翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Network Load Balancer を監視する
<a name="load-balancer-monitoring"></a>

次の機能を使用して、ロードバランサーの監視、トラフィックパターンの分析、ロードバランサーとターゲットに関する問題の解決を実行できます。

**CloudWatch メトリクス**  
Amazon CloudWatch を使用して、ロードバランサーとターゲットのデータポイントに関する統計情報を、*メトリクス*と呼ばれる時系列データの時間順のセットとして取得できます。これらのメトリクスを使用して、システムが正常に実行されていることを確認できます。詳細については、「[Network Load Balancer の CloudWatch メトリクス](load-balancer-cloudwatch-metrics.md)」を参照してください。

**VPC フローログ**  
VPC フローログを使用して、Network Load Balancer との間で送受信されるトラフィックに関する詳細情報を取得できます。詳細については、*Amazon VPC ユーザーガイド*の [VPC フローログ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)を参照してください。  
ロードバランサーの各ネットワークインターフェイスのフローログを作成します。ロードバランサーのサブネットあたり 1 つのネットワークインターフェイスがあります。Network Load Balancer のネットワークインターフェイスを特定するには、ネットワークインターフェイスの説明フィールドでロードバランサーの名前を探します。  
Network Load Balancer を通じて、各接続に 2 つのエントリがあります。1 つはクライアントとロードバランサー間のフロントエンド接続で、もう 1 つはロードバランサーとターゲットとの間のバックエンド接続です。ターゲットグループのクライアント IP 保存属性が有効な場合、接続はクライアントからの接続としてインスタンスに表示されます。それ以外の場合、接続のソース IP はロードバランサーのプライベート IP アドレスです。インスタンスのセキュリティグループで、クライアントからの接続が許可されないが、ロードバランサーサブネットのネットワーク ACL で許可される場合、ロードバランサーのネットワークインターフェイスのログにはフロントエンドおよびバックエンド接続に対して「ACCEPT OK」と表示され、インスタンスのネットワークインターフェイスのログには接続に対して「REJECT OK」と表示されます。  
Network Load Balancer にセキュリティグループが関連付けられている場合、フローログには、セキュリティグループによって許可または拒否されたトラフィックのエントリが含まれます。Network Load Balancer に TLS リスナーを使用すると、フローログエントリには拒否されたエントリのみが反映されます。

**Amazon CloudWatch Internet Monitor**  
Internet Monitor を使用すると、インターネットの問題が でホストされているアプリケーション AWS とエンドユーザー間のパフォーマンスと可用性にどのように影響するかを可視化できます。また、他の サービスの使用に切り替えるか、異なる を介してトラフィックをワークロードに再ルーティングすることで、アプリケーションの予測レイテンシーをほぼリアルタイムで改善する方法を調べることもできます AWS リージョン。詳細については、「[Amazon CloudWatch Internet Monitor の使用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.html)」を参照してください。

**アクセスログ**  
アクセスログを使用して、ロードバランサーに送信される TLS リクエストについて、詳細情報を収集できます。ログファイルは Amazon S3 に保存されます。これらのアクセスログを使用して、トラフィックパターンの分析や、ターゲットの問題のトラブルシューティングを行うことができます。詳細については、「[Network Load Balancer のアクセスログ](load-balancer-access-logs.md)」を参照してください。

**CloudTrail ログ**  
 AWS CloudTrail を使用して、Elastic Load Balancing API に対する呼び出しに関する詳細情報をキャプチャし、ログファイルとして Amazon S3 に保存できます。これらの CloudTrail ログを使用して、行われた呼び出し、呼び出し元のソース IP アドレス、呼び出し元、呼び出し時間などを判断できます。詳細については、「[CloudTrail を使用した Elastic Load Balancing の API コールのログ記録](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/cloudtrail-logs.html)」を参照してください。

# Network Load Balancer の CloudWatch メトリクス
<a name="load-balancer-cloudwatch-metrics"></a>

Elastic Load Balancing は、ロードバランサーとターゲットのデータポイントを Amazon CloudWatch に発行します。CloudWatch では、それらのデータポイントについての統計を、(*メトリクス*と呼ばれる) 順序付けられた時系列データのセットとして取得できます。メトリクスは監視対象の変数、データポイントは時間の経過と共に変わる変数の値と考えることができます。たとえば、指定した期間中のロードバランサーの正常なターゲットの合計数を監視することができます。各データポイントには、タイムスタンプと、オプションの測定単位が関連付けられています。

メトリクスを使用して、システムが正常に実行されていることを確認できます。例えば、メトリクスが許容範囲外になる場合、CloudWatch アラームを作成して、指定されたメトリクスを監視し、アクション (E メールアドレスに通知を送信するなど) を開始することができます。

Elastic Load Balancing は、ロードバランサー経由でリクエストが伝達される場合にのみ、メトリクスを CloudWatch にレポートします。ロードバランサーを経由するリクエストがある場合、Elastic Load Balancing は 60 秒間隔でメトリクスを測定し、送信します。ロードバランサーを経由するリクエストがないか、メトリクスのデータがない場合、メトリクスは報告されません。セキュリティグループが関連付けられた Network Load Balancer の場合、セキュリティグループによって拒否されたトラフィックは CloudWatch メトリックスにキャプチャされません。

詳細については、「[Amazon CloudWatch ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)」を参照してください。

**Topics**
+ [

## Network Load Balancer メトリクス
](#load-balancer-metrics-nlb)
+ [

## Network Load Balancer のメトリクスディメンション
](#load-balancer-metric-dimensions-nlb)
+ [

## Network Load Balancer メトリクスの統計
](#metric-statistics)
+ [

## ロードバランサーの CloudWatch メトリクスの表示
](#view-metric-data)

## Network Load Balancer メトリクス
<a name="load-balancer-metrics-nlb"></a>

`AWS/NetworkELB` 名前空間には、次のメトリクスが含まれます。


| メトリクス | 説明 | 
| --- | --- | 
| ActiveFlowCount |  クライアントからターゲットへの同時フロー (または接続) の合計数。このメトリクスには、SYN\$1SENT 状態と ESTABLISHED 状態の接続が含まれます。TCP 接続はロードバランサーで終了しないため、ターゲットへの TCP 接続を開いているクライアントは単一のフローとしてカウントされます。 **レポート条件**: 常に報告される。 **統計値**: 最も有用な統計値は `Average`、`Maximum`、および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ActiveFlowCount\$1TCP |  クライアントからターゲットへの同時 TCP フロー (または接続) の合計数。このメトリクスには、SYN\$1SENT 状態と ESTABLISHED 状態の接続が含まれます。TCP 接続はロードバランサーで終了しないため、ターゲットへの TCP 接続を開いているクライアントは単一のフローとしてカウントされます。 **レポート条件**: ゼロ以外の値がある **統計値**: 最も有用な統計値は `Average`、`Maximum`、および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ActiveFlowCount\$1TLS |  クライアントからターゲットへの同時 TLS フロー (または接続) の合計数。このメトリクスには、SYN\$1SENT 状態と ESTABLISHED 状態の接続が含まれます。 ** レポート条件**: ゼロ以外の値がある。 **統計値**: 最も有用な統計値は `Average`、`Maximum`、および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ActiveFlowCount\$1UDP |  クライアントからターゲットへの同時 UDP フロー (または接続) の合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計値**: 最も有用な統計値は `Average`、`Maximum`、および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ActiveZonalShiftHostCount |  現在ゾーンシフトにアクティブに参加しているターゲットの数。 **レポート条件**: ロードバランサーがゾーンシフトにオプトインしている場合に報告されます。 **[統計値]**: 最も有用な統計値は `Maximum` および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ClientTLSNegotiationErrorCount |  クライアントと TLS リスナー間でネゴシエーション中に失敗した TLS ハンドシェイクの合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ConsumedLCUs |  ロードバランサーが使用するロードバランサーキャパシティーユニット (LCU) の数です。1 時間当たりで使用する LCU 数の料金をお支払いいただきます｡ 詳細については、[Elastic Load Balancing の料金表](https://aws.amazon.com/elasticloadbalancing/pricing/)を参照してください。 **レポート条件**: 常に報告される。 **統計**: All [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ConsumedLCUs\$1TCP |  TCP のロードバランサーが使用するロードバランサーキャパシティーユニット (LCU) の数です。1 時間当たりで使用する LCU 数の料金をお支払いいただきます｡ 詳細については、[Elastic Load Balancing の料金表](https://aws.amazon.com/elasticloadbalancing/pricing/)を参照してください。 ** レポート条件**: ゼロ以外の値がある。 **統計**: All [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ConsumedLCUs\$1TLS |  TLS のロードバランサーが使用するロードバランサーキャパシティーユニット (LCU) の数です。1 時間当たりで使用する LCU 数の料金をお支払いいただきます｡ 詳細については、[Elastic Load Balancing の料金表](https://aws.amazon.com/elasticloadbalancing/pricing/)を参照してください。 ** レポート条件**: ゼロ以外の値がある。 **統計**: All [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ConsumedLCUs\$1UDP |  UDP のロードバランサーが使用するロードバランサーキャパシティーユニット (LCU) の数です。1 時間当たりで使用する LCU 数の料金をお支払いいただきます｡ 詳細については、[Elastic Load Balancing の料金表](https://aws.amazon.com/elasticloadbalancing/pricing/)を参照してください。 ** レポート条件**: ゼロ以外の値がある。 **統計**: All [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| HealthyHostCount |  正常と見なされるターゲットの数。このメトリックには、ターゲットとして登録されている Application Load Balancer は含まれません。 **レポート条件**: 登録されたターゲットがある場合に報告されます。 **統計値**: 最も有用な統計値は `Maximum` および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| NewFlowCount |  期間内にクライアントからターゲットに確立された新しいフロー (または接続) の合計数。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| NewFlowCount\$1TCP |  期間内にクライアントからターゲットに確立された新しい TCP フロー (または接続) の合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| NewFlowCount\$1TLS |  期間内にクライアントからターゲットに確立された新しい TLS フロー (または接続) の合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| NewFlowCount\$1UDP |  期間内にクライアントからターゲットに確立された新しい UDP フロー (または接続) の合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| NewFlowCount\$1QUIC |  期間中にルーティング決定を必要とした UDP データグラムの合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| PeakBytesPerSecond |  サンプリングウィンドウの間に 10 秒間隔で計算される最大バイトの平均値 (1 秒あたりの処理バイト数)。このメトリクスには、ヘルスチェックトラフィックは含まれません。 **レポート条件**: 常に報告される **統計**: 最も有用な統計は `Maximum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| PeakPacketsPerSecond |  サンプリングウィンドウの間に 10 秒間隔で計算される最大パケットレートの平均値（1 秒あたりの処理パケット数）。このメトリクスには、ヘルスチェックトラフィックが含まれます。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Maximum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| PortAllocationErrorCount |  クライアント IP 変換操作中の一時ポート割り当てエラーの総数。0 以外の値は切断されたクライアント接続を示します。 注: Network Load Balancer は一意の各ターゲット (IP アドレスとポート) に対して、クライアントアドレス変換を実行するときに 55,000 の同時接続または 1 分あたり約 55,000 の接続をサポートします。ポート割り当てエラーを修正するには、ターゲットグループにさらに多くのターゲットを追加します。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedBytes |  TCP/IP ヘッダーを含む、ロードバランサーによって処理された合計バイト数。この数には、ターゲットとの間のトラフィックからヘルスチェックトラフィックを引いたものが含まれます。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedBytes\$1TCP |  TCP リスナーによって処理される総バイト数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedBytes\$1TLS |  TLS リスナーによって処理される総バイト数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedBytes\$1UDP |  UDP リスナーによって処理される総バイト数。 **レポート条件**: ゼロ以外の値がある **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedBytes\$1QUIC |  QUIC リスナーによって処理される総バイト数。 **レポート条件**: ゼロ以外の値がある **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedPackets |  ロードバランサーによって処理される総バイト数。この数には、ヘルスチェックトラフィックを含む、ターゲットとの間のトラフィックが含まれます。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| RejectedFlowCount |  ロードバランサーによって拒否されたフロー (または接続) の合計数。 **レポート条件**: 常に報告される。 **統計値**: 最も有用な統計値は `Average`、`Maximum`、および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| RejectedFlowCount\$1TCP |  ロードバランサーによって拒否された TCP フロー (または接続) の数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| ReservedLCUs |  ロードバランサーキャパシティユニット (LCU) 予約を使用するロードバランサー用に予約された LCU の数。 **レポート条件**: ゼロ以外の値がある **統計**: All [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| SecurityGroupBlockedFlowCount\$1Inbound\$1ICMP |  ロードバランサーセキュリティグループのインバウンドルールによって拒否された新しい ICMP メッセージの数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| SecurityGroupBlockedFlowCount\$1Inbound\$1TCP |  ロードバランサーセキュリティグループのインバウンドルールによって拒否された新しい TCP フローの数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| SecurityGroupBlockedFlowCount\$1Inbound\$1UDP |  ロードバランサーセキュリティグループのインバウンドルールによって拒否された新しい UDP フローの数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| SecurityGroupBlockedFlowCount\$1Outbound\$1ICMP |  ロードバランサーセキュリティグループのアウトバウンドルールによって拒否された新しい ICMP メッセージの数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| SecurityGroupBlockedFlowCount\$1Outbound\$1TCP |  ロードバランサーセキュリティグループのアウトバウンドルールによって拒否された新しい TCP フローの数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| SecurityGroupBlockedFlowCount\$1Outbound\$1UDP |  ロードバランサーセキュリティグループのアウトバウンドルールによって拒否された新しい UDP フローの数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| TargetTLSNegotiationErrorCount |  TLS リスナーとターゲット間でネゴシエーション中に失敗した TLS ハンドシェイクの合計数。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| TCP\$1Client\$1Reset\$1Count |  クライアントからターゲットに送信されたリセット (RST) パケットの合計数。これらのリセットは、クライアントによって生成され、ロードバランサーによって転送されます。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| TCP\$1ELB\$1Reset\$1Count |  ロードバランサーによって生成されたリセット (RST) パケットの合計数。詳細については、「[トラブルシューティング](load-balancer-troubleshooting.md#elb-reset-count-metric)」を参照してください。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| TCP\$1Target\$1Reset\$1Count |  ターゲットからクライアントに送信されたリセット (RST) パケットの合計数。これらのリセットは、ターゲットによって生成され、ロードバランサーによって転送されます。 **レポート条件**: 常に報告される。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| UnHealthyHostCount |  異常とみなされるターゲットの数。このメトリックには、ターゲットとして登録されている Application Load Balancer は含まれません。 **レポート条件**: 登録されたターゲットがある場合に報告されます。 **統計値**: 最も有用な統計値は `Maximum` および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| UnhealthyRoutingFlowCount |  ルーティングフェイルオーバーアクション (フェイルオープン) を使用してルーティングされたフロー (または接続) の数。このメトリクスは TLS リスナーではサポートされていません。 ** レポート条件**: ゼロ以外の値がある。 **統計**: 最も有用な統計は `Sum` です。  | 
| ZonalHealthStatus |  ロードバランサーが正常と見なすアベイラビリティーゾーンの数。ロードバランサーは、正常なアベイラビリティーゾーンごとに 1、異常なアベイラビリティーゾーンごとに 0 を出力します。 **レポート条件**: ヘルスチェックが有効になっている場合にレポートされます。 **統計値**: 最も有用な統計値は `Maximum` および `Minimum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 
| QUIC\$1Unknown\$1Server\$1ID\$1Packet\$1Drop\$1Count |  Network Load Balancer のターゲットに関連付けられていないサーバー ID を含む、ドロップされた UDP データグラムの数。 **報告基準**: QUIC リスナーに対してのみ報告。 **統計**: 最も有用な統計は `Sum` です。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)  | 

## Network Load Balancer のメトリクスディメンション
<a name="load-balancer-metric-dimensions-nlb"></a>

ロードバランサーのメトリクスを絞り込むには、次のディメンションを使用できます。


| ディメンション | 説明 | 
| --- | --- | 
| AvailabilityZone |  アベイラビリティーゾーン別にメトリクスデータをフィルタリングします。  | 
| LoadBalancer |  ロードバランサーでメトリクスデータをフィルタリングします。ロードバランサーを次のように指定します。net/*ロードバランサー名*/*1234567890123456* (ロードバランサー ARN の最後の部分)。  | 
| TargetGroup |  ターゲットグループでメトリクスデータをフィルタリングします。ターゲットグループを次のように指定します。targetgroup/*ターゲットグループ名*/*1234567890123456* (ターゲットグループ ARN の最後の部分)。  | 

## Network Load Balancer メトリクスの統計
<a name="metric-statistics"></a>

CloudWatch では、Elastic Load Balancing で発行されたメトリクスのデータポイントに基づいた統計が提供されます。統計とは、メトリクスデータを指定した期間で集約したものです。統計を要求した場合、返されるデータストリームはメトリクス名とディメンションによって識別されます。ディメンションは、メトリクスを一意に識別する名前/値のペアです。たとえば、特定のアベイラビリティーゾーンで起動されたロードバランサーの配下のすべての正常な EC2 インスタンスの統計をリクエストできます。

`Minimum` および `Maximum` の統計は、各サンプリングウィンドウの個別のロードバランサーノードから報告されるデータポイントの最小値と最大値を反映します。`HealthyHostCount` の最大値の増加は、`UnHealthyHostCount` の最小値の減少に対応します。最大値 `HealthyHostCount` を監視して、最大値 `HealthyHostCount` が必要最小値を下回ったとき、または `0` になったときにアラームを起動することをお勧めします。これは、ターゲットがいつ異常になったかを特定するのに役立ちます。また、最小値 `UnHealthyHostCount` を監視して、最小値 `UnHealthyHostCount` が `0` を上回ったときにアラームを起動することもお勧めします。これにより、登録されたターゲットが存在しなくなったことに気付くことができます。

`Sum` 統計は、すべてのロードバランサーノードにおける集計値です。メトリクスには期間あたり複数のレポートが含まれているため、`Sum` はすべてのロードバランサーノードで集計されたメトリクスのみに適用されます。

`SampleCount` 統計は測定されたサンプルの数です。メトリクスはサンプリング間隔とイベントに基づいて集計されるため、通常、この統計は有用ではありません。たとえば、`HealthyHostCount` の `SampleCount` は、正常なホストの数ではなく各ロードバランサーノードが報告するサンプル数に基づいています。

## ロードバランサーの CloudWatch メトリクスの表示
<a name="view-metric-data"></a>

Amazon EC2 コンソールを使用して、ロードバランサーに関する CloudWatch メトリクスを表示できます。これらのメトリクスは、モニタリング用のグラフのように表示されます。ロードバランサーがアクティブでリクエストを受信しているときにのみ、モニタリング用のグラフにデータポイントが表示されます。

別の方法としては、ロードバランサーのメトリクスの表示に、CloudWatch コンソールを使用することもできます。

**コンソールを使用してメトリクスを表示するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ターゲットグループによってフィルタリングされたメトリクスを表示するには、以下の作業を実行します。

   1. ナビゲーションペインで、[**Target Groups**] を選択します。

   1. ターゲットグループを選択し、[**Monitoring**] を選択します。

   1. (オプション) 結果を時間でフィルタリングするには、[**Showing data for**] から時間範囲を選択します。

   1. 1 つのメトリクスの大きいビューを取得するには、グラフを選択します。

1. ロードバランサーでフィルタリングされたメトリクスを表示するには、以下の操作を実行します。

   1. ナビゲーションペインで、[**Load Balancers**] を選択します。

   1. ロードバランサーを選択し、[**Monitoring**] タブを選択します。

   1. (オプション) 結果を時間でフィルタリングするには、[**Showing data for**] から時間範囲を選択します。

   1. 1 つのメトリクスの大きいビューを取得するには、グラフを選択します。

**CloudWatch コンソールを使用してメトリクスを表示するには**

1. CloudWatch コンソール ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) を開きます。

1. ナビゲーションペインで [**Metrics (メトリクス)**] を選択してください。

1. [**NetworkELB**] 名前空間を選択します。

1. (オプション) すべてのディメンションでメトリクスを表示するには、検索フィールドに名称を入力します。

**を使用してメトリクスを表示するには AWS CLI**  
使用可能なメトリクスを表示するには、次の [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) コマンドを使用します。

```
aws cloudwatch list-metrics --namespace AWS/NetworkELB
```

**を使用してメトリクスの統計を取得するには AWS CLI**  
[get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html) コマンドを使用して、指定されたメトリクスとディメンションの統計情報を取得します。CloudWatch は、ディメンションの一意の組み合わせをそれぞれ別のメトリクスとして扱うことに注意してください。特に発行されていないディメンションの組み合わせを使用した統計を取得することはできません。メトリクス作成時に使用した同じディメンションを指定する必要があります。

```
aws cloudwatch get-metric-statistics --namespace AWS/NetworkELB \
--metric-name UnHealthyHostCount --statistics Average  --period 3600 \
--dimensions Name=LoadBalancer,Value=net/my-load-balancer/50dc6c495c0c9188 \
Name=TargetGroup,Value=targetgroup/my-targets/73e2d6bc24d8a067 \
--start-time 2017-04-18T00:00:00Z --end-time 2017-04-21T00:00:00Z
```

出力例を次に示します。

```
{
    "Datapoints": [
        {
            "Timestamp": "2017-04-18T22:00:00Z",
            "Average": 0.0,
            "Unit": "Count"
        },
        {
            "Timestamp": "2017-04-18T04:00:00Z",
            "Average": 0.0,
            "Unit": "Count"
        },
        ...
    ],
    "Label": "UnHealthyHostCount"
}
```

# Network Load Balancer のアクセスログ
<a name="load-balancer-access-logs"></a>

Elastic Load Balancing は、Network Load Balancer に対して確立された TLS 接続について、詳細情報を収集するアクセスログを提供します。これらのアクセスログを使用して、トラフィックパターンを分析し、問題のトラブルシューティングを行えます。

**重要**  
 従来の「レガシー」アクセスログ (このセクションで説明) は引き続き使用できますが、Network Load Balancer は CloudWatch Logs を通じた拡張ログ記録オプションの提供を開始しました。CloudWatch Logs は、Amazon CloudWatch Logs、Amazon Data Firehose、Amazon Simple Storage Service などへの、より柔軟な配信オプションを提供します。これらの改善されたログ記録オプションを設定するには、ロードバランサーの ***[統合]*** タブにアクセスしてください。CloudWatch Logs の詳細については、「[Network Load Balancer の CloudWatch ログ](load-balancer-cloudwatch-logs.md)」を参照してください。

**重要**  
アクセスログが作成されるのは、ロードバランサーに TLS リスナーがあり、TLS リクエストに関する情報のみが含まれる場合のみです。アクセスログは、ベストエフォートベースでリクエストを記録します。アクセスログは、すべてのリクエストを完全に報告するためのものではなく、リクエストの本質を把握するものとして使用することをお勧めします。

アクセスログの作成は、Elastic Load Balancing のオプション機能であり、デフォルトでは無効化されています。ロードバランサーのアクセスログの作成を有効にすると、Elastic Load Balancing はログを圧縮ファイルとしてキャプチャし、指定した Amazon S3 バケット内に保存します。アクセスログの作成はいつでも無効にできます。

Amazon S3 が管理する暗号化キー (SSE-S3) によって、または S3 バケットのカスタマーマネージドキーを使用する Key Management Service (SSE-KMS CMK) を使用して、サーバー側の暗号化を有効にできます。各アクセスログファイルは S3 バケットに保存される前に自動的に暗号化され、アクセス時に復号化されます。暗号化あるいは復号化されたログファイルにアクセスする方法に違いがないため、特別なアクションを実行する必要はありません。各ログファイルは、一意のキーで暗号化されます。この一意のキー自体が、定期的に更新される KMS キーで更新されます。詳細については、[Amazon S3暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) の指定」および[AWS KMS 「 (SSE-KMS) を使用したサーバー側の暗号化の指定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)」を参照してください。 *Amazon S3 *

アクセスログに対する追加料金はありません。Amazon S3 のストレージコストは発生しますが、Amazon S3 にログファイルを送信するために Elastic Load Balancing が使用する帯域については料金は発生しません。ストレージコストの詳細については、[Amazon S3 の料金](https://aws.amazon.com/s3/pricing/)を参照してください。

**Topics**
+ [

## アクセスログファイル
](#access-log-file-format)
+ [

## アクセスログのエントリ
](#access-log-entry-format)
+ [

## アクセスログファイルの処理
](#log-processing-tools)
+ [アクセスログの有効化](enable-access-logs.md)
+ [アクセスログの無効化](disable-access-logs.md)

## アクセスログファイル
<a name="access-log-file-format"></a>

Elastic Load Balancing は各ロードバランサーノードのログファイルを 5 分ごとに発行します。ログ配信には結果整合性があります。ロードバランサーでは、同じ期間について複数のログが発行されることがあります。これは通常、サイトに高トラフィックがある場合に発生します。

アクセスログのファイル名には次の形式を使用します。

```
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_net.load-balancer-id_end-time_random-string.log.gz
```

*bucket* (バケット)  
S3 バケットの名前。

*prefix*  
バケットのプレフィックス (論理階層)。プレフィックスを指定しない場合、ログはバケットのルートレベルに配置されます。

*aws-account-id*  
所有者の AWS アカウント ID。

*region*  
ロードバランサーおよび S3 バケットのリージョン。

*yyyy*/*mm*/*dd*  
ログが配信された日付。

*load-balancer-id*  
ロードバランサーのリソース ID。リソース ID にスラッシュ (/) が含まれている場合、ピリオド (.) に置換されます。

*end-time*  
ログ作成の間隔が終了した日時。たとえば、終了時間 20181220T2340Z には、23:35～23:40 に行われたリクエストのエントリが含まれます。

*random-string*  
システムによって生成されたランダム文字列。

ログファイル名の例は次のようになります。

```
s3://my-bucket/prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2020/05/01/123456789012_elasticloadbalancing_us-east-2_net.my-loadbalancer.1234567890abcdef_20200501T0000Z_20sg8hgm.log.gz
```

必要な場合はログファイルを自身のバケットに保管できますが、ログファイルを自動的にアーカイブまたは削除するにように Amazon S3 ライフサイクルルールを定義することもできます。詳細については、*Amazon S3 ユーザーガイド*の「[ストレージのライフサイクルの管理](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)」を参照してください。

## アクセスログのエントリ
<a name="access-log-entry-format"></a>

次の表は、アクセスログのエントリのフィールドを順に示しています。すべてのフィールドはスペースで区切られています。新しいフィールドが導入されると、ログエントリの最後に追加されます。ログファイルの処理中に、予期していなかったログエントリの最後のフィールドは無視する必要があります。


| フィールド | 説明 | 
| --- | --- | 
| type |  リスナーの種類。サポートされる値は `tls` です。  | 
| バージョン |  ログエントリのバージョン。現在のバージョンは 2.0 です。  | 
| time |  TLS 接続の最後に記録された時間 (ISO 8601 形式)。  | 
| elb |  ロードバランサーのリソース ID。  | 
| リスナー |  接続の TLS リスナーのリソース ID。  | 
| client\$1port |  クライアントの IP アドレスとポート。  | 
| destination\$1port |  送信先の IP アドレスとポート。クライアントがロードバランサーに直接接続する場合、送信先はリスナーです。クライアントが VPC エンドポイントサービスを介して接続する場合、送信先は VPC エンドポイントです。  | 
| connection\$1time |  接続が完了するまでの合計時間 (開始から終了まで) (ミリ秒単位)。  | 
| tls\$1handshake\$1time |  TCP 接続が確立された後に TLS ハンドシェイクが完了するまでの合計時間 (クライアント側の遅延時間を含む) (ミリ秒単位)。この時間は `connection_time` フィールドに含まれます。TLS ハンドシェイクまたは TLS ハンドシェイクの失敗がない場合、この値は `-` に設定されます。  | 
| received\$1bytes |  クライアントからロードバランサーによって受信されたバイト数 (復号後)。  | 
| sent\$1bytes |  ロードバランサーからクライアントに送信されたバイト数 (復号前)。  | 
| incoming\$1tls\$1alert |  クライアントからロードバランサーによって受信された TLS アラートの整数値 (存在する場合)。それ以外の場合、この値は `-` に設定されます。  | 
| chosen\$1cert\$1arn |  クライアントに提供された証明書の ARN。有効なクライアント hello メッセージが送信されない場合、この値は `-` に設定されます。  | 
| chosen\$1cert\$1serial |  将来の利用のために予約されています。この値は常に `-` に設定されます。  | 
| tls\$1cipher |  クライアントとネゴシエートされた暗号スイート (OpenSSL 形式)。TLS ネゴシエーションが完了しない場合、この値は `-` に設定されます。  | 
| tls\$1protocol\$1version |  クライアントとネゴシエートされた TLS プロトコル (文字列形式)。指定できる値は、`tlsv10`、`tlsv11`、`tlsv12`、`tlsv13` です。TLS ネゴシエーションが完了しない場合、この値は `-` に設定されます。  | 
| tls\$1keyexchange |  TLS または PQ-TLS のハンドシェイク中に使用されるキー交換。TLS または PQ-TLS ネゴシエーションが完了しない場合、この値は に設定されます`-`。  | 
| domain\$1name |  クライアント hello メッセージの server\$1name 拡張機能の値。この値は URL でエンコードされます。有効なクライアント hello メッセージが送信されない場合、または拡張機能が存在しない場合、この値は `-` に設定されます。  | 
| alpn\$1fe\$1protocol |  クライアントとネゴシエートされたアプリケーションプロトコル (文字列形式)。指定できる値は、`h2`、`http/1.1`、および `http/1.0` です。TLS リスナーで ALPN ポリシーが設定されていない場合、一致するプロトコルが見つからない場合、または有効なプロトコルリストが送信されない場合、この値は `-` に設定されます。  | 
| alpn\$1be\$1protocol |  ターゲットとネゴシエートされたアプリケーションプロトコル (文字列形式)。指定できる値は、`h2`、`http/1.1`、および `http/1.0` です。TLS リスナーで ALPN ポリシーが設定されていない場合、一致するプロトコルが見つからない場合、または有効なプロトコルリストが送信されない場合、この値は `-` に設定されます。  | 
| alpn\$1client\$1preference\$1list |  クライアントの hello メッセージ内の application\$1layer\$1protocol\$1negotiation 拡張機能の値。この値は URL でエンコードされます。各プロトコルは二重引用符で囲まれ、プロトコルはカンマで区切られます。TLS リスナーで ALPN ポリシーが設定されていない場合、有効なクライアント hello メッセージが送信されない場合、または内線番号が存在しない場合、この値は `-` に設定されます。文字列は、256 バイトを超える場合は切り捨てられます。  | 
| tls\$1connection\$1creation\$1time |  TLS 接続の最初に記録された時間 (ISO 8601 形式)。  | 

### ログエントリの例
<a name="access-log-entry-examples"></a>

以下にログエントリの例を示します。読みやすくするためだけの目的で、テキストは複数の行に表示されています。

次に、ALPN ポリシーを使用しない TLS リスナーの例を示します。

```
tls 2.0 2018-12-20T02:59:40 net/my-network-loadbalancer/c6e77e28c25b2234 g3d4b5e8bb8464cd 
72.21.218.154:51341 172.100.100.185:443 5 2 98 246 - 
arn:aws:acm:us-east-2:671290407336:certificate/2a108f19-aded-46b0-8493-c63eb1ef4a99 - 
ECDHE-RSA-AES128-SHA tlsv12 - 
my-network-loadbalancer-c6e77e28c25b2234.elb.us-east-2.amazonaws.com
- - - 2018-12-20T02:59:30
```

次に、ALPN ポリシーを使用する TLS リスナーの例を示します。

```
tls 2.0 2020-04-01T08:51:42 net/my-network-loadbalancer/c6e77e28c25b2234 g3d4b5e8bb8464cd 
72.21.218.154:51341 172.100.100.185:443 5 2 98 246 - 
arn:aws:acm:us-east-2:671290407336:certificate/2a108f19-aded-46b0-8493-c63eb1ef4a99 - 
ECDHE-RSA-AES128-SHA tlsv12 - 
my-network-loadbalancer-c6e77e28c25b2234.elb.us-east-2.amazonaws.com
h2 h2 "h2","http/1.1" 2020-04-01T08:51:20
```

## アクセスログファイルの処理
<a name="log-processing-tools"></a>

アクセスログファイルは圧縮されます。Amazon S3 コンソールを使用してファイルを開くと、ファイルは解凍され、情報が表示されます。ファイルをダウンロードする場合、情報を表示するには解凍する必要があります。

ウェブサイトの需要が大きい場合は、ロードバランサーによって数 GB のデータ量のログファイルが生成されることがあります。このような大容量のデータは、行単位で処理できない場合があります。このため、場合によっては、並列処理ソリューションを提供する分析ツールを使用する必要があります。例えば、次の分析ツールを使用するとアクセスログの分析と処理を行うことができます。
+ Amazon Athena はインタラクティブなクエリサービスで、Amazon S3 内のデータを標準 SQL を使用して簡単に分析できるようになります。詳細については、*Amazon Athena ユーザーガイド*の[Network Load Balancer ログのクエリ](https://docs.aws.amazon.com/athena/latest/ug/networkloadbalancer-classic-logs.html)を参照してください。
+ [Loggly](https://documentation.solarwinds.com/en/success_center/loggly/content/admin/s3-ingestion-auto.htm)
+ [Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/)
+ [Sumo Logic](https://www.sumologic.com/application/elb/)

# Network Load Balancer のアクセスログを有効にする
<a name="enable-access-logs"></a>

ロードバランサーのアクセスログの作成を有効にする場合は、ロードバランサーがログを保存する S3; バケットの名前を指定する必要があります。このバケットは、バケットにアクセスログを書き込む許可を Elastic Load Balancing に付与するバケットポリシーが必要です。

**重要**  
アクセスログが作成されるのは、ロードバランサーに TLS リスナーがあり、TLS リクエストに関する情報のみが含まれる場合のみです。

## バケットの要件
<a name="access-logging-bucket-requirements"></a>

既存のバケットを使用するか、アクセスログ専用のバケットを作成できます。バケットは、次の要件を満たしている必要があります。

**要件**
+ バケットは、ロードバランサーと同じリージョンに配置されている必要があります。バケットとロードバランサーは、異なるアカウントにより所有できます。
+ 指定するプレフィックスに `AWSLogs` を含めることはできません。指定したバケット名とプレフィックスの後に、`AWSLogs` で始まるファイル名部分が追加されます。
+ このバケットは、バケットにアクセスログを書き込む許可を付与するバケットポリシーが必要です。バケットポリシーは、バケットのアクセス許可を定義するためにアクセスポリシー言語で記述された JSON ステートメントのコレクションです。

**バケットポリシーの例**  
以下は、ポリシーの例です。`Resource` 要素については、*amzn-s3-demo-destination-bucket* をアクセスログの S3 バケットの名前に置き換えます。バケットプレフィックスを使用していない場合は、*Prefix/* を必ず省略してください。には`aws:SourceAccount`、ロードバランサーを持つ AWS アカウントの ID を指定します。`aws:SourceArn` については、*region* と *012345678912* をそれぞれロードバランサーのリージョンとアカウント ID に置き換えます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "012345678912"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:012345678912:*"
                    ]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": [
                        "012345678912"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:012345678912:*"
                    ]
                }
            }
        }
    ]
}
```

------<a name="access-log-bucket-encryption"></a>

**暗号化**

Amazon S3 アクセスログバケットのサーバー側の暗号化は、次のいずれかの方法で有効にできます。
+ Amazon S3 が管理するキー (SSE-S3)
+ AWS KMS AWS Key Management Service (SSE-KMS) † に保存されているキー

† Network Load Balancer アクセスログでは、 AWS マネージドキーを使用することはできません。カスタマーマネージドキーを使用する必要があります。

詳細については、[Amazon S3暗号化 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-s3-encryption.html) の指定」および[AWS KMS 「 (SSE-KMS) を使用したサーバー側の暗号化の指定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)」を参照してください。 *Amazon S3 *

キーポリシーで、ログの暗号化および復号化する許可をサービスに与える必要があります。以下は、ポリシーの例です。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
```

------

## アクセスログを設定
<a name="configure-access-logs"></a>

以下の手順を使用して、リクエスト情報を収集して S3 バケットにログファイルを配信するように、アクセスログを設定します。

------
#### [ Console ]

**アクセスログを有効にするには**

1. Amazon EC2 コンソール ([https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)) を開きます。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーの名前を選択して、その詳細ページを開きます。

1. **[属性]** タブで、**[編集]** を選択します。

1. **[モニタリング]** で **[アクセスログ]** をオンにします。

1. **[S3 ロケーション]** には、ログファイルの S3 URI を入力します。指定する URI は、プレフィックスを使用しているかどうかによって異なります。
   + プレフィックスがある URI: s3://*amzn-s3-demo-logging-bucket*/*logging-prefix*
   + プレフィックスがない URI:: s3://*amzn-s3-demo-logging-bucket*

1. **[Save changes]** (変更の保存) をクリックします。

------
#### [ AWS CLI ]

**アクセスログを有効にするには**  
関連する属性で [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) コマンドを使用します。

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes \
        Key=access_logs.s3.enabled,Value=true \
        Key=access_logs.s3.bucket,Value=amzn-s3-demo-logging-bucket \
        Key=access_logs.s3.prefix,Value=logging-prefix
```

------
#### [ CloudFormation ]

**アクセスログを有効にするには**  
[AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) リソースを更新して、関連する属性を含めます。

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-nlb
      Type: network
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
      LoadBalancerAttributes: 
        - Key: "access_logs.s3.enabled"
          Value: "true"
        - Key: "access_logs.s3.bucket"
          Value: "amzn-s3-demo-logging-bucket"
        - Key: "access_logs.s3.prefix"
          Value: "logging-prefix"
```

------

# Network Load Balancer のアクセスログを無効にする
<a name="disable-access-logs"></a>

ロードバランサーのアクセスログの作成は、いつでも無効にできます。アクセスログの作成を無効にした後は、削除するまでアクセスログは S3; バケットに残されたままです。詳細については、「*Amazon S3 ユーザーガイド*」の「[S3 バケットの作成、設定、操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)」を参照してください。

------
#### [ Console ]

**アクセスログを無効化するには**

1. Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。

1. ナビゲーションペインで、[**ロードバランサー**] を選択します。

1. ロードバランサーの名前を選択して、その詳細ページを開きます。

1. **[属性]** タブで、**[編集]** を選択します。

1. **[モニタリング]** で **[アクセスログ]** をオフにします。

1. **[Save changes]** (変更の保存) をクリックします。

------
#### [ AWS CLI ]

**アクセスログを無効化するには**  
[modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) コマンドを使用します。

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes Key=access_logs.s3.enabled,Value=false
```

------