Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Log di accesso per Amazon VPC Lattice
I log di accesso acquisiscono informazioni dettagliate sui servizi VPC Lattice e sulle configurazioni delle risorse. È possibile utilizzare questi log di accesso per analizzare i modelli di traffico e controllare tutti i servizi della rete. Per i servizi VPC Lattice, pubblichiamo `VpcLatticeAccessLogs` e per le configurazioni delle risorse, pubblichiamo quelle `VpcLatticeResourceAccessLogs` che devono essere configurate separatamente.
I log di accesso sono opzionali e sono disabilitati per impostazione predefinita. Dopo aver abilitato i registri di accesso, è possibile disabilitarli in qualsiasi momento.
**Prezzi**
Quando i registri di accesso vengono pubblicati, vengono applicati dei costi. *I log pubblicati AWS in modo nativo per conto dell'utente sono denominati registri venduti.* **Per ulteriori informazioni sui prezzi dei log venduti, consulta la pagina [ CloudWatch Prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing/), scegli **Logs** e visualizza i prezzi in Vended Logs.**
**Topics**
+ [Autorizzazioni IAM necessarie per abilitare i log di accesso](#monitoring-access-logs-IAM)
+ [Accedi alle destinazioni dei log](#monitoring-access-logs-destinations)
+ [Abilitare log di accesso](#monitoring-access-logs-enable)
+ [Richiedi il tracciamento](#x-amzn-RequestId-enable)
+ [Accedere al contenuto del registro](#monitoring-access-logs-contents)
+ [Contenuto del registro di accesso alle risorse](#monitoring-resource-access-logs-contents)
+ [Risolvi i problemi relativi ai log di accesso](#monitoring-access-logs-troubleshoot)
## Autorizzazioni IAM necessarie per abilitare i log di accesso
Per abilitare i log di accesso e inviarli alle relative destinazioni, devi avere le seguenti azioni nella policy allegate all'utente, al gruppo o al ruolo IAM che stai utilizzando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Sid": "ManageVPCLatticeAccessLogSetup",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"vpc-lattice:CreateAccessLogSubscription",
"vpc-lattice:GetAccessLogSubscription",
"vpc-lattice:UpdateAccessLogSubscription",
"vpc-lattice:DeleteAccessLogSubscription",
"vpc-lattice:ListAccessLogSubscriptions"
],
"Resource": [
"*"
]
}
]
}
```
------
Per ulteriori informazioni, consulta [Aggiunta e rimozione di autorizzazioni per identità IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) nella *Guida per l'utente di AWS Identity and Access Management *.
Dopo aver aggiornato la policy allegata all'utente, al gruppo o al ruolo IAM che stai utilizzando, vai a. [Abilitare log di accesso](#monitoring-access-logs-enable)
## Accedi alle destinazioni dei log
È possibile inviare i log di accesso alle seguenti destinazioni.
**CloudWatch Registri Amazon**
+ VPC Lattice in genere consegna i log ai CloudWatch log entro 2 minuti. Tuttavia, tenete presente che i tempi effettivi di consegna dei log vengono effettuati con la massima diligenza possibile e che potrebbe esserci una latenza aggiuntiva.
+ Una politica delle risorse viene creata automaticamente e aggiunta al gruppo di CloudWatch log se il gruppo di log non dispone di determinate autorizzazioni. Per ulteriori informazioni, consulta [Logs sent to CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) nella *Amazon CloudWatch User* Guide.
+ Puoi trovare i log di accesso che vengono inviati alla CloudWatch sezione Log Groups nella console. CloudWatch Per ulteriori informazioni, consulta [Visualizza i dati di log inviati a CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData) nella *Amazon CloudWatch User Guide*.
**Simple Storage Service (Amazon S3)**
+ VPC Lattice in genere consegna i log ad Amazon S3 entro 6 minuti. Tuttavia, tieni presente che i tempi effettivi di consegna dei log vengono effettuati con la massima diligenza possibile e potrebbe esserci una latenza aggiuntiva.
+ Una policy relativa ai bucket verrà creata automaticamente e aggiunta al bucket Amazon S3 se il bucket non dispone di determinate autorizzazioni. Per ulteriori informazioni, consulta [Logs sent to Amazon S3 nella * CloudWatchAmazon*](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) User Guide.
+ I log di accesso inviati ad Amazon S3 utilizzano la seguente convenzione di denominazione:
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
+ VpcLatticeResourceAccessLogs che vengono inviati ad Amazon S3 utilizzano la seguente convenzione di denominazione:
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
**Amazon Data Firehose**
+ VPC Lattice in genere consegna i log a Firehose entro 2 minuti. Tuttavia, tenete presente che il tempo effettivo di consegna dei log viene effettuato con la massima diligenza possibile e potrebbe esserci una latenza aggiuntiva.
+ Viene creato automaticamente un ruolo collegato al servizio che concede a VPC Lattice l'autorizzazione a inviare i log di accesso. Amazon Data Firehose Affinché la creazione automatica di un ruolo riesca, gli utenti devono disporre dell'autorizzazione per l'operazione `iam:CreateServiceLinkedRole`. Per ulteriori informazioni, consulta [Logs sent to Amazon Data Firehose](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-Firehose) nella *Amazon CloudWatch User Guide*.
+ *Per ulteriori informazioni sulla visualizzazione dei log inviati a Amazon Data Firehose, consulta [Monitoring Amazon Kinesis Data](https://docs.aws.amazon.com//streams/latest/dev/monitoring.html) Streams nella Developer Guide.Amazon Data Firehose *
## Abilitare log di accesso
Completa la seguente procedura per configurare i log di accesso per acquisire e consegnare i log di accesso alla destinazione prescelta.
**Topics**
+ [Abilita i log di accesso utilizzando la console](#monitoring-access-logs-console)
+ [Abilita i log di accesso utilizzando il AWS CLI](#monitoring-access-logs-cli)
### Abilita i log di accesso utilizzando la console
È possibile abilitare i log di accesso per una rete di servizi, un servizio o una configurazione di risorse durante la creazione. È inoltre possibile abilitare i log di accesso dopo aver creato una rete di servizi, un servizio o una configurazione di risorse, come descritto nella procedura seguente.
**Per creare un servizio di base utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Seleziona la rete di servizio, il servizio o la configurazione delle risorse.
1. Scegli **Azioni**, **Modifica impostazioni di registro**.
1. Attiva l'interruttore **dei registri di accesso**.
1. Aggiungi una destinazione di consegna per i registri di accesso come segue:
+ Seleziona **Gruppo di CloudWatch log** e scegli un gruppo di log. Per creare un gruppo di log, scegli **Crea un gruppo di log in CloudWatch**.
+ Seleziona il **bucket S3** e inserisci il percorso del bucket S3, incluso qualsiasi prefisso. **Per cercare nei bucket S3, scegli Browse S3.**
+ Seleziona il flusso di distribuzione di **Kinesis Data Firehose** e scegli un flusso di distribuzione. Per creare un flusso di distribuzione, scegli **Crea un flusso di distribuzione in Kinesis**.
1. Scegli **Save changes** (Salva modifiche).
### Abilita i log di accesso utilizzando il AWS CLI
Utilizza il comando CLI [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html)per abilitare i log di accesso per reti o servizi di servizio.
## Richiedi il tracciamento
VPC Lattice supporta il tracciamento e la correlazione delle richieste tra client, target e log per l'osservabilità e il debug con l'intestazione. x-amzn-requestid Questa intestazione può essere impostata e inviata dal client o generata da VPC Lattice e viene inviata alle destinazioni ed è disponibile anche nei log di accesso.
**Comportamento predefinito**
+ VPC Lattice genera automaticamente questa intestazione per ogni richiesta.
+ Il valore è un identificatore generato casualmente (di default in stile UUID).
+ L'identificatore generato è:
+ Propagato verso obiettivi a valle.
+ Restituito nelle intestazioni di risposta ai client.
+ Registri di accesso registrati
**Esempio (risposta predefinita)**
Di seguito è riportato un esempio di risposta inviata al client con il comportamento predefinito di VPC Lattice che genera un valore casuale per l'intestazione valu eof. x-amzn-requestid
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
**Client che imposta il valore**
+ I client possono facoltativamente impostare questa intestazione sulle richieste in arrivo per sovrascrivere il valore generato automaticamente.
+ Considerazioni
+ Il valore dell'intestazione non deve necessariamente seguire un formato UUID.
+ Se il valore dell'intestazione supera i 512 byte, VPC Lattice lo troncherà a 512.
+ Se sovrascritto correttamente, il valore dell'intestazione fornito sarà:
+ Apparirà nelle intestazioni di risposta
+ Essere propagato ai bersagli
+ Compaiono nei log di accesso e nelle metriche
**Esempio (sovrascrivi la richiesta del cliente)**
Di seguito è riportato un esempio di richiesta inviata dal client con un valore di intestazione.
```
{
"GET /my-service/endpoint HTTP/1.1
Host: my-api.example.com
x-amzn-requestid: trace-request-foobar"
}
```
**Esempio (risposta di override predefinita)**
Di seguito è riportato un esempio di risposta inviata al client con il valore sovrascritto.
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: trace-request-foobar"
}
```
## Accedere al contenuto del registro
La seguente tabella descrive i campi di una voce di un log di accesso.
| Campo | Description | Formato |
| --- | --- | --- |
| callerPrincipalTags | Il PrincipalTags nella richiesta. | JSON |
| hostHeader | L'intestazione dell'autorità della richiesta. | stringa |
| sslCipher | Il nome OpenSSL per il set di cifrari utilizzati per stabilire la connessione TLS del client. | stringa |
| serviceNetworkArn | La rete di assistenza ARN. | arn:aws:vpc-lattice: ::servicenetwork/ *region* *account* *id* |
| resolvedUser | L'ARN dell'utente quando l'autenticazione è abilitata e l'autenticazione è stata effettuata. | null \$1 ARN \$1 «Anonimo» \$1 «Sconosciuto» |
| authDeniedReason | Il motivo per cui l'accesso viene negato quando l'autenticazione è abilitata. | null \$1 «Servizio» \$1 «Rete» \$1 «Identità» |
| requestMethod | L'intestazione del metodo della richiesta. | stringa |
| targetGroupArn | Il gruppo di host di destinazione a cui appartiene l'host di destinazione. | stringa |
| tlsVersion | La versione TLS. | TLSv*x* |
| userAgent | L'intestazione user-agent. | stringa |
| serverNameIndication | [Solo HTTPS] Il valore impostato sul socket di connessione ssl per Server Name Indication (SNI). | stringa |
| destinationVpcId | L'ID VPC di destinazione. | vpc- *xxxxxxxx* |
| sourceIpPort | L'indirizzo IP e la porta della sorgente. | *ip*:*port* |
| targetIpPort | L'indirizzo IP e la porta della destinazione. | *ip*:*port* |
| serviceArn | Il servizio ARN. | arn:aws:vpc-lattice: ::service/ *region* *account* *id* |
| sourceVpcId | L'ID VPC di origine. | vpc- *xxxxxxxx* |
| requestPath | Il percorso della richiesta. | LatticePath?:*path* |
| startTime | L'ora di inizio della richiesta. | *YYYY*- *MM* - *DD* T *HH**MM*: *SS* Z |
| protocol | Il protocollo. Attualmente HTTP/1.1 o HTTP/2. | stringa |
| responseCode | Il codice di risposta HTTP. Viene registrato solo il codice di risposta per le intestazioni finali. Per ulteriori informazioni, consulta [Risolvi i problemi relativi ai log di accesso](#monitoring-access-logs-troubleshoot). | intero |
| bytesReceived | I byte del corpo e dell'intestazione ricevuti. | intero |
| bytesSent | I byte del corpo e dell'intestazione inviati. | intero |
| duration | Durata totale in millisecondi della richiesta dall'ora di inizio all'ultimo byte in uscita. | intero |
| requestToTargetDuration | Durata totale in millisecondi della richiesta dall'ora di inizio all'ultimo byte inviato alla destinazione. | intero |
| responseFromTargetDuration | Durata totale in millisecondi della richiesta dal primo byte letto dall'host di destinazione all'ultimo byte inviato al client. | intero |
| grpcResponseCode | Il codice di risposta gRPC. Per ulteriori informazioni, vedere [Codici di stato e loro utilizzo in gRPC](https://grpc.github.io/grpc/core/md_doc_statuscodes.html). Questo campo viene registrato solo se il servizio supporta gRPC. | intero |
| requestId | Si tratta di un identificatore univoco incluso automaticamente nelle risposte come valore dell'intestazione. x-amzn-requestid Consente la correlazione delle richieste tra client, destinazioni e registri per l'osservabilità e il debug. | stringa |
| callerPrincipal | Il principale autenticato. | stringa |
| callerX509SubjectCN | Il nome del soggetto (CN). | stringa |
| callerX509IssuerOU | L'emittente (OU). | stringa |
| callerX509SANNameCN | L'alternativa all'emittente (nome/CN). | stringa |
| callerX509SANDNS | Il nome alternativo del soggetto (DNS). | stringa |
| callerX509SANURI | Il nome alternativo dell'oggetto (URI). | stringa |
| sourceVpcArn | L'ARN del VPC da cui ha avuto origine la richiesta. | arn:aws:ec2: :vpc/ *region* *account* *id* |
| failureReason | Indica il motivo per cui una richiesta non è riuscita. Di seguito sono riportati i valori possibili: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc-lattice/latest/ug/monitoring-access-logs.html) | stringa |
**Esempio**
Nell'esempio seguente viene mostrata una voce di log.
```
{
"callerPrincipalTags" : "{ "TagA": "ValA", "TagB": "ValB", ... }",
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1,
"requestId": "a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
## Contenuto del registro di accesso alle risorse
La tabella seguente descrive i campi di una voce del registro di accesso alle risorse.
| Campo | Description | Formato |
| --- | --- | --- |
| serviceNetworkArn | La rete di assistenza ARN. | arn: *partition* vpc-lattice: ::servicenetwork/ *region* *account* *id* |
| serviceNetworkResourceAssociationId | L'ID della risorsa di rete del servizio. | *snra*-*xxx* |
| vpcEndpointId | L'ID dell'endpoint utilizzato per accedere alla risorsa. | stringa |
| sourceVpcArn | L'ARN VPC di origine o il VPC da cui è stata avviata la connessione. | stringa |
| resourceConfigurationArn | L'ARN della configurazione delle risorse a cui è stato effettuato l'accesso. | stringa |
| protocol | Il protocollo utilizzato per comunicare con la configurazione delle risorse. Attualmente è supportato solo tcp. | stringa |
| sourceIpPort | L'indirizzo IP e la porta della fonte che ha avviato la connessione. | *ip*:*port* |
| destinationIpPort | L'indirizzo IP e la porta con cui è stata avviata la connessione. Questo sarà l'IP di SN-E/SN-A. | *ip*:*port* |
| gatewayIpPort | L'indirizzo IP e la porta utilizzati dal gateway di risorse per accedere alla risorsa. | *ip*:*port* |
| resourceIpPort | L'indirizzo IP e la porta della risorsa. | *ip*:*port* |
**Esempio**
Nell'esempio seguente viene mostrata una voce di log.
```
{
"eventTimestamp": "2024-12-02T10:10:10.123Z",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
"serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
"vpcEndpointId": "vpce-01a2b3c4d",
"sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
"resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
"protocol": "tcp",
"sourceIpPort": "172.31.23.56:44076",
"destinationIpPort": "172.31.31.226:80",
"gatewayIpPort": "10.0.28.57:49288",
"resourceIpPort": "10.0.18.190:80"
}
```
## Risolvi i problemi relativi ai log di accesso
Questa sezione contiene una spiegazione dei codici di errore HTTP che è possibile visualizzare nei log di accesso.
| Codice di errore | Possibili cause |
| --- | --- |
| HTTP 400: Bad Request | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc-lattice/latest/ug/monitoring-access-logs.html) |
| HTTP 403: Forbidden | L'autenticazione è stata configurata per il servizio, ma la richiesta in arrivo non è autenticata o autorizzata. |
| HTTP 404: servizio inesistente | Stai tentando di connetterti a un servizio che non esiste o non è registrato nella rete di assistenza corretta. |
| HTTP 500: Internal Server Error | VPC Lattice ha riscontrato un errore, ad esempio la mancata connessione ai target. |
| HTTP 502: Bad Gateway | VPC Lattice ha riscontrato un errore. |