Configurer la journalisation standard (héritée) - Amazon CloudFront
Choix d’un compartiment Amazon S3 pour les journaux standardPermissionsActivation de la journalisation standard (héritée)Modification des paramètres de journalisation standardEnvoi de journaux vers Amazon S3Format de fichier journal standardSuppression des fichiers journauxTarification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer la journalisation standard (héritée)

Remarques

  • Cette rubrique concerne la version précédente de la journalisation standard. Pour obtenir la dernière version, consultez Configuration de la journalisation standard (v2).

  • Si vous utilisez déjà la journalisation standard (héritée) et que vous souhaitez activer la journalisation standard (v2) sur Amazon S3, nous vous conseillons d’indiquer un compartiment Amazon S3 différent ou d’utiliser un chemin distinct dans le même compartiment (par exemple, un préfixe de journal ou un partitionnement). Vous pouvez ainsi facilement identifier les fichiers journaux associés à chaque distribution, tout en évitant qu’ils ne se remplacent mutuellement.

Pour commencer avec la journalisation standard (héritée), procédez comme suit :

  1. Choisissez un compartiment Amazon S3 qui recevra vos journaux, puis ajoutez les autorisations requises.

  2. Configurez la journalisation standard (ancienne) depuis la CloudFront console ou l' CloudFront API. Vous ne pouvez choisir qu’un compartiment Amazon S3 pour recevoir vos journaux.

  3. Affichez vos journaux d’accès.

Choix d’un compartiment Amazon S3 pour les journaux standard

Lorsque vous activez la journalisation pour une distribution, vous spécifiez le compartiment Amazon S3 dans lequel vous CloudFront souhaitez stocker les fichiers journaux. Si vous utilisez Amazon S3 comme origine, nous vous recommandons d’utiliser un compartiment distinct pour vos fichiers journaux.

Spécifiez le compartiment Amazon S3 dans lequel vous CloudFront souhaitez stocker les connexions d'accès, par exempleamzn-s3-demo-bucket.s3.amazonaws.com.

Vous pouvez stocker les fichiers journaux de plusieurs distributions dans le même compartiment. Lorsque vous activez la journalisation, vous pouvez spécifier un préfixe facultatif pour les noms de fichier et vous pouvez ainsi savoir quels fichiers journaux sont associés à quelles distributions.

À propos du choix d’un compartiment S3

  • La liste de contrôle d’accès (ACL) doit être activée sur votre compartiment. Si vous choisissez un bucket sans ACL activé depuis la CloudFront console, un message d'erreur s'affiche. Consultez Permissions.

  • Ne choisissez pas un compartiment Amazon S3 avec l’option S3 Object Ownership (Propriété de l’objet S3) définie sur bucket owner enforced (appliqué par le propriétaire du compartiment). Ce paramètre désactive ACLs le compartiment et les objets qu'il contient, ce qui CloudFront empêche de fournir des fichiers journaux au compartiment.

  • Legacy logging does not support Amazon S3 buckets in opt-in regions. Please choose a region that is enabled by default or use Journalisation standard V2 which does support opt-in regions and additional features. For a list of default and opt-in regions, see Régions AWS.

Permissions

Important

À compter d'avril 2023, vous devez activer S3 ACLs pour les nouveaux compartiments S3 utilisés pour les journaux CloudFront standard. Vous pouvez l'activer ACLs lorsque vous créez un bucket ou l'activer ACLs pour un bucket existant.

Pour plus d'informations sur ces modifications, consultez Paramètres par défaut pour les nouveaux compartiments S3 FAQ dans le Guide de l'utilisateur d'Amazon Simple Storage Service et Attention : des modifications de sécurité seront apportées à Amazon S3 en avril 2023 dans le Blog d'actualités AWS .

Vous Compte AWS devez disposer des autorisations suivantes pour le compartiment que vous spécifiez pour les fichiers journaux :

  • L’ACL définie pour le compartiment doit vous accorder l’autorisation FULL_CONTROL. Si vous êtes le propriétaire du compartiment, votre compte dispose de cette autorisation par défaut. Si vous ne l’êtes pas, le propriétaire du compartiment doit mettre à jour l’ACL de ce compartiment.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

Liste ACL pour le compartiment

Lorsque vous créez ou mettez à jour une distribution et que vous activez la CloudFront journalisation, utilisez ces autorisations pour mettre à jour l'ACL du bucket afin d'FULL_CONTROLautoriser le awslogsdelivery compte. Le compte awslogsdelivery écrit les fichiers journaux dans le compartiment. Si votre compte ne dispose pas des autorisations requises pour mettre à jour la liste ACL, la création ou la mise à jour de la distribution échouera.

Dans certaines circonstances, si vous envoyez par programmation une demande pour créer un compartiment, mais qu’un compartiment avec le nom spécifié existe déjà, S3 réinitialise les autorisations sur le compartiment à la valeur par défaut. Si vous avez configuré CloudFront pour enregistrer les journaux d'accès dans un compartiment S3 et que vous ne recevez plus de journaux dans ce compartiment, vérifiez les autorisations sur le compartiment pour vous assurer qu'il CloudFront dispose des autorisations nécessaires.

Restauration de la liste ACL pour le compartiment

Si vous supprimez des autorisations pour le compte awslogsdelivery, CloudFront ne peut plus enregistrer des journaux dans le compartiment S3. Pour permettre CloudFront de recommencer à enregistrer les journaux pour votre distribution, restaurez l'autorisation ACL en effectuant l'une des opérations suivantes :

  • Désactivez la journalisation de votre distribution CloudFront, puis réactivez-la. Pour de plus amples informations, veuillez consulter Journalisation standard.

  • Ajoutez manuellement l’autorisation de la liste ACL pour le compte awslogsdelivery en accédant au compartiment S3 dans la console Amazon S3 et en ajoutant l’autorisation. Afin d’ajouter la liste ACL pour le compte awslogsdelivery, vous devez fournir l’ID canonique suivant pour le compte :

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Pour plus d'informations sur l'ajout ACLs aux compartiments S3, consultez la section Configuration ACLs dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Liste ACL pour chaque fichier journal

En plus de la liste ACL sur le compartiment, il existe une ACL sur chaque fichier journal. Le propriétaire du compartiment dispose de l’autorisation FULL_CONTROL sur chaque fichier journal, le propriétaire de la distribution (s’il est différent du propriétaire du compartiment) n’a aucune autorisation et le compte awslogsdelivery a les autorisations en lecture et écriture.

Désactivation de la journalisation

Si vous désactivez la ACLs journalisation, CloudFront cela ne supprime ni le bucket ni les fichiers journaux. Vous pouvez les supprimer ACLs si nécessaire.

Politique de clé requise pour les compartiments SSE-KMS

Si le compartiment S3 de vos journaux standard utilise le chiffrement côté serveur avec les AWS KMS keys (SSE-KMS) utilisant une clé gérée par le client, vous devez ajouter l’instruction suivante à la stratégie de clé pour la clé gérée par votre client. Cela permet CloudFront d'écrire des fichiers journaux dans le compartiment. Vous ne pouvez pas utiliser SSE-KMS avec le Clé gérée par AWS car vous CloudFront ne pourrez pas écrire de fichiers journaux dans le compartiment.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Si le compartiment S3 de vos journaux standard utilise SSE-KMS avec une clé de compartiment S3, vous devez également ajouter l’autorisation kms:Decrypt à l’instruction de stratégie. Dans ce cas, l’énoncé de stratégie complet ressemble à ce qui suit.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Note

Lorsque vous activez SSE-KMS pour votre compartiment S3, spécifiez l’ARN complet de la clé gérée par le client. Pour plus d'informations, consultez Spécifier le chiffrement côté serveur avec AWS KMS keys (SSE-KMS) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Activation de la journalisation standard (héritée)

Pour activer les journaux standard, utilisez la CloudFront console ou l' CloudFront API.

Activer la journalisation standard (ancienne) (CloudFront console)

Pour activer les journaux standard pour une CloudFront distribution (console)

  1. Utilisez la CloudFront console pour créer une nouvelle distribution ou mettre à jour une distribution existante.

  2. Dans la section Journalisation standard, sélectionnez Activé pour la Livraison des journaux.

  3. (Facultatif) Pour la journalisation des cookies, choisissez Activé si vous souhaitez inclure les cookies dans vos journaux. Pour plus d’informations, consultez Journalisation des cookies.

    Astuce

    La journalisation des cookies est un paramètre global qui s’applique à l’ensemble des journaux standard de votre distribution. Vous ne pouvez pas remplacer ce paramètre pour des destinations de livraison distinctes.

  4. Dans la section Livrer à, indiquez Amazon S3 (hérité).

  5. Indiquez votre compartiment Amazon S3. Si vous n’en avez pas encore, vous pouvez choisir Créer ou consulter la documentation pour créer un compartiment.

  6. (Facultatif) Pour le préfixe du journal, spécifiez la chaîne, le cas échéant, que vous CloudFront souhaitez préfixer aux noms des fichiers journaux d'accès pour cette distribution, par exemple,. exampleprefix/ La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour plus d’informations, consultez Préfixe de journal.

  7. Terminez les étapes pour mettre à jour ou créer votre distribution.

  8. Sur la page Journaux, vérifiez que l’état des journaux standard est défini sur Activé à côté de la distribution.

    Pour plus d’informations sur la livraison de la journalisation standard et les champs de journal, consultez la Référence de la journalisation standard.

Activer la journalisation standard (ancienne) (CloudFront API)

Vous pouvez également utiliser l' CloudFront API pour activer les journaux standard pour vos distributions.

Pour activer les journaux standard pour une distribution (CloudFront API)

Modification des paramètres de journalisation standard

Vous pouvez activer ou désactiver la journalisation, modifier le compartiment Amazon S3 dans lequel vos journaux sont stockés et modifier le préfixe des fichiers journaux à l'aide de la CloudFront console ou de l' CloudFront API. Les modifications apportées aux paramètres de journalisation prennent effet dans les 12 heures.

Pour plus d’informations, consultez les rubriques suivantes :

  • Pour mettre à jour une distribution à l'aide de la CloudFront console, consultezMettre à jour une distribution.

  • Pour mettre à jour une distribution à l'aide de l' CloudFront API, consultez UpdateDistributionle Amazon CloudFront API Reference.

Envoi de journaux vers Amazon S3

Lorsque vos journaux sont envoyés à Amazon S3, ils se présentent sous le format suivant.

Format de nom de fichier

Le nom de chaque fichier journal enregistré CloudFront dans votre compartiment Amazon S3 utilise le format de nom de fichier suivant :

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

Les dates et heures sont exprimées en heure UTC (temps universel coordonné).

Par exemple, si vous utilisez example-prefix comme préfixe et que votre ID de distribution est EMLARXS9EXAMPLE, les noms de fichiers ressemblent à ceci :

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Lorsque vous activez la journalisation pour une distribution, vous pouvez spécifier un préfixe facultatif pour les noms de fichier et vous pouvez ainsi savoir quels fichiers journaux sont associés à quelles distributions. Si vous incluez une valeur pour le préfixe du fichier journal et que celui-ci ne se termine pas par une barre oblique (/), il en CloudFront ajoute une automatiquement. Si votre préfixe se termine par une barre oblique, CloudFront il n'en ajoute pas un autre.

Le nom .gz à la fin du fichier indique que le fichier journal CloudFront a été compressé à l'aide de gzip.

Format de fichier journal standard

Chaque entrée d’un fichier journal fournit des informations détaillées sur une seule demande utilisateur. Les fichiers journaux présentent les caractéristiques suivantes :

  • Utilisez le format de fichier journal étendu W3C.

  • Contiennent des valeurs séparées par des virgules.

  • Contiennent des enregistrements qui ne sont pas nécessairement dans l’ordre chronologique.

  • Contiennent deux lignes d’en-tête : l’une avec la version fichier-format et l’autre qui répertorie les champs W3C inclus dans chaque enregistrement.

  • Contiennent des équivalents encodés en URL pour des espaces et certains autres caractères dans les valeurs de champ.

    Les équivalents encodés en URL sont utilisés pour les caractères suivants :

    • Codes de caractères ASCII 0 à 32 inclus

    • Codes de caractères ASCII 127 et suivants

    • Tous les caractères du tableau suivant

    La norme d’encodage d’URL est définie dans la norme RFC 1738.

Valeur codée par URL

Caractère

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

espace

Suppression des fichiers journaux

CloudFront ne supprime pas automatiquement les fichiers journaux de votre compartiment Amazon S3. Pour en savoir plus sur la suppression de fichiers journaux dans un compartiment Amazon S3, consultez Suppression des objets dans le Guide de l’utilisateur de la console Amazon Simple Storage Service.

Tarification

La journalisation standard est une fonctionnalité facultative de CloudFront. CloudFront l'activation des journaux standard est gratuite. Cependant, les frais Amazon S3 usuels sont facturés pour stocker les fichiers et y accéder sur Amazon S3. Vous pouvez les supprimer à tout moment.

Pour plus d’informations sur la tarification Amazon S3, consultez Tarification Amazon S3.

Pour plus d'informations sur la CloudFront tarification, consultez la section CloudFront Tarification.