기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Application Load Balancer 모니터링
<a name="load-balancer-monitoring"></a>

다음 기능을 사용하여 로드 밸런서를 모니터링하고 트래픽 패턴을 분석하며 로드 밸런서 및 대상의 문제를 해결할 수 있습니다.

**CloudWatch 지표**  
Amazon CloudWatch를 사용하여 로드 밸런서 및 대상에 대한 데이터 포인트에 대한 통계를 정렬된 시계열 데이터 집합으로 검색할 수 있습니다(*지표*라고 함). 이러한 지표를 사용하여 시스템이 예상대로 수행되고 있는지 확인할 수 있습니다. 자세한 내용은 [Application Load Balancer의 CloudWatch 지표](load-balancer-cloudwatch-metrics.md) 단원을 참조하십시오.

**액세스 로그**  
액세스 로그를 사용하여 로드 밸런서에 보낸 요청에 대한 자세한 정보를 캡처하고 Amazon S3에 로그 파일로 저장할 수 있습니다. 또한 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 대상의 문제를 해결할 수 있습니다. 자세한 내용은 [Application Load Balancer에 대한 액세스 로그](load-balancer-access-logs.md) 단원을 참조하십시오.

**연결 로그**  
연결 로그를 사용하여 로드 밸런서에 보낸 요청의 속성을 캡처하고 Amazon S3에 로그 파일로 저장할 수 있습니다. 이러한 연결 로그를 사용하여 사용할 클라이언트 IP 주소 및 포트, 클라이언트 인증서 정보, 연결 결과 및 TLS 암호를 확인할 수 있습니다. 이러한 연결 로그를 사용하여 요청 패턴 및 기타 추세를 검토할 수 있습니다. 자세한 내용은 [Application Load Balancer의 연결 로그](load-balancer-connection-logs.md) 단원을 참조하십시오.

**상태 확인 로그**  
상태 확인 로그를 사용하여 로드 밸런서에 대해 등록된 대상에 수행된 상태 확인에 대한 세부 정보를 캡처하고 Amazon S3에 로그 파일로 저장할 수 있습니다. 이러한 상태 확인 로그를 사용하여 대상 문제를 해결할 수 있습니다. 자세한 내용은 [상태 확인 로그](load-balancer-health-check-logs.md) 단원을 참조하십시오.

**요청 추적**  
요청 추적을 사용하여 HTTP 요청을 추적할 수 있습니다. 로드 밸런서는 수신한 각 요청에 트레이스 식별자가 있는 헤더를 추가합니다. 자세한 내용은 [Application Load Balancer에 대한 요청 추적](load-balancer-request-tracing.md) 단원을 참조하십시오.

**CloudTrail 로그**  
 AWS CloudTrail 를 사용하여 Elastic Load Balancing API에 대한 호출에 대한 자세한 정보를 캡처하고 Amazon S3에 로그 파일로 저장할 수 있습니다. 이러한 CloudTrail 로그를 사용하여 어떤 요청이 이루어졌는지, 어떤 소스 IP 주소에서 요청을 했는지, 누가 언제 요청했는지 등을 확인할 수 있습니다. 자세한 내용은 [CloudTrail을 사용하여 Elastic Load Balancing에 대한 API 직접 호출 로깅](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/cloudtrail-logs.html)을 참조하세요.

# Application Load Balancer의 CloudWatch 지표
<a name="load-balancer-cloudwatch-metrics"></a>

Elastic Load Balancing은 로드 밸런서와 대상을 위해 Amazon CloudWatch에 데이터 포인트를 게시합니다. CloudWatch를 사용하면 이러한 데이터 포인트에 대한 통계를 정렬된 시계열 데이터 세트로 검색할 수 있습니다. 이러한 통계를 *지표*라고 합니다. 지표를 모니터링할 변수로 생각하면 데이터 요소는 시간에 따른 변수의 값을 나타냅니다. 예를 들어 지정된 기간 동안 로드 밸런서에 대한 정상 상태 대상의 총 수를 모니터링할 수 있습니다. 각 데이터 요소에는 연결된 타임스탬프와 측정 단위(선택 사항)가 있습니다.

지표를 사용하여 시스템이 예상대로 수행되고 있는지 확인할 수 있습니다. 예를 들어 CloudWatch 경보를 생성하여 지정된 지표를 모니터링할 수 있으며, 지표가 허용 범위를 벗어난다고 간주되는 경우 작업(예: 이메일 주소로 알림 전송)를 시작할 수 있습니다.

Elastic Load Balancing은 요청이 로드 밸런서를 통과하는 경우에만 지표를 CloudWatch에 보고합니다. 로드 밸런서를 통과하는 요청이 있는 경우 Elastic Load Balancing은 60초 간격으로 지표를 측정하고 전송합니다. 로드 밸런서를 통과하고 있는 요청이 없는 경우나 지표에 대한 데이터가 없는 경우에는 지표가 보고되지 않습니다.

Application Load Balancer의 지표에는 상태 확인 요청이 포함되지 않습니다.

자세한 설명은 [Amazon CloudWatch 사용자 가이드](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/)를 참조하세요.

**Topics**
+ [Application Load Balancer 지표](#load-balancer-metrics-alb)
+ [Application Load Balancer의 지표 차원](#load-balancer-metric-dimensions-alb)
+ [Application Load Balancer 지표에 대한 통계](#metric-statistics)
+ [로드 밸런서에 대한 CloudWatch 지표 보기](#view-metric-data)

## Application Load Balancer 지표
<a name="load-balancer-metrics-alb"></a>
+ [로드 밸런서](#load-balancer-metric-table)
+ [LCU](#lcu-metric-table)
+ [대상](#target-metric-table)
+ [대상 그룹 상태](#target-group-health-metric-table)
+ [Lambda 함수](#lambda-metric-table)
+ [사용자 인증](#user-authentication-metric-table)
+ [대상 최적화 프로그램](#target-optimizer-metric-table)<a name="load-balancer-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 다음 로드 밸런서 지표가 포함되어 있습니다.


| 측정치 | 설명 | 
| --- | --- | 
| ActiveConnectionCount |  클라이언트에서 로드 밸런서로, 그리고 로드 밸런서에서 대상으로 동시에 연결되는 활성 TCP 연결 총 수. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| BYoIPUtilPercentage |  IP 풀에서 사용된 비율입니다. **보고 기준**: 로드 밸런서에서 BYoIP가 활성화되어 있습니다. **통계**: 유일하게 의미 있는 통계는 `Average`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ClientTLSNegotiationErrorCount |  TLS 오류로 인해 로드 밸런서와 세션을 구성하지 않은 클라이언트에서 시작된 TLS 연결 수. 가능한 원인으로는 암호 또는 프로토콜 불일치나 클라이언트의 서버 인증서 확인 실패 및 연결 종료가 있습니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| DesyncMitigationMode\$1NonCompliant\$1Request\$1Count |  RFC 7230을 준수하지 않는 요청 수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| DroppedInvalidHeaderRequestCount |  로드 밸런서가 요청을 라우팅하기 전에 유효하지 않은 헤더 필드가 있는 HTTP 헤더를 제거한 요청 수입니다. 로드 밸런서는 `routing.http.drop_invalid_header_fields.enabled` 속성이 `true`로 설정된 경우에만 이러한 헤더를 제거합니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 모두 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ForwardedInvalidHeaderRequestCount |  유효하지 않은 헤더 필드가 있는 HTTP 헤더가 포함된 로드 밸런서가 라우팅한 요청 수입니다. 로드 밸런서는 `routing.http.drop_invalid_header_fields.enabled` 속성이 `false`로 설정된 경우에만 이러한 헤더와 함께 요청을 전달합니다. **보고 기준**: 항상 보고 **통계**: 모두 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| GrpcRequestCount |  IPv4 및 IPv6를 통해 처리된 gRPC 요청 수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. `Minimum`, `Maximum` 및 `Average`은(는) 모두 1을 반환합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTP\$1Fixed\$1Response\$1Count |  성공한 고정 응답 작업의 수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTP\$1Redirect\$1Count |  성공한 리디렉션 작업의 수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTP\$1Redirect\$1Url\$1Limit\$1Exceeded\$1Count |  응답 위치 헤더의 URL이 8K보다 크기 때문에 완료할 수 없는 리디렉션 작업의 수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$13XX\$1Count |  로드 밸런서에서 생성되는 HTTP 3XX 리디렉션 코드의 수입니다. 단, 대상에서 생성된 응답 코드 수는 여기에 포함되지 않습니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$14XX\$1Count |  로드 밸런서에서 생성된 HTTP 4XX 클라이언트 오류 코드 수. 단, 대상에서 생성된 응답 코드 수는 여기에 포함되지 않습니다. 클라이언트 오류는 요청 형식이 잘못되었거나 불완전할 때 생성됩니다. 로드 밸런서가 [HTTP 460 오류 코드](load-balancer-troubleshooting.md#http-460-issues)를 반환하는 경우를 제외하고 대상에서는 이러한 요청이 수신되지 않습니다. 단, 대상에서 생성된 응답 코드 수는 여기에 포함되지 않습니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. `Minimum`, `Maximum` 및 `Average`은(는) 모두 1을 반환합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$15XX\$1Count |  로드 밸런서에서 생성된 HTTP 5XX 서버 오류 코드 수. 단, 대상에서 생성된 응답 코드 수는 여기에 포함되지 않습니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. `Minimum`, `Maximum` 및 `Average`은(는) 모두 1을 반환합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$1500\$1Count |  로드 밸런서에서 생성된 HTTP 500 오류 코드 수. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$1502\$1Count |  로드 밸런서에서 생성된 HTTP 502 오류 코드 수. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$1503\$1Count |  로드 밸런서에서 생성된 HTTP 503 오류 코드 수. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1ELB\$1504\$1Count |  로드 밸런서에서 생성된 HTTP 504 오류 코드 수. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| IPv6ProcessedBytes |  로드 밸런서에서 IPv6를 통해 처리된 총 바이트 수. 이 수는 `ProcessedBytes`에 포함됩니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| IPv6RequestCount |  로드 밸런서가 수신한 IPv6 요청 수. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. `Minimum`, `Maximum` 및 `Average`은(는) 모두 1을 반환합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| LowReputationPacketsDropped |  알려진 악성 소스에서 폐기된 패킷 수입니다. 이 지표는 리소스 수준 DDoS 보호로 요청이 차단될 때 기록됩니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| LowReputationRequestsDenied |  HTTP 403 응답으로 거부된 HTTP 요청 수입니다. 이 지표는 리소스 수준 DDoS 보호로 요청이 차단될 때 기록됩니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| NewConnectionCount |  클라이언트에서 로드 밸런서로, 그리고 로드 밸런서에서 대상으로 새롭게 구성된 TCP 연결 총 수 **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| NonStickyRequestCount |  로드 밸런서가 기존 고정 세션을 사용할 수 없기 때문에 새 대상을 선택한 요청 수입니다. 예를 들어, 요청이 새 클라이언트의 첫 번째 요청이었고 고정 쿠키가 제공되지 않았거나, 고정 쿠키가 제공되었지만 이 대상 그룹에 등록된 대상을 지정하지 않았거나, 고정 그룹이 잘못된 형식이거나 만료되었거나, 내부 오류로 인해 로드 밸런서가 고정 쿠키를 읽을 수 없었습니다. **Reporting criteria(보고 기준)**: 대상 그룹에서 고정이 활성화됩니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ProcessedBytes |  로드 밸런서에서 IPv4 및 IPv6를 통해 처리된 총 바이트 수(HTTP 헤더 및 HTTP 페이로드)입니다. 이 수에는 클라이언트와 Lambda 함수로 송수신하는 트래픽, Websocket 연결을 통한 트래픽, ID 제공업체(IdP)가 보내는 트래픽(사용자 인증이 활성화된 경우)이 포함됩니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| RejectedConnectionCount |  로드 밸런서가 최대 연결 수에 도달하여 거부된 연결 수 **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| RequestCount |  IPv4 및 IPv6를 통해 처리된 요청 수입니다. 이 지표는 로드 밸런서 노드가 대상을 선택할 수 있었던 요청에 대해서만 증가합니다. 대상이 선택되기 전에 거부된 요청은 이 지표에 반영되지 않습니다. **보고 기준**: 등록된 대상이 있는 경우 보고됩니다. **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| RuleEvaluations |  요청을 처리하는 동안 로드 밸런서가 평가한 규칙 수입니다. 기본 규칙은 계수되지 않습니다. 요청당 10개의 무료 규칙 평가가 이 수에 포함됩니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | <a name="lcu-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 다음 로드 밸런서 용량 단위(LCU) 지표가 포함되어 있습니다.


| 지표 | 설명 | 
| --- | --- | 
| ConsumedLCUs |  로드 밸런서에서 사용하는 로드 밸런서 용량 단위(LCU) 수. 시간 단위로 사용한 LCU 수만큼 요금을 지불하면 됩니다. LCU 예약이 활성화되면 ConsumedLCUs는 사용량이 예약 용량보다 적은 경우 `0`을 보고하고 사용량이 예약 LCU를 초과하는 경우 `0`보다 큰 값을 보고합니다. 자세한 내용은 [Elastic Load Balancing 요금](https://aws.amazon.com/elasticloadbalancing/pricing/)을 참조하세요. **보고 기준**: 항상 보고 **통계**: 모두 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| PeakLCUs |  지정된 시점에 로드 밸런서가 사용하는 로드 밸런서 용량 단위(LCU)의 최대 수입니다. LCU 예약을 사용하는 경우에만 적용됩니다. **보고 기준**: 항상 **통계**: 가장 유용한 통계는 `Sum` 및 `Max`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ReservedLCUs |  예약 용량을 분 단위로 보고하는 결제 지표입니다. 어떤 기간이든 총 ReservedLCUs는 청구 대상이 되는 LCU의 양입니다. 예를 들어 500LCU를 한 시간 동안 예약한 경우 분당 지표는 8.33LCU입니다. 자세한 내용은 [예약 모니터링](monitor-capacity-unit-reservation.md) 단원을 참조하십시오. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 모두 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | <a name="target-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 다음 대상 지표가 포함되어 있습니다.


| 측정치 | 설명 | 
| --- | --- | 
| AnomalousHostCount |  이상이 탐지된 호스트 수입니다. **보고 기준**: 항상 보고 **통계**: 유일하게 의미 있는 통계는 `Minimum` 및 `Maximum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HealthyHostCount |  정상 상태로 간주되는 대상 수. **보고 기준**: 등록된 대상이 있는 경우 보고됩니다. **통계**: 가장 유용한 통계는 `Average`, `Minimum` 및 `Maximum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HTTPCode\$1Target\$12XX\$1Count, HTTPCode\$1Target\$13XX\$1Count, HTTPCode\$1Target\$14XX\$1Count, HTTPCode\$1Target\$15XX\$1Count |  대상에서 생성된 HTTP 응답 코드 수. 단, 로드 밸런서에서 생성된 응답 코드 수는 여기에 포함되지 않습니다. **보고 기준**: 등록된 대상이 있는 경우 보고됩니다. **통계**: 가장 유용한 통계는 `Sum`입니다. `Minimum`, `Maximum` 및 `Average`은(는) 모두 1을 반환합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| MitigatedHostCount |  완화가 진행 중인 대상 수입니다. **보고 기준**: 항상 보고 **통계**: 가장 유용한 통계는 `Average`, `Minimum` 및 `Maximum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| RequestCountPerTarget |  대상 그룹의 대상당 평균 요청 수입니다. 대상 그룹은 `TargetGroup` 차원을 사용하여 지정해야 합니다. 대상이 Lambda 함수인 경우 이 지표는 적용되지 않습니다. 이 수는 대상 그룹이 수신한 총 요청 수를 대상 그룹의 정상 대상 수로 나눈 값을 사용합니다. 대상 그룹에 정상 대상이 없는 경우 등록된 총 대상 수로 나눕니다. **보고 기준**: 항상 보고 **통계**: 유일하게 유효한 통계는 `Sum`입니다. 이는 합계가 아니라 평균을 의미합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetConnectionErrorCount |  로드 밸런서와 대상 사이에 성공적으로 구성되지 않은 연결 수 대상이 Lambda 함수인 경우 이 지표는 적용되지 않습니다. 이 지표는 상태 확인 연결이 실패한 경우 증가하지 않습니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetResponseTime |  로드 밸런서가 요청을 전송한 후 대상이 응답 헤더 전송을 시작할 때까지 경과한 시간(초)입니다. 이 지표는 액세스 로그에서 `target_processing_time` 필드와 동일합니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Average` 및 `pNN.NN`입니다(백분위수). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetTLSNegotiationErrorCount |  대상과 세션을 구성하지 않은 로드 밸런서에서 시작된 TLS 연결 수. 가능한 원인으로는 암호 또는 프로토콜 불일치가 있습니다. 대상이 Lambda 함수인 경우 이 지표는 적용되지 않습니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| UnHealthyHostCount |  비정상 상태로 간주되는 대상 수. 대상 등록을 취소하면 `HealthyHostCount`는 감소하지만 `UnhealthyHostCount`는 증가하지 않습니다. **보고 기준**: 등록된 대상이 있는 경우 보고됩니다. **통계**: 가장 유용한 통계는 `Average`, `Minimum` 및 `Maximum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ZonalShiftedHostCount |  영역 전환으로 인해 비활성화된 것으로 간주되는 대상 수입니다. **보고 기준**: 값이 있는 경우 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | <a name="target-group-health-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 다음 대상 그룹 상태에 대한 지표가 포함되어 있습니다. 자세한 내용은 [대상 그룹 상태](load-balancer-target-groups.md#target-group-health) 단원을 참조하십시오.


| 측정치 | 설명 | 
| --- | --- | 
| HealthyStateDNS |  DNS 정상 상태 요구 사항을 충족하는 영역 수. **통계**: 가장 유용한 통계는 `Max`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| HealthyStateRouting |  라우팅 정상 상태 요구 사항을 충족하는 영역 수. **통계**: 가장 유용한 통계는 `Max`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| UnhealthyRoutingRequestCount |  라우팅 장애 조치 작업(페일 오픈)을 사용하여 라우팅된 요청 수. **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| UnhealthyStateDNS |  DNS 정상 상태 요구 사항을 충족하지 않아 DNS에서 비정상으로 표시된 영역 수. **통계**: 가장 유용한 통계는 `Min`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| UnhealthyStateRouting |  라우팅 정상 상태 요구 사항을 충족하지 않아 로드 밸런서가 비정상 대상을 포함한 영역 내 모든 대상으로 트래픽을 분산하는 영역 수. **통계**: 가장 유용한 통계는 `Min`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | <a name="lambda-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 대상으로 등록된 Lambda 함수에 대해 다음과 같은 지표가 포함됩니다.


| 측정치 | 설명 | 
| --- | --- | 
| LambdaInternalError |  로드 밸런서 또는 AWS Lambda에 내부적인 문제 때문에 실패한 Lambda 함수에 대한 요청 수입니다. 오류 이유 코드를 가져오려면 액세스 로그의 오류 이유 필드를 확인하십시오. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| LambdaTargetProcessedBytes |  Lambda 함수의 요청과 응답에 대해 로드 밸런서에서 처리된 총 바이트 수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| LambdaUserError |  Lambda 함수 문제 때문에 실패한 Lambda 함수에 대한 요청 수입니다. 예를 들어, 로드 밸런서가 함수를 호출할 권한이 없거나, 형식이 잘못되거나 필수 필드가 누락된 함수에서 로드 밸런서가 JSON을 수신했거나, 요청 본문 또는 응답의 크기가 1MB의 최대 크기를 초과했습니다. 오류 이유 코드를 가져오려면 액세스 로그의 오류 이유 필드를 확인하십시오. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | <a name="user-authentication-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 사용자 인증에 대한 다음 지표가 포함되어 있습니다.


| 측정치 | 설명 | 
| --- | --- | 
| ELBAuthError |  인증 작업이 잘못 구성되었거나, 로드 밸런서가 IdP와 연결을 설정할 수 없었거나, 로드 밸런서가 내부 오류로 인해 인증 흐름을 완료할 수 없었기 때문에 완료되지 않은 사용자 인증 수. 오류 이유 코드를 가져오려면 액세스 로그의 오류 이유 필드를 확인하십시오. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ELBAuthFailure |  IdP가 사용자에 대한 액세스를 거부했거나 인증 코드가 두 번 이상 사용되었기 때문에 완료되지 않은 사용자 인증 수. 오류 이유 코드를 가져오려면 액세스 로그의 오류 이유 필드를 확인하십시오. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ELBAuthLatency |  IdP에 ID 토큰 및 사용자 정보를 쿼리하는 데 경과한 시간(단위: 밀리초)입니다. 이러한 작업이 하나 이상 실패할 경우 이 지표는 실패까지의 시간입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 모든 통계가 의미 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ELBAuthRefreshTokenSuccess |  로드 밸런서가 IdP에서 제공된 새로 고침 토큰을 사용하여 사용자 클레임을 성공적으로 새로 고친 횟수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ELBAuthSuccess |  성공한 인증 작업의 수. 이 지표는 로드 밸런서가 IdP로부터 사용자 클레임을 검색한 후 인증 워크플로 종료 시 증가합니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 가장 유용한 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| ELBAuthUserClaimsSizeExceeded |  구성된 IdP가 11K 바이트 크기를 초과하는 사용자 클레임을 반환한 횟수입니다. **보고 기준**: 0이 아닌 값이 있을 때 **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | <a name="target-optimizer-metric-table"></a>

`AWS/ApplicationELB` 네임스페이스에는 대상 최적화 프로그램에 대한 다음 지표가 포함됩니다.


| 지표 | 설명 | 
| --- | --- | 
| TargetControlRequestCount |  ALB가 에이전트에게 전달한 요청 수입니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetControlRequestRejectCount |  요청을 수신할 준비가 된 대상이 없어 ALB에서 거부한 요청 수입니다. 이 지표는 TargetControlWorkQueueLength가 0일 때 업틱을 보여줍니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetControlActiveChannelCount |  ALB와 에이전트 간의 활성 제어 채널 수입니다. 로드 밸런서의 경우 에이전트 수와 같아야 합니다. 예상보다 낮은 수는 에이전트가 제대로 구성되지 않았거나 사용할 수 없음을 나타냅니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetControlNewChannelCount |  ALB와 에이전트 간에 생성된 새 제어 채널 수입니다. 에이전트가 설치된 새 대상이 대상 그룹에 성공적으로 추가되면이 지표에 uptick이 표시됩니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetControlChannelErrorCount |  설정하지 못했거나 예기치 않은 오류가 발생한 ALB와 에이전트 간의 제어 채널 수입니다. 제어 채널 오류로 인해 해당 에이전트(및 대상)가 애플리케이션 트래픽을 수신하지 못합니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetControlWorkQueueLength |  요청을 요청하는 에이전트로부터 ALB가 수신한 신호 수입니다.  이 데이터는 1분 간격으로 생성된 스냅샷에서 가져옵니다. 1분 미만의 변경 사항은 캡처되지 않습니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 유일하게 의미 있는 통계는 `Sum`입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 
| TargetControlProcessedBytes |  대상 최적화 프로그램을 활성화하는 대상 그룹에 대한 트래픽에 대해 ALB에서 처리하는 바이트 수입니다. **보고 기준**: 대상 그룹에서 대상 최적화 프로그램이 활성화되고 0이 아닌 값이 있습니다. **통계**: 가장 의미 있는 통계는 입니다`Sum`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)  | 

## Application Load Balancer의 지표 차원
<a name="load-balancer-metric-dimensions-alb"></a>

Application Load Balancer 지표를 필터링하려면 다음 차원을 사용하세요.


| 차원 | 설명 | 
| --- | --- | 
| AvailabilityZone |  가용 영역을 기준으로 지표 데이터를 필터링합니다.  | 
| LoadBalancer |  로드 밸런서를 기준으로 지표 데이터를 필터링합니다. 로드 밸런서는 다음과 같이 지정합니다. app/*load-balancer-name*/*1234567890123456*(로드 밸런서 ARN의 마지막 구간)  | 
| TargetGroup |  대상 그룹을 기준으로 지표 데이터를 필터링합니다. 대상 그룹은 다음과 같이 지정합니다. targetgroup/*target-group-name*/*1234567890123456*(대상 그룹 ARN의 마지막 구간).  | 

## Application Load Balancer 지표에 대한 통계
<a name="metric-statistics"></a>

CloudWatch는 Elastic Load Balancing에서 게시한 지표 데이터 포인트를 기반으로 통계를 제공합니다. 통계는 지정한 기간에 걸친 지표 데이터 집계입니다. 통계를 요청하면 지표 이름 및 차원으로 반환된 데이터 스트림이 식별됩니다. 차원이란 지표를 고유하게 식별하는 데 도움이 되는 이름-값 쌍을 말합니다. 예를 들어 특정 가용 영역에서 시작된 로드 밸런서를 지원하는 정상 상태의 모든 EC2 인스턴스에 대한 통계를 요청할 수 있습니다.

`Minimum` 및 `Maximum` 통계는 각 샘플링 창에서 개별 로드 밸런서 노드가 보고한 최소 및 최대 데이터 포인트 값을 반영합니다. 예를 들어 Application Load Balancer를 구성하는 로드 밸런서 노드가 2개라고 가정해 보겠습니다. 하나의 노드에는 `HealthyHostCount`이 2, `Minimum`이 10, `Maximum`가 6인 `Average`가 있으며 다른 노드에는 `HealthyHostCount`이 1, `Minimum`이 5, `Maximum`가 3인 `Average`가 있습니다. 따라서 로드 밸런서의 `Minimum`은 1, `Maximum`은 10, `Average`는 4입니다.

`UnHealthyHostCount``Minimum` 통계에서 0이 아닌 값을 모니터링하고 둘 이상의 데이터 요소에 대해 0이 아닌 값에 대해 경보를 표시하는 것이 좋습니다. `Minimum`을 사용하면 로드 밸런서의 모든 노드와 가용 영역에서 대상이 비정상으로 간주되는 시점을 감지할 수 있습니다. `Average` 또는 `Maximum` 알람은 잠재적인 문제에 대한 알림을 받고 싶을 때 유용하며, 고객은 이 지표를 검토하여 0이 아닌 발생 항목을 조사하는 것이 좋습니다. Amazon EC2 Auto Scaling 또는 Amazon Elastic Container Service(Amazon ECS)에서 로드 밸런서 상태 확인을 사용하는 모범 사례에 따라 장애를 자동으로 완화할 수 있습니다.

`Sum` 통계는 모든 로드 밸런서 노드의 집계 값입니다. 지표에는 기간별 보고서가 여러 개 있기 때문에 `Sum`은 모든 로드 밸런서 노드에서 집계된 지표에만 적용할 수 있습니다.

`SampleCount` 통계는 측정된 샘플의 수입니다. 지표는 샘플링 간격 및 이벤트를 토대로 수집이 되기 때문에 일반적으로 이 통계는 유용하지 않습니다. 예를 들어 `HealthyHostCount`에 대해 `SampleCount`는 각 로드 밸런서 노드가 보고하는 샘플 수를 기반으로 하며 정상 호스트 수는 아닙니다.

백분위 수는 데이터 세트에서 값의 상대적 위치를 나타냅니다. 소수점 두 자리까지 사용하여 백분위 수를 지정할 수 있습니다(예: p95.45). 예를 들어 95 백분위는 데이터의 95%가 이 값보다 아래에 있고 5%가 위에 있다는 것을 의미합니다. 백분위 수는 종종 이상치를 격리하는 데 사용됩니다. 예를 들어 애플리케이션이 캐시에서 오는 요청의 대다수를 1-2 ms에 처리하지만, 캐시가 비어 있는 경우에는 처리에 100 - 200 ms가 걸린다고 가정해 봅시다. 최대값은 가장 느린 경우(200 ms 정도)를 반영합니다. 평균은 데이터의 분산을 나타내지 않습니다. 백분위 수는 애플리케이션 성능을 훨씬 의미 있는 방식으로 볼 수 있습니다. Auto Scaling 트리거 또는 CloudWatch 경보로 99 백분위를 사용하면 처리에 2 ms가 넘게 걸리는 요청이 전체의 1%를 넘지 않게 할 수 있습니다.

## 로드 밸런서에 대한 CloudWatch 지표 보기
<a name="view-metric-data"></a>

Amazon EC2 콘솔을 사용하여 로드 밸런서에 대한 CloudWatch 지표를 볼 수 있습니다. 이 측정치들은 모니터링 그래프로 표시됩니다. 로드 밸런서가 활성 상태로 요청을 수신 중에 있으면 모니터링 그래프에 데이터 요소가 표시됩니다.

또는 CloudWatch 콘솔을 사용하여 로드 밸런서에 대한 지표를 볼 수 있습니다.

**콘솔을 사용한 메트릭 확인**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 대상 그룹을 기준으로 필터링한 지표를 보려면 다음 작업을 수행합니다.

   1. 탐색 창에서 [**Target Groups**]를 선택합니다.

   1. 대상 그룹을 선택한 다음 [**Monitoring**] 탭을 선택합니다.

   1. (선택 사항) 시간을 기준으로 결과를 필터링하려면 [**Showing data for**]에서 시간 범위를 선택합니다.

   1. 단일 지표를 크게 보려면 그래프를 선택합니다.

1. 로드 밸런서를 기준으로 필터링한 지표를 보려면 다음 작업을 수행합니다.

   1. 탐색 창에서 [**Load Balancers**]를 클릭합니다.

   1. 로드 밸런서를 선택한 다음 [**Monitoring**] 탭을 선택합니다.

   1. (선택 사항) 시간을 기준으로 결과를 필터링하려면 [**Showing data for**]에서 시간 범위를 선택합니다.

   1. 단일 지표를 크게 보려면 그래프를 선택합니다.

**CloudWatch 콘솔을 사용하여 지표를 보려면**

1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.

1. 탐색 창에서 [**지표(Metrics)**]를 선택합니다.

1. [**ApplicationELB**] 네임스페이스를 선택합니다.

1. (선택 사항) 모든 차원의 지표를 보려면 검색 필드에 이름을 입력합니다.

1. (선택 사항) 차원을 기준으로 필터링하려면 다음 중 하나를 선택하십시오.
   + 로드 밸런서에 보고된 지표만 표시하려면 [**Per AppELB Metrics**]를 선택합니다. 단일 로드 밸런서에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다.
   + 대상 그룹에 보고된 지표만 표시하려면 [**Per AppELB, per TG Metrics**]를 선택합니다. 단일 대상 그룹에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다.
   + 가용 영역이 로드 밸런서에 대해 보고한 지표만 표시하려면 [**Per AppELB, per AZ Metrics**]를 선택합니다. 단일 로드 밸런서에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다. 단일 가용 영역에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다.
   + 가용 영역 및 대상 그룹이 로드 밸런서에 대해 보고한 지표만 표시하려면 [**Per AppELB, per AZ, per TG Metrics**]를 선택합니다. 단일 로드 밸런서에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다. 단일 대상 그룹에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다. 단일 가용 영역에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다.

**를 사용하여 지표를 보려면 AWS CLI**  
사용 가능한 지표의 목록을 표시하려면 아래 [list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) 명령을 사용하세요.

```
aws cloudwatch list-metrics --namespace AWS/ApplicationELB
```

**를 사용하여 지표에 대한 통계를 가져오려면 AWS CLI**  
지정된 지표 및 차원에 대한 통계를 구하려면 아래 [get-metric-statistics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/get-metric-statistics.html) 명령을 사용하세요. CloudWatch는 각각의 고유한 차원의 조합을 별도의 지표로 처리합니다. 특별 게시가 되지 않은 차원의 조합을 사용해 통계를 검색할 수는 없습니다. 지표 생성 시 사용한 것과 동일하게 차원을 지정해야 합니다.

```
aws cloudwatch get-metric-statistics --namespace AWS/ApplicationELB \
--metric-name UnHealthyHostCount --statistics Average  --period 3600 \
--dimensions Name=LoadBalancer,Value=app/my-load-balancer/50dc6c495c0c9188 \
Name=TargetGroup,Value=targetgroup/my-targets/73e2d6bc24d8a067 \
--start-time 2016-04-18T00:00:00Z --end-time 2016-04-21T00:00:00Z
```

다음은 예제 출력입니다.

```
{
    "Datapoints": [
        {
            "Timestamp": "2016-04-18T22:00:00Z",
            "Average": 0.0,
            "Unit": "Count"
        },
        {
            "Timestamp": "2016-04-18T04:00:00Z",
            "Average": 0.0,
            "Unit": "Count"
        },
        ...
    ],
    "Label": "UnHealthyHostCount"
}
```

# Application Load Balancer에 대한 액세스 로그
<a name="load-balancer-access-logs"></a>

Elastic Load Balancing은 로드 밸런서에 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

액세스 로그는Elastic Load Balancing의 옵션 기능으로, 기본적으로 비활성화되어 있습니다. 로드 밸런서에 대해 액세스 로그를 활성화하면 Elastic Load Balancing이 로그를 캡처하여 압축 파일을 지정한 Amazon S3 버킷에 저장합니다. 액세스 로그는 언제든지 비활성화할 수 있습니다.

Amazon S3의 스토리지 비용은 청구되지만, Amazon S3로 로그 파일을 전송하기 위해 Elastic Load Balancing에서 사용하는 대역폭에 대해서는 요금이 부과되지 않습니다. 스토리지 비용에 대한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.

**Topics**
+ [액세스 로그 파일](#access-log-file-format)
+ [액세스 로그 항목](#access-log-entry-format)
+ [로그 항목 예제](#access-log-entry-examples)
+ [로그 전송 알림 구성](#access-log-event-notifications)
+ [액세스 로그 파일 처리](#log-processing-tools)
+ [액세스 로그 활성화](enable-access-logging.md)
+ [액세스 로그 비활성화](disable-access-logging.md)

## 액세스 로그 파일
<a name="access-log-file-format"></a>

Elastic Load Balancing은 5분마다 각 로드 밸런서 노드에 대한 로그 파일을 게시합니다. 로그 전달은 결과의 일관성이 있습니다. 로드 밸런서는 같은 기간 동안 여러 개의 로그를 전달할 수 있습니다. 이러한 상황은 보통 사이트에 트래픽이 많은 경우에 발생합니다.

액세스 로그의 파일 이름은 다음 형식을 사용합니다.

```
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_app.load-balancer-id_end-time_ip-address_random-string.log.gz
```

*버킷*  
S3 버킷의 이름.

*접두사*  
(선택 사항) 버킷의 접두사(논리적 계층 구조)입니다. 지정하는 접두사에는 문자열 `AWSLogs`가 포함되지 않아야 합니다. 자세한 내용은 [접두사를 사용한 객체 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)을 참조하세요.

`AWSLogs`  
`AWSLogs`로 시작하는 파일 이름의 일부가 지정하는 버킷 이름과 선택적 접두사 뒤에 추가됩니다.

*aws-account-id*  
소유자의 AWS 계정 ID입니다.

*리전*.  
로드 밸런서 및 S3 버킷을 위한 리전입니다.

*yyyy*/*mm*/*dd*  
로그가 전달된 날짜입니다.

*load-balancer-id*  
로드 밸런서의 리소스 ID입니다. 리소스 ID에 포함되어 있는 슬래시(/)가 마침표(.)로 대체됩니다.

*end-time*  
로깅 간격이 끝나는 날짜와 시간입니다. 예를 들어 종료 시간이 20140215T2340Z이면 UTC 또는 Zulu 시간으로 23:35과 23:40 사이의 요청에 대한 항목이 포함됩니다.

*ip-address*  
요청을 처리한 로드 밸런서 노드의 IP 주소입니다. 내부 로드 밸런서의 경우 프라이빗 IP 주소가 됩니다.

*random-string*  
시스템에서 생성된 임의 문자열입니다.

다음은 접두사가 있는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2022/05/01/123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20220215T2340Z_172.160.001.192_20sg8hgm.log.gz
```

다음은 접두사가 없는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-logging-bucket/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2022/05/01/123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20220215T2340Z_172.160.001.192_20sg8hgm.log.gz
```

원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 그러나 Amazon S3 수명 주기 규칙을 정의하여 자동으로 로그 파일을 보관하거나 삭제할 수도 있습니다. 자세한 내용을 알아보려면 *Amazon S3 사용 설명서*의 [객체 수명 주기 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)를 참조하세요.

## 액세스 로그 항목
<a name="access-log-entry-format"></a>

Elastic Load Balancing은 대상으로 전달되지 않는 요청을 포함해 로드 밸런서로 전송된 모든 요청을 기록합니다. 예를 들어 클라이언트가 잘못된 요청을 보내거나 요청에 응답할 정상 인스턴스가 없는 경우에도 요청은 계속 기록됩니다.

각 로그 항목에는 로드 밸런서에 대한 단일 요청(WebSockets의 경우 연결)의 세부 정보가 포함되어 있습니다. WebSockets의 경우, 연결이 종료된 이후에만 항목이 기록됩니다. 업그레이드 연결을 설정할 수 없는 경우에는 HTTP 또는 HTTPS 요청과 항목이 동일합니다.

**중요**  
Elastic Load Balancing은 최선의 노력으로 요청을 기록합니다. 모든 요청을 완벽하게 기록하기 위한 용도가 아니라 요청 특성을 이해하는 데 액세스 로그를 사용하는 것이 좋습니다.

**Topics**
+ [구문](#access-log-entry-syntax)
+ [수행된 작업](#actions-taken)
+ [분류 이유](#classification-reasons)
+ [오류 이유 코드](#error-reason-codes)
+ [변환 상태 코드](#transform-status-codes)

### 구문
<a name="access-log-entry-syntax"></a>

다음 표에서는 액세스 로그 항목의 필드를 순서대로 설명합니다. 모든 필드는 공백으로 구분됩니다. 새 필드를 추가할 때는 로그 항목의 끝에 추가합니다. 새 필드를 릴리스할 준비를 하는 동안 해당 필드가 릴리스되기 전에 끝에 “-”가 하나 더 표시될 수 있습니다. 로그 구문 분석이 마지막으로 문서화된 필드에서 중단되도록 구성하고 새 필드를 릴리스한 후에는 로그 구문 분석 구성을 업데이트해야 합니다.


| 필드(위치) | 설명 | 
| --- | --- | 
|  type (1)  |  요청 또는 연결의 유형입니다. 사용 가능한 값은 다음과 같습니다(기타 값은 모두 무시). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-access-logs.html)  | 
|  time (2)  |  로드 밸런서가 클라이언트에 응답을 생성한 시간(ISO 8601 형식)입니다. WebSockets의 경우, 연결이 종료된 시점이 됩니다.  | 
|  elb (3)  |  로드 밸런서의 리소스 ID입니다. 액세스 로그 항목을 분석하고 있다면 리소스 ID에 슬래시(/)가 포함될 수 있다는 것을 기억하십시오.  | 
|  client:port (4)  |  요청을 하는 클라이언트의 IP 주소 및 포트입니다. 로드 밸런서 앞에 프록시가 있는 경우 이 필드에는 프록시의 IP 주소가 포함됩니다.  | 
|  target:port (5)  |  이 요청을 처리한 대상의 IP 주소 및 포트입니다. 클라이언트가 전체 요청을 전송하지 않은 경우에는 로드 밸런서가 대상으로 요청을 디스패치 할 수 없고 이 값은 -로 설정됩니다. 대상이 Lambda 함수인 경우 이 값은 -로 설정됩니다. 요청이에 의해 차단되면 AWS WAF이 값은 -로 설정됩니다.  | 
|  request\$1processing\$1time (6)  |  로드 밸런서가 요청을 수신한 시간부터 대상으로 요청을 전송한 시간까지의 총 경과 시간(초, 밀리초 단위)입니다. 로드 밸런서가 대상으로 요청을 디스패치할 수 없는 경우 이 값은 -1로 설정됩니다. 대상이 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 이런 상황이 발생할 수 있습니다. 10초 TCP 연결 제한 시간에 도달할 때까지 대상과 TCP 연결을 설정할 수 없는 경우에도 이 값을 -1로 설정할 수 있습니다. Application Load Balancer에 AWS WAF 가 활성화되어 있거나 대상 유형이 Lambda 함수인 경우 클라이언트가 POST 요청에 필요한 데이터를 전송하는 데 걸리는 시간은 로 계산됩니다`request_processing_time`.  | 
|  target\$1processing\$1time (7)  |  로드 밸런서가 대상에 요청을 보낸 시간부터 대상이 응답 헤더를 보내기 시작할 때까지의 총 경과 시간(초, 밀리초 단위)입니다. 로드 밸런서가 대상으로 요청을 디스패치할 수 없는 경우 이 값은 -1로 설정됩니다. 대상이 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 이런 상황이 발생할 수 있습니다. 등록된 대상 유휴 시간 초과 횟수 이전에 응답하지 않는 경우에도 이 값이 -1로 설정될 수 있습니다. Application Load Balancer에 AWS WAF 가 활성화되지 않은 경우 클라이언트가 POST 요청에 필요한 데이터를 전송하는 데 걸리는 시간은 로 계산됩니다`target_processing_time`.  | 
|  response\$1processing\$1time (8)  |  로드 밸런서가 대상에서 응답 헤더를 수신한 시간부터 클라이언트에 응답을 보내기 시작할 때까지의 총 경과 시간(초, 밀리초 단위)입니다. 여기에는 로드 밸런서의 대기 시간과 로드 밸런서에서 클라이언트까지의 연결 확보 시간이 모두 포함됩니다. 로드 밸런서가 대상으로부터 응답을 받지 못하면 이 값은 -1로 설정됩니다. 대상이 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 이런 상황이 발생할 수 있습니다.  | 
|  elb\$1status\$1code (9)  |  블록 작업에 대한 로드 밸런서, 고정 응답 규칙 또는 AWS WAF 사용자 지정 응답 코드에서 생성된 응답의 상태 코드입니다.  | 
|  target\$1status\$1code (10)  |  대상의 응답 상태 코드입니다. 대상으로 연결이 설정되고 대상이 응답을 전송한 경우에만 이 값이 기록됩니다. 그러지 않으면 -에 설정됩니다.  | 
|  received\$1bytes (11)  |  클라이언트(요청자)로부터 수신된 요청의 크기(바이트)입니다. HTTP 요청의 경우, 헤더가 포함이 됩니다. WebSockets의 경우에는 연결 시 클라이언트에서 수신된 총 바이트 수입니다.  | 
|  sent\$1bytes (12)  |  클라이언트(요청자)에게 보낸 응답의 크기(바이트)입니다. HTTP 요청의 경우, 여기에 응답 헤더와 본문이 포함됩니다. WebSockets의 경우에는 연결 시 클라이언트에 전송된 총 바이트 수입니다. TCP 헤더 및 TLS 핸드셰이크 페이로드는 `sent_bytes`에 포함되지 않습니다. 따라서 `sent_bytes`는 일치하지 않습니다`DataTransfer-Out-Bytes` AWS Cost Explorer.  | 
|  "request\$1line" (13)  |  큰 따옴표로 묶여 있고 HTTP 메서드 \$1 protocol://host:port/uri \$1 HTTP 버전 형식을 사용해 기록된 요청 줄입니다. 로드 밸런서는 요청 URI를 기록할 때 클라이언트가 보낸 URL을 원본 그대로 보관합니다. 또한 액세스 로그 파일에 대한 콘텐츠 유형을 설정하지 않습니다. 이 필드를 처리하는 경우 해당 클라이언트가 URL을 보낸 방법을 고려하십시오.  | 
|  "user\$1agent" (14)  |  요청을 보낸 클라이언트를 식별하는 사용자 에이전트 문자열입니다(큰 따옴표로 묶임). 이 문자열은 하나 이상의 제품 식별자, 제품[/버전]으로 이루어져 있습니다. 문자열이 8 KB보다 길면 잘리게 됩니다.  | 
|  ssl\$1cipher (15)  |  [HTTPS 리스너] SSL 암호입니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 -로 설정됩니다.  | 
|  ssl\$1protocol (16)  |  [HTTPS 리스너] SSL 프로토콜입니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 -로 설정됩니다.  | 
|  target\$1group\$1arn (17)  |  대상 그룹의 ARN(Amazon 리소스 이름)입니다.  | 
|  "trace\$1id" (18)  |  **X-Amzn-Trace-Id** 헤더의 콘텐츠가 기록됩니다(큰 따옴표로 묶임).  | 
|  "domain\$1name" (19)  |  [HTTPS 리스너] TLS 핸드셰이크 중에 클라이언트가 제공한 SNI 도메인(큰 따옴표로 묶임). 클라이언트가 SNI를 지원하지 않거나, 도메인이 인증서와 일치하지 않으면 이 값이 -로 설정되고 클라이언트에 기본 인증서가 제공됩니다.  | 
|  "chosen\$1cert\$1arn" (20)  |  [HTTPS 리스너] 클라이언트에 제공된 인증서의 ARN(큰 따옴표로 묶임). 세션이 재사용되는 경우 이 값은 `session-reused`로 설정됩니다. 리스너가 HTTPS 리스너가 아닌 경우 이 값은 -로 설정됩니다.  | 
|  matched\$1rule\$1priority (21)  |  요청과 일치하는 규칙의 우선 순위 값입니다. 규칙이 일치하면 1\$150,000 사이의 값입니다. 규칙이 일치하지 않고 기본 작업이 수행된 경우 이 값은 0에 설정됩니다. 규칙 평가 중 오류가 발생하면 -1에 설정됩니다. 기타 오류의 경우 -에 설정됩니다.  | 
|  request\$1creation\$1time (22)  |  로드 밸런서가 클라이언트에서 요청을 받은 시간입니다(ISO 8601 형식).  | 
|  "actions\$1executed" (23)  |  요청을 처리할 때 수행된 작업(큰 따옴표로 묶임). 이 값은 [수행된 작업](#actions-taken)에서 설명하는 값을 포함할 수 있는 쉼표로 구분된 목록입니다. 잘못된 요청 등에 대해 수행된 작업이 없는 경우 이 값은 -로 설정됩니다.  | 
|  "redirect\$1url" (24)  |  HTTP 응답의 위치 헤더에 대한 리디렉션 대상 URL로, 큰따옴표로 묶여 있습니다. 수행된 리디렉션 작업이 없는 경우 이 값은 -로 설정됩니다.  | 
|  "error\$1reason" (25)  |  큰 따옴표로 묶인 오류 이유 코드입니다. 요청이 실패하면 이 값은 [오류 이유 코드](#error-reason-codes)에서 설명하는 오류 코드 중 하나입니다. 수행한 작업에 인증 작업이 포함되지 않거나 대상이 Lambda 함수가 아닌 경우, 이 값은 -로 설정됩니다.  | 
|  "target:port\$1list" (26)  |  이 요청을 처리한 대상에 대한 IP 주소 및 포트를 공백으로 구분한 목록이며 큰따옴표로 묶여 있습니다. 현재 이 목록에는 하나의 항목이 포함될 수 있으며 target:port 필드와 일치합니다. 클라이언트가 전체 요청을 전송하지 않은 경우에는 로드 밸런서가 대상으로 요청을 디스패치 할 수 없고 이 값은 -로 설정됩니다. 대상이 Lambda 함수인 경우 이 값은 -로 설정됩니다. 요청이에 의해 차단되면 AWS WAF이 값은 -로 설정됩니다.  | 
|  "target\$1status\$1code\$1list" (27)  |  대상의 응답에서 공백으로 구분된 상태 코드 목록이며 큰따옴표로 묶여 있습니다. 현재 이 목록에는 하나의 항목이 포함될 수 있으며 target\$1status\$1code 필드와 일치합니다. 대상으로 연결이 설정되고 대상이 응답을 전송한 경우에만 이 값이 기록됩니다. 그러지 않으면 -에 설정됩니다.  | 
|  "classification" (28)  |  동기화 해제 완화에 대한 분류로 큰따옴표로 묶여 있습니다. 요청이 RFC 7230을 준수하지 않는 경우 가능한 값은 허용 가능, 모호 및 심각입니다. 요청이 RFC 7230을 준수하는 경우 이 값은 -로 설정됩니다.  | 
|  "classification\$1reason" (29)  |  큰 따옴표로 묶인 분류 사유 코드입니다. 요청이 RFC 7230을 준수하지 않는 경우 이 코드는 [분류 이유](#classification-reasons)에서 설명하는 분류 코드 중 하나입니다. 요청이 RFC 7230을 준수하는 경우 이 값은 -로 설정됩니다.  | 
|  conn\$1trace\$1id (30)  |  연결 추적 가능성 ID는 각 연결을 식별하는 데 사용되는 **고유한 불투명 ID**입니다. 클라이언트와의 연결이 설정되면 이 클라이언트의 후속 요청에서 이 ID가 해당 액세스 로그 항목에 포함됩니다. 이 ID는 외부 키 역할을 하여 연결 로그와 액세스 로그 간의 링크를 생성합니다.  | 
|  "transformed\$1host" (31)  |  호스트 헤더 재작성 변환에 의해 수정된 이후의 호스트 헤더입니다. 다음 조건 중 하나라도 해당되면 이 값은 -로 설정됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-access-logs.html)  | 
|  "transformed\$1uri" (32)  |  URL 재작성 변환에 의해 수정된 이후의 URI입니다. 다음 조건 중 하나라도 해당되면 이 값은 -로 설정됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-access-logs.html)  | 
|  "request\$1transform\$1status" (33)  |  재작성 변환의 상태입니다. 재작성 변환이 적용되지 않은 경우 이 값은 -로 설정됩니다. 그 밖의 경우, 이 값은 [변환 상태 코드](#transform-status-codes)에 설명된 상태 값 중 하나입니다.  | 

### 수행된 작업
<a name="actions-taken"></a>

로드 밸런서는 수행하는 작업을 액세스 로그의 actions\$1ecuted 필드에 저장합니다.
+ `authenticate` - 로드 밸런서는 규칙 구성에 지정된 대로 세션 유효성을 검사하고, 사용자를 인증한 다음 요청 헤더에 사용자 정보를 추가했습니다 .
+ `fixed-response` - 로드 밸런서가 규칙 구성에 지정된 대로 고정 응답을 실행했습니다 .
+ `forward` - 로드 밸런서는 규칙 구성에 지정된 대로 대상에 요청을 전달했습니다.
+ `redirect` - 로드 밸런서는 규칙 구성에 지정된 대로 요청을 다른 URL로 리디렉션했습니다.
+ `rewrite` – 로드 밸런서는 규칙 구성에 지정된 대로 요청 URL을 재작성했습니다.
+ `waf` - 로드 밸런서는 요청을 대상으로 전달해야 하는지 여부를 결정하기 위해 AWS WAF 로 요청을 전달했습니다. 이것이 최종 작업인 경우 요청을 거부하도록 AWS WAF 결정했습니다. 기본적으로에서 거부한 요청은 `elb_status_code` 필드에 "403"으로 기록 AWS WAF 됩니다. AWS WAF 가 사용자 지정 응답 코드를 사용하여 요청을 거부하도록 구성된 경우 `elb_status_code` 필드에 구성된 응답 코드가 반영됩니다.
+ `waf-failed` - 로드 밸런서가 요청을 전달하려고 AWS WAF했지만이 프로세스가 실패했습니다.

### 분류 이유
<a name="classification-reasons"></a>

요청이 RFC 7230을 준수하지 않는 경우 로드 밸런서는 액세스 로그의 classification\$1reason 필드에 다음 코드 중 하나를 저장합니다. 자세한 내용은 [Desync Mitigation Mode](edit-load-balancer-attributes.md#desync-mitigation-mode) 단원을 참조하십시오.


| 코드 | 설명 | Classification | 
| --- | --- | --- | 
|  `AmbiguousUri`  |  요청 URI에 제어 문자가 포함되어 있습니다.  |  모호  | 
|  `BadContentLength`  |  Content-Length 헤더에 구문 분석할 수 없거나 유효한 숫자가 아닌 값이 포함되어 있습니다.  |  심각  | 
|  `BadHeader`  |  헤더에 null 문자 또는 캐리지 리턴이 포함되어 있습니다.  |  심각  | 
|  `BadTransferEncoding`  |  Transfer-Encoding 헤더에 잘못된 값이 포함되어 있습니다.  |  심각  | 
|  `BadUri`  |  요청 URI에 null 문자 또는 캐리지 리턴이 포함되어 있습니다.  |  심각  | 
|  `BadMethod`  |  요청 메서드의 형식이 잘못되었습니다.  |  심각  | 
|  `BadVersion`  |  요청 버전의 형식이 잘못되었습니다.  |  심각  | 
|  `BothTeClPresent`  |  요청에 Transfer-Encoding 헤더와 Content-Length 헤더가 모두 포함되어 있습니다.  |  모호  | 
|  `DuplicateContentLength`  |  값이 동일한 Content-Length 헤더가 여러 개 있습니다.  |  모호  | 
|  `EmptyHeader`  |  헤더가 비어 있거나 공백만 있는 줄이 있습니다.  |  모호  | 
|  `GetHeadZeroContentLength`  |  GET 또는 HEAD 요청에 대한 값이 0인 Content-Length 헤더가 있습니다.  |  허용 가능  | 
|  `MultipleContentLength`  |  값이 서로 다른 Content-Length 헤더가 여러 개 있습니다.  |  심각  | 
|  `MultipleTransferEncodingChunked`  |  여러 Transfer-Encoding이 있습니다: chunked 헤더.  |  심각  | 
|  `NonCompliantHeader`  |  헤더에 비 ASCII 또는 제어 문자가 포함되어 있습니다.  |  허용 가능  | 
|  `NonCompliantVersion`  |  요청 버전에 잘못된 값이 포함되어 있습니다.  |  허용 가능  | 
|  `SpaceInUri`  |  요청 URI에 URL이 인코딩되지 않은 공백이 포함되어 있습니다.  |  허용 가능  | 
|  `SuspiciousHeader`  |  일반적인 텍스트 정규화 기술을 사용하여 Transfer-Encoding 또는 Content-Length로 정규화할 수 있는 헤더가 있습니다.  |  모호  | 
|  `SuspiciousTeClPresent`  |  요청에는 Transfer-Encoding 헤더와 Content-Length 헤더가 모두 포함되어 있으며, 이 중 하나 이상이 의심스러운 상태입니다.  |  심각  | 
|  `UndefinedContentLengthSemantics`  |  GET 또는 HEAD 요청에 대해 정의된 Content-Length 헤더가 있습니다.  |  모호  | 
|  `UndefinedTransferEncodingSemantics`  |  GET 또는 HEAD 요청에 대한 정의된 Transfer-Encoding 헤더가 있습니다.  |  모호  | 

### 오류 이유 코드
<a name="error-reason-codes"></a>

로드 밸런서가 인증 작업을 완료할 수 없는 경우, 로드 밸런서는 액세스 로그의 error\$1reason 필드에 다음 이유 코드 중 하나를 저장합니다. 또한 로드 밸런서는 해당 CloudWatch 지표를 증가시킵니다. 자세한 내용은 [Application Load Balancer를 사용하여 사용자 인증](listener-authenticate-users.md) 단원을 참조하십시오.


| 코드 | 설명 | 측정치 | 
| --- | --- | --- | 
|  `AuthInvalidCookie`  |  인증 쿠키가 유효하지 않습니다.  |  `ELBAuthFailure`  | 
|  `AuthInvalidGrantError`  |  토큰 엔드포인트의 권한 부여 코드가 유효하지 않습니다.  |  `ELBAuthFailure`  | 
|  `AuthInvalidIdToken`  |  ID 토큰이 유효하지 않습니다.  |  `ELBAuthFailure`  | 
|  `AuthInvalidStateParam`  |  상태 파라미터가 유효하지 않습니다.  |  `ELBAuthFailure`  | 
|  `AuthInvalidTokenResponse`  |  토큰 엔드포인트의 응답이 유효하지 않습니다.  |  `ELBAuthFailure`  | 
|  `AuthInvalidUserinfoResponse`  |  사용자 정보 엔드포인트의 응답이 유효하지 않습니다.  |  `ELBAuthFailure`  | 
|  `AuthMissingCodeParam`  |  권한 부여 엔드포인트의 인증 응답에 ‘code’라는 쿼리 파라미터가 없습니다.  |  `ELBAuthFailure`  | 
|  `AuthMissingHostHeader`  |  권한 부여 엔드포인트의 인증 응답에 호스트 헤더 필드가 없습니다.  |  `ELBAuthError`  | 
|  `AuthMissingStateParam`  |  권한 부여 엔드포인트의 인증 응답에 ‘state’라는 쿼리 파라미터가 없습니다.  |  `ELBAuthFailure`  | 
|  `AuthTokenEpRequestFailed`  |  토큰 엔드포인트에서 오류 응답(2XX 아님)이 있습니다.  |  `ELBAuthError`  | 
|  `AuthTokenEpRequestTimeout`  |  로드 밸런서가 토큰 엔드포인트와 통신할 수 없거나 토큰 엔드포인트가 5초 이내에 응답하지 않습니다.  |  `ELBAuthError`  | 
|  `AuthUnhandledException`  |  로드 밸런서에 처리할 수 없는 예외가 발생했습니다.  |  `ELBAuthError`  | 
|  `AuthUserinfoEpRequestFailed`  |  IdP 사용자 정보 엔드포인트에서 오류 응답(2XX 아님)이 있습니다.  |  `ELBAuthError`  | 
|  `AuthUserinfoEpRequestTimeout`  |  로드 밸런서가 IdP 사용자 정보 엔드포인트와 통신할 수 없거나 사용자 정보 엔드포인트가 5초 이내에 응답하지 않습니다.  |  `ELBAuthError`  | 
|  `AuthUserinfoResponseSizeExceeded`  |  IdP에서 반환한 클레임의 크기가 11K 바이트를 초과했습니다.  |  `ELBAuthUserClaimsSizeExceeded`  | 

로드 밸런서가 jwt-validation 작업을 완료할 수 없는 경우 로드 밸런서는 액세스 로그의 error\$1reason 필드에 다음 사유 코드 중 하나를 저장합니다. 또한 로드 밸런서는 해당 CloudWatch 지표를 증가시킵니다. 자세한 내용은 [Application Load Balancer를 사용하여 JWTs 확인](listener-verify-jwt.md) 단원을 참조하십시오.


| 코드 | 설명 | 지표 | 
| --- | --- | --- | 
|  `JWTHeaderNotPresent`  |  요청에 권한 부여 헤더가 포함되어 있지 않습니다.  |  `JWTValidationFailureCount`  | 
|  `JWTRequestFormatInvalid`  |  요청 중인 토큰의 형식이 잘못되었거나 필수 부분(헤더, 페이로드 또는 서명)이 누락됨, 헤더에 "Bearer " 접두사가 포함되지 않음, 헤더에 "Basic "과 같은 다른 인증 유형이 포함됨, 권한 부여 헤더가 있지만 요청에 토큰이 여러 개 있는 경우 토큰이 존재하지 않음  |  `JWTValidationFailureCount`  | 
|  `JWKSRequestTimeout`  |  로드 밸런서가 JWKS 엔드포인트와 통신할 수 없거나 JWKS 엔드포인트가 5초 이내에 응답하지 않습니다.  |  `JWTValidationFailureCount`  | 
|  `JWKSResponseSizeExceeded`  |  JWKS 엔드포인트에서 반환되는 응답의 크기가 150KB를 초과하거나 JWKS 엔드포인트에서 반환되는 키 수가 10을 초과합니다.  |  `JWTValidationFailureCount`  | 
|  `JWKSRequestFailed`  |  JWKS 엔드포인트에서 오류 응답(비 2XX)이 있습니다.  |  `JWTValidationFailureCount`  | 
|  `JWKSResponseInvalid`  |  JWKS 응답에는 다음 문제 중 하나 이상이 있습니다. 비 JSON 형식, 잘못된 문자, 잘못된 JWKS 형식, 필수 JWKS 속성 누락/잘못됨, 퍼블릭 키에 지원되지 않는 알고리즘이 있음, 퍼블릭 키를 디코딩 키로 변환할 수 없음, 퍼블릭 키 크기가 2K가 아님.  |  `JWTValidationFailureCount`  | 
|  `JWTSignatureValidationError`  |  서명이 일치하지 않는 등 어떤 이유로든 토큰 서명을 검증하지 못했습니다. 토큰이 지원되지 않는 알고리즘으로 서명되었습니다. 토큰의 KID가 JWKS 엔드포인트에 없습니다.  |  `JWTValidationFailureCount`  | 
|  `JWTClaimNotPresent`  |  클라이언트 요청의 JWT에 검증에 필요한 클레임이 포함되어 있지 않습니다.  |  `JWTValidationFailureCount`  | 
|  `JWTClaimFormatInvalid`  |  JWT의 클레임 값 형식이 구성에 지정된 형식과 일치하지 않습니다.  |  `JWTValidationFailureCount`  | 
|  `JWTClaimValueInvalid`  |  JWT의 클레임 값이 잘못되었습니다.  |  `JWTValidationFailureCount`  | 
|  `JWTValidationInternalError`  |  클라이언트 요청에서 JWT를 검증하는 동안 로드 밸런서에 예기치 않은 오류가 발생했습니다.  |  `JWTValidationFailureCount`  | 

가중 대상 그룹에 대한 요청이 실패하면 로드 밸런서는 다음 오류 코드 중 하나를 액세스 로그의 error\$1reason 필드에 저장합니다.


| 코드 | 설명 | 
| --- | --- | 
|  `AWSALBTGCookieInvalid`  |  가중 대상 그룹과 함께 사용되는 AWSALBTG 쿠키는 유효하지 않습니다. 예를 들어, 로드 밸런서는 쿠키 값이 URL로 인코딩될 때 이 오류를 반환합니다.  | 
|  `WeightedTargetGroupsUnhandledException`  |  로드 밸런서에 처리할 수 없는 예외가 발생했습니다.  | 

Lambda 함수에 대한 요청이 실패하면 로드 밸런서가 액세스 로그의 오류 이유 필드에 다음 이유 코드 중 하나를 저장합니다. 또한 로드 밸런서는 해당 CloudWatch 지표를 증가시킵니다. 자세한 내용은 Lambda [호출](https://docs.aws.amazon.com/lambda/latest/api/API_Invoke.html) 작업을 참조하세요.


| 코드 | 설명 | 측정치 | 
| --- | --- | --- | 
|  `LambdaAccessDenied`  |  로드 밸런서는 Lambda 함수를 호출할 권한이 없습니다.  |  `LambdaUserError`  | 
|  `LambdaBadRequest`  |  클라이언트 요청 헤더 또는 본문에 UTF-8 문자만 포함되어 있지 않아 Lambda 호출에 실패했습니다.  |  `LambdaUserError`  | 
|  `LambdaConnectionError`  |  로드 밸런서에서 Lambda에 연결할 수 없습니다.  |  `LambdaInternalError`  | 
|  `LambdaConnectionTimeout`  |  Lambda에 연결하려는 시도가 시간 초과되었습니다.  |  `LambdaInternalError`  | 
|  `LambdaEC2AccessDeniedException`  |  Amazon EC2가 함수 초기화 중 Lambda에 대한 액세스를 거부했습니다.  |  `LambdaUserError`  | 
|  `LambdaEC2ThrottledException`  |  Amazon EC2가 함수 초기화 중 Lambda를 제한했습니다.  |  `LambdaUserError`  | 
|  `LambdaEC2UnexpectedException`  |  Amazon EC2에서 함수 초기화 중 예기치 않은 예외가 발생했습니다.  |  `LambdaUserError`  | 
|  `LambdaENILimitReachedException`  |  Lambda는 네트워크 인터페이스에 대한 제한을 초과했기 때문에 Lambda 함수의 구성에 지정된 VPC에서 네트워크 인터페이스를 생성할 수 없습니다.  |  `LambdaUserError`  | 
|  `LambdaInvalidResponse`  |  Lambda 함수의 응답이 잘못된 형식이거나 필수 필드가 누락되었습니다.  |  `LambdaUserError`  | 
|  `LambdaInvalidRuntimeException`  |  지정된 버전의 Lambda 런타임이 지원되지 않습니다.  |  `LambdaUserError`  | 
|  `LambdaInvalidSecurityGroupIDException`  |  Lambda 함수의 구성에 지정된 보안 그룹 ID가 유효하지 않습니다.  |  `LambdaUserError`  | 
|  `LambdaInvalidSubnetIDException`  |  Lambda 함수의 구성에 지정된 서브넷 ID가 유효하지 않습니다.  |  `LambdaUserError`  | 
|  `LambdaInvalidZipFileException`  |  Lambda에서 지정된 함수 zip 파일의 압축을 풀 수 없습니다.  |  `LambdaUserError`  | 
|  `LambdaKMSAccessDeniedException`  |  KMS 키에 대한 액세스가 거부되었기 때문에 Lambda에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 권한을 확인하십시오.  |  `LambdaUserError`  | 
|  `LambdaKMSDisabledException`  |  지정된 KMS 키가 비활성화되었기 때문에 Lambda에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 키 설정을 확인하십시오.  |  `LambdaUserError`  | 
|  `LambdaKMSInvalidStateException`  |  KMS 키의 상태가 유효하지 않기 때문에 Lambda에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 키 설정을 확인하십시오.  |  `LambdaUserError`  | 
|  `LambdaKMSNotFoundException`  |  KMS 키를 찾을 수 없기 때문에 Lambda에서 환경 변수의 암호화를 해제할 수 없습니다. Lambda 함수의 KMS 키 설정을 확인하십시오.  |  `LambdaUserError`  | 
|  `LambdaRequestTooLarge`  |  요청 본문의 크기가 1MB를 초과했습니다.  |  `LambdaUserError`  | 
|  `LambdaResourceNotFound`  |  Lambda 함수를 찾을 수 없습니다.  |  `LambdaUserError`  | 
|  `LambdaResponseTooLarge`  |  응답의 크기가 1MB를 초과했습니다.  |  `LambdaUserError`  | 
|  `LambdaServiceException`  |  Lambda에서 내부 오류가 발생했습니다.  |  `LambdaInternalError`  | 
|  `LambdaSubnetIPAddressLimitReachedException`  |  하나 이상의 서브넷에 사용 가능한 IP 주소가 없으므로 Lambda에서 Lambda 함수에 대한 VPC 액세스를 설정할 수 없습니다.  |  `LambdaUserError`  | 
|  `LambdaThrottling`  |  요청이 너무 많기 때문에 Lambda 함수가 제한되었습니다.  |  `LambdaUserError`  | 
|  `LambdaUnhandled`  |  Lambda 함수에 처리할 수 없는 예외가 발생했습니다.  |  `LambdaUserError`  | 
|  `LambdaUnhandledException`  |  로드 밸런서에 처리할 수 없는 예외가 발생했습니다.  |  `LambdaInternalError`  | 
|  `LambdaWebsocketNotSupported`  |  WebSocket은 Lambda를 통해 지원되지 않습니다.  |  `LambdaUserError`  | 

요청을 전달할 때 로드 밸런서에 오류가 발생하면 액세스 로그의 error\$1reason 필드에 다음 오류 코드 중 하나를 AWS WAF저장합니다.


| 코드 | 설명 | 
| --- | --- | 
|  `WAFConnectionError`  |  로드 밸런서는 연결할 수 없습니다 AWS WAF.  | 
|  `WAFConnectionTimeout`  |  에 대한 연결이 AWS WAF 시간 초과되었습니다.  | 
|  `WAFResponseReadTimeout`  |   AWS WAF 시간 초과에 대한 요청입니다.  | 
|  `WAFServiceError`  |  AWS WAF 에서 5XX 오류를 반환했습니다.  | 
|  `WAFUnhandledException`  |  로드 밸런서에 처리할 수 없는 예외가 발생했습니다.  | 

### 변환 상태 코드
<a name="transform-status-codes"></a>




| 코드 | 설명 | 
| --- | --- | 
|  `TransformBufferTooSmall`  |  재작성 변환 결과가 내부 버퍼 크기를 초과하여 변환이 실패했습니다. 정규식을 덜 복잡하게 구성해 보세요.  | 
|  `TransformCompileError`  |  정규식 컴파일이 실패했습니다.  | 
|  `TransformCompileTooBig`  |  컴파일된 정규식이 너무 큽니다. 정규식을 덜 복잡하게 구성해 보세요.  | 
|  `TransformInvalidHost`  |  변환 결과 생성된 호스트가 유효하지 않아 호스트 헤더 재작성 변환이 실패했습니다.  | 
|  `TransformInvalidPath`  |  변환된 경로가 유효하지 않아 URL 재작성 변환이 실패했습니다.  | 
|  `TransformRegexSyntaxError`  |  정규식에 구문 오류가 포함되어 있습니다.  | 
|  `TransformReplaceError`  |  변환 대체 작업에 실패했습니다.  | 
|  `TransformSuccess`  |  재작성 변환이 성공적으로 완료되었습니다.  | 

## 로그 항목 예제
<a name="access-log-entry-examples"></a>

다음은 로그 항목의 예제입니다. 보다 읽기 쉽도록 예제 텍스트가 여러 줄에 나타납니다.

**HTTP 항목 예제**  
다음은 HTTP 리스너(포트 80에서 포트 80)를 위한 로그 항목 예제입니다.

```
http 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 
192.168.131.39:2817 10.0.0.1:80 0.000 0.001 0.000 200 200 34 366 
"GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - - 
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337262-36d228ad5d99923122bbe354" "-" "-" 
0 2018-07-02T22:22:48.364000Z "forward" "-" "-" "10.0.0.1:80" "200" "-" "-" 
TID_1234abcd5678ef90 "-" "-" "-"
```

**HTTPS 항목 예제**  
다음은 HTTPS 리스너(포트 443에서 포트 80)를 위한 로그 항목 예제입니다.

```
https 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 
192.168.131.39:2817 10.0.0.1:80 0.086 0.048 0.037 200 200 0 57 
"GET https://www.example.com:443/ HTTP/1.1" "curl/7.46.0" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337281-1d84f3d73c47ec4e58577259" "www.example.com" "arn:aws:acm:us-east-2:123456789012:certificate/12345678-1234-1234-1234-123456789012"
1 2018-07-02T22:22:48.364000Z "authenticate,forward" "-" "-" "10.0.0.1:80" "200" "-" "-" 
TID_1234abcd5678ef90 "m.example.com" "-" "TransformSuccess"
```

**HTTP/2 항목 예제**  
다음은 HTTP/2 스트림을 위한 로그 항목 예제입니다.

```
h2 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 
10.0.1.252:48160 10.0.0.66:9000 0.000 0.002 0.000 200 200 5 257 
"GET https://10.0.2.105:773/ HTTP/2.0" "curl/7.46.0" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337327-72bd00b0343d75b906739c42" "-" "-"
1 2018-07-02T22:22:48.364000Z "redirect" "https://example.com:80/" "-" "10.0.0.66:9000" "200" "-" "-" 
TID_1234abcd5678ef90 "-" "-" "-"
```

**WebSockets 항목 예제**  
다음은 WebSockets 연결을 위한 로그 항목 예제입니다.

```
ws 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 
10.0.0.140:40914 10.0.1.192:8010 0.001 0.003 0.000 101 101 218 587 
"GET http://10.0.0.30:80/ HTTP/1.1" "-" - - 
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-"
1 2018-07-02T22:22:48.364000Z "forward" "-" "-" "10.0.1.192:8010" "101" "-" "-" 
TID_1234abcd5678ef90 "-" "-" "-"
```

**보안 WebSockets 항목 예제**  
다음은 보안 WebSockets 연결을 위한 로그 항목 예제입니다.

```
wss 2018-07-02T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188 
10.0.0.140:44244 10.0.0.171:8010 0.000 0.001 0.000 101 101 218 786
"GET https://10.0.0.30:443/ HTTP/1.1" "-" ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 
arn:aws:elasticloadbalancing:us-west-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-"
1 2018-07-02T22:22:48.364000Z "forward" "-" "-" "10.0.0.171:8010" "101" "-" "-" 
TID_1234abcd5678ef90 "-" "-" "-"
```

**Lambda 함수에 대한 예제 항목**  
다음은 성공한 Lambda 함수 요청에 대한 예제 로그 항목입니다.

```
http 2018-11-30T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188
192.168.131.39:2817 - 0.000 0.001 0.000 200 200 34 366
"GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - -
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-"
0 2018-11-30T22:22:48.364000Z "forward" "-" "-" "-" "-" "-" "-" 
TID_1234abcd5678ef90 "-" "-" "-"
```

다음은 실패한 Lambda 함수 요청에 대한 예제 로그 항목입니다.

```
http 2018-11-30T22:23:00.186641Z app/my-loadbalancer/50dc6c495c0c9188
192.168.131.39:2817 - 0.000 0.001 0.000 502 - 34 366
"GET http://www.example.com:80/ HTTP/1.1" "curl/7.46.0" - -
arn:aws:elasticloadbalancing:us-east-2:123456789012:targetgroup/my-targets/73e2d6bc24d8a067
"Root=1-58337364-23a8c76965a2ef7629b185e3" "-" "-"
0 2018-11-30T22:22:48.364000Z "forward" "-" "LambdaInvalidResponse" "-" "-" "-" "-" 
TID_1234abcd5678ef90 "-" "-" "-"
```

## 로그 전송 알림 구성
<a name="access-log-event-notifications"></a>

Elastic Load Balancing이 로그를 S3 버킷으로 전송할 때 알림을 받으려면 Amazon S3 이벤트 알림을 사용합니다. Elastic Load Balancing은 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html), [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) 및 [POST Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)를 사용하여 Amazon S3에 로그를 전송합니다. 모든 로그 전송 알림을 수신하려면 구성에 이러한 객체 생성 이벤트를 모두 포함해야 합니다.

자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3 이벤트 알림](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html)을 참조하세요.

## 액세스 로그 파일 처리
<a name="log-processing-tools"></a>

액세스 로그 파일은 압축이 됩니다. 파일을 다운로드하는 경우에는 압축을 해제해야 정보를 볼 수 있습니다.

웹 사이트에서 요청이 많은 경우에는 로드 밸런서가 수 기가바이트의 데이터로 로그 파일을 생성할 수 있습니다. 라인별 처리로는 이렇게 대량의 데이터를 처리할 수 없습니다. 따라서 병렬 처리 솔루션을 제공하는 분석 도구를 사용해야 할 수 있습니다. 예를 들어, 다음과 같은 분석 도구를 사용하여 액세스 로그를 분석 및 처리할 수 있습니다.
+ Amazon Athena는 표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스입니다. 자세한 내용은 *Amazon Athena 사용 설명서*의 [Application Load Balancer 로그 쿼리 방법](https://docs.aws.amazon.com/athena/latest/ug/application-load-balancer-logs.html)을 참조하세요.
+ [Loggly](https://documentation.solarwinds.com/en/success_center/loggly/content/admin/s3-ingestion-auto.htm)
+ [Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/)
+ [Sumo Logic](https://www.sumologic.com/application/elb/)

# Application Load Balancer 액세스 로그 활성화
<a name="enable-access-logging"></a>

로드 밸런서에 대한 액세스 로그를 활성화할 때는 로드 밸런서가 로그를 저장할 S3 버킷의 이름을 지정해야 합니다. 버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 이 버킷에 있어야 합니다.

**Topics**
+ [1단계: S3 버킷 생성](#access-log-create-bucket)
+ [2단계: S3 버킷에 정책 연결](#attach-bucket-policy)
+ [3단계: 액세스 로그 구성](#enable-access-logs)
+ [4단계: 버킷 권한 확인](#verify-bucket-permissions)
+ [문제 해결](#bucket-permissions-troubleshooting)

## 1단계: S3 버킷 생성
<a name="access-log-create-bucket"></a>

액세스 로그를 활성화할 때는 반드시 액세스 로그에 대한 S3 버킷을 지정해야 합니다. 기존 버킷을 사용하거나 액세스 로그 전용 버킷을 생성할 수 있습니다. 버킷은 다음 요구 사항을 충족해야 합니다.

**요구 사항**
+ 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.
+ 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리형 키(SSE-S3)입니다. 자세한 내용을 [Amazon S3 관리형 암호화 키(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 섹션을 참조하세요.

**Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. **버킷 만들기**를 선택합니다.

1. [**Create a bucket**] 페이지에서 다음과 같이 실행합니다.

   1. [**Bucket Name**]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 규제 및 제한](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)을 참조하세요.

   1. **AWS 리전**의 경우 로드 밸런서를 생성한 리전을 선택합니다.

   1. **기본 암호화**에서 **Amazon S3 관리형 키(SSE-S3)**를 선택합니다.

   1. **버킷 생성**을 선택합니다.

## 2단계: S3 버킷에 정책 연결
<a name="attach-bucket-policy"></a>

버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 S3 버킷에 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

연결된 정책이 이미 있는 기존 버킷을 사용하는 Elastic Load Balancing 액세스 로그에 대한 문을 정책에 추가할 수 있습니다. 그렇게 하는 경우, 결과적인 액세스 권한 집합을 평가하여 해당 집합이 액세스 로그에 대한 버킷에 액세스해야 하는 사용자에게 적절한 권한인지 확인하는 것이 좋습니다.

### 버킷 정책
<a name="bucket-policy-logdelivery"></a>

이 정책은 로그 전송 서비스에 권한을 부여합니다.

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    }
  ]
}
```

`Resource`에는 예제 정책에 표시된 형식을 사용하여 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 [3단계](#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**AWS GovCloud (US)** – 다음 예제에서는 AWS GovCloud (US) Regions에 대한 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

**AWS GovCloud (US)** – 다음 예제에서는 AWS GovCloud (US) Regions에 대한 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 레거시 버킷 정책
<a name="legacy-bucket-policy"></a>

2022년 8월 이전에 제공되던 리전의 경우, 리전별 Elastic Load Balancing 계정에 권한을 부여하는 정책이 필요했습니다. 이 레거시 정책은 여전히 지원되지만, 위에 소개된 최신 정책으로 대체할 것을 권장합니다. 표시되어 있지 않지만 레거시 정책을 계속 사용하려는 경우 그대로 사용할 수 있습니다.

 참고로 레거시 정책 `Principal`에서 지정해야 하는 Elastic Load Balancing 계정 ID는 다음과 같습니다. 이 목록에 없는 리전은 레거시 정책을 지원하지 않는다는 점에 유의하세요.
+ 미국 동부(버지니아 북부) – 127311923021
+ 미국 동부(오하이오) – 033677994240
+ 미국 서부(캘리포니아 북부) – 027434742980
+ 미국 서부(오레곤) – 797873946194
+ 아프리카(케이프타운) – 098369216593
+ 아시아 태평양(홍콩) – 754344448648
+ 아시아 태평양(자카르타) – 589379963580
+ 아시아 태평양(뭄바이) – 718504428378
+ 아시아 태평양(오사카) – 383597477331
+ 아시아 태평양(서울) – 600734575887
+ 아시아 태평양(싱가포르) – 114774131450
+ 아시아 태평양(시드니) – 783225319266
+ 아시아 태평양(도쿄) – 582318560864
+ 캐나다(중부) – 985666609251
+ 유럽(프랑크푸르트) – 054676820928
+ 유럽(아일랜드) – 156460612806
+ 유럽(런던) – 652711504416
+ 유럽(밀라노) – 635631232127
+ 유럽(파리) – 009996457667
+ 유럽(스톡홀름) – 897822967062
+ 중동(바레인) – 076674570225
+ 남아메리카(상파울루) – 507241528517
+ AWS GovCloud(미국 동부) – 190560391635
+ AWS GovCloud(미국 서부) – 048591011584

### Outposts 영역
<a name="bucket-policy-outposts"></a>

다음 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. Outposts 영역의 로드 밸런서에 이 정책을 사용하세요.

```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "logdelivery.elb.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*",
    "Condition": {
        "StringEquals": {
            "s3:x-amz-acl": "bucket-owner-full-control"
        }
    }
}
```

`Resource`에는 예제 정책에 표시된 형식을 사용하여 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 S3 버킷 ARN은 [3단계](#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 보안 모범 사례
<a name="bucket-policy-security-best-practices"></a>
+ S3 버킷 ARN의 계정 ID 부분을 포함한 전체 리소스 경로를 사용합니다. S3 버킷 ARN의 계정 ID 부분에 와일드카드(\$1)를 사용하지 마세요.

  ```
  "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
  ```
+ 지정된 리전 및 계정의 로드 밸런서만 버킷을 사용할 수 있도록 하려면 `aws:SourceArn`을 사용합니다.

  ```
  "Condition": {
      "ArnLike": {
          "aws:SourceArn": "arn:aws:elasticloadbalancing:region:123456789012:loadbalancer/*"
      }
  }
  ```
+ 지정된 조직의 로드 밸런서만 버킷을 사용할 수 있도록 하려면 `aws:SourceOrgId`를 `aws:SourceArn`과 함께 사용합니다.

  ```
  "Condition": {
      "StringEquals": {
          "aws:SourceOrgId": "o-1234567890"
      },
      "ArnLike": {
          "aws:SourceArn": "arn:aws:elasticloadbalancing:*:*:loadbalancer/*"
      }
  }
  ```
+ 명시적으로 허용된 서비스 주체 외의 접근을 차단하는 `Deny` 문이 있는 경우 허용된 서비스 주체 목록에 반드시 `logdelivery.elasticloadbalancing.amazonaws.com`을 추가해야 합니다. 예를 들어 `aws:PrincipalServiceNamesList` 조건을 사용한 경우에는 다음과 같이 `logdelivery.elasticloadbalancing.amazonaws.com`을 추가합니다.

  ```
  {
    "Effect": "Deny",
    "Principal": "*",
    "Condition": {
        "StringNotEqualsIfExists": {
            "aws:PrincipalServiceNamesList": [
                "logdelivery.elasticloadbalancing.amazonaws.com",
                "service.amazonaws.com"
            ]
        }
    }
  }
  ```

  `NotPrincipal` 요소를 사용한 경우 다음과 같이 `logdelivery.elasticloadbalancing.amazonaws.com`을 추가합니다. `NotPrincipal` 요소를 사용하는 대신 서비스 주체를 명시적으로 허용하려면 `aws:PrincipalServiceName` 또는 `aws:PrincipalServiceNamesList` 조건 키를 사용할 것을 권장합니다. 자세한 내용은 [NotPrincipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notprincipal.html)을 참조하세요.

  ```
  {
    "Effect": "Deny",
    "NotPrincipal": {
      "Service": [
         "logdelivery.elasticloadbalancing.amazonaws.com",
         "service.amazonaws.com"
      ]
    }
  },
  ```

버킷 정책을 생성한 후 Amazon S3 콘솔 또는 AWS CLI 명령과 같은 Amazon S3 인터페이스를 사용하여 버킷 정책을 S3 버킷에 연결합니다.

------
#### [ Console ]

**버킷 정책을 S3 버킷에 연결하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **권한**을 선택한 다음에 **버킷 정책**, **편집**을 선택합니다.

1. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**버킷 정책을 S3 버킷에 연결하려면**  
[put-bucket-policy](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-policy.html) 명령을 사용합니다. 이 예제에서는 버킷 정책이 지정된 .json 파일에 저장되었습니다.

```
aws s3api put-bucket-policy \
    --bucket amzn-s3-demo-bucket \
    --policy file://access-log-policy.json
```

------

## 3단계: 액세스 로그 구성
<a name="enable-access-logs"></a>

다음 절차에 따라 요청 정보를 캡처하고 로그 파일을 S3 버킷에 전송하도록 액세스 로그를 구성합니다.

**요구 사항**  
버킷은 [1단계](#access-log-create-bucket)에 설명된 요구 사항을 충족해야 하며 [2단계](#attach-bucket-policy)의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 포함하는 경우 접두사에 'AWSLogs' 문자열이 포함되지 않아야 합니다.

**액세스 로그에 대해 S3 버킷을 관리하려면**  
액세스 로그용으로 구성한 버킷을 삭제하기 전에 액세스 로그를 비활성화해야 합니다. 이렇게 하지 않으면 이름이 동일한 새로운 버킷이 있지만 필요한 버킷 정책이 다른 AWS 계정 에 생성된 경우, Elastic Load Balancing이 내 로드 밸런서의 액세스 로그를 이 새로운 버킷에 쓸 수 있습니다.

------
#### [ Console ]

**액세스 로그를 활성화하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **로드 밸런서**를 클릭합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **모니터링**에서 **액세스 로그**를 켭니다.

1. **S3 URI**로 로그 파일의 S3 URI를 입력합니다. 지정하는 URI는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 URI: s3://*amzn-s3-demo-logging-bucket*/*logging-prefix*
   + 접두사가 없는 URI: s3://*amzn-s3-demo-logging-bucket*

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**액세스 로그를 활성화하려면**  
관련 속성과 함께 [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) 명령을 사용합니다.

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes \
        Key=access_logs.s3.enabled,Value=true \
        Key=access_logs.s3.bucket,Value=amzn-s3-demo-logging-bucket \
        Key=access_logs.s3.prefix,Value=logging-prefix
```

------
#### [ CloudFormation ]

**액세스 로그를 활성화하려면**  
관련 속성을 포함하도록 [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) 리소스를 업데이트합니다.

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
      LoadBalancerAttributes: 
        - Key: "access_logs.s3.enabled"
          Value: "true"
        - Key: "access_logs.s3.bucket"
          Value: "amzn-s3-demo-logging-bucket"
        - Key: "access_logs.s3.prefix"
          Value: "logging-prefix"
```

------

## 4단계: 버킷 권한 확인
<a name="verify-bucket-permissions"></a>

로드 밸런서에 대해 액세스 로그가 활성화되면 Elastic Load Balancing에서는 S3 버킷을 검증하고 버킷 정책에서 필수 권한을 지정하는지 확인하는 테스트 파일을 생성합니다. Amazon S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 액세스 로그 파일이 아니며, 예제 레코드가 포함되어 있지 않습니다.

**Amazon S3 콘솔을 사용하여 버킷에서 테스트 파일이 생성되었는지 확인하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 액세스 로그에 대해 지정한 버킷의 이름을 선택합니다.

1. 테스트 파일인 `ELBAccessLogTestFile`로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 위치: *amzn-s3-demo-logging-bucket*/*logging-prefix*/AWSLogs/*123456789012*/ELBAccessLogTestFile
   + 접두사가 없는 위치: *amzn-s3-demo-logging-bucket*/AWSLogs/*123456789012*/ELBAccessLogTestFile

## 문제 해결
<a name="bucket-permissions-troubleshooting"></a>

액세스 거부 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.
+ 버킷 정책이 버킷에 액세스 로그를 쓰도록 허용하는 Elastic Load Balancing 권한을 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 액세스 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 리소스 ARN에서 사용하는지 확인하세요. 액세스 로그를 활성화할 때 접두사를 지정하지 않은 경우 리소스 ARN에 접두사가 포함되어 있지 않은지 확인합니다.
+ 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷이 Amazon S3 관리형 키(SSE-S3)를 사용해야 합니다.

# Application Load Balancer 액세스 로그 비활성화
<a name="disable-access-logging"></a>

언제든지 로드 밸런서에 대한 액세스 로그를 비활성화할 수 있습니다. 액세스 로그를 비활성화하면 액세스 로그는 사용자가 삭제할 때까지 S3 버킷에 남아 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [S3 버킷 생성, 구성 및 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)을 참조하세요.

------
#### [ Console ]

**액세스 로그를 비활성화하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **로드 밸런서**를 클릭합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **모니터링**에서 **액세스 로그**를 끕니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**액세스 로그를 비활성화하려면**  
[modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) 명령을 사용합니다.

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes Key=access_logs.s3.enabled,Value=false
```

------

# Application Load Balancer의 연결 로그
<a name="load-balancer-connection-logs"></a>

Elastic Load Balancing은 로드 밸런서에 전송된 요청에 대한 자세한 정보를 캡처하는 연결 로그를 제공합니다. 각 로그에는 클라이언트의 IP 주소 및 포트, 리스너 포트, 사용된 TLS 암호 및 프로토콜, TLS 핸드셰이크 지연 시간, 연결 상태, 클라이언트 인증서 세부 정보와 같은 정보가 포함됩니다. 이러한 연결 로그를 사용하여 요청 패턴을 분석하고 문제를 해결할 수 있습니다.

연결 로그는 Elastic Load Balancing의 옵션 기능으로, 기본적으로 비활성화되어 있습니다. 로드 밸런서에 대해 연결 로그를 활성화하면 Elastic Load Balancing이 로그를 캡처하여 압축 파일을 지정한 Amazon S3 버킷에 저장합니다. 연결 로그는 언제든지 비활성화할 수 있습니다.

Amazon S3의 스토리지 비용은 청구되지만, Amazon S3로 로그 파일을 전송하기 위해 Elastic Load Balancing에서 사용하는 대역폭에 대해서는 요금이 부과되지 않습니다. 스토리지 비용에 대한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.

**Topics**
+ [연결 로그 파일](#connection-log-file-format)
+ [연결 로그 항목](#connection-log-entry-format)
+ [로그 항목 예제](#connection-log-entry-examples)
+ [연결 로그 파일 처리](#connection-log-processing-tools)
+ [연결 로그 활성화](enable-connection-logging.md)
+ [연결 로깅 비활성화](disable-connection-logging.md)

## 연결 로그 파일
<a name="connection-log-file-format"></a>

Elastic Load Balancing은 5분마다 각 로드 밸런서 노드에 대한 로그 파일을 게시합니다. 로그 전달은 결과의 일관성이 있습니다. 로드 밸런서는 같은 기간 동안 여러 개의 로그를 전달할 수 있습니다. 이러한 상황은 보통 사이트에 트래픽이 많은 경우에 발생합니다.

연결 로그의 파일 이름은 다음 형식을 사용합니다.

```
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/conn_log_aws-account-id_elasticloadbalancing_region_app.load-balancer-id_end-time_ip-address_random-string.log.gz
```

*버킷*  
S3 버킷의 이름.

*접두사*  
(선택 사항) 버킷의 접두사(논리적 계층 구조)입니다. 지정하는 접두사에는 문자열 `AWSLogs`가 포함되지 않아야 합니다. 자세한 내용은 [접두사를 사용한 객체 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)을 참조하세요.

`AWSLogs`  
`AWSLogs`로 시작하는 파일 이름의 일부가 지정하는 버킷 이름과 선택적 접두사 뒤에 추가됩니다.

*aws-account-id*  
소유자의 AWS 계정 ID입니다.

*리전*.  
로드 밸런서 및 S3 버킷을 위한 리전입니다.

*yyyy*/*mm*/*dd*  
로그가 전달된 날짜입니다.

*load-balancer-id*  
로드 밸런서의 리소스 ID입니다. 리소스 ID에 포함되어 있는 슬래시(/)가 마침표(.)로 대체됩니다.

*end-time*  
로깅 간격이 끝나는 날짜와 시간입니다. 예를 들어 종료 시간이 20140215T2340Z이면 UTC 또는 Zulu 시간으로 23:35과 23:40 사이의 요청에 대한 항목이 포함됩니다.

*ip-address*  
요청을 처리한 로드 밸런서 노드의 IP 주소입니다. 내부 로드 밸런서의 경우 프라이빗 IP 주소가 됩니다.

*random-string*  
시스템에서 생성된 임의 문자열입니다.

다음은 접두사가 있는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2022/05/01/conn_log_123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20220215T2340Z_172.160.001.192_20sg8hgm.log.gz
```

다음은 접두사가 없는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-logging-bucket/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2022/05/01/conn_log_123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20220215T2340Z_172.160.001.192_20sg8hgm.log.gz
```

원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 그러나 Amazon S3 수명 주기 규칙을 정의하여 자동으로 로그 파일을 보관하거나 삭제할 수도 있습니다. 자세한 내용을 알아보려면 *Amazon S3 사용 설명서*의 [객체 수명 주기 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)를 참조하세요.

## 연결 로그 항목
<a name="connection-log-entry-format"></a>

각 연결 시도마다 연결 로그 파일에 항목이 있습니다. 클라이언트 요청이 전송되는 방법은 연결이 영구적 또는 비영구적인지에 따라 결정됩니다. 비영구적 연결에는 단일 요청이 있으며, 이는 액세스 로그 및 연결 로그에 단일 항목을 생성합니다. 영구적 연결에는 여러 요청이 있으며, 이는 액세스 로그에 여러 항목을 생성하고 연결 로그에 단일 항목을 생성합니다.

**Topics**
+ [구문](#connection-log-entry-syntax)
+ [오류 이유 코드](#connection-error-reason-codes)

### 구문
<a name="connection-log-entry-syntax"></a>

다음 표에서는 연결 로그 항목의 필드를 순서대로 설명합니다. 모든 필드는 공백으로 구분됩니다. 새 필드를 추가할 때는 로그 항목의 끝에 추가합니다. 새 필드를 릴리스할 준비를 하는 동안 해당 필드가 릴리스되기 전에 끝에 “-”가 하나 더 표시될 수 있습니다. 로그 구문 분석이 마지막으로 문서화된 필드에서 중단되도록 구성하고 새 필드를 릴리스한 후에는 로그 구문 분석 구성을 업데이트해야 합니다.


| 필드(위치) | 설명 | 
| --- | --- | 
|  timestamp (1)  |  로드 밸런서가 연결을 성공적으로 설정한 또는 설정하지 못한 시간(ISO 8601 형식)입니다.  | 
|  client\$1ip (2)  |  요청을 하는 클라이언트의 IP 주소입니다.  | 
|  client\$1port (3)  |  요청을 전송하는 클라이언트의 포트입니다.  | 
|  listener\$1port (4)  |  클라이언트 요청을 수신하는 로드 밸런서 리스너의 포트입니다.  | 
|  tls\$1protocol (5)  |  [HTTPS 리스너] 핸드셰이크 중에 사용되는 SSL/TLS 프로토콜입니다. 비 SSL/TLS 요청에서는 이 필드가 `-`로 설정됩니다.  | 
|  tls\$1cipher (6)  |  [HTTPS 리스너] 핸드셰이크 중에 사용되는 SSL/TLS 프로토콜입니다. 비 SSL/TLS 요청에서는 이 필드가 `-`로 설정됩니다.  | 
|  tls\$1handshake\$1latency (7)  |  [HTTPS 리스너] 성공적인 핸드셰이크를 설정하는 동안 경과된 총 시간(초 단위, 밀리초 정밀도)입니다. 다음의 경우 이 필드는 `-`로 설정됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-connection-logs.html)  | 
|  leaf\$1client\$1cert\$1subject (8)  |  [HTTPS 리스너] 리프 클라이언트 인증서의 주제 이름입니다. 다음의 경우 이 필드는 `-`로 설정됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-connection-logs.html)  | 
|  leaf\$1client\$1cert\$1validity (9)  |  [HTTPS 리스너] 리프 클라이언트 인증서의 유효성입니다(ISO 8601 형식의 `not-before` 및 `not-after` 사용). 다음의 경우 이 필드는 `-`로 설정됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-connection-logs.html)  | 
|  leaf\$1client\$1cert\$1serial\$1number (10)  |  [HTTPS 리스너] 리프 클라이언트 인증서의 일련 번호입니다. 다음의 경우 이 필드는 `-`로 설정됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-connection-logs.html)  | 
|  tls\$1verify\$1status (11)  |  [HTTPS 리스너] 연결 요청의 상태입니다. 연결이 성공적으로 설정되면 값이 `Success`입니다. 연결이 실패하면 값이 `Failed:$error_code`입니다.  | 
|  conn\$1trace\$1id (12)  |  연결 추적 가능성 ID는 각 연결을 식별하는 데 사용되는 **고유한 불투명 ID**입니다. 클라이언트와의 연결이 설정되면 이 클라이언트의 후속 요청에서 이 ID가 해당 액세스 로그 항목에 포함됩니다. 이 ID는 외부 키 역할을 하여 연결 로그와 액세스 로그 간의 링크를 생성합니다.  | 
|  tls\$1keyexchange(13)  |  [HTTPS 리스너] TLS 또는 PQ-TLS에 대한 핸드셰이크 중에 사용되는 키 교환입니다. 비 SSL/TLS 요청에서는 이 필드가 `-`로 설정됩니다.  | 

### 오류 이유 코드
<a name="connection-error-reason-codes"></a>

로드 밸런서가 연결을 설정할 수 없는 경우 로드 밸런서는 연결 로그에 다음 사유 코드 중 하나를 저장합니다.


| 코드 | 설명 | 
| --- | --- | 
|  `ClientCertMaxChainDepthExceeded`  |  최대 클라이언트 인증서 체인 깊이를 초과했습니다.  | 
|  `ClientCertMaxSizeExceeded`  |  최대 클라이언트 인증서 크기를 초과했습니다.  | 
|  `ClientCertCrlHit`  |  CA가 클라이언트 인증서를 취소했습니다.  | 
|  `ClientCertCrlProcessingError`  |  CRL 처리 오류  | 
|  `ClientCertUntrusted`  |  클라이언트 인증서를 신뢰할 수 없습니다.  | 
|  `ClientCertNotYetValid`  |  클라이언트 인증서가 아직 유효하지 않습니다.  | 
|  `ClientCertExpired`  |  인증서가 만료되었습니다.  | 
|  `ClientCertTypeUnsupported`  |  클라이언트 인증서 유형이 지원되지 않습니다.  | 
|  `ClientCertInvalid`  |  인증서가 유효하지 않습니다.  | 
|  `ClientCertPurposeInvalid`  |  클라이언트 인증서 목적이 잘못되었습니다.  | 
|  `ClientCertRejected`  |  클라이언트 인증서가 사용자 지정 서버 검증에서 거부되었습니다.  | 
|  `UnmappedConnectionError`  |  매핑되지 않은 런타임 연결 오류  | 

## 로그 항목 예제
<a name="connection-log-entry-examples"></a>

다음은 예제 연결 로그 항목입니다. 보다 읽기 쉽도록 예제 텍스트가 여러 줄에 나타납니다.

다음은 포트 443에서 상호 TLS 확인 모드가 활성화된 HTTPS 리스너와의 연결 성공에 대한 예제 로그 항목입니다.

```
2023-10-04T17:05:15.514108Z 203.0.113.1 36280 443 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 4.036 
"CN=amazondomains.com,O=endEntity,L=Seattle,ST=Washington,C=US" NotBefore=2023-09-21T22:43:21Z;NotAfter=2026-06-17T22:43:21Z 
FEF257372D5C14D4 Success TID_3180a73013c8ca4bac2f731159d4b0fe
```

다음은 포트 443에서 상호 TLS 확인 모드가 활성화된 HTTPS 리스너와의 연결 실패에 대한 예제 로그 항목입니다.

```
2023-10-04T17:05:15.514108Z 203.0.113.1 36280 443 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 - 
"CN=amazondomains.com,O=endEntity,L=Seattle,ST=Washington,C=US" NotBefore=2023-09-21T22:43:21Z;NotAfter=2026-06-17T22:43:21Z 
FEF257372D5C14D4 Failed:ClientCertUntrusted TID_1c71a68d70587445ad5127ff8b2687d7
```

## 연결 로그 파일 처리
<a name="connection-log-processing-tools"></a>

연결 로그 파일은 압축된 상태입니다. Amazon S3 콘솔을 사용하여 파일을 열면 파일이 압축되지 않고 정보가 표시됩니다. 파일을 다운로드하는 경우에는 압축을 해제해야 정보를 볼 수 있습니다.

웹 사이트에서 요청이 많은 경우에는 로드 밸런서가 수 기가바이트의 데이터로 로그 파일을 생성할 수 있습니다. 라인별 처리로는 이렇게 대량의 데이터를 처리할 수 없습니다. 따라서 병렬 처리 솔루션을 제공하는 분석 도구를 사용해야 할 수 있습니다. 예를 들어, 다음과 같은 분석 도구를 사용하여 연결 로그를 분석 및 처리할 수 있습니다.
+ Amazon Athena는 표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스입니다.
+ [Loggly](https://documentation.solarwinds.com/en/success_center/loggly/content/admin/s3-ingestion-auto.htm)
+ [Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/)
+ [Sumo Logic](https://www.sumologic.com/application/elb/)

# Application Load Balancer에서 연결 로그 활성화
<a name="enable-connection-logging"></a>

로드 밸런서에 대한 연결 로그를 활성화할 때는 로드 밸런서가 로그를 저장할 S3 버킷의 이름을 지정해야 합니다. 버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 이 버킷에 있어야 합니다.

**Topics**
+ [1단계: S3 버킷 생성](#connection-log-create-bucket)
+ [2단계: S3 버킷에 정책 연결](#attach-bucket-policy-connection)
+ [3단계: 연결 로그 구성](#enable-connection-logs)
+ [4단계: 버킷 권한 확인](#verify-bucket-permissions-connection)
+ [문제 해결](#bucket-permissions-troubleshooting-connection)

## 1단계: S3 버킷 생성
<a name="connection-log-create-bucket"></a>

연결 로그를 활성화할 때는 반드시 연결 로그용 S3 버킷을 지정해야 합니다. 기존 버킷을 사용하거나 연결 로그 전용 버킷을 생성할 수 있습니다. 버킷은 다음 요구 사항을 충족해야 합니다.

**요구 사항**
+ 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.
+ 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리형 키(SSE-S3)입니다. 자세한 내용을 [Amazon S3 관리형 암호화 키(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 섹션을 참조하세요.

**Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. **버킷 만들기**를 선택합니다.

1. [**Create a bucket**] 페이지에서 다음과 같이 실행합니다.

   1. [**Bucket Name**]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 규제 및 제한](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)을 참조하세요.

   1. **AWS 리전**의 경우 로드 밸런서를 생성한 리전을 선택합니다.

   1. **기본 암호화**에서 **Amazon S3 관리형 키(SSE-S3)**를 선택합니다.

   1. **버킷 생성**을 선택합니다.

## 2단계: S3 버킷에 정책 연결
<a name="attach-bucket-policy-connection"></a>

버킷에 연결 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 S3 버킷에 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

연결된 정책이 이미 있는 기존 버킷을 사용하는 Elastic Load Balancing 연결 로그에 대한 문을 정책에 추가할 수 있습니다. 그렇게 하는 경우, 결과적인 액세스 권한 집합을 평가하여 해당 집합이 연결 로그에 대한 버킷에 액세스해야 하는 사용자에게 적절한 권한인지 확인하는 것이 좋습니다.

### 버킷 정책
<a name="bucket-policy-logdelivery-connection"></a>

이 정책은 지정된 로그 전송 서비스에 권한을 부여합니다.

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    }
  ]
}
```

`Resource`에는 예제 정책에 표시된 형식을 사용하여 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 [3단계](enable-access-logging.md#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**AWS GovCloud (US)** – 다음 예제에서는 AWS GovCloud (US) Regions에 대한 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

**AWS GovCloud (US)** – 다음 예제에서는 AWS GovCloud (US) Regions에 대한 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 레거시 버킷 정책
<a name="legacy-bucket-policy"></a>

2022년 8월 이전에 제공되던 리전의 경우, 리전별 Elastic Load Balancing 계정에 권한을 부여하는 정책이 필요했습니다. 이 레거시 정책은 여전히 지원되지만, 위에 소개된 최신 정책으로 대체할 것을 권장합니다. 표시되어 있지 않지만 레거시 정책을 계속 사용하려는 경우 그대로 사용할 수 있습니다.

 참고로 레거시 정책 `Principal`에서 지정해야 하는 Elastic Load Balancing 계정 ID는 다음과 같습니다. 이 목록에 없는 리전은 레거시 정책을 지원하지 않는다는 점에 유의하세요.
+ 미국 동부(버지니아 북부) – 127311923021
+ 미국 동부(오하이오) – 033677994240
+ 미국 서부(캘리포니아 북부) – 027434742980
+ 미국 서부(오레곤) – 797873946194
+ 아프리카(케이프타운) – 098369216593
+ 아시아 태평양(홍콩) – 754344448648
+ 아시아 태평양(자카르타) – 589379963580
+ 아시아 태평양(뭄바이) – 718504428378
+ 아시아 태평양(오사카) – 383597477331
+ 아시아 태평양(서울) – 600734575887
+ 아시아 태평양(싱가포르) – 114774131450
+ 아시아 태평양(시드니) – 783225319266
+ 아시아 태평양(도쿄) – 582318560864
+ 캐나다(중부) – 985666609251
+ 유럽(프랑크푸르트) – 054676820928
+ 유럽(아일랜드) – 156460612806
+ 유럽(런던) – 652711504416
+ 유럽(밀라노) – 635631232127
+ 유럽(파리) – 009996457667
+ 유럽(스톡홀름) – 897822967062
+ 중동(바레인) – 076674570225
+ 남아메리카(상파울루) – 507241528517
+ AWS GovCloud(미국 동부) – 190560391635
+ AWS GovCloud(미국 서부) – 048591011584

### Outposts 영역
<a name="bucket-policy-outposts"></a>

다음 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. Outposts 영역의 로드 밸런서에 이 정책을 사용하세요.

```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "logdelivery.elb.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    "Condition": {
        "StringEquals": {
            "s3:x-amz-acl": "bucket-owner-full-control"
        }
    }
}
```

`Resource`에는 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 [3단계](enable-access-logging.md#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 보안 모범 사례
<a name="bucket-policy-security-best-practices"></a>

보안을 강화하려면 정확한 S3 버킷 ARN을 사용합니다.
+ S3 버킷 ARN뿐만 아니라 전체 리소스 경로를 사용합니다.
+ S3 버킷 ARN의 계정 ID 부분을 포함합니다.
+ S3 버킷 ARN의 계정 ID 부분에 와일드카드(\$1)를 사용하지 마세요.

버킷 정책을 생성한 후 Amazon S3 콘솔 또는 AWS CLI 명령과 같은 Amazon S3 인터페이스를 사용하여 버킷 정책을 S3 버킷에 연결합니다.

------
#### [ Console ]

**버킷 정책을 S3 버킷에 연결하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **권한**을 선택한 다음에 **버킷 정책**, **편집**을 선택합니다.

1. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**버킷 정책을 S3 버킷에 연결하려면**  
[put-bucket-policy](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-policy.html) 명령을 사용합니다. 이 예제에서는 버킷 정책이 지정된 .json 파일에 저장되었습니다.

```
aws s3api put-bucket-policy \
    --bucket amzn-s3-demo-bucket \
    --policy file://access-log-policy.json
```

------

## 3단계: 연결 로그 구성
<a name="enable-connection-logs"></a>

다음 절차에 따라 이벤트를 캡처하고 로그 파일을 S3 버킷에 전송하도록 연결 로그를 구성합니다.

**요구 사항**  
버킷은 [1단계](#connection-log-create-bucket)에 설명된 요구 사항을 충족해야 하며 [2단계](#attach-bucket-policy-connection)의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 지정하는 경우 접두사에 'AWSLogs' 문자열이 포함되지 않아야 합니다.

**연결 로그용 S3 버킷을 관리하려면**  
연결 로그용으로 구성한 버킷을 삭제하기 전에 연결 로그를 비활성화해야 합니다. 이렇게 하지 않으면 이름이 동일한 새로운 버킷이 있지만 필요한 버킷 정책이 다른 AWS 계정 에 생성된 경우, Elastic Load Balancing이 내 로드 밸런서의 연결 로그를 이 새로운 버킷에 쓸 수 있습니다.

------
#### [ Console ]

**연결 로그를 활성화하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **로드 밸런서**를 클릭합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **모니터링**에서 **연결 로그**를 켭니다.

1. **S3 URI**로 로그 파일의 S3 URI를 입력합니다. 지정하는 URI는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 URI: `s3://bucket-name/prefix`
   + 접두사가 없는 URI: `s3://bucket-name`

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**연결 로그를 활성화하려면**  
관련 속성과 함께 [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) 명령을 사용합니다.

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes \
        Key=connection_logs.s3.enabled,Value=true \
        Key=connection_logs.s3.bucket,Value=amzn-s3-demo-logging-bucket \
        Key=connection_logs.s3.prefix,Value=logging-prefix
```

------
#### [ CloudFormation ]

**연결 로그를 활성화하려면**  
관련 속성을 포함하도록 [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) 리소스를 업데이트합니다.

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
      LoadBalancerAttributes: 
        - Key: "connection_logs.s3.enabled"
          Value: "true"
        - Key: "connection_logs.s3.bucket"
          Value: "amzn-s3-demo-logging-bucket"
        - Key: "connection_logs.s3.prefix"
          Value: "logging-prefix"
```

------

## 4단계: 버킷 권한 확인
<a name="verify-bucket-permissions-connection"></a>

로드 밸런서에 대해 연결 로그가 활성화되면 Elastic Load Balancing에서는 S3 버킷을 검증하고 버킷 정책에서 필수 권한을 지정하는지 확인하는 테스트 파일을 생성합니다. Amazon S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 연결 로그 파일이 아니며, 예제 레코드가 포함되어 있지 않습니다.

**S3 버킷에서 Elastic Load Balancing이 테스트 파일을 생성했는지 확인하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 연결 로그에 대해 지정한 버킷의 이름을 선택합니다.

1. 테스트 파일인 `ELBConnectionLogTestFile`로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 위치: *amzn-s3-demo-logging-bucket*/*prefix*/AWSLogs/*123456789012*/ELBConnectionLogTestFile
   + 접두사가 없는 위치: *amzn-s3-demo-logging-bucket*/AWSLogs/*123456789012*/ELBConnectionLogTestFile

## 문제 해결
<a name="bucket-permissions-troubleshooting-connection"></a>

액세스 거부 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.
+ 버킷 정책이 버킷에 연결 로그를 쓰도록 허용하는 Elastic Load Balancing 권한을 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 연결 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 리소스 ARN에서 사용하는지 확인하세요. 연결 로그를 활성화할 때 접두사를 지정하지 않은 경우 리소스 ARN에 접두사가 포함되어 있지 않은지 확인합니다.
+ 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷이 Amazon S3 관리형 키(SSE-S3)를 사용해야 합니다.

# Application Load Balancer에서 연결 로그 비활성화
<a name="disable-connection-logging"></a>

언제든지 로드 밸런서에서 연결 로그를 비활성화할 수 있습니다. 연결 로그를 비활성화하면 연결 로그는 사용자가 삭제할 때까지 S3 버킷에 남아 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 생성, 구성 및 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)을 참조하세요.

------
#### [ Console ]

**연결 로그를 비활성화하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **로드 밸런서**를 클릭합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **모니터링**에서 **연결 로그**를 끕니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**연결 로그를 비활성화하려면**  
[modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) 명령을 사용합니다.

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes Key=connection_logs.s3.enabled,Value=false
```

------

# 상태 확인 로그
<a name="load-balancer-health-check-logs"></a>

Elastic Load Balancing은 상태 확인 실패 시 실패 이유를 포함하여 등록된 대상의 상태 확인 상태에 대한 자세한 정보를 캡처하는 상태 확인 로그를 제공합니다. 상태 확인 로그는 EC2 인스턴스, IP 주소 및 Lambda 함수 대상에 대해 지원됩니다. 각 로그 항목에는 상태 확인 요청 유형 또는 연결, 타임스탬프, 대상 주소, 대상 그룹 ID, 상태 및 사유 코드와 같은 정보가 포함됩니다. 이러한 상태 확인 로그를 사용하여 대상 상태 패턴을 분석하고, 상태 전환을 모니터링하고, 문제를 해결할 수 있습니다.

상태 확인 로그는 기본적으로 비활성화된 선택적 기능입니다. 로드 밸런서에 대해 상태 확인 로그를 활성화하면 Elastic Load Balancing은 로그를 캡처하여 지정한 Amazon S3 버킷에 압축 파일로 저장합니다. 상태 확인 로그는 언제든지 비활성화할 수 있습니다.

Amazon S3의 스토리지 비용은 청구되지만, Amazon S3로 로그 파일을 전송하기 위해 Elastic Load Balancing에서 사용하는 대역폭에 대해서는 요금이 부과되지 않습니다. 스토리지 비용에 대한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.

**Topics**
+ [상태 확인 로그 파일](#health-check-log-file-format)
+ [상태 확인 로그 항목](#health-check-log-entry-format)
+ [로그 항목 예제](#health-check-log-file-entries)
+ [로그 전송 알림 구성](#health-check-log-event-notifications)
+ [상태 확인 로그 파일 처리](#health-check-log-processing-tools)
+ [Application Load Balancer에 대한 상태 확인 로그 활성화](enable-health-check-logging.md)
+ [Application Load Balancer에 대한 상태 확인 로그 비활성화](disable-health-check-logging.md)

## 상태 확인 로그 파일
<a name="health-check-log-file-format"></a>

Elastic Load Balancing은 5분마다 각 로드 밸런서 노드에 대한 로그 파일을 게시합니다. 로드 밸런서는 많은 수의 대상이 로드 밸런서에 연결되거나 작은 상태 확인 간격이 구성된 경우(예: 5초마다) 동일한 기간 동안 여러 로그를 전송할 수 있습니다.

상태 확인 로그의 파일 이름은 다음 형식을 사용합니다.

```
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/health_check_log_aws-account-id_elasticloadbalancing_region_app.load-balancer-id_end-time_ip-address_random-string.log.gz
```

*버킷*  
S3 버킷의 이름.

*접두사*  
(선택 사항) 버킷의 접두사(논리적 계층 구조)입니다. 지정하는 접두사에는 문자열 `AWSLogs`가 포함되지 않아야 합니다. 자세한 내용은 [접두사를 사용한 객체 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)을 참조하세요.

`AWSLogs`  
`AWSLogs`로 시작하는 파일 이름의 일부가 지정하는 버킷 이름과 선택적 접두사 뒤에 추가됩니다.

*aws-account-id*  
소유자의 AWS 계정 ID입니다.

*리전*.  
로드 밸런서 및 S3 버킷을 위한 리전입니다.

*yyyy*/*mm*/*dd*  
로그가 전달된 날짜입니다.

*load-balancer-id*  
로드 밸런서의 리소스 ID입니다. 리소스 ID에 포함되어 있는 슬래시(/)가 마침표(.)로 대체됩니다.

*end-time*  
로깅 간격이 끝나는 날짜와 시간입니다. 예를 들어 종료 시간이 20140215T2340Z이면 UTC 또는 Zulu 시간으로 23:35과 23:40 사이의 요청에 대한 항목이 포함됩니다.

*ip-address*  
요청을 처리한 로드 밸런서 노드의 IP 주소입니다. 내부 로드 밸런서의 경우 프라이빗 IP 주소가 됩니다.

*random-string*  
시스템에서 생성된 임의 문자열입니다.

다음은 접두사가 있는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2022/05/01/health_check_log_123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20220215T2340Z_172.160.001.192_20sg8hgm.log.gz
```

다음은 접두사가 없는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-logging-bucket/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2022/05/01/health_check_log_123456789012_elasticloadbalancing_us-east-2_app.my-loadbalancer.1234567890abcdef_20220215T2340Z_172.160.001.192_20sg8hgm.log.gz
```

원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 그러나 Amazon S3 수명 주기 규칙을 정의하여 자동으로 로그 파일을 보관하거나 삭제할 수도 있습니다. 자세한 내용을 알아보려면 *Amazon S3 사용 설명서*의 [객체 수명 주기 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)를 참조하세요.

## 상태 확인 로그 항목
<a name="health-check-log-entry-format"></a>

Elastic Load Balancing은 해당 로드 밸런서에 등록된 모든 대상에 대한 실패 이유를 포함하여 대상 상태 확인 결과를 로깅합니다. 각 로그 항목에는 등록된 대상에 대한 단일 상태 확인 결과의 세부 정보가 포함됩니다.

**Topics**
+ [구문](#health-check-log-entry-syntax)
+ [오류 이유 코드](#health-check-error-reason-codes)

### 구문
<a name="health-check-log-entry-syntax"></a>

다음 표에서는 상태 확인 로그 항목의 필드를 순서대로 설명합니다. 모든 필드는 공백으로 구분됩니다. 새 필드를 추가할 때는 로그 항목의 끝에 추가합니다. 새 필드를 릴리스할 준비를 하는 동안 해당 필드가 릴리스되기 전에 끝에 “-”가 하나 더 표시될 수 있습니다. 로그 구문 분석이 마지막으로 문서화된 필드에서 중단되도록 구성하고 새 필드를 릴리스한 후에는 로그 구문 분석 구성을 업데이트해야 합니다.


| 필드(위치) | 설명 | 
| --- | --- | 
|  type (1)  |  상태 확인 요청 또는 연결의 유형입니다. 사용 가능한 값은 다음과 같습니다(기타 값은 모두 무시). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/load-balancer-health-check-logs.html)  | 
|  time (2)  |  ISO 8601 형식의 대상에서 상태 확인이 시작되는 시점의 타임스탬프입니다.  | 
|  지연 시간(3)  |  현재 상태 확인을 완료하는 데 경과된 총 시간 (초)입니다.  | 
|  target\$1addr(4)  |  IP:Port 형식의 대상 IP 주소 및 포트입니다. 대상이 Lambda 함수인 경우 Lambda의 ARN입니다.  | 
|  target\$1group\$1id(5)  |  대상이 연결된 대상 그룹의 이름입니다.  | 
|  상태(6)  |  상태 확인의 상태입니다. 상태 확인이 성공하면이 값은 입니다 `PASS` . 실패한 상태 확인에서 값은 입니다. `FAIL`  | 
|  status\$1code(7)  |  상태 확인 요청에 대해 대상에서 받은 응답 코드입니다.  | 
|  reason\$1code(8)  |  상태 확인이 실패할 경우 실패 이유입니다. [오류 이유 코드](#health-check-error-reason-codes) 섹션을 참조하세요  | 

### 오류 이유 코드
<a name="health-check-error-reason-codes"></a>

대상 상태 확인이 실패하면 로드 밸런서는 상태 확인 로그에 다음 사유 코드 중 하나를 기록합니다.


| 코드 | 설명 | 
| --- | --- | 
|  `RequestTimedOut`  |  응답을 기다리는 동안 상태 확인 요청이 시간 초과됨  | 
|  `ConnectionTimedOut`  |  TCP 연결 시도 시간이 초과되어 상태 확인에 실패했습니다.  | 
|  `ConnectionReset`  |  연결 재설정으로 인한 상태 확인 실패  | 
|  `ResponseCodeMismatch`  |  상태 확인 요청에 대한 대상 응답의 HTTP 상태 코드가 구성된 상태 코드와 일치하지 않음  | 
|  `ResponseStringMismatch`  |  대상에서 반환한 응답 본문에 대상 그룹 상태 확인 구성에 구성된 문자열이 포함되어 있지 않음  | 
|  `InternalError`  |  내부 로드 밸런서 오류  | 
|  `TargetError`  |  대상은 상태 확인 요청에 대한 응답으로 5xx 오류 코드를 반환합니다.  | 
|  `GRPCStatusHeaderEmpty`  |  GRPC 대상 응답에 값이 없는 grpc 상태 헤더가 있음  | 
|  `GRPCUnexpectedStatus`  |  GRPC 대상이 예기치 않은 grpc-status로 응답함  | 

## 로그 항목 예제
<a name="health-check-log-file-entries"></a>

다음은 상태 확인 로그 항목의 예입니다. 보다 읽기 쉽도록 예제 텍스트가 여러 줄에 나타납니다.

다음은 성공적인 상태 확인을 위한 로그 항목의 예입니다.

```
http 2025-10-31T12:44:59.875678Z 0.019584011 172.31.20.97:80 HCLogsTestIPs PASS 200 -
```

다음은 실패한 상태 확인에 대한 로그 항목의 예입니다.

```
http 2025-10-31T12:44:58.901409Z 1.121980746 172.31.31.9:80 HCLogsTestIPs FAIL 502 TargetError
```

## 로그 전송 알림 구성
<a name="health-check-log-event-notifications"></a>

Elastic Load Balancing이 로그를 S3 버킷으로 전송할 때 알림을 받으려면 Amazon S3 이벤트 알림을 사용합니다. Elastic Load Balancing은 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html), [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) 및 [POST Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)를 사용하여 Amazon S3에 로그를 전송합니다. 모든 로그 전송 알림을 수신하려면 구성에 이러한 객체 생성 이벤트를 모두 포함해야 합니다.

자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3 이벤트 알림](https://docs.aws.amazon.com/AmazonS3/latest/userguide/EventNotifications.html)을 참조하세요.

## 상태 확인 로그 파일 처리
<a name="health-check-log-processing-tools"></a>

상태 확인 로그 파일이 압축됩니다. 파일을 다운로드하는 경우에는 압축을 해제해야 정보를 볼 수 있습니다.

웹 사이트에서 요청이 많은 경우에는 로드 밸런서가 수 기가바이트의 데이터로 로그 파일을 생성할 수 있습니다. 라인별 처리로는 이렇게 대량의 데이터를 처리할 수 없습니다. 따라서 병렬 처리 솔루션을 제공하는 분석 도구를 사용해야 할 수 있습니다. 예를 들어 다음 분석 도구를 사용하여 상태 확인 로그를 분석하고 처리할 수 있습니다.
+ Amazon Athena는 표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스입니다.
+ [Loggly](https://documentation.solarwinds.com/en/success_center/loggly/content/admin/s3-ingestion-auto.htm)
+ [Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/)
+ [Sumo Logic](https://www.sumologic.com/application/elb/)

# Application Load Balancer에 대한 상태 확인 로그 활성화
<a name="enable-health-check-logging"></a>

로드 밸런서에 대해 상태 확인 로그를 활성화할 때는 로드 밸런서가 로그를 저장할 S3 버킷의 이름을 지정해야 합니다. 버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 이 버킷에 있어야 합니다.

**Topics**
+ [1단계: S3 버킷 생성](#health-check-log-create-bucket)
+ [2단계: S3 버킷에 정책 연결](#attach-bucket-policy-health-check)
+ [3단계: 상태 확인 로그 구성](#enable-health-check-logs)
+ [4단계: 버킷 권한 확인](#verify-bucket-permissions-health-check)
+ [문제 해결](#bucket-permissions-troubleshooting-health-check)

## 1단계: S3 버킷 생성
<a name="health-check-log-create-bucket"></a>

상태 확인 로그를 활성화할 때는 상태 확인 로그에 대한 S3 버킷을 지정해야 합니다. 기존 버킷을 사용하거나 상태 확인 로그 전용 버킷을 생성할 수 있습니다. 버킷은 다음 요구 사항을 충족해야 합니다.

**요구 사항**
+ 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.
+ 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리형 키(SSE-S3)입니다. 자세한 내용을 [Amazon S3 관리형 암호화 키(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 섹션을 참조하세요.

**Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. **버킷 만들기**를 선택합니다.

1. [**Create a bucket**] 페이지에서 다음과 같이 실행합니다.

   1. [**Bucket Name**]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 규제 및 제한](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)을 참조하세요.

   1. **AWS 리전**의 경우 로드 밸런서를 생성한 리전을 선택합니다.

   1. **기본 암호화**에서 **Amazon S3 관리형 키(SSE-S3)**를 선택합니다.

   1. **버킷 생성**을 선택합니다.

## 2단계: S3 버킷에 정책 연결
<a name="attach-bucket-policy-health-check"></a>

S3 버킷에는 버킷에 상태 확인 로그를 쓸 수 있는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

이미 정책이 연결된 기존 버킷을 사용하는 경우 Elastic Load Balancing 상태 확인 로그에 대한 문을 정책에 추가할 수 있습니다. 이렇게 하면 결과 권한 세트를 평가하여 상태 확인 로그를 위해 버킷에 액세스해야 하는 사용자에게 적합한지 확인하는 것이 좋습니다.

### 버킷 정책
<a name="bucket-policy-logdelivery-health-check"></a>

이 정책은 지정된 로그 전송 서비스에 권한을 부여합니다.

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    }
  ]
}
```

`Resource`에는 예제 정책에 표시된 형식을 사용하여 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 [3단계](enable-access-logging.md#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**AWS GovCloud (US)** – 다음 예제에서는 AWS GovCloud (US) Regions에 대한 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

**AWS GovCloud (US)** – 다음 예제에서는 AWS GovCloud (US) Regions에 대한 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 레거시 버킷 정책
<a name="legacy-bucket-policy"></a>

2022년 8월 이전에 제공되던 리전의 경우, 리전별 Elastic Load Balancing 계정에 권한을 부여하는 정책이 필요했습니다. 이 레거시 정책은 여전히 지원되지만, 위에 소개된 최신 정책으로 대체할 것을 권장합니다. 표시되어 있지 않지만 레거시 정책을 계속 사용하려는 경우 그대로 사용할 수 있습니다.

 참고로 레거시 정책 `Principal`에서 지정해야 하는 Elastic Load Balancing 계정 ID는 다음과 같습니다. 이 목록에 없는 리전은 레거시 정책을 지원하지 않는다는 점에 유의하세요.
+ 미국 동부(버지니아 북부) – 127311923021
+ 미국 동부(오하이오) – 033677994240
+ 미국 서부(캘리포니아 북부) – 027434742980
+ 미국 서부(오레곤) – 797873946194
+ 아프리카(케이프타운) – 098369216593
+ 아시아 태평양(홍콩) – 754344448648
+ 아시아 태평양(자카르타) – 589379963580
+ 아시아 태평양(뭄바이) – 718504428378
+ 아시아 태평양(오사카) – 383597477331
+ 아시아 태평양(서울) – 600734575887
+ 아시아 태평양(싱가포르) – 114774131450
+ 아시아 태평양(시드니) – 783225319266
+ 아시아 태평양(도쿄) – 582318560864
+ 캐나다(중부) – 985666609251
+ 유럽(프랑크푸르트) – 054676820928
+ 유럽(아일랜드) – 156460612806
+ 유럽(런던) – 652711504416
+ 유럽(밀라노) – 635631232127
+ 유럽(파리) – 009996457667
+ 유럽(스톡홀름) – 897822967062
+ 중동(바레인) – 076674570225
+ 남아메리카(상파울루) – 507241528517
+ AWS GovCloud(미국 동부) – 190560391635
+ AWS GovCloud(미국 서부) – 048591011584

### Outposts 영역
<a name="bucket-policy-outposts"></a>

다음 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. Outposts 영역의 로드 밸런서에 이 정책을 사용하세요.

```
{
    "Effect": "Allow",
    "Principal": {
        "Service": "logdelivery.elb.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    "Condition": {
        "StringEquals": {
            "s3:x-amz-acl": "bucket-owner-full-control"
        }
    }
}
```

`Resource`에는 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 [3단계](enable-access-logging.md#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 보안 모범 사례
<a name="bucket-policy-security-best-practices"></a>

보안을 강화하려면 정확한 S3 버킷 ARN을 사용합니다.
+ S3 버킷 ARN뿐만 아니라 전체 리소스 경로를 사용합니다.
+ S3 버킷 ARN의 계정 ID 부분을 포함합니다.
+ S3 버킷 ARN의 계정 ID 부분에 와일드카드(\$1)를 사용하지 마세요.

버킷 정책을 생성한 후 Amazon S3 콘솔 또는 AWS CLI 명령과 같은 Amazon S3 인터페이스를 사용하여 버킷 정책을 S3 버킷에 연결합니다.

------
#### [ Console ]

**버킷 정책을 S3 버킷에 연결하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **권한**을 선택한 다음에 **버킷 정책**, **편집**을 선택합니다.

1. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**버킷 정책을 S3 버킷에 연결하려면**  
[put-bucket-policy](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-policy.html) 명령을 사용합니다. 이 예제에서는 버킷 정책이 지정된 .json 파일에 저장되었습니다.

```
aws s3api put-bucket-policy \
    --bucket amzn-s3-demo-bucket \
    --policy file://access-log-policy.json
```

------

## 3단계: 상태 확인 로그 구성
<a name="enable-health-check-logs"></a>

다음 절차에 따라 S3 버킷에 로그 파일을 캡처하고 전송하도록 상태 확인 로그를 구성합니다.

**요구 사항**  
버킷은 [1단계](#health-check-log-create-bucket)에 설명된 요구 사항을 충족해야 하며 [2단계](#attach-bucket-policy-health-check)의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 지정하는 경우 접두사에 'AWSLogs' 문자열이 포함되지 않아야 합니다.

**상태 확인 로그의 S3 버킷을 관리하려면**  
상태 확인 로그에 대해 구성한 버킷을 삭제하기 전에 상태 확인 로그를 비활성화해야 합니다. 그렇지 않으면 이름과 필수 버킷 정책이 동일하지만 소유하지 않은에서 AWS 계정 생성된 새 버킷이 있는 경우 Elastic Load Balancing은 로드 밸런서에 대한 상태 확인 로그를이 새 버킷에 쓸 수 있습니다.

------
#### [ Console ]

**상태 확인 로그를 활성화하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **로드 밸런서**를 클릭합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **모니터링**에서 **상태 확인 로그**를 켭니다.

1. **S3 URI**로 로그 파일의 S3 URI를 입력합니다. 지정하는 URI는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 URI: `s3://bucket-name/prefix`
   + 접두사가 없는 URI: `s3://bucket-name`

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**상태 확인 로그를 활성화하려면**  
관련 속성과 함께 [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) 명령을 사용합니다.

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes \
        Key=health_check_logs.s3.enabled,Value=true \
        Key=health_check_logs.s3.bucket,Value=amzn-s3-demo-logging-bucket \
        Key=health_check_logs.s3.prefix,Value=logging-prefix
```

------
#### [ CloudFormation ]

**상태 확인 로그를 활성화하려면**  
관련 속성을 포함하도록 [AWS::ElasticLoadBalancingV2::LoadBalancer](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-loadbalancer.html) 리소스를 업데이트합니다.

```
Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-alb
      Type: application
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
      LoadBalancerAttributes: 
        - Key: "health_check_logs.s3.enabled"
          Value: "true"
        - Key: "health_check_logs.s3.bucket"
          Value: "amzn-s3-demo-logging-bucket"
        - Key: "health_check_logs.s3.prefix"
          Value: "logging-prefix"
```

------

## 4단계: 버킷 권한 확인
<a name="verify-bucket-permissions-health-check"></a>

로드 밸런서에 대해 상태 확인 로그가 활성화되면 Elastic Load Balancing은 S3 버킷을 검증하고 테스트 파일을 생성하여 버킷 정책이 필요한 권한을 지정하는지 확인합니다. Amazon S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 상태 확인 로그 파일이 아니며 예제 레코드를 포함하지 않습니다.

**S3 버킷에서 Elastic Load Balancing이 테스트 파일을 생성했는지 확인하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 상태 확인 로그에 지정한 버킷의 이름을 선택합니다.

1. 테스트 파일인 `ELBHealthCheckLogTestFile`로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 위치: *amzn-s3-demo-logging-bucket*/*prefix*/AWSLogs/*123456789012*/ELBHealthCheckLogTestFile
   + 접두사가 없는 위치: *amzn-s3-demo-logging-bucket*/AWSLogs/*123456789012*/ELBHealthCheckLogTestFile

## 문제 해결
<a name="bucket-permissions-troubleshooting-health-check"></a>

액세스 거부 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.
+ 버킷 정책은 버킷에 상태 확인 로그를 쓸 수 있는 권한을 Elastic Load Balancing에 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 리소스 ARN이 상태 확인 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 사용하는지 확인합니다. 상태 확인 로그를 활성화할 때 접두사를 지정하지 않은 경우 리소스 ARN에 접두사가 포함되어 있지 않은지 확인합니다.
+ 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷이 Amazon S3 관리형 키(SSE-S3)를 사용해야 합니다.

# Application Load Balancer에 대한 상태 확인 로그 비활성화
<a name="disable-health-check-logging"></a>

언제든지 로드 밸런서에 대한 상태 확인 로그를 비활성화할 수 있습니다. 상태 확인 로그를 비활성화하면 상태 확인 로그는 삭제할 때까지 S3 버킷에 남아 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 생성, 구성 및 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)을 참조하세요.

------
#### [ Console ]

**상태 확인 로그를 비활성화하려면**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창에서 **로드 밸런서**를 클릭합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **모니터링**에서 **상태 확인 로그**를 끕니다.

1. **변경 사항 저장**을 선택합니다.

------
#### [ AWS CLI ]

**상태 확인 로그를 비활성화하려면**  
[modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-load-balancer-attributes.html) 명령을 사용합니다.

```
aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes Key=health_check_logs.s3.enabled,Value=false
```

------

# Application Load Balancer에 대한 요청 추적
<a name="load-balancer-request-tracing"></a>

클라이언트에서 요청을 받으면 로드 밸런서는 대상에 요청을 전달하기 전에 **X-Amzn-Trace-Id** 헤더를 추가 또는 업데이트합니다. 로드 밸런서와 대상 간의 서비스 또는 애플리케이션도 이 헤더를 추가 또는 업데이트할 수 있습니다.

요청 추적을 사용하여 클라이언트에서 대상 또는 기타 서비스로 가는 HTTP 요청을 추적할 수 있습니다. 액세스 로그를 활성화하면 **X-Amzn-Trace-Id** 헤더의 콘텐츠가 기록됩니다. 자세한 내용은 [Application Load Balancer에 대한 액세스 로그](load-balancer-access-logs.md) 단원을 참조하십시오.

## 구문
<a name="request-tracing-syntax"></a>

**X-Amzn-Trace-Id** 헤더에는 다음 형식을 가진 필드가 포함되어 있습니다.

```
Field=version-time-id
```

*필드*  
필드의 이름입니다. 지원되는 값은 `Root` 및 `Self`입니다.  
애플리케이션은 자체 용도로 임의 필드를 추가할 수 있습니다. 로드 밸런서는 이들 필드를 보관은 하지만 사용하지는 않습니다.

*version*  
버전 번호입니다. 이 값은 1입니다.

*시간*  
epoch 시간(초)입니다. 이 값은 8자리 16진수입니다.

*id*  
트레이스 식별자입니다. 이 값은 24자리 16진수입니다.

**예제**  
**X-Amzn-Trace-Id** 헤더가 들어오는 요청에 존재하지 않는 경우에는 로드 밸런서가 `Root` 필드를 가진 헤더를 생성하고 요청을 전달합니다. 다음 예를 참조하십시오.

```
X-Amzn-Trace-Id: Root=1-67891233-abcdef012345678912345678
```

**X-Amzn-Trace-Id** 헤더가 존재하고 `Root` 필드를 가지고 있는 경우에는 로드 밸런서가 `Self` 필드를 삽입하고 요청을 전달합니다. 다음 예를 참조하십시오.

```
X-Amzn-Trace-Id: Self=1-67891233-12456789abcdef012345678;Root=1-67891233-abcdef012345678912345678
```

애플리케이션이 `Root` 필드와 사용자 지정 필드를 가진 헤더를 추가하는 경우에는 로드 밸런서가 두 필드를 모두 보관하고 `Self` 필드를 삽입한 다음 요청을 전달합니다.

```
X-Amzn-Trace-Id: Self=1-67891233-12456789abcdef012345678;Root=1-67891233-abcdef012345678912345678;CalledFrom=app
```

**X-Amzn-Trace-Id** 헤더가 존재하고 `Self` 필드를 가지고 있는 경우에는 로드 밸런서가 `Self` 필드의 값을 업데이트합니다.

## 제한 사항
<a name="request-tracing-limits"></a>
+ 로드 밸런서는 응답을 수신할 때가 아니라 요청을 수신할 때 헤더를 업데이트합니다.
+ HTTP 헤더가 7 KB보다 크면 로드 밸런서는 `Root` 필드를 가진 **X-Amzn-Trace-Id** 헤더를 재작성합니다.
+ WebSockets에서는 업그레이드 요청이 성공할 때까지만 추적이 가능합니다.