기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Classic Load Balancer 액세스 로그
<a name="access-log-collection"></a>

Elastic Load Balancing은 로드 밸런서에 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

액세스 로그는 Elastic Load Balancing의 옵션 기능으로, 기본적으로 비활성화되어 있습니다. 로드 밸런서에 대해 액세스 로그를 활성화하면 Elastic Load Balancing에서 로그를 캡처하여 지정한 Amazon S3 버킷에 저장합니다. 액세스 로그는 언제든지 비활성화할 수 있습니다.

각 액세스 로그 파일은 S3 버킷에 저장되기 전에 SSE-S를 사용하여 자동으로 암호화되고, 액세스할 때 해독됩니다. 어떤 조치도 취할 필요가 없습니다. 암호화 및 암호 해독이 투명하게 수행됩니다. 각 로그 파일은 고유 키로 암호화되며, 주기적으로 바뀌는 KMS 키를 사용하여 키 자체가 암호화됩니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 섹션을 참조하세요.

액세스 로그에 대한 추가 요금은 없습니다. Amazon S3에 대한 스토리지 비용은 청구되지만 Elastic Load Balancing이 Amazon S3에 로그 파일을 전송하기 위해 사용하는 대역폭에 대해서는 비용이 청구되지 않습니다. 스토리지 비용에 대한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.

**Topics**
+ [액세스 로그 파일](#access-log-file-format)
+ [액세스 로그 항목](#access-log-entry-format)
+ [액세스 로그 처리](#log-processing-tools)
+ [액세스 로그 활성화](enable-access-logs.md)
+ [액세스 로그 비활성화](disable-access-logs.md)

## 액세스 로그 파일
<a name="access-log-file-format"></a>

Elastic Load Balancing은 지정한 간격으로 각 로드 밸런서 노드에 대한 로그 파일을 게시합니다. 로드 밸런서에 대한 액세스 로그를 활성화할 때 게시 간격을 5분 또는 60분으로 지정할 수 있습니다. 기본적으로 Elastic Load Balancing은 60분 간격으로 로그를 게시합니다. 간격을 5분으로 설정하면 로그는 1:05, 1:10, 1:15 등으로 게시됩니다. 간격이 5분으로 설정된 경우 로그 전달 시작이 최대 5분까지 지연되고 간격이 60분으로 설정된 경우 최대 15분까지 지연됩니다. 언제든지 게시 간격을 변경할 수 있습니다.

로드 밸런서는 같은 기간 동안 여러 개의 로그를 전달할 수 있습니다. 이는 일반적으로 사이트에 트래픽이 높고 여러 로드 밸런서 노드가 있으며 로그 게시 간격이 짧은 경우에 발생합니다.

액세스 로그의 파일 이름은 다음 형식을 사용합니다.

```
amzn-s3-demo-loadbalancer-logs[/logging-prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_load-balancer-name_end-time_ip-address_random-string.log
```

*amzn-s3-demo-loadbalancer-logs*  
S3 버킷의 이름.

*접두사*  
(선택 사항) 버킷의 접두사(논리적 계층 구조)입니다. 지정하는 접두사에는 문자열 `AWSLogs`가 포함되지 않아야 합니다. 자세한 내용은 [접두사를 사용한 객체 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)을 참조하세요.

`AWSLogs`  
`AWSLogs`로 시작하는 파일 이름의 일부가 지정하는 버킷 이름과 선택적 접두사 뒤에 추가됩니다.

*aws-account-id*  
소유자의 AWS 계정 ID입니다.

*리전*.  
로드 밸런서 및 S3 버킷을 위한 리전입니다.

*yyyy*/*mm*/*dd*  
로그가 전달된 날짜입니다.

*load-balancer-name*  
로드 밸런서의 이름입니다.

*end-time*  
로깅 간격이 끝나는 날짜와 시간입니다. 예를 들어 종료 시간이 20140215T2340Z이면 게시 간격이 5분인 경우 23:35와 23:40 사이의 요청에 대한 항목이 포함됩니다.

*ip-address*  
요청을 처리한 로드 밸런서 노드의 IP 주소입니다. 내부 로드 밸런서의 경우 프라이빗 IP 주소가 됩니다.

*random-string*  
시스템에서 생성된 임의 문자열입니다.

다음은 접두사 'my-app'이 있는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-loadbalancer-logs/my-app/AWSLogs/123456789012/elasticloadbalancing/us-west-2/2018/02/15/123456789012_elasticloadbalancing_us-west-2_my-loadbalancer_20180215T2340Z_172.160.001.192_20sg8hgm.log
```

다음은 접두사가 없는 로그 파일 이름의 예입니다.

```
s3://amzn-s3-demo-loadbalancer-logs/AWSLogs/123456789012/elasticloadbalancing/us-west-2/2018/02/15/123456789012_elasticloadbalancing_us-west-2_my-loadbalancer_20180215T2340Z_172.160.001.192_20sg8hgm.log
```

원하는 기간만큼 버킷에 로그 파일을 저장할 수 있습니다. 그러나 Amazon S3 수명 주기 규칙을 정의하여 자동으로 로그 파일을 보관하거나 삭제할 수도 있습니다. 자세한 내용을 알아보려면 *Amazon S3 사용 설명서*의 [객체 수명 주기 관리](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)를 참조하세요.

## 액세스 로그 항목
<a name="access-log-entry-format"></a>

Elastic Load Balancing은 백엔드 인스턴스로 전달되지 않는 요청을 포함해 로드 밸런서로 보낸 모든 요청을 기록합니다. 예를 들어 클라이언트가 잘못된 요청을 보내거나 응답할 정상 인스턴스가 없는 경우에도 요청은 계속 기록됩니다.

**중요**  
Elastic Load Balancing은 최선의 노력으로 요청을 기록합니다. 모든 요청을 완벽하게 기록하기 위한 용도가 아니라 요청 특성을 이해하는 데 액세스 로그를 사용하는 것이 좋습니다.

### 구문
<a name="access-log-entry-syntax"></a>

각 로그 항목에는 로드 밸런서에 대한 단일 요청의 세부 정보가 포함되어 있습니다. 로그 항목의 모든 필드는 공백으로 구분됩니다. 로그 파일의 각 항목은 다음 형식을 갖습니다.

```
timestamp elb client:port backend:port request_processing_time backend_processing_time response_processing_time elb_status_code backend_status_code received_bytes sent_bytes "request" "user_agent" ssl_cipher ssl_protocol
```

다음 표에서는 액세스 로그 항목의 필드를 설명합니다.


| 필드 | 설명 | 
| --- | --- | 
| 시간 | 로드 밸런서가 클라이언트에서 요청을 받은 시간입니다(ISO 8601 형식). | 
| elb | 로드 밸런서의 이름입니다 | 
| client:port | 요청을 하는 클라이언트의 IP 주소 및 포트입니다. | 
| backend:port |  이 요청을 처리한 등록된 인스턴스의 IP 주소 및 포트입니다. 로드 밸런서가 등록된 인스턴스에 요청을 보낼 수 없거나 인스턴스가 응답을 보내기 전에 연결을 종료하면 이 값은 `-`로 설정됩니다. 등록된 인스턴스가 유휴 제한 시간 전에 응답하지 않으면 이 값을 `-`로 설정할 수도 있습니다.  | 
| request\$1processing\$1time |  [HTTP 리스너] 로드 밸런서가 요청을 수신한 시간부터 등록된 인스턴스로 보낸 시간까지의 총 경과 시간(초)입니다. [TCP 리스너] 로드 밸런서가 클라이언트의 TCP/SSL 연결을 승인한 시간부터 첫 번째 데이터 바이트를 등록된 인스턴스로 보내는 데 걸린 총 경과 시간(초)입니다. 로드 밸런서가 등록된 인스턴스에 요청을 디스패치할 수 없는 경우 이 값은 `-1`로 설정됩니다. 이는 등록된 인스턴스가 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 발생할 수 있습니다. 또한 TCP 리스너의 경우 클라이언트가 로드 밸런서와의 연결을 설정했지만 데이터를 보내지 않으면 이러한 오류가 발생할 수 있습니다. 등록된 인스턴스가 유휴 제한 시간 전에 응답하지 않으면 이 값을 `-1`로 설정할 수도 있습니다.  | 
| backend\$1processing\$1time |  [HTTP 리스너] 로드 밸런서가 등록된 인스턴스에 요청을 보낸 시간부터 인스턴스가 응답 헤더를 보내기 시작할 때까지의 총 경과 시간(초)입니다. [TCP 리스너] 로드 밸런서가 등록된 인스턴스에 대한 연결을 성공적으로 설정하는 데 걸린 총 시간(초)입니다. 로드 밸런서가 등록된 인스턴스에 요청을 디스패치할 수 없는 경우 이 값은 `-1`로 설정됩니다. 이는 등록된 인스턴스가 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 발생할 수 있습니다. 등록된 인스턴스가 유휴 제한 시간 전에 응답하지 않으면 이 값을 `-1`로 설정할 수도 있습니다.  | 
| response\$1processing\$1time |  [HTTP 리스너] 로드 밸런서가 등록된 인스턴스의 응답 헤더를 수신한 시간부터 클라이언트에 응답을 보내기 시작할 때까지의 총 경과 시간(초)입니다. 여기에는 로드 밸런서의 대기 시간과 로드 밸런서에서 클라이언트까지의 연결 확보 시간이 모두 포함됩니다. [TCP 리스너] 로드 밸런서가 등록된 인스턴스의 첫 번째 바이트를 수신한 시간부터 클라이언트에 응답을 보내기 시작할 때까지의 총 경과 시간(초)입니다. 로드 밸런서가 등록된 인스턴스에 요청을 디스패치할 수 없는 경우 이 값은 `-1`로 설정됩니다. 이는 등록된 인스턴스가 유휴 제한 시간 전에 연결을 종료하거나 클라이언트가 잘못된 요청을 보내는 경우에 발생할 수 있습니다. 등록된 인스턴스가 유휴 제한 시간 전에 응답하지 않으면 이 값을 `-1`로 설정할 수도 있습니다.  | 
| elb\$1status\$1code | [HTTP 리스너] 로드 밸런서의 응답 상태 코드입니다. | 
| backend\$1status\$1code | [HTTP 리스너] 등록된 인스턴스의 응답 상태 코드입니다. | 
| received\$1bytes |  클라이언트(요청자)로부터 수신된 요청의 크기(바이트)입니다. [HTTP 리스너] 해당 값에는 요청 본문이 포함되지만 헤더는 포함되지 않습니다. [TCP 리스너] 해당 값에는 요청 본문 및 헤더가 포함됩니다.  | 
| sent\$1bytes |  클라이언트(요청자)에게 보낸 응답의 크기(바이트)입니다. [HTTP 리스너] 해당 값에는 응답 본문이 포함되지만 헤더는 포함되지 않습니다. [TCP 리스너] 해당 값에는 요청 본문 및 헤더가 포함됩니다. | 
| 요청 |  큰 따옴표로 묶여 HTTP 메서드 \$1 프로토콜://호스트 헤더:포트 \$1 경로 \$1 HTTP 버전 형식으로 기록된 클라이언트 요청 줄입니다. 로드 밸런서는 요청 URI를 기록할 때 클라이언트가 보낸 URL을 원본 그대로 보관합니다. 또한 액세스 로그 파일에 대한 콘텐츠 유형을 설정하지 않습니다. 이 필드를 처리하는 경우 해당 클라이언트가 URL을 보낸 방법을 고려하십시오. [TCP 리스너] URL은 각각 공백으로 구분된 세 개의 대시이며 공백으로 끝납니다("- - - ").  | 
| user\$1agent |  [HTTP/HTTPS 리스너] 요청을 보낸 클라이언트를 식별하는 User-Agent 문자열입니다. 이 문자열은 하나 이상의 제품 식별자, 제품[/버전]으로 이루어져 있습니다. 문자열이 8 KB보다 길면 잘리게 됩니다.  | 
| ssl\$1cipher |  [HTTPS/SSL 리스너] SSL 암호입니다. 이 값은 성공적인 협상 후에 수신되는 SSL/TLS 연결이 설정된 경우에만 기록됩니다. 그렇지 않으면 이 값은 `-`로 설정됩니다.  | 
| ssl\$1protocol |  [HTTPS/SSL 리스너] SSL 프로토콜입니다. 이 값은 성공적인 협상 후에 수신되는 SSL/TLS 연결이 설정된 경우에만 기록됩니다. 그렇지 않으면 이 값은 `-`로 설정됩니다.  | 

### 예제
<a name="access-log-entry-examples"></a>

**HTTP 항목 예제**  
다음은 HTTP 리스너(포트 80에서 포트 80)를 위한 로그 항목 예제입니다.

```
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.000073 0.001048 0.000057 200 200 0 29 "GET http://www.example.com:80/ HTTP/1.1" "curl/7.38.0" - -
```

**HTTPS 항목 예제**  
다음은 HTTPS 리스너(포트 443에서 포트 80)를 위한 로그 항목 예제입니다.

```
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.000086 0.001048 0.001337 200 200 0 57 "GET https://www.example.com:443/ HTTP/1.1" "curl/7.38.0" DHE-RSA-AES128-SHA TLSv1.2
```

**TCP 항목 예제**  
다음은 TCP 리스너 로그 항목 예입니다(포트 8080에서 포트 80).

```
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.001069 0.000028 0.000041 - - 82 305 "- - - " "-" - -
```

**SSL 항목 예제**  
다음은 SSL 리스너 로그 항목 예입니다(포트 8443에서 포트 80).

```
2015-05-13T23:39:43.945958Z my-loadbalancer 192.168.131.39:2817 10.0.0.1:80 0.001065 0.000015 0.000023 - - 57 502 "- - - " "-" ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2
```

## 액세스 로그 처리
<a name="log-processing-tools"></a>

웹 사이트에서 요청이 많은 경우에는 로드 밸런서가 수 기가바이트의 데이터로 로그 파일을 생성할 수 있습니다. 라인별 처리로는 이렇게 대량의 데이터를 처리할 수 없습니다. 따라서 병렬 처리 솔루션을 제공하는 분석 도구를 사용해야 할 수 있습니다. 예를 들어, 다음과 같은 분석 도구를 사용하여 액세스 로그를 분석 및 처리할 수 있습니다.
+ Amazon Athena는 표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스입니다. 자세한 내용은 *Amazon Athena 사용 설명서*의 [Classic Load Balancer 로그 쿼리](https://docs.aws.amazon.com/athena/latest/ug/elasticloadbalancer-classic-logs.html)를 참조하세요.
+ [Loggly](https://documentation.solarwinds.com/en/success_center/loggly/content/admin/s3-ingestion-auto.htm)
+ [Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/)
+ [Sumo Logic](https://www.sumologic.com/application/elb/)

# Classic Load Balancer 액세스 로그 활성화
<a name="enable-access-logs"></a>

로드 밸런서에 대한 액세스 로그를 활성화하려면 로드 밸런서가 로그를 저장할 Amazon S3 버킷의 이름을 지정해야 합니다. Elastic Load Balancing에게 버킷에 대한 쓰기 권한을 부여하는 버킷 정책을 이 버킷에 연결해야 합니다.

**Topics**
+ [1단계: S3 버킷 생성](#create-s3-bucket)
+ [2단계: S3 버킷에 정책 연결](#attach-bucket-policy)
+ [3단계: 액세스 로그 구성](#configure-access-logs)
+ [4단계: 버킷 권한 확인](#verify-access-logs)
+ [문제 해결](#enable-access-logs-troubleshooting)

## 1단계: S3 버킷 생성
<a name="create-s3-bucket"></a>

액세스 로그를 활성화할 때는 반드시 액세스 로그 파일에 대한 S3 버킷을 지정해야 합니다. 버킷은 다음 요구 사항을 충족해야 합니다.

**요구 사항**
+ 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.
+ 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리형 키(SSE-S3)입니다. 자세한 내용은 [Amazon S3 관리형 암호화 키(SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 섹션을 참조하세요.

**Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. **버킷 만들기**를 선택합니다.

1. [**Create a bucket**] 페이지에서 다음과 같이 실행합니다.

   1. [**Bucket Name**]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [버킷 할당량, 제한 및 제한 사항](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html)을 참조하세요.

   1. **AWS 리전**의 경우 로드 밸런서를 생성한 리전을 선택합니다.

   1. **기본 암호화**에서 **Amazon S3 관리형 키(SSE-S3)**를 선택합니다.

   1. **버킷 생성**을 선택합니다.

## 2단계: S3 버킷에 정책 연결
<a name="attach-bucket-policy"></a>

버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 S3 버킷에 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

연결된 정책이 이미 있는 기존 버킷을 사용하는 Elastic Load Balancing 액세스 로그에 대한 문을 정책에 추가할 수 있습니다. 그렇게 하는 경우, 결과적인 액세스 권한 집합을 평가하여 해당 집합이 액세스 로그에 대한 버킷에 액세스해야 하는 사용자에게 적절한 권한인지 확인하는 것이 좋습니다.

### 버킷 정책
<a name="bucket-policy-logdelivery"></a>

이 정책은 로그 전송 서비스에 권한을 부여합니다.

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    }
  ]
}
```

`Resource`에는 예제 정책에 표시된 형식을 사용하여 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 [3단계](#enable-access-logs)에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

**접두사가 있는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

[AWS GovCloud (US)] 다음 예제에서는 AWS GovCloud (US) Regions에 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
```

**접두사가 없는 S3 버킷 ARN 예제**  
S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

```
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

[AWS GovCloud (US)] 다음 예제에서는 AWS GovCloud (US) Regions에 ARN 구문을 사용합니다.

```
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*
```

### 레거시 버킷 정책
<a name="legacy-bucket-policy"></a>

2022년 8월 이전에 제공되던 리전의 경우, 리전별 Elastic Load Balancing 계정에 권한을 부여하는 정책이 필요했습니다. 이 레거시 정책은 여전히 지원되지만, 위에 소개된 최신 정책으로 대체할 것을 권장합니다. 표시되어 있지 않지만 레거시 버킷 정책을 계속 사용하려는 경우 그대로 사용할 수 있습니다.

참고로 `Principal`에서 지정해야 하는 Elastic Load Balancing 계정 ID는 다음과 같습니다. 이 목록에 없는 리전은 레거시 버킷 정책을 지원하지 않습니다.
+ 미국 동부(버지니아 북부) – 127311923021
+ 미국 동부(오하이오) – 033677994240
+ 미국 서부(캘리포니아 북부) – 027434742980
+ 미국 서부(오레곤) – 797873946194
+ 아프리카(케이프타운) – 098369216593
+ 아시아 태평양(홍콩) – 754344448648
+ 아시아 태평양(자카르타) – 589379963580
+ 아시아 태평양(뭄바이) – 718504428378
+ 아시아 태평양(오사카) – 383597477331
+ 아시아 태평양(서울) – 600734575887
+ 아시아 태평양(싱가포르) – 114774131450
+ 아시아 태평양(시드니) – 783225319266
+ 아시아 태평양(도쿄) – 582318560864
+ 캐나다(중부) – 985666609251
+ 유럽(프랑크푸르트) – 054676820928
+ 유럽(아일랜드) – 156460612806
+ 유럽(런던) – 652711504416
+ 유럽(밀라노) – 635631232127
+ 유럽(파리) – 009996457667
+ 유럽(스톡홀름) – 897822967062
+ 중동(바레인) – 076674570225
+ 남아메리카(상파울루) – 507241528517
+ AWS GovCloud(미국 동부) – 190560391635
+ AWS GovCloud(미국 서부) – 048591011584

### 보안 모범 사례
<a name="bucket-policy-security-best-practices"></a>

보안을 강화하려면 정확한 S3 버킷 ARN을 사용합니다.
+ S3 버킷 ARN뿐만 아니라 전체 리소스 경로를 사용합니다.
+ S3 버킷 ARN의 계정 ID 부분을 포함합니다.
+ S3 버킷 ARN의 계정 ID 부분에 와일드카드(\$1)를 사용하지 마세요.

버킷 정책을 생성한 후 Amazon S3 콘솔 또는 AWS CLI 명령과 같은 Amazon S3 인터페이스를 사용하여 버킷 정책을 S3 버킷에 연결합니다.

**콘솔을 사용하여 버킷 정책을 버킷에 연결하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.

1. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **권한**을 선택한 다음에 **버킷 정책**, **편집**을 선택합니다.

1. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

1. **변경 사항 저장**을 선택합니다.

**를 사용하여 버킷 정책을 S3 버킷에 연결하려면 AWS CLI**  
[put-bucket-policy](https://docs.aws.amazon.com/cli/latest/reference/s3api/put-bucket-policy.html) 명령을 사용합니다. 이 예제에서는 버킷 정책이 지정된 .json 파일에 저장되었습니다.

```
aws s3api put-bucket-policy \
    --bucket amzn-s3-demo-bucket \
    --policy file://access-log-policy.json
```

## 3단계: 액세스 로그 구성
<a name="configure-access-logs"></a>

다음 절차에 따라 요청 정보를 캡처하고 로그 파일을 S3 버킷에 전송하도록 액세스 로그를 구성합니다.

**요구 사항**  
버킷은 [1단계](#create-s3-bucket)에 설명된 요구 사항을 충족해야 하며 [2단계](#attach-bucket-policy)의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 지정하는 경우 접두사에 'AWSLogs' 문자열이 포함되지 않아야 합니다.

**콘솔을 사용하여 로드 밸런서에 대한 액세스 로그를 구성하는 방법**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창의 **Load Balancing** 아래에서 **로드 밸런서**를 선택합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **로드 밸런서 속성 편집** 페이지의 **모니터링** 섹션에서 다음을 수행합니다.

   1. **액세스 로그**를 활성화합니다.

   1. **S3 URI**로 로그 파일의 S3 URI를 입력합니다. 지정하는 URI는 접두사 사용 여부에 따라 달라집니다.
      + 접두사가 있는 URI: `s3://amzn-s3-demo-logging-bucket/logging-prefix`
      + 접두사가 없는 URI: `s3://amzn-s3-demo-logging-bucket`

   1. **로깅 간격**을 `60 minutes - default`로 유지합니다.

   1. **변경 사항 저장**을 선택합니다.

**를 사용하여 로드 밸런서에 대한 액세스 로그를 구성하려면 AWS CLI**  
먼저 Elastic Load Balancing이 60분마다 로그를 캡처하여 로그용으로 생성한 S3 버킷에 전달할 수 있게 하는 .json 파일을 만듭니다.

```
{ 
  "AccessLog": {
    "Enabled": true,
    "S3BucketName": "amzn-s3-demo-logging-bucket",
    "EmitInterval": 60,
    "S3BucketPrefix": "my-app"
  }
}
```

다음으로, 다음과 같이 [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html) 명령에 .json 파일을 지정합니다.

```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes file://my-json-file.json
```

다음은 응답의 예입니다.

```
{
    "LoadBalancerAttributes": {
        "AccessLog": {
            "Enabled": true,
            "EmitInterval": 60,
            "S3BucketName": "amzn-s3-demo-logging-bucket",
            "S3BucketPrefix": "my-app"
        }
    },
    "LoadBalancerName": "my-loadbalancer"
}
```

**액세스 로그에 대해 S3 버킷을 관리하려면**  
액세스 로그용으로 구성한 버킷을 삭제하기 전에 액세스 로그를 비활성화해야 합니다. 그렇지 않으면 이름이 같은 새 버킷과 소유 AWS 계정 하지 않은에서 생성된 필수 버킷 정책이 있는 경우 Elastic Load Balancing은 로드 밸런서에 대한 액세스 로그를이 새 버킷에 쓸 수 있습니다.

## 4단계: 버킷 권한 확인
<a name="verify-access-logs"></a>

로드 밸런서에 대해 액세스 로그가 활성화되면 Elastic Load Balancing에서는 S3 버킷을 검증하고 버킷 정책에서 필수 권한을 지정하는지 확인하는 테스트 파일을 생성합니다. S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 액세스 로그 파일이 아니며, 예제 레코드가 포함되어 있지 않습니다.

**S3 버킷에서 Elastic Load Balancing이 테스트 파일을 생성했는지 확인하려면**

1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 Amazon S3 콘솔을 엽니다.

1. 액세스 로그에 대해 지정한 S3 버킷의 이름을 선택합니다.

1. 테스트 파일인 `ELBAccessLogTestFile`로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.
   + 접두사가 있는 위치: *amzn-s3-demo-loadbalancer-logs*/*logging-prefix*/AWSLogs/*123,456,789,012*/ELBAccessLogTestFile
   + 접두사가 없는 위치: *amzn-s3-demo-loadbalancer-logs*/AWSLogs/*123,456,789,012*/ELBAccessLogTestFile

## 문제 해결
<a name="enable-access-logs-troubleshooting"></a>

***bucket-name* 버킷에 대한 액세스가 거부되었습니다. S3bucket 권한을 확인하세요.**

이 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.
+ 버킷 정책이 버킷에 액세스 로그를 쓰도록 허용하는 Elastic Load Balancing 권한을 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 액세스 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 리소스 ARN에서 사용하는지 확인하세요. 액세스 로그를 활성화할 때 접두사를 지정하지 않은 경우 리소스 ARN에 접두사가 포함되어 있지 않은지 확인합니다.
+ 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷이 Amazon S3 관리형 키(SSE-S3)를 사용해야 합니다.

# Classic Load Balancer 액세스 로그 비활성화
<a name="disable-access-logs"></a>

언제든지 로드 밸런서에 대한 액세스 로그를 비활성화할 수 있습니다. 액세스 로그를 비활성화하면 사용자가 삭제할 때까지 액세스 로그가 Amazon S3에 남아 있습니다. 자세한 내용은 *Amazon S3 사용자 안내서*의 [S3 버킷 작업](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-buckets-s3.html)을 참조하세요.

**콘솔을 사용하여 로드 밸런서에 대한 액세스 로그 비활성화**

1. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다.

1. 탐색 창의 **Load Balancing** 아래에서 **로드 밸런서**를 선택합니다.

1. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

1. **속성** 탭에서 **편집**을 선택합니다.

1. **로드 밸런서 속성 편집** 페이지의 **모니터링** 섹션에서 **액세스 로그**를 비활성화합니다.

**를 사용하여 액세스 로그를 비활성화하려면 AWS CLI**  
다음과 같은 [modify-load-balancer-attributes](https://docs.aws.amazon.com/cli/latest/reference/elb/modify-load-balancer-attributes.html) 명령을 사용하여 액세스 로그를 비활성화합니다.

```
aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes "{\"AccessLog\":{\"Enabled\":false}}"
```

다음은 응답의 예입니다.

```
{
    "LoadBalancerName": "my-loadbalancer",
    "LoadBalancerAttributes": {
        "AccessLog": {
            "S3BucketName": "amzn-s3-demo-loadbalancer-logs",
            "EmitInterval": 60,
            "Enabled": false,
            "S3BucketPrefix": "my-app"
        }
    }
}
```