Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Pencatatan MSK Amazon
<a name="msk-logging"></a>

Anda dapat mengirimkan log broker Apache Kafka ke satu atau lebih jenis tujuan berikut: Amazon CloudWatch Log, Amazon S3, Amazon Data Firehose. Anda juga dapat mencatat panggilan API MSK Amazon dengan AWS CloudTrail.

**catatan**  
Log broker tersedia di broker MSK Standard dan Express.

## Log broker
<a name="broker-logs"></a>

Log broker memungkinkan Anda untuk memecahkan masalah aplikasi Apache Kafka Anda dan menganalisis komunikasi mereka dengan cluster MSK Anda. Anda dapat mengonfigurasi klaster MSK baru atau yang sudah ada untuk mengirimkan log broker tingkat Info ke satu atau beberapa jenis sumber daya tujuan berikut: grup CloudWatch log, bucket S3, aliran pengiriman Firehose. Melalui Firehose Anda kemudian dapat mengirimkan data log dari aliran pengiriman Anda ke OpenSearch Layanan.

Anda harus membuat sumber daya tujuan sebelum mengonfigurasi klaster Anda untuk mengirimkan log broker ke sana. Amazon MSK tidak membuat sumber daya tujuan ini untuk Anda jika sumber daya tersebut belum ada. Untuk informasi tentang ketiga jenis sumber daya tujuan ini dan cara membuatnya, lihat dokumentasi berikut:
+ [ CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html)
+ [Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)

### Izin yang diperlukan
<a name="broker-logs-perms"></a>

Untuk mengonfigurasi tujuan log broker MSK Amazon, identitas IAM yang Anda gunakan untuk tindakan MSK Amazon harus memiliki izin yang dijelaskan dalam kebijakan. [AWS kebijakan terkelola: MSKFull Akses Amazon](security-iam-awsmanpol-AmazonMSKFullAccess.md) 

Untuk melakukan streaming log broker ke bucket S3, Anda juga memerlukan `s3:PutBucketPolicy` izin. Untuk informasi tentang kebijakan bucket S3, lihat [Bagaimana Cara Menambahkan Kebijakan Bucket S3?](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy.html) di Panduan Pengguna Amazon S3. Untuk informasi tentang kebijakan IAM secara umum, lihat [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di Panduan Pengguna IAM. 

### Kebijakan kunci KMS yang diperlukan untuk digunakan dengan bucket SSE-KMS
<a name="sse-kms-buckets"></a>

Jika Anda mengaktifkan enkripsi sisi server untuk bucket S3 menggunakan kunci AWS KMS-managed (SSE-KMS) dengan kunci yang dikelola pelanggan, tambahkan berikut ini ke kebijakan kunci untuk kunci KMS Anda sehingga Amazon MSK dapat menulis file broker ke bucket.

```
{
  "Sid": "Allow Amazon MSK to use the key.",
  "Effect": "Allow",
  "Principal": {
    "Service": [
      "delivery.logs.amazonaws.com"
    ]
  },
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "*"
}
```

### Konfigurasikan log broker menggunakan Konsol Manajemen AWS
<a name="broker-logs-console"></a>

Jika Anda membuat cluster baru, cari judul **pengiriman log Broker** di bagian **Monitoring**. Anda dapat menentukan tujuan yang Anda inginkan Amazon MSK untuk mengirimkan log broker Anda. 

Untuk cluster yang ada, pilih cluster dari daftar cluster Anda, lalu pilih tab **Properties**. Gulir ke bawah ke bagian **pengiriman Log** dan kemudian pilih tombol **Edit**. Anda dapat menentukan tujuan yang Anda inginkan Amazon MSK untuk mengirimkan log broker Anda.

### Konfigurasikan log broker menggunakan AWS CLI
<a name="broker-logs-cli"></a>

Bila Anda menggunakan `create-cluster` atau `update-monitoring` perintah, Anda dapat secara opsional menentukan `logging-info` parameter dan meneruskannya struktur JSON seperti contoh berikut. Dalam JSON ini, ketiga tipe tujuan adalah opsional.

**catatan**  
Anda harus menyetel `LogDeliveryEnabled` tag ke `true` aliran Firehose untuk mengatur pengiriman log. Peran terkait layanan yang AWS dibuat untuk CloudWatch log menggunakan tag ini untuk memberikan izin bagi semua aliran pengiriman Firehose. Jika Anda menghapus tag ini, peran yang ditautkan layanan tidak akan dapat mengirimkan log ke aliran Firehose. *Untuk melihat contoh kebijakan IAM yang menunjukkan izin yang disertakan dalam peran terkait layanan, lihat peran [IAM yang digunakan untuk izin sumber daya di](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-infrastructure-V2-Firehose.html) Panduan Pengguna Amazon. CloudWatch *

```
{
  "BrokerLogs": {
    "S3": {
      "Bucket": "amzn-s3-demo-bucket",
      "Prefix": "ExamplePrefix",
      "Enabled": true
    },
    "Firehose": {
      "DeliveryStream": "ExampleDeliveryStreamName",
      "Enabled": true
    },
    "CloudWatchLogs": {
      "Enabled": true,
      "LogGroup": "ExampleLogGroupName"
    }
  }
}
```

### Konfigurasikan log broker menggunakan API
<a name="broker-logs-api"></a>

Anda dapat menentukan `loggingInfo` struktur opsional di JSON yang Anda berikan ke [UpdateMonitoring](https://docs.aws.amazon.com/msk/1.0/apireference/clusters-clusterarn-monitoring.html#UpdateMonitoring)operasi [CreateCluster](https://docs.aws.amazon.com/msk/1.0/apireference/clusters.html#CreateCluster)atau.

**catatan**  
Secara default, saat pencatatan broker diaktifkan, Amazon MSK mencatat log `INFO` level ke tujuan yang ditentukan. [Namun untuk pialang Standar, pengguna Apache Kafka 2.4.X dan yang lebih baru dapat secara dinamis mengatur level log broker ke salah satu level log log4j.](https://logging.apache.org/log4j/1.2/apidocs/org/apache/log4j/Level.html) Untuk informasi tentang pengaturan level log broker secara dinamis, lihat [KIP-412: Memperluas Admin API untuk mendukung level log aplikasi dinamis](https://cwiki.apache.org/confluence/display/KAFKA/KIP-412%3A+Extend+Admin+API+to+support+dynamic+application+log+levels). Jika Anda menyetel level log secara dinamis ke `DEBUG` atau`TRACE`, sebaiknya gunakan Amazon S3 atau Firehose sebagai tujuan log. Jika Anda menggunakan CloudWatch Log sebagai tujuan log dan Anda mengaktifkan `DEBUG` atau menaikkan `TRACE` level secara dinamis, MSK Amazon dapat terus mengirimkan sampel log. Ini dapat secara signifikan mempengaruhi kinerja broker dan hanya boleh digunakan ketika level `INFO` log tidak cukup bertele-tele untuk menentukan akar penyebab suatu masalah.