Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Surveillance d'Amazon VPC Lattice
Utilisez les fonctionnalités de cette section pour surveiller vos réseaux de services Amazon VPC Lattice, vos services, vos groupes cibles et vos connexions VPC.
**Topics**
+ [CloudWatch métriques pour Amazon VPC Lattice](monitoring-cloudwatch.md)
+ [Journaux d'accès pour Amazon VPC Lattice](monitoring-access-logs.md)
+ [CloudTrail journaux pour Amazon VPC Lattice](monitoring-cloudtrail.md)
# CloudWatch métriques pour Amazon VPC Lattice
Amazon VPC Lattice envoie des données relatives à vos groupes cibles et à vos services à Amazon CloudWatch, et les traite en indicateurs lisibles en temps quasi réel. Ces statistiques sont conservées pendant 15 mois, afin que vous puissiez accéder aux informations historiques et avoir une meilleure idée des performances de votre application ou service Web. Vous pouvez également définir des alarmes qui surveillent certains seuils et envoient des notifications ou prennent des mesures lorsque ces seuils sont atteints. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html).
Amazon VPC Lattice utilise un rôle lié à un service dans votre AWS compte pour envoyer des métriques à Amazon. CloudWatch Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon VPC Lattice](using-service-linked-roles.md).
**Topics**
+ [Afficher les CloudWatch statistiques Amazon](#monitoring-cloudwatch-view)
+ [Métriques du groupe cible](#monitoring-cloudwatch-tg)
+ [Métriques de service](#monitoring-cloudwatch-service)
## Afficher les CloudWatch statistiques Amazon
Vous pouvez consulter les CloudWatch statistiques Amazon relatives à vos groupes cibles et à vos services à l'aide de la CloudWatch console ou AWS CLI.
**Pour afficher les métriques à l'aide de la CloudWatch console**
1. Ouvrez la CloudWatch console Amazon à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, sélectionnez **Métriques**.
1. Sélectionnez l'espace de noms `AWS/VpcLattice`.
1. (Facultatif) Pour afficher une métrique pour toutes les dimensions, entrez son nom dans le champ de recherche.
1. (Facultatif) Pour filtrer les métriques par dimension, sélectionnez l'une des options suivantes :
+ Pour afficher uniquement les statistiques signalées pour vos groupes cibles, choisissez **Groupes cibles**. Pour afficher les métriques pour un seul groupe cible, entrez son nom dans le champ de recherche.
+ Pour afficher uniquement les statistiques signalées pour vos services, sélectionnez **Services**. Pour consulter les statistiques d'un seul service, entrez son nom dans le champ de recherche.
**Pour consulter les statistiques à l'aide du AWS CLI**
Utilisez la AWS CLI commande [CloudWatch list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) suivante pour répertorier les métriques disponibles :
`aws cloudwatch list-metrics --namespace AWS/VpcLattice`
Pour plus d'informations sur chacune des mesures et leurs dimensions, reportez-vous aux sections [Métriques du groupe cible](#monitoring-cloudwatch-tg) et[Métriques de service](#monitoring-cloudwatch-service).
## Métriques du groupe cible
[VPC Lattice stocke automatiquement les métriques relatives aux groupes cibles dans l'espace de noms Amazon`AWS/VpcLattice`. CloudWatch ](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace) Pour plus d'informations sur les groupes cibles, consultez[Groupes cibles dans VPC Lattice](target-groups.md).
**Dimensions**
Pour filtrer les métriques pour les groupes cibles, utilisez les dimensions suivantes :
+ `AvailabilityZone`
+ `TargetGroup`
| Métrique | Description | TargetGroup Protocole |
| --- | --- | --- |
| TotalConnectionCount | Nombre total de connexions. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| ActiveConnectionCount | Connexions actives. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| ConnectionErrorCount | Nombre total d'échecs de connexion. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| HTTP1\$1ConnectionCount | Nombre total de connexions HTTP/1.1. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| HTTP2\$1ConnectionCount | Nombre total de connexions HTTP/2. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| ConnectionTimeoutCount | Expiration totale des délais de connexion. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalReceivedConnectionBytes | Nombre total d'octets de connexion reçus. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalSentConnectionBytes | Nombre total d'octets de connexion envoyés. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalRequestCount | Nombre total de demandes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| ActiveRequestCount | Nombre total de demandes actives. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| RequestTime | Durée de la requête jusqu'au dernier octet, en millisecondes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| HTTPCode\$12XX\$1Count, HTTPCode\$13XX\$1Count, HTTPCode\$14XX\$1Count, HTTPCode\$15XX\$1Count | Codes de réponse HTTP agrégés. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| TLSConnectionErrorCount | Nombre total d'erreurs de connexion TLS, sans compter les échecs de vérification des certificats. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalTLSConnectionHandshakeCount | Nombre total de connexions TLS réussies. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
## Métriques de service
[VPC Lattice stocke automatiquement les métriques relatives aux services dans l'espace de noms Amazon`AWS/VpcLattice`. CloudWatch ](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace) Pour plus d'informations sur les services, consultez[Services en VPC Lattice](services.md).
**Dimensions**
Pour filtrer les métriques pour les groupes cibles, utilisez les dimensions suivantes :
+ `AvailabilityZone`
+ `Service`
| Métrique | Description |
| --- | --- |
| RequestTimeoutCount | Nombre total de demandes dont le délai d'attente d'une réponse a expiré. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| TotalRequestCount | Nombre total de demandes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| RequestTime | Durée de la demande en millisecondes. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| HTTPCode\$12XX\$1Count, HTTPCode\$13XX\$1Count, HTTPCode\$14XX\$1Count, HTTPCode\$15XX\$1Count | Codes de réponse HTTP agrégés. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
# Journaux d'accès pour Amazon VPC Lattice
Les journaux d'accès capturent des informations détaillées sur les services VPC Lattice et les configurations de ressources. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et auditer tous les services du réseau. Pour les services VPC Lattice, nous publions `VpcLatticeAccessLogs` et pour les configurations de ressources, nous publions celles `VpcLatticeResourceAccessLogs` qui doivent être configurées séparément.
Les journaux d'accès sont facultatifs et sont désactivés par défaut. Après avoir activé les journaux d'accès, vous pouvez les désactiver à tout moment.
**Tarification**
Des frais s'appliquent lorsque les journaux d'accès sont publiés. Les journaux publiés AWS nativement en votre nom sont appelés journaux *automatiques.* Pour plus d'informations sur la tarification des journaux vendus, consultez [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), choisissez **Logs** et consultez les tarifs sous **Vended** Logs.
**Topics**
+ [Autorisations IAM requises pour activer les journaux d'accès](#monitoring-access-logs-IAM)
+ [Accéder aux destinations du journal](#monitoring-access-logs-destinations)
+ [Activer les journaux d'accès](#monitoring-access-logs-enable)
+ [Suivi des demandes](#x-amzn-RequestId-enable)
+ [Accès au contenu du journal](#monitoring-access-logs-contents)
+ [Contenu du journal d'accès aux ressources](#monitoring-resource-access-logs-contents)
+ [Résoudre les problèmes liés aux journaux d'accès](#monitoring-access-logs-troubleshoot)
## Autorisations IAM requises pour activer les journaux d'accès
Pour activer les journaux d'accès et les envoyer à leur destination, les actions suivantes doivent figurer dans la politique attachée à l'utilisateur, au groupe ou au rôle IAM que vous utilisez.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Sid": "ManageVPCLatticeAccessLogSetup",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"vpc-lattice:CreateAccessLogSubscription",
"vpc-lattice:GetAccessLogSubscription",
"vpc-lattice:UpdateAccessLogSubscription",
"vpc-lattice:DeleteAccessLogSubscription",
"vpc-lattice:ListAccessLogSubscriptions"
],
"Resource": [
"*"
]
}
]
}
```
------
Pour plus d'informations, veuillez consulter [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l'utilisateur Gestion des identités et des accès AWS *.
Après avoir mis à jour la politique associée à l'utilisateur, au groupe ou au rôle IAM que vous utilisez, rendez-vous sur. [Activer les journaux d'accès](#monitoring-access-logs-enable)
## Accéder aux destinations du journal
Vous pouvez envoyer les journaux d'accès aux destinations suivantes.
**Amazon CloudWatch Logs**
+ VPC Lattice fournit généralement les journaux aux CloudWatch journaux en 2 minutes. Cependant, gardez à l'esprit que le délai réel de livraison des journaux est le meilleur moyen possible et qu'il peut y avoir une latence supplémentaire.
+ Une politique de ressources est créée automatiquement et ajoutée au groupe de CloudWatch journaux si le groupe de journaux ne dispose pas de certaines autorisations. Pour plus d'informations, consultez la section [Logs envoyés à CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ Vous trouverez les journaux d'accès envoyés CloudWatch sous Groupes de journaux dans la CloudWatch console. Pour plus d'informations, consultez [Afficher les données de journal envoyées à CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData) dans le *guide de CloudWatch l'utilisateur Amazon*.
**Amazon S3**
+ VPC Lattice fournit généralement des journaux à Amazon S3 dans un délai de 6 minutes. Cependant, gardez à l'esprit que le délai réel de livraison des journaux est le meilleur moyen possible et qu'il peut y avoir une latence supplémentaire.
+ Une politique de compartiment sera créée automatiquement et ajoutée à votre compartiment Amazon S3 si celui-ci ne dispose pas de certaines autorisations. Pour plus d'informations, consultez la section [Logs envoyés à Amazon S3](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ Les journaux d'accès envoyés à Amazon S3 utilisent la convention de dénomination suivante :
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
+ VpcLatticeResourceAccessLogs qui sont envoyés à Amazon S3 utilisent la convention de dénomination suivante :
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
**Amazon Data Firehose**
+ VPC Lattice fournit généralement des journaux à Firehose en 2 minutes. Cependant, gardez à l'esprit que le délai réel de livraison des journaux est le meilleur moyen possible et qu'il peut y avoir une latence supplémentaire.
+ Un rôle lié à un service est automatiquement créé pour autoriser VPC Lattice à envoyer des journaux d'accès à. Amazon Data Firehose Pour que la création automatique de rôle réussisse, les utilisateurs doivent avoir l’autorisation pour l’action `iam:CreateServiceLinkedRole`. Pour plus d'informations, consultez la section [Logs envoyés à Amazon Data Firehose](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-Firehose) dans le *guide de CloudWatch l'utilisateur Amazon*.
+ Pour plus d'informations sur l'affichage des journaux envoyés à Amazon Data Firehose, consultez la section [Monitoring Amazon Kinesis Data](https://docs.aws.amazon.com//streams/latest/dev/monitoring.html) Streams dans *Amazon Data Firehose le manuel du développeur*.
## Activer les journaux d'accès
Procédez comme suit pour configurer les journaux d'accès afin de capturer et de distribuer les journaux d'accès à la destination de votre choix.
**Topics**
+ [Activer les journaux d'accès à l'aide de la console](#monitoring-access-logs-console)
+ [Activez les journaux d'accès à l'aide du AWS CLI](#monitoring-access-logs-cli)
### Activer les journaux d'accès à l'aide de la console
Vous pouvez activer les journaux d'accès pour un réseau de services, un service ou une configuration de ressources lors de la création. Vous pouvez également activer les journaux d'accès après avoir créé un réseau de services, un service ou une configuration de ressources, comme décrit dans la procédure suivante.
**Pour créer un service de base à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Sélectionnez le réseau de service, le service ou la configuration des ressources.
1. Choisissez **Actions**, puis **Modifier les paramètres du journal**.
1. Activez le commutateur **Access Logs**.
1. Ajoutez une destination de livraison pour vos journaux d'accès comme suit :
+ Sélectionnez **Groupe de CloudWatch journaux**, puis choisissez un groupe de journaux. Pour créer un groupe de journaux, choisissez **Create a log group in CloudWatch**.
+ Sélectionnez le **compartiment S3** et entrez le chemin du compartiment S3, y compris tout préfixe. Pour effectuer une recherche dans vos compartiments S3, choisissez **Browse S3**.
+ Sélectionnez le flux de diffusion **Kinesis Data Firehose**, puis choisissez un flux de diffusion. Pour créer un flux de diffusion, choisissez **Créer un flux de diffusion dans Kinesis**.
1. Sélectionnez **Enregistrer les modifications**.
### Activez les journaux d'accès à l'aide du AWS CLI
Utilisez la commande CLI [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html)pour activer les journaux d'accès pour les réseaux ou les services de service.
## Suivi des demandes
VPC Lattice prend en charge le suivi des demandes et la corrélation entre les clients, les cibles et les journaux à des fins d'observabilité et de débogage avec l'en-tête. x-amzn-requestid Cet en-tête peut être défini et envoyé par le client ou généré par VPC Lattice. Il est envoyé aux cibles et est également disponible dans les journaux d'accès.
**Comportement par défaut**
+ VPC Lattice génère automatiquement cet en-tête pour chaque demande.
+ La valeur est un identifiant généré de manière aléatoire (style UUID par défaut).
+ L'identifiant généré est :
+ Propagé aux cibles en aval.
+ Retourné dans les en-têtes de réponse aux clients.
+ Journaux d'accès connectés
**Exemple (réponse par défaut)**
Voici un exemple de réponse envoyée au client avec le comportement par défaut de VPC Lattice générant une valeur aléatoire pour l'en-tête valu eof. x-amzn-requestid
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
**Paramétrage de la valeur par le client**
+ Les clients peuvent éventuellement définir cet en-tête sur les demandes entrantes afin de remplacer la valeur générée automatiquement.
+ Considérations
+ Il n'est pas nécessaire que la valeur d'en-tête suive un format UUID.
+ Si la valeur de l'en-tête dépasse 512 octets, VPC Lattice la tronquera à 512.
+ En cas de remplacement réussi, la valeur d'en-tête fournie sera :
+ Apparaissent dans les en-têtes des réponses
+ Être propagé aux cibles
+ Apparaître dans les journaux d'accès et les statistiques
**Exemple (annuler la demande du client)**
Voici un exemple de demande envoyée par le client avec une valeur d'en-tête.
```
{
"GET /my-service/endpoint HTTP/1.1
Host: my-api.example.com
x-amzn-requestid: trace-request-foobar"
}
```
**Exemple (réponse de remplacement par défaut)**
Voici un exemple de réponse envoyée au client avec la valeur remplacée.
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: trace-request-foobar"
}
```
## Accès au contenu du journal
Le tableau suivant décrit les champs d'une entrée de journal d'accès.
| Champ | Description | Format |
| --- | --- | --- |
| callerPrincipalTags | Le PrincipalTags dans la demande. | JSON |
| hostHeader | L'en-tête d'autorité de la demande. | chaîne |
| sslCipher | Le nom OpenSSL de l'ensemble de chiffrements utilisés pour établir la connexion TLS du client. | chaîne |
| serviceNetworkArn | L'ARN du réseau de service. | arn:aws:vpc-lattice : :servicenetwork/ *region* *account* *id* |
| resolvedUser | L'ARN de l'utilisateur lorsque l'authentification est activée et que l'authentification est terminée. | null \$1 ARN \$1 « Anonyme » \$1 « Inconnu » |
| authDeniedReason | La raison pour laquelle l'accès est refusé lorsque l'authentification est activée. | null \$1 « Service » \$1 « Réseau » \$1 « Identité » |
| requestMethod | L'en-tête de méthode de la demande. | chaîne |
| targetGroupArn | Le groupe d'hôtes cible auquel appartient l'hôte cible. | chaîne |
| tlsVersion | La version TLS. | TLSv*x* |
| userAgent | L'en-tête de l'agent utilisateur. | chaîne |
| serverNameIndication | [HTTPS uniquement] Valeur définie sur le socket de connexion SSL pour l'indication du nom du serveur (SNI). | chaîne |
| destinationVpcId | ID du VPC de destination. | vpc- *xxxxxxxx* |
| sourceIpPort | Adresse IP et:port de la source. | *ip*:*port* |
| targetIpPort | Adresse IP et port de la cible. | *ip*:*port* |
| serviceArn | L'ARN du service. | arn:aws:vpc-lattice : ::service/ *region* *account* *id* |
| sourceVpcId | ID du VPC source. | vpc- *xxxxxxxx* |
| requestPath | Le chemin d'accès de la demande. | LatticePath?:*path* |
| startTime | Heure de début de la demande. | *YYYY*- *MM* - *DD* T *HH* *MM* : *SS* Z |
| protocol | Protocole. Actuellement, soit HTTP/1.1 soit HTTP/2. | chaîne |
| responseCode | Le code de réponse HTTP. Seul le code de réponse pour les en-têtes finaux est enregistré. Pour de plus amples informations, veuillez consulter [Résoudre les problèmes liés aux journaux d'accès](#monitoring-access-logs-troubleshoot). | entier |
| bytesReceived | Les octets de corps et d'en-tête reçus. | entier |
| bytesSent | Les octets du corps et de l'en-tête envoyés. | entier |
| duration | Durée totale en millisecondes de la demande entre l'heure de début et le dernier octet sortant. | entier |
| requestToTargetDuration | Durée totale en millisecondes de la demande entre l'heure de début et le dernier octet envoyé à la cible. | entier |
| responseFromTargetDuration | Durée totale en millisecondes de la demande entre le premier octet lu par l'hôte cible et le dernier octet envoyé au client. | entier |
| grpcResponseCode | Le code de réponse gRPC. Pour plus d'informations, consultez la section [Codes d'état et leur utilisation dans gRPC.](https://grpc.github.io/grpc/core/md_doc_statuscodes.html) Ce champ est enregistré uniquement si le service prend en charge le gRPC. | entier |
| requestId | Il s'agit d'un identifiant unique automatiquement inclus dans les réponses en tant que valeur de l' x-amzn-requestiden-tête. Il permet la corrélation des demandes entre les clients, les cibles et les journaux à des fins d'observabilité et de débogage. | chaîne |
| callerPrincipal | Le principal authentifié. | chaîne |
| callerX509SubjectCN | Le nom du sujet (CN). | chaîne |
| callerX509IssuerOU | L'émetteur (OU). | chaîne |
| callerX509SANNameCN | L'alternative de l'émetteur (nom/CN). | chaîne |
| callerX509SANDNS | Nom alternatif du sujet (DNS). | chaîne |
| callerX509SANURI | Nom alternatif du sujet (URI). | chaîne |
| sourceVpcArn | L'ARN du VPC d'où provient la demande. | arn:aws:ec2 : ::vpc/ *region* *account* *id* |
| failureReason | Indique la raison pour laquelle une demande a échoué. Les valeurs possibles sont les suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-access-logs.html) | chaîne |
**Exemple**
Voici un exemple d'entrée de journal.
```
{
"callerPrincipalTags" : "{ "TagA": "ValA", "TagB": "ValB", ... }",
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1,
"requestId": "a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
## Contenu du journal d'accès aux ressources
Le tableau suivant décrit les champs d'une entrée du journal d'accès aux ressources.
| Champ | Description | Format |
| --- | --- | --- |
| serviceNetworkArn | L'ARN du réseau de service. | arn : *partition* vpc-lattice : :servicenetwork/ *region* *account* *id* |
| serviceNetworkResourceAssociationId | ID de ressource du réseau de service. | *snra*-*xxx* |
| vpcEndpointId | L'ID du point de terminaison utilisé pour accéder à la ressource. | chaîne |
| sourceVpcArn | L'ARN du VPC source ou le VPC à partir duquel la connexion a été initiée. | chaîne |
| resourceConfigurationArn | L'ARN de la configuration de ressource à laquelle vous avez accédé. | chaîne |
| protocol | Protocole utilisé pour communiquer avec la configuration des ressources. Actuellement, seul le protocole TCP est pris en charge. | chaîne |
| sourceIpPort | Adresse IP et port de la source qui a initié la connexion. | *ip*:*port* |
| destinationIpPort | Adresse IP et port par lesquels la connexion a été initiée. Ce sera l'adresse IP de SN-E/SN-A. | *ip*:*port* |
| gatewayIpPort | Adresse IP et port utilisés par la passerelle de ressources pour accéder à la ressource. | *ip*:*port* |
| resourceIpPort | Adresse IP et port de la ressource. | *ip*:*port* |
**Exemple**
Voici un exemple d'entrée de journal.
```
{
"eventTimestamp": "2024-12-02T10:10:10.123Z",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
"serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
"vpcEndpointId": "vpce-01a2b3c4d",
"sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
"resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
"protocol": "tcp",
"sourceIpPort": "172.31.23.56:44076",
"destinationIpPort": "172.31.31.226:80",
"gatewayIpPort": "10.0.28.57:49288",
"resourceIpPort": "10.0.18.190:80"
}
```
## Résoudre les problèmes liés aux journaux d'accès
Cette section contient une explication des codes d'erreur HTTP que vous pouvez voir dans les journaux d'accès.
| Code d’erreur | Causes possibles : |
| --- | --- |
| HTTP 400 : Demande erronée | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/vpc-lattice/latest/ug/monitoring-access-logs.html) |
| HTTP 403 : Accès interdit | L'authentification a été configurée pour le service, mais la demande entrante n'est ni authentifiée ni autorisée. |
| HTTP 404 : Service inexistant | Vous essayez de vous connecter à un service qui n'existe pas ou qui n'est pas enregistré sur le réseau de service approprié. |
| HTTP 500 : Erreur de serveur interne | VPC Lattice a rencontré une erreur, telle qu'un échec de connexion aux cibles. |
| HTTP 502 : Passerelle erronée | VPC Lattice a rencontré une erreur. |
# CloudTrail journaux pour Amazon VPC Lattice
Amazon VPC Lattice est intégré à [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un. Service AWS CloudTrail capture tous les appels d'API pour VPC Lattice sous forme d'événements. Les appels capturés incluent des appels provenant de la console VPC Lattice et des appels de code vers les opérations de l'API VPC Lattice. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à VPC Lattice, l'adresse IP à partir de laquelle la demande a été faite, la date à laquelle elle a été faite et des informations supplémentaires.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.
+ Si la demande a été faite au nom d'un utilisateur du centre d'identité IAM.
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la requête a été effectuée par un autre Service AWS.
CloudTrail est actif dans votre compte Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l'**historique des CloudTrail événements**. L'**historique des CloudTrail événements** fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours des événements de gestion enregistrés dans un. Région AWS Pour plus d'informations, consultez la section [Utilisation de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*. La consultation de CloudTrail l'**historique des événements est gratuite**.
Pour un enregistrement continu des événements de vos 90 Compte AWS derniers jours, créez un magasin de données sur les événements de Trail ou [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentiers**
Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Tous les sentiers créés à l'aide du AWS Management Console sont multirégionaux. Vous ne pouvez créer un journal de suivi en une ou plusieurs régions à l'aide de l' AWS CLI. Il est recommandé de créer un parcours multirégional, car vous capturez l'activité dans l'ensemble Régions AWS de votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n'afficher que les événements enregistrés dans le journal de suivi pour une seule région Région AWS. Pour plus d'informations sur les journaux de suivi, consultez [Créez un journal de suivi dans vos Compte AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) et [Création d'un journal de suivi pour une organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) dans le *AWS CloudTrail Guide de l'utilisateur*.
Vous pouvez envoyer une copie de vos événements de gestion en cours à votre compartiment Amazon S3 gratuitement CloudTrail en créant un journal. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/). Pour obtenir des informations sur la tarification Amazon S3, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Stockages de données sur les événements du lac**
*CloudTrail Lake* vous permet d'exécuter des requêtes SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur les lignes au format [Apache ORC](https://orc.apache.org/). ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des *magasins de données d’événement*. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des [sélecteurs d’événements avancés](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Les sélecteurs que vous appliquez à un magasin de données d’événement contrôlent les événements qui persistent et que vous pouvez interroger. Pour plus d'informations sur CloudTrail Lake, consultez la section [Travailler avec AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) dans le *guide de AWS CloudTrail l'utilisateur*.
CloudTrail Les stockages et requêtes de données sur les événements de Lake entraînent des coûts. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
Pour surveiller les actions supplémentaires, utilisez les journaux d'accès. Pour de plus amples informations, veuillez consulter [Journaux d'accès](monitoring-access-logs.md).
## Événements de gestion du réseau VPC dans CloudTrail
[Les événements de gestion](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre Compte AWS. Ils sont également connus sous le nom opérations de plan de contrôle. Par défaut, CloudTrail enregistre les événements de gestion.
Amazon VPC Lattice enregistre les opérations du plan de contrôle VPC Lattice en tant qu'événements de gestion. [Pour obtenir la liste des opérations du plan de contrôle Amazon VPC Lattice auxquelles VPC Lattice se connecte, consultez CloudTrail le manuel Amazon VPC Lattice API Reference.](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/)
## Exemples d'événements VPC Lattice
Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'opération d'API demandée, la date et l'heure de l'opération, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre un CloudTrail événement lié à l'[CreateService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_CreateService.html)opération.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"accountId": "abcdef01234567890",
"accessKeyId": "abcdef01234567890",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"accountId": "abcdef01234567890",
"userName": "abcdef01234567890"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-08-16T03:34:54Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-08-16T03:36:12Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateService",
"awsRegion": "us-west-2",
"sourceIPAddress": "abcdef01234567890",
"userAgent": "abcdef01234567890",
"requestParameters": {
"name": "rates-service"
},
"responseElements": {
"name": "rates-service",
"id": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"status": "CREATE_IN_PROGRESS"
},
"requestID": "abcdef01234567890",
"eventID": "abcdef01234567890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "abcdef01234567890",
"eventCategory": "Management"
}
```
L'exemple suivant montre un CloudTrail événement lié à l'[DeleteService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteService.html)opération.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "abcdef01234567890",
"arn": "arn:ABCXYZ123456",
"accountId": "abcdef01234567890",
"accessKeyId": "abcdef01234567890",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "abcdef01234567890",
"arn": "arn:aws:iam::AIDACKCEVSQ6C2EXAMPLE:role/Admin",
"accountId": "abcdef01234567890",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-10-27T17:42:36Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-10-27T17:56:41Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "DeleteService",
"awsRegion": "us-east-1",
"sourceIPAddress": "72.21.198.64",
"userAgent": "abcdef01234567890",
"requestParameters": {
"serviceIdentifier": "abcdef01234567890"
},
"responseElements": {
"name": "test",
"id": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"status": "DELETE_IN_PROGRESS"
},
"requestID": "abcdef01234567890",
"eventID": "abcdef01234567890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "abcdef01234567890",
"eventCategory": "Management"
}
```
Pour plus d'informations sur le contenu des CloudTrail enregistrements, voir [le contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) dans le *Guide de AWS CloudTrail l'utilisateur*.