지 않습니다. 이 필드를 처리하는 경우 해당 클라이언트가 URL을 보낸 방법을 고려하십시오.

"user_agent"

요청을 보낸 클라이언트를 식별하는 사용자 에이전트 문자열입니다(큰 따옴표로 묶임). 이 문자열은 하나 이상의 제품 식별자, 제품[/버전]으로 이루어져 있습니다. 문자열이 8 KB보다 길면 잘리게 됩니다.

ssl_cipher

[HTTPS 리스너] SSL 암호입니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 -로 설정됩니다.

ssl_protocol

[HTTPS 리스너] SSL 프로토콜입니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 -로 설정됩니다.

target_group_arn

대상 그룹의 ARN(Amazon 리소스 이름)입니다.

"trace_id"

의 내용물 X-Amzn-추적-ID 헤더, 큰따옴표로 묶음.

<domain_name>

[HTTPS 리스너] TLS 핸드셰이크 중에 클라이언트가 제공한 SNI 도메인(큰 따옴표로 묶임). 클라이언트가 SNI를 지원하지 않거나, 도메인이 인증서와 일치하지 않으면 이 값이 -로 설정되고 클라이언트에 기본 인증서가 제공됩니다.

chosen_cert_arn

[HTTPS 리스너] 클라이언트에 제공된 인증서의 ARN(큰 따옴표로 묶임). 세션이 재사용되는 경우 이 값은 session-reused로 설정됩니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 -로 설정됩니다.

matched_rule_priority

요청과 일치하는 규칙의 우선 순위 값입니다. 규칙이 일치하면 1~50,000 사이의 값입니다. 규칙이 일치하지 않고 기본 작업이 수행된 경우 이 값은 0에 설정됩니다. 규칙 평가 중 오류가 발생하면 -1에 설정됩니다. 기타 오류의 경우 -에 설정됩니다.

request_creation_time

로드 밸런서가 클라이언트에서 요청을 받은 시간입니다(ISO 8601 형식).

"실행된 작업"

요청을 처리할 때 수행된 작업(큰 따옴표로 묶임). 이 값은 에 설명된 값을 포함할 수 있는 쉼표로 구분된 목록입니다.취한 조치. 잘못된 요청 등에 대해 수행된 작업이 없는 경우 이 값은 -로 설정됩니다.

"redirect_url"

HTTP 응답의 위치 헤더에 대한 리디렉션 대상 URL로, 큰따옴표로 묶여 있습니다. 수행된 리디렉션 작업이 없는 경우 이 값은 -로 설정됩니다.

"error_reason"

큰 따옴표로 묶인 오류 이유 코드입니다. 요청이 실패하면 이 값은 에 설명된 오류 코드 중 하나입니다.오류 사유 코드. 수행한 작업에 인증 작업이 포함되지 않거나 대상이 Lambda 함수가 아닌 경우, 이 값은 -로 설정됩니다.

"target:port_list"

이 요청을 처리한 대상에 대한 IP 주소 및 포트를 공백으로 구분한 목록이며 큰따옴표로 묶여 있습니다. 현재 이 목록에는 하나의 항목이 포함될 수 있으며 target:port 필드와 일치합니다.

클라이언트가 전체 요청을 전송하지 않은 경우에는 로드 밸런서가 대상으로 요청을 디스패치 할 수 없고 이 값은 -로 설정됩니다.

대상이 Lambda 함수인 경우 이 값은 -로 설정됩니다.

요청이 차단된 경우 AWS WAF이 값은 - 로 설정되며 elb_status_code 값은 403으로 설정됩니다.

"target_status_code_list"

대상의 응답에서 공백으로 구분된 상태 코드 목록이며 큰따옴표로 묶여 있습니다. 현재 이 목록에는 하나의 항목이 포함될 수 있으며 target_status_code 필드와 일치합니다.

대상으로 연결이 설정되고 대상이 응답을 전송한 경우에만 이 값이 기록됩니다. 그렇지 않으면 -에 설정됩니다.

분류

desync 완화에 대한 분류, 큰따옴표로 묶음. 요청이 RFC 7230을 준수하지 않는 경우 가능한 값은 수용 가능, 모호함 및 심각입니다.

요청이 RFC 7230을 준수하는 경우 이 값은 - 로 설정됩니다.

"분류_사유"

분류 사유 코드, 큰따옴표로 묶음. 요청이 RFC 7230을 준수하지 않는 경우, 이는 다음에 기술된 분류 코드 중 하나입니다. 분류 사유. 요청이 RFC 7230을 준수하는 경우 이 값은 - 로 설정됩니다.

취한 조치

로드 밸런서는 수행하는 작업을 액세스 로그의 actions_ecuted 필드에 저장합니다.

  • authenticate — 부하 분산 장치는 세션을 검증하고, 사용자를 인증하며, 규칙 구성에 의해 지정된 대로 요청 헤더에 사용자 정보를 추가했습니다.

  • fixed-response — 로드 밸런서는 규칙 구성에 의해 지정된 대로 고정 응답을 발행했습니다.

  • forward — 로드 밸런서는 규칙 구성에 의해 지정된 대로 요청을 타겟으로 전달했습니다.

  • redirect — 로드 밸런서는 규칙 구성에 의해 지정된 대로 요청을 다른 URL로 리디렉션합니다.

  • waf — 로드 밸런서는 요청을 대상으로 전달해야 하는지 여부를 결정하기 위해 AWS WAF로 요청을 전달했습니다. 이것이 최종 조치인 경우 AWS WAF에서는 요청을 거부해야 한다고 결정했습니다.

  • waf-failed — 로드 밸런서가 요청을 AWS WAF에 전달하려고 시도했지만 이 프로세스는 실패했습니다.

분류 사유

요청이 RFC 7230을 준수하지 않는 경우 로드 밸런서는 액세스 로그의 classification_reason 필드에 다음 코드 중 하나를 저장합니다. 자세한 정보는 단원을 참조하십시오.Desync 완화 모드.

: Code 설명 분류

AmbiguousUri

요청 URI에는 제어 문자가 포함되어 있습니다.

모호한

BadContentLength

콘텐츠 길이 헤더에는 파싱할 수 없거나 유효한 번호가 아닌 값이 있습니다.

중증

BadHeader

헤더에는 null 문자 또는 캐리지 반환이 포함됩니다.

중증

BadTransferEncoding

전송-인코딩 헤더에 잘못된 값이 있습니다.

중증

BadUri

URI에 null 문자 또는 캐리지 반환이 있습니다.

중증

BadMethod

요청 방법이 잘못되었습니다.

중증

BadVersion

요청 버전이 잘못되었습니다.

중증

BothTeClPresent

이 요청에는 전송-인코딩 헤더 및 콘텐츠 길이 헤더가 모두 포함됩니다.

모호한

DuplicateContentLength

동일한 값을 가진 여러 콘텐츠 길이 헤더가 있습니다.

모호한

EmptyHeader

헤더가 비어 있거나 공백만 사용할 수 있습니다.

모호한

GetHeadZeroContentLength

GET 또는 HEAD 요청에 대해 0의 값이 포함된 콘텐츠 길이 헤더가 있습니다.

허용 가능

MultipleContentLength

여러 개의 콘텐츠 길이 헤더가 서로 다른 값이 있습니다.

중증

MultipleTransferEncodingChunked

다중 전송 인코딩: 청크 헤더가 여러 개 있습니다.

중증

NonCompliantHeader

헤더에는 비 ASCII 또는 제어 문자가 포함되어 있습니다.

허용 가능

NonCompliantVersion

요청 버전에 잘못된 값이 있습니다.

허용 가능

SpaceInUri

요청 URI에는 URL 인코딩이 되지 않은 공간이 있습니다.

허용 가능

SuspiciousHeader

공통 텍스트 정규화 기법을 사용하여 전송-인코딩 또는 콘텐츠-길이에 정규화할 수 있는 헤더가 있습니다.

모호한

UndefinedContentLengthSemantics

GET 또는 HEAD 요청에 대해 정의된 콘텐츠 길이 헤더가 없습니다.

모호한

UndefinedTransferEncodingSemantics

GET 또는 HEAD 요청에 대해 정의된 전송-인코딩 헤더가 없습니다.

모호한

오류 사유 코드

로드 밸런서가 인증 작업을 완료할 수 없는 경우, 로드 밸런서는 액세스 로그의 error_reason 필드에 다음 이유 코드 중 하나를 저장합니다. 또한 로드 밸런서는 해당 CloudWatch 지표를 증가시킵니다. 자세한 정보는 단원을 참조하십시오.사용자 인증 Application Load Balancer.

: Code 설명 측정치

AuthInvalidCookie

인증 쿠키가 유효하지 않습니다.

ELBAuthFailure

AuthInvalidGrantError

토큰 엔드포인트의 권한 부여 코드가 유효하지 않습니다.

ELBAuthFailure

AuthInvalidIdToken

ID 토큰이 유효하지 않습니다.

ELBAuthFailure

AuthInvalidStateParam

상태 파라미터가 유효하지 않습니다.

ELBAuthFailure

AuthInvalidTokenResponse

토큰 엔드포인트의 응답이 유효하지 않습니다.

ELBAuthFailure

AuthInvalidUserinfoResponse

사용자 정보 엔드포인트의 응답이 유효하지 않습니다.

ELBAuthFailure

AuthMissingCodeParam

권한 부여 엔드포인트의 인증 응답에 ‘code’라는 쿼리 파라미터가 없습니다.

ELBAuthFailure

AuthMissingHostHeader

권한 부여 엔드포인트의 인증 응답에 호스트 헤더 필드가 없습니다.

ELBAuthError

AuthMissingStateParam

권한 부여 엔드포인트의 인증 응답에 ‘state’라는 쿼리 파라미터가 없습니다.

ELBAuthFailure

AuthTokenEpRequestFailed

토큰 엔드포인트에서 오류 응답(2XX 아님)이 있습니다.

ELBAuthError

AuthTokenEpRequestTimeout

로드 밸런서가 토큰 엔드포인트와 통신할 수 없습니다.

ELBAuthError

AuthUnhandledException

로드 밸런서에 처리할 수 없는 예외가 발생했습니다.

ELBAuthError

AuthUserinfoEpRequestFailed

IdP 사용자 정보 엔드포인트에서 오류 응답(2XX 아님)이 있습니다.

ELBAuthError

AuthUserinfoEpRequestTimeout

로드 밸런서가 IdP 사용자 정보 엔드포인트와 통신할 수 없습니다.

ELBAuthError

AuthUserinfoResponseSizeExceeded

IdP에서 반환한 클레임의 크기가 11K 바이트를 초과했습니다.

ELBAuthUserClaimsSizeExceeded

가중 대상 그룹에 대한 요청이 실패하면 로드 밸런서는 다음 오류 코드 중 하나를 액세스 로그의 error_reason 필드에 저장합니다.

: Code 설명

AWSALBTGCookieInvalid

가중 대상 그룹과 함께 사용되는 AWSALBTG 쿠키는 유효하지 않습니다. 예를 들어, 로드 밸런서는 쿠키 값이 URL로 인코딩될 때 이 오류를 반환합니다.

WeightedTargetGroupsUnhandledException

로드 밸런서에 처리할 수 없는 예외가 발생했습니다.

Lambda 함수에 대한 요청이 실패하면 로드 밸런서가 액세스 로그의 오류 이유 필드에 다음 이유 코드 중 하나를 저장합니다. 또한 로드 밸런서는 해당 CloudWatch 지표를 증가시킵니다. 자세한 내용은 Lambda를 참조하십시오. 호출 작업.

: Code 설명 측정치

LambdaAccessDenied

로드 밸런서는 Lambda 함수를 호출할 권한이 없습니다.

LambdaUserError

LambdaBadRequest

클라이언트 요청 헤더 또는 본문에 UTF-8 문자만 포함되어 있지 않아 Lambda 호출에 실패했습니다.

LambdaUserError

LambdaConnectionTimeout

연결 시도 Lambda 시간 초과.

LambdaInternalError

LambdaEC2AccessDeniedException

Amazon EC2가 함수 초기화 중 Lambda에 대한 액세스를 거부했습니다.

LambdaUserError

LambdaEC2ThrottledException

Amazon EC2가 함수 초기화 중 Lambda를 제한했습니다.

LambdaUserError

LambdaEC2UnexpectedException

Amazon EC2에서 함수 초기화 중 예기치 않은 예외가 발생했습니다.

LambdaUserError

LambdaENILimitReachedException

Lambda는 네트워크 인터페이스에 대한 제한을 초과했기 때문에 Lambda 함수의 구성에 지정된 VPC에서 네트워크 인터페이스를 생성할 수 없습니다.

LambdaUserError

LambdaInvalidResponse

Lambda 함수의 응답이 잘못된 형식이거나 필수 필드가 누락되었습니다.

LambdaUserError

LambdaInvalidRuntimeException

지정된 버전의 Lambda 런타임이 지원되지 않습니다.

LambdaUserError

LambdaInvalidSecurityGroupIDException

Lambda 함수의 구성에 지정된 보안 그룹 ID가 유효하지 않습니다.

LambdaUserError

LambdaInvalidSubnetIDException

Lambda 함수의 구성에 지정된 서브넷 ID가 유효하지 않습니다.

LambdaUserError

LambdaInvalidZipFileException

Lambda에서 지정된 함수 zip 파일의 압축을 풀 수 없습니다.

LambdaUserError

LambdaKMSAccessDeniedException

LambdaKMS 키에 대한 액세스가 거부되었기 때문에 에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 권한을 확인하십시오.

LambdaUserError

LambdaKMSDisabledException

Lambda지정된 KMS 키가 비활성화되었기 때문에 에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 키 설정을 확인하십시오.

LambdaUserError

LambdaKMSInvalidStateException

LambdaKMS 키의 상태가 유효하지 않기 때문에 에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 키 설정을 확인하십시오.

LambdaUserError

LambdaKMSNotFoundException

LambdaKMS 키를 찾을 수 없기 때문에 에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 키 설정을 확인하십시오.

LambdaUserError

LambdaRequestTooLarge

요청 본문의 크기가 1MB를 초과했습니다.

LambdaUserError

LambdaResourceNotFound

Lambda 함수를 찾을 수 없습니다.

LambdaUserError

LambdaResponseTooLarge

응답의 크기가 1MB를 초과했습니다.

LambdaUserError

LambdaServiceException

Lambda에 내부 오류가 발생했습니다.

LambdaInternalError

LambdaSubnetIPAddressLimitReachedException

Lambda하나 이상의 서브넷에 사용 가능한 IP 주소가 없으므로 에서 Lambda 함수에 대한 VPC 액세스를 설정할 수 없습니다.

LambdaUserError

LambdaThrottling

요청이 너무 많기 때문에 Lambda 함수가 제한되었습니다.

LambdaUserError

LambdaUnhandled

Lambda 함수에 처리할 수 없는 예외가 발생했습니다.

LambdaUserError

LambdaUnhandledException

로드 밸런서에 처리할 수 없는 예외가 발생했습니다.

LambdaInternalError

요청을 AWS WAF로 전달할 때 로드 밸런서에 오류가 발생하면 액세스 로그의 error_reason 필드에 다음 오류 코드 중 하나가 저장됩니다.

: Code 설명

WAFConnectionError

로드 밸런서에서 에 연결할 수 없습니다.AWS WAF.

WAFConnectionTimeout

연결 AWS WAF 시간 초과.

WAFResponseReadTimeout

요청 AWS WAF 시간 초과.

WAFServiceError

AWS WAF가 5XX 오류를 반환했습니다.

WAFUnhandledException

로드 밸런서에 처리할 수 없는 예외가 발생했습니다.

Examples

다음은 로그 항목의 예제입니다. 보다 읽기 쉽도록 텍스트가 여러 줄에 나타납니다.

HTTP 항목 예제

다음은 HTTP 리스너(포트 80에서 포트 80)를 위한 로그 항목 예제입니다.

http 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 192.168.131.39:2817 10.0.0.1:80 0.000 0.001 0.000 200 200 34 366 "GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - - arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337262-36d228ad5d99923122bbe354" "-" "-" 0 2018-07-02T22:22:48.364000Z "forward" "-" "-" 10.0.0.1:80 200 "-" "-"

HTTPS 항목 예제

다음은 HTTP 리스너(포트 443에서 포트 80)를 위한 로그 항목 예제입니다.

https 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 192.168.131.39:2817 10.0.0.1:80 0.086 0.048 0.037 200 200 0 57 "GET https://www.example.com:443/ HTTP/1.1" "curl/7.46.0" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337281-1d84f3d73c47ec4e58577259" "www.example.com" "arn:aws:acm:us-east-2:123456789012:certificate/12345678-1234-1234-1234-123456789012" 1 2018-07-02T22:22:48.364000Z "authenticate,forward" "-" "-" 10.0.0.1:80 200 "-" "-"

HTTP/2 항목 예제

다음은 HTTP/2 스트림을 위한 로그 항목 예제입니다.

h2 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 10.0.1.252:48160 10.0.0.66:9000 0.000 0.002 0.000 200 200 5 257 "GET https://10.0.2.105:773/ HTTP/2.0" "curl/7.46.0" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337327-72bd00b0343d75b906739c42" "-" "-" 1 2018-07-02T22:22:48.364000Z "redirect" "https://example.com:80/" "-" 10.0.0.66:9000 200 "-" "-"

WebSockets 항목 예제

다음은 WebSockets 연결을 위한 로그 항목 예제입니다.

ws 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 10.0.0.140:40914 10.0.1.192:8010 0.001 0.003 0.000 101 101 218 587 "GET http://10.0.0.30:80/ HTTP/1.1" "-" - - arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-" 1 2018-07-02T22:22:48.364000Z "forward" "-" "-" 10.0.1.192:8010 101 "-" "-"

보안 WebSockets 항목 예제

다음은 보안 WebSockets 연결을 위한 로그 항목 예제입니다.

wss 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 10.0.0.140:44244 10.0.0.171:8010 0.000 0.001 0.000 101 101 218 786 "GET https://10.0.0.30:443/ HTTP/1.1" "-" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 arn:aws:elasticloadbalancing:us-west-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-" 1 2018-07-02T22:22:48.364000Z "forward" "-" "-" 10.0.0.171:8010 101 "-" "-"

Lambda 함수에 대한 예제 항목

다음은 성공한 Lambda 함수 요청에 대한 예제 로그 항목입니다.

http 2018-11-30T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 192.168.131.39:2817 - 0.000 0.001 0.000 200 200 34 366 "GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - - arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-" 0 2018-11-30T22:22:48.364000Z "forward" "-" "-" "-" "-" "-" "-"

다음은 실패한 Lambda 함수 요청에 대한 예제 로그 항목입니다.

http 2018-11-30T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 192.168.131.39:2817 - 0.000 0.001 0.000 502 - 34 366 "GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - - arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067 "Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-" 0 2018-11-30T22:22:48.364000Z "forward" "-" "LambdaInvalidResponse" "-" "-" "-" "-"

버킷 권한

액세스 로그를 활성화할 때는 반드시 액세스 로그에 대한 S3 버킷을 지정해야 합니다. 버킷은 다음 요구 사항을 충족해야 합니다.

Requirements

  • 버킷은 로드 밸런서와 같은 리전에 있어야 합니다.

  • Amazon S3- 관리형 암호화 키(SSE-S3)가 필요합니다. 다른 암호화 옵션은 지원되지 않습니다.

  • 버킷에 대한 액세스 로그 쓰기 권한을 Elastic Load Balancing에 부여하는 버킷 정책을 이 버킷이 보유해야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

다음 옵션 중 하나를 사용하여 S3 버킷을 액세스 로그에 대해 준비하십시오.

Options

  • 버킷을 만들고 다음을 사용하여 액세스 로깅을 활성화합니다. Elastic Load Balancing 콘솔, 건너뛰기 액세스 로그 활성화 콘솔을 사용하여 버킷과 버킷 정책을 만들 수 있는 옵션을 선택합니다.

  • 기존 버킷을 사용하고 Amazon S3 콘솔을 사용하여 필요한 버킷 정책을 추가하려면 다음 절차를 따르되 “[기존 버킷을 사용하도록 건너뛰기]” 단계를 건너뜁니다.

  • 버킷을 만들고 필요한 버킷 정책을 사용하여 Amazon S3 콘솔(예를 들어, AWS CLI API를 사용하여 액세스 로깅을 수행할 수 있습니다.

액세스 로깅을 위해 Amazon S3 버킷을 준비하려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. [기존의 버킷 사용 생략] 선택 버킷 만들기.

  3. [기존의 버킷 사용 생략] 버킷 만들기 페이지, 다음을 수행합니다.

    1. 대상 버킷 이름님, 버킷의 이름을 입력합니다. 선택한 이름은 에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다.Amazon S3. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 버킷 제한 및 제한 사항 in the Amazon Simple Storage Service 개발자 가이드.

    2. 대상 지역부하 분산 장치를 만든 지역을 선택합니다.

    3. 선택 생성.

  4. 버킷을 선택합니다. 선택 권한 그런 다음 버킷 정책.

  5. 새 버킷 정책을 생성하는 경우에는 이 전체 정책 문서를 정책 편집기에 복사한 후 자리표시자를 해당 버킷의 버킷 이름 및 접두사와 Elastic Load Balancing용 AWS 계정 ID(로드 밸런서의 리전 기반) 및 자체 AWS 계정의 ID로 교체합니다. 기존 버킷 정책을 편집하는 경우에는 정책 문서(Statement 요소의 [and] 사이에 있는 텍스트)에서 새 문만 복사합니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::elb-account-id:root" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/your-aws-account-id/*" }, { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/your-aws-account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-name" } ] }

    다음 표에는 대신 사용할 계정 ID가 포함되어 있습니다.elb-account-id 버킷 정책에 나와 있습니다.

    리전 리전 이름 탄성 부하 분산 계정 ID
    us-east-1 미국 동부(버지니아 북부) 127311923021
    us-east-2 미국 동부(오하이오) 033677994240
    us-west-1 미국 서부(캘리포니아 북부 지역) 027434742980
    us-west-2 미국 서부(오레곤) 797873946194
    af-south-1 아프리카(케이프타운) 098369216593
    ca-central-1 캐나다(중부) 985666609251
    eu-central-1 유럽(프랑크푸르트) 054676820928
    eu-west-1 유럽(아일랜드) 156460612806
    eu-west-2 유럽(런던) 652711504416
    eu-south-1 유럽(밀라노) 635631232127
    eu-west-3 유럽(파리) 009996457667
    eu-north-1 유럽(스톡홀름) 897822967062
    ap-east-1 아시아 태평양(홍콩) 754344448648
    ap-northeast-1 아시아 태평양(도쿄) 582318560864
    ap-northeast-2 아시아 태평양(서울) 600734575887
    ap-northeast-3 아시아 태평양(오사카-로컬) 383597477331
    ap-southeast-1 아시아 태평양(싱가포르) 114774131450
    ap-southeast-2 아시아 태평양(시드니) 783225319266
    ap-south-1 아시아 태평양(뭄바이) 718504428378
    me-south-1 중동(바레인) 076674570225
    sa-east-1 남아메리카(상파울루) 507241528517
    us-gov-west-1* AWS GovCloud (US-West) 048591011584
    us-gov-east-1* AWS GovCloud(US-East) 190560391635
    cn-north-1* 중국(베이징) 638102146993
    cn-northwest-1* 중국(닝샤) 037604701340

    * 이 리전에는 별도의 계정이 필요합니다. 자세한 내용은 AWS GovCloud(미국 서부) and 중국(베이징).

  6. 선택 저장.

액세스 로그 활성화

로드 밸런서에 대한 액세스 로그를 활성화할 때는 로드 밸런서가 로그를 저장할 S3 버킷의 이름을 지정해야 합니다. 이 버킷은 로드 밸런서와 같은 리전에 위치해야 하고, Elastic Load Balancing에 버킷에 액세스 로그 쓰기 권한을 부여하는 버킷 정책을 가지고 있어야 합니다. 로드 밸런서를 소유한 계정과 다른 계정으로 버킷을 소유할 수 있습니다.

콘솔을 이용하여 액세스 로그를 활성화하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서.

  3. 로드 밸런서를 선택합니다.

  4. On 설명 탭, 선택 속성 편집.

  5. On 로드 밸런서 특성 편집 페이지, 다음을 수행합니다.

    1. 대상 액세스 로그, 선택 활성화.

    2. 대상 S3 위치님, 접두사(예: my-loadbalancer-logs/my-app) ). 기존 버킷의 이름이나 새 버킷의 이름을 지정할 수 있습니다. 기존 버킷을 지정하는 경우, 해당 버킷을 소유해야 하고 필요한 버킷 정책을 구성해야 합니다.

    3. (선택 사항) 버킷이 없는 경우, 이 위치 만들기. 의 모든 기존 버킷 이름에 고유한 이름을 지정해야 합니다. Amazon S3 DNS 명명 규칙을 따릅니다. 자세한 내용은 버킷 명명 규칙 in the Amazon Simple Storage Service 개발자 가이드.

    4. 선택 저장.

를 이용하여 액세스 로그를 활성화하려면AWS CLI

사용 변형-부하-발란서-특성 명령.

S3 버킷에서 Elastic Load Balancing가 테스트 파일을 생성했는지 확인하려면

로드 밸런서에 대해 액세스 로그가 활성화되면 Elastic Load Balancing는 버킷 정책이 필요한 권한을 지정하도록 S3 버킷을 확인하고 테스트 파일을 생성합니다. 사용 가능한 Amazon S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인합니다. 테스트 파일은 실제 액세스 로그 파일이 아니기 때문에 예제 레코드가 포함되어 있지 않습니다.

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 대상 모든 버킷S3 버킷을 선택합니다.

  3. 액세스 로깅을 위해 지정한 버킷으로 이동하여 ELBAccessLogTestFile. 예를 들어 콘솔을 사용하여 버킷과 버킷 정책을 만드는 경우 경로는 다음과 같습니다.

    my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile

액세스 로그에 대해 S3 버킷을 관리하려면

액세스 로그를 활성화한 경우, 해당 액세스 로그를 포함하는 버킷을 삭제하기 전에 액세스 로그를 비활성화해야 합니다. 이렇게 하지 않으면 이름이 동일한 새로운 버킷이 있고, 필요한 버킷 정책이 다른 AWS 계정에 생성된 경우, Elastic Load Balancing이 내 로드 밸런서의 액세스 로그를 이 새로운 버킷에 쓸 수 있습니다.

액세스 로그 비활성화

언제든지 로드 밸런서에 대한 액세스 로그를 비활성화할 수 있습니다. 액세스 로그를 비활성화하면 액세스 로그는 사용자가 삭제할 때까지 S3 버킷에 남아 있습니다. 자세한 내용은 버킷과 함께 작업 in the Amazon Simple Storage Service 콘솔 사용 설명서.

콘솔을 이용하여 액세스 로그를 비활성화하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 로드 밸런서.

  3. 로드 밸런서를 선택합니다.

  4. On 설명 탭, 선택 속성 편집.

  5. 대상 액세스 로그, 투명 활성화.

  6. 선택 저장.

를 이용하여 액세스 로그를 비활성화하려면AWS CLI

사용 변형-부하-발란서-특성 명령.

액세스 로그 파일 처리

액세스 로그 파일은 압축이 됩니다. 파일을 사용하여 파일을 열면 Amazon S3 콘솔이 풀리고 정보가 표시됩니다. 파일을 다운로드하는 경우에는 압축을 해제해야 정보를 볼 수 있습니다.

웹 사이트에서 요청이 많은 경우에는 로드 밸런서가 수 기가바이트의 데이터로 로그 파일을 생성할 수 있습니다. 라인별 처리로는 이렇게 대량의 데이터를 처리할 수 없습니다. 따라서 병렬 처리 솔루션을 제공하는 분석 도구를 사용해야 할 수 있습니다. 예를 들어, 다음과 같은 분석 도구를 사용하여 액세스 로그를 분석 및 처리할 수 있습니다.