Configurazione della registrazione di log standard (legacy) - Amazon CloudFront
Scelta di un bucket Amazon S3 per i log standardPermissionsAbilitazione della registrazione di log standard (legacy)Modifica delle impostazioni di registrazione di log standardInvio di log ad Amazon S3Formato file registro standardEliminazione di file di logPrezzi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della registrazione di log standard (legacy)

Note

  • Questo argomento riguarda la versione precedente della registrazione di log standard. Per la versione più recente, consulta Configurazione della registrazione di log standard (v2).

  • Se hai già abilitato la registrazione di log standard (legacy) e desideri abilitare la registrazione di log standard (v2) su Amazon S3, ti consigliamo di specificare un bucket Amazon S3 diverso o di utilizzare un percorso separato nello stesso bucket (ad esempio, utilizzare un prefisso di log o il partizionamento). Questo consente di tenere traccia di quali file di log sono associati a quale distribuzione ed evita la sovrascrittura reciproca dei file di log.

Per iniziare a utilizzare la registrazione di log standard (legacy), completa le fasi seguenti:

  1. Scegli un bucket Amazon S3 di destinazione dei log e aggiungi autorizzazioni richieste.

  2. Configura la registrazione standard (legacy) dalla CloudFront console o dall' CloudFront API. Puoi scegliere solo un bucket Amazon S3 per ricevere i log.

  3. Visualizza i log di accesso.

Scelta di un bucket Amazon S3 per i log standard

Quando abiliti la registrazione per una distribuzione, specifichi il bucket Amazon S3 in cui CloudFront desideri archiviare i file di registro. Se utilizzi Amazon S3 come origine, ti consigliamo di utilizzare un bucket separato per i file di log.

Specificate il bucket Amazon S3 in cui desiderate CloudFront archiviare i log di accesso, ad esempio. amzn-s3-demo-bucket.s3.amazonaws.com

Puoi archiviare i file di log per più distribuzioni nello stesso bucket. Quando attivi la registrazione, puoi specificare un prefisso facoltativo per i nomi di file, in modo da sapere quali file di log sono associati a quali distribuzioni.

Informazioni sulla scelta di un bucket S3

  • La lista di controllo degli accessi (ACL) deve essere abilitata nel bucket. Se scegli un bucket senza ACL abilitato dalla CloudFront console, verrà visualizzato un messaggio di errore. Per informazioni, consulta Permissions.

  • Non scegliere un bucket Amazon S3 con Proprietà dell'oggetto S3 impostato su bucket owner enforced. Questa impostazione disabilita ACLs il bucket e gli oggetti in esso contenuti, il che impedisce CloudFront la consegna dei file di registro al bucket.

  • Legacy logging does not support Amazon S3 buckets in opt-in regions. Please choose a region that is enabled by default or use Registrazione standard V2 which does support opt-in regions and additional features. For a list of default and opt-in regions, see Regioni AWS.

Permissions

Importante

A partire da aprile 2023, devi abilitare S3 ACLs per i nuovi bucket S3 utilizzati per i log standard. CloudFront Puoi abilitarlo ACLs quando crei un bucket o ACLs abilitarlo per un bucket esistente.

Per ulteriori informazioni sulle modifiche, consultare le domande frequenti sulle impostazioni predefinite per i nuovi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service e Heads-Up: Amazon S3 Security Changes Are Coming in April of 2023 nel Blog AWS News.

Account AWS È necessario disporre delle seguenti autorizzazioni per il bucket specificato per i file di registro:

  • L’ACL per il bucket deve concedere l’autorizzazione FULL_CONTROL. Se sei il proprietario del bucket, il tuo account dispone di questa autorizzazione per impostazione predefinita. Se non lo sei, il proprietario del bucket deve aggiornare l'ACL per il bucket.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

ACL per il bucket

Quando crei o aggiorni una distribuzione e abiliti la registrazione, CloudFront utilizza queste autorizzazioni per aggiornare l'ACL del bucket e concedere l'autorizzazione all'account. awslogsdelivery FULL_CONTROL L’account awslogsdelivery scrive i file di log nel bucket. Se l'account non dispone delle autorizzazioni necessarie per l'aggiornamento dell'ACL, la creazione o l'aggiornamento della distribuzione non riuscirà.

In alcuni casi, se invii una richiesta a livello di codice per creare un bucket, ma un bucket con il nome specificato esiste già, S3 reimposta le autorizzazioni per il bucket sul valore di default. Se hai configurato CloudFront per salvare i log di accesso in un bucket S3 e non riesci più a ricevere i log in quel bucket, controlla le autorizzazioni sul bucket per assicurarti che disponga delle autorizzazioni necessarie. CloudFront

Ripristino dell'ACL per il bucket

Se si rimuovono le autorizzazioni per l'account awslogsdelivery, CloudFront non sarà in grado di salvare i log nel bucket S3. Per consentire di CloudFront ricominciare a salvare i log per la tua distribuzione, ripristina l'autorizzazione ACL effettuando una delle seguenti operazioni:

  • Disabilita la registrazione per la tua distribuzione CloudFront, quindi abilitala nuovamente. Per ulteriori informazioni, consulta Registrazione di log standard.

  • Aggiungere l'autorizzazione ACL per awslogsdelivery manualmente passando al S3 bucket della console Amazon S3 e aggiungendo l'autorizzazione. Per aggiungere l'ACL per awslogsdelivery, è necessario fornire l'ID canonico per l'account, che è il seguente:

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Per ulteriori informazioni sull'aggiunta ACLs ai bucket S3, consulta la sezione Configurazione nella Guida per ACLs l'utente di Amazon Simple Storage Service.

ACL per ogni file di log

Oltre all'ACL sul bucket, è disponibile un ACL su ogni file di log. Il proprietario del bucket dispone dell'autorizzazione FULL_CONTROL su ciascun file di log, il proprietario della distribuzione (se diverso dal proprietario del bucket) non ha autorizzazioni e l'account awslogsdelivery dispone di autorizzazioni in lettura e in scrittura.

Disattivazione della registrazione

Se disabiliti la registrazione, CloudFront non elimina né il bucket né ACLs i file di registro. È possibile eliminare i file ACLs se necessario.

Policy chiave necessarie per i bucket SSE/KMS

Se il bucket S3 per i log standard utilizza la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente, è necessario aggiungere l’istruzione seguente alla policy della chiave gestita dal cliente. Ciò consente di CloudFront scrivere file di registro nel bucket. Non è possibile utilizzare SSE-KMS con il Chiave gestita da AWS perché CloudFront non sarà possibile scrivere file di registro nel bucket.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Se il bucket S3 per i log standard utilizza SSE-KMS con una chiave del bucket S3, è necessario anche aggiungere l’autorizzazione kms:Decrypt alla dichiarazione di policy. In tal caso, l'istruzione completa della policy è simile alla seguente.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Nota

Quando abiliti SSE-KMS per il bucket S3, specifica l’ARN completo per la chiave gestita dal cliente. Per ulteriori informazioni, consulta Specificare la crittografia lato server con AWS KMS keys (SSE-KMS) nella Guida per l'utente di Amazon Simple Storage Service.

Abilitazione della registrazione di log standard (legacy)

Per abilitare i log standard, usa la console o l'API. CloudFront CloudFront

Abilita la registrazione standard (legacy) (CloudFront console)

Per abilitare i log standard per una CloudFront distribuzione (console)

  1. Usa la CloudFront console per creare una nuova distribuzione o aggiornarne una esistente.

  2. Nella sezione Registrazione di log standard, per Consegna di log, scegli Attivo.

  3. (Facoltativo) Per Registrazione di cookie, scegli Attivo se desideri includere i cookie nei log. Per ulteriori informazioni, consulta Registrazione dei cookie.

    Suggerimento

    Registrazione di cookie è un’impostazione globale che si applica a tutti i log standard per la distribuzione. Non puoi sovrascrivere questa impostazione per destinazioni di consegna separate.

  4. Per la sezione Consegna a, specifica Amazon S3 (Legacy).

  5. Specifica il bucket Amazon S3. Se non ne hai già uno, puoi scegliere Crea o consultare la documentazione per creare un bucket.

  6. (Facoltativo) Per il prefisso di registro, specificate l'eventuale stringa CloudFront a cui desiderate aggiungere il prefisso ai nomi dei file di log di accesso per questa distribuzione, ad esempio. exampleprefix/ La barra finale (/) è facoltativa ma consigliata per semplificare la navigazione nei file di log. Per ulteriori informazioni, consulta Log Prefix (Prefisso log).

  7. Completa le fasi per aggiornare o creare la distribuzione.

  8. Nella pagina Log, verifica che lo stato dei log standard sia Abilitato accanto alla distribuzione.

    Per ulteriori informazioni sui campi di log e di consegna della registrazione di log standard, consulta Riferimento alla registrazione di log standard.

Abilita la registrazione standard (legacy) (API) CloudFront

Puoi anche utilizzare l' CloudFront API per abilitare i log standard per le tue distribuzioni.

Per abilitare i log standard per una distribuzione (API) CloudFront

Modifica delle impostazioni di registrazione di log standard

Puoi abilitare o disabilitare la registrazione, modificare il bucket Amazon S3 in cui sono archiviati i log e modificare il prefisso per i file di registro utilizzando CloudFront la console o l'API. CloudFront Le modifiche apportate alle impostazioni di registrazione diventano effettive entro 12 ore.

Per ulteriori informazioni, consulta i seguenti argomenti:

Invio di log ad Amazon S3

Quando invii i log ad Amazon S3, vengono visualizzati nel seguente formato.

Formato del nome file

Il nome di ogni file di registro CloudFront salvato nel bucket Amazon S3 utilizza il seguente formato di nome file:

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

La data e l'ora sono in formato UTC.

Ad esempio, se si utilizza example-prefix come prefisso e l'ID di distribuzione è EMLARXS9EXAMPLE, i nomi dei file sono simili al seguente:

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Quando attivi la registrazione per una distribuzione, puoi specificare un prefisso facoltativo per i nomi di file, in modo da sapere quali file di log sono associati a quali distribuzioni. Se includi un valore per il prefisso del file di registro e il prefisso non termina con una barra (/), ne aggiunge una automaticamente. CloudFront Se il prefisso termina con una barra, CloudFront non ne aggiunge un'altra.

La .gz fine del nome del file indica che il file di registro CloudFront è stato compresso utilizzando gzip.

Formato file registro standard

Ogni voce in un file di log fornisce informazioni dettagliate su una singola richiesta visualizzatore. I file di registro presentano le seguenti caratteristiche:

  • Utilizzano il formato di file di log W3C esteso.

  • Contengono valori separati da tabulatore.

  • Contengono record che non sono necessariamente in ordine cronologico.

  • Contengono due righe di intestazione: una con la versione del formato del file e un'altra che elenca i campi W3C inclusi in ogni record.

  • Contengono equivalenti con codifica URL per spazi e per alcuni altri caratteri nei valori dei campi.

    Gli equivalenti con codifica URL vengono utilizzati per i seguenti caratteri:

    • Codici di caratteri ASCII da 0 a 32, inclusi

    • Codici di caratteri ASCII 127 e superiori

    • Tutti i caratteri nella tabella seguente

    Lo standard di codifica URL è definito in RFC 1738.

Valore con codifica URL

Carattere

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

spazio

Eliminazione di file di log

CloudFront non elimina automaticamente i file di registro dal tuo bucket Amazon S3. Per ulteriori informazioni sull’eliminazione di file di log da un bucket Amazon S3, consulta Eliminazione di oggetti nella Guida per l’utente di Amazon Simple Storage Service Console.

Prezzi

La registrazione standard è una funzionalità opzionale di. CloudFront CloudFront non addebita alcun costo per l'abilitazione dei log standard. Tuttavia, vengono addebitati i costi Amazon S3 usuali inerenti all’archiviazione dei file e all’accesso agli stessi in Amazon S3. Puoi eliminarli in qualsiasi momento.

Per maggiori informazioni sui prezzi di Amazon S3, consulta Prezzi di Amazon S3.

Per ulteriori informazioni sui CloudFront prezzi, consulta la sezione CloudFront Prezzi.