기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon VPC Lattice 모니터링
이 섹션의 기능을 사용하여 Amazon VPC Lattice 서비스 네트워크, 서비스, 대상 그룹 및 VPC 연결을 모니터링할 수 있습니다.
**Topics**
+ [Amazon VPC Lattice에 대한 CloudWatch 지표](monitoring-cloudwatch.md)
+ [Amazon VPC Lattice에 대한 액세스 로그](monitoring-access-logs.md)
+ [Amazon VPC Lattice에 대한 CloudTrail 로그](monitoring-cloudtrail.md)
# Amazon VPC Lattice에 대한 CloudWatch 지표
Amazon VPC Lattice는 대상 그룹 및 서비스와 관련된 데이터를 Amazon CloudWatch로 보내고 실시간에 가까운 읽기 가능한 지표로 처리합니다. 이러한 지표는 15개월간 보관되므로 기록 정보에 액세스하고 웹 애플리케이션 또는 서비스가 어떻게 실행되고 있는지 전체적으로 더 잘 파악할 수 있습니다. 특정 임계값을 주시하다가 임계값이 충족될 때 알림을 전송하거나 조치를 취하도록 경보를 설정할 수도 있습니다. 자세한 정보는 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html)를 참조하십시오.
Amazon VPC Lattice는 AWS 계정의 서비스 연결 역할을 사용하여 지표를 Amazon CloudWatch로 전송합니다. 자세한 내용은 [Amazon VPC Lattice에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.
**Topics**
+ [Amazon CloudWatch 지표 보기](#monitoring-cloudwatch-view)
+ [대상 그룹 지표](#monitoring-cloudwatch-tg)
+ [서비스 지표](#monitoring-cloudwatch-service)
## Amazon CloudWatch 지표 보기
Amazon CloudWatch 콘솔 또는 AWS CLI를 사용하여 대상 그룹에 대한 CloudWatch 지표를 볼 수 있습니다.
**CloudWatch 콘솔을 사용하여 지표를 보는 방법**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 Amazon CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **지표**를 선택합니다.
1. `AWS/VpcLattice` 네임스페이스를 선택합니다.
1. (선택 사항) 모든 측정기준의 지표를 보려면 검색 필드에 이름을 입력합니다.
1. (선택 사항) 측정기준을 기준으로 필터링하려면 다음 중 하나를 선택하세요.
+ 대상 그룹에 보고된 지표만 표시하려면 **대상 그룹**을 선택합니다. 단일 대상 그룹에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다.
+ 서비스에 보고된 지표만 표시하려면 **서비스**를 선택합니다. 단일 서비스에 대한 지표를 보려면 검색 필드에 해당되는 이름을 입력합니다.
**를 사용하여 지표를 보려면 AWS CLI**
다음 [CloudWatch list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) AWS CLI 명령을 사용하여 사용 가능한 지표를 나열합니다.
`aws cloudwatch list-metrics --namespace AWS/VpcLattice`
지표와 그 측정기준 각각에 대한 자세한 내용은 [대상 그룹 지표](#monitoring-cloudwatch-tg) 및 [서비스 지표](#monitoring-cloudwatch-service) 단원을 참조하세요.
## 대상 그룹 지표
VPC Lattice는 대상 그룹과 관련된 지표를 `AWS/VpcLattice` [Amazon CloudWatch 네임스페이스](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace)에 자동으로 저장합니다. 대상 그룹에 대한 자세한 내용은 [VPC Lattice의 대상 그룹](target-groups.md) 섹션을 참조하세요.
**측정 기준**
대상 그룹에 대한 지표를 필터링하려면 다음 차원을 사용합니다.
+ `AvailabilityZone`
+ `TargetGroup`
| 지표 | 설명 | TargetGroup 프로토콜 |
| --- | --- | --- |
| TotalConnectionCount | 총 연결 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| ActiveConnectionCount | 활성 연결 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| ConnectionErrorCount | 총 연결 실패 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| HTTP1\$1ConnectionCount | 총 HTTP/1.1 연결 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| HTTP2\$1ConnectionCount | 총 HTTP/2 연결 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| ConnectionTimeoutCount | 총 연결 제한 시간. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalReceivedConnectionBytes | 수신된 총 연결 바이트. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalSentConnectionBytes | 전송된 총 연결 바이트. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalRequestCount | 총 요청 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| ActiveRequestCount | 총 활성 요청 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| RequestTime | 요청 시간은 밀리초 단위의 마지막 바이트입니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| HTTPCode\$12XX\$1Count, HTTPCode\$13XX\$1Count, HTTPCode\$14XX\$1Count, HTTPCode\$15XX\$1Count | HTTP 응답 코드를 집계합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| TLSConnectionErrorCount | 실패한 인증서 확인을 제외한 총 TLS 연결 오류 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalTLSConnectionHandshakeCount | 성공한 총 TLS 연결 핸드셰이크 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
## 서비스 지표
VPC Lattice는 서비스와 관련된 지표를 `AWS/VpcLattice` [Amazon CloudWatch 네임스페이스](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace)에 자동으로 저장합니다. 서비스에 대한 자세한 내용은 [VPC Lattice 내 서비스](services.md) 섹션을 참조하세요.
**측정 기준**
대상 그룹에 대한 지표를 필터링하려면 다음 차원을 사용합니다.
+ `AvailabilityZone`
+ `Service`
| 지표 | 설명 |
| --- | --- |
| RequestTimeoutCount | 응답 대기 시간이 초과된 총 요청 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| TotalRequestCount | 총 요청 수. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| RequestTime | 요청 시간(밀리초). [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| HTTPCode\$12XX\$1Count, HTTPCode\$13XX\$1Count, HTTPCode\$14XX\$1Count, HTTPCode\$15XX\$1Count | HTTP 응답 코드를 집계합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
# Amazon VPC Lattice에 대한 액세스 로그
액세스 로그는 VPC Lattice 서비스 및 리소스 구성에 대한 자세한 정보를 캡처합니다. 이 액세스 로그를 사용하여 트래픽 패턴을 분석하고 네트워크의 모든 서비스를 감사할 수 있습니다. VPC Lattice 서비스의 경우를 게시`VpcLatticeAccessLogs`하고 리소스 구성의 경우 별도로 구성해야 `VpcLatticeResourceAccessLogs` 하는를 게시합니다.
액세스 로그는 선택 사항이며 기본적으로 비활성화됩니다. 액세스 로그를 활성화한 후에는 언제든지 비활성화할 수 있습니다.
**가격 책정**
액세스 로그가 게시되면 요금이 부과됩니다. 사용자를 대신하여 AWS 기본적으로 게시하는 로그를 *벤딩 로그*라고 합니다. 벤딩 로그 요금에 대한 자세한 내용을 알려면 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 참조하고 **로그**를 선택한 다음 **벤딩 로그**에서 요금을 확인하세요.
**Topics**
+ [액세스를 활성화하는 데 필요한 IAM 권한](#monitoring-access-logs-IAM)
+ [액세스 로그 대상](#monitoring-access-logs-destinations)
+ [액세스 로그 활성화](#monitoring-access-logs-enable)
+ [요청 추적](#x-amzn-RequestId-enable)
+ [액세스 로그 내용](#monitoring-access-logs-contents)
+ [리소스 액세스 로그 콘텐츠](#monitoring-resource-access-logs-contents)
+ [액세스 로그 문제 해결](#monitoring-access-logs-troubleshoot)
## 액세스를 활성화하는 데 필요한 IAM 권한
액세스 로그를 활성화하고 대상으로 로그를 전송하려면 사용 중인 IAM 사용자, 그룹 또는 역할에 연결된 정책에 다음 작업이 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Sid": "ManageVPCLatticeAccessLogSetup",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"vpc-lattice:CreateAccessLogSubscription",
"vpc-lattice:GetAccessLogSubscription",
"vpc-lattice:UpdateAccessLogSubscription",
"vpc-lattice:DeleteAccessLogSubscription",
"vpc-lattice:ListAccessLogSubscriptions"
],
"Resource": [
"*"
]
}
]
}
```
------
자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) 섹션을 참조하세요.
사용 중인 IAM 사용자, 그룹 또는 역할에 연결된 정책을 업데이트한 후 [액세스 로그 활성화](#monitoring-access-logs-enable)로 이동하세요.
## 액세스 로그 대상
액세스 로그를 다음과 같은 대상으로 보낼 수 있습니다.
**Amazon CloudWatch Logs**
+ VPC Lattice는 일반적으로 2분 이내에 로그를 CloudWatch Logs에 전송합니다. 하지만 실제 로그 전송 시간은 최선의 노력을 바탕으로 하며 추가 지연 시간이 발생할 수 있습니다.
+ 로그 그룹에 특정 권한이 없는 경우 리소스 정책이 자동으로 생성되어 CloudWatch 로그 그룹에 추가됩니다. 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [CloudWatch Logs로 전송된 로그](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL)를 참조하세요.
+ CloudWatch 콘솔의 로그 그룹에서 CloudWatch로 전송된 액세스 로그를 확인할 수 있습니다. 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [CloudWatch Logs로 전송된 데이터 보기](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData)를 참조하세요.
**Amazon S3**
+ VPC Lattice는 일반적으로 6분 이내에 Amazon S3에 로그를 전송합니다. 하지만 실제 로그 전송 시간은 최선의 노력을 바탕으로 하며 추가 지연 시간이 발생할 수 있습니다.
+ 버킷에 특정 권한이 없는 경우 버킷 정책이 자동으로 생성되어 Amazon S3 버킷에 추가됩니다. 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [Amazon S3으로 전송된 로그](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3)를 참조하세요.
+ Amazon S3으로 전송되는 액세스 로그는 다음과 같은 명명 규칙을 사용합니다.
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
+ Amazon S3로 전송되는 VpcLatticeResourceAccessLogs는 다음 명명 규칙을 사용합니다.
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
**Amazon Data Firehose**
+ VPC Lattice는 일반적으로 2분 이내에 Firehose에 로그를 전송합니다. 하지만 실제 로그 전송 시간은 최선의 노력을 바탕으로 하며 추가 지연 시간이 발생할 수 있습니다.
+ Amazon Data Firehose에 액세스 로그를 전송할 권한을 VPC Lattice에 부여하는 서비스 연결 역할이 자동으로 생성됩니다. 역할 자동 생성이 성공하려면 사용자가 `iam:CreateServiceLinkedRole` 작업에 대한 권한을 보유해야 합니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*의 [Amazon Data Firehose으로 전송된 로그](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-Firehose)를 참조하세요.
+ Amazon Data Firehose로 전송된 로그 보기에 대한 자세한 내용은 *Amazon Data Firehose 개발자 안내서*의 [Amazon Kinesis Data Streams](https://docs.aws.amazon.com//streams/latest/dev/monitoring.html)를 참조하세요.
## 액세스 로그 활성화
액세스 로그를 캡처하고 선택한 대상으로 액세스 로그를 전송하도록 다음과 같은 절차에 따라 액세스 로그를 구성하세요.
**Topics**
+ [콘솔을 사용하여 액세스 로그 활성화](#monitoring-access-logs-console)
+ [를 사용하여 액세스 로그 활성화 AWS CLI](#monitoring-access-logs-cli)
### 콘솔을 사용하여 액세스 로그 활성화
생성 중에 서비스 네트워크, 서비스 또는 리소스 구성에 대한 액세스 로그를 활성화할 수 있습니다. 다음 절차에 설명된 대로 서비스 네트워크, 서비스 또는 리소스 구성을 생성한 후 액세스 로그를 활성화할 수도 있습니다.
**콘솔을 사용하여 기본 서비스를 생성하는 방법**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 서비스 네트워크, 서비스 또는 리소스 구성을 선택합니다.
1. **작업**, **VPC 설정 편집**을 선택합니다.
1. **액세스 로그** 토글 스위치를 켭니다.
1. 다음과 같이 액세스 로그의 전송 대상을 추가합니다.
+ **CloudWatch 로그 그룹**을 선택하고 로그 그룹을 선택합니다. 로그 그룹을 생성하려면 **CloudWatch에서 로그 그룹 생성**을 선택합니다.
+ **S3 버킷**을 선택하고 접두사를 포함한 S3 버킷 경로를 입력합니다. S3 버킷을 검색하려면 **S3 찾아보기**를 선택합니다.
+ **Kinesis Data Firehose 전송 스트림**을 클릭하고 전송 스트림을 선택합니다. 전송 스트림을 생성하려면 **Kinesis에서 전송 스트림 생성**을 선택합니다.
1. **변경 사항 저장**을 선택합니다.
### 를 사용하여 액세스 로그 활성화 AWS CLI
CLI 명령인 [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html)을 사용하여 서비스 네트워크 또는 서비스에 대한 액세스 로그를 활성화합니다.
## 요청 추적
VPC Lattice는 x-amzn-requestid 헤더를 사용한 관찰성 및 디버깅을 위해 클라이언트, 대상 및 로그 간의 요청 추적 및 상관 관계를 지원합니다. 이 헤더는 클라이언트에서 설정 및 전송하거나 VPC Lattice에서 생성할 수 있으며 대상으로 전송되고 액세스 로그에서도 사용할 수 있습니다.
**기본 동작**
+ VPC Lattice는 모든 요청에 대해이 헤더를 자동으로 생성합니다.
+ 값은 임의로 생성된 식별자(기본 UUID 스타일)입니다.
+ 생성된 식별자는 다음과 같습니다.
+ 다운스트림 대상으로 전파됩니다.
+ 클라이언트에 대한 응답 헤더에 반환됩니다.
+ 액세스 로그에 로그인됨
**예제(기본 응답)**
다음은 valu eof x-amzn-requestid 헤더에 대한 임의 값을 생성하는 VPC Lattice의 기본 동작으로 클라이언트에 전송된 응답의 예입니다.
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
**클라이언트에서 값 설정**
+ 클라이언트는 수신 요청에이 헤더를 선택적으로 설정하여 자동으로 생성된 값을 재정의할 수 있습니다.
+ 고려 사항
+ 헤더 값은 UUID 형식을 따를 필요가 없습니다.
+ 헤더 값이 512바이트를 초과하면 VPC Lattice는 헤더 값을 512로 자릅니다.
+ 성공적으로 재정의되면 제공된 헤더 값은 다음을 수행합니다.
+ 응답 헤더에 표시
+ 대상에 전파
+ 액세스 로그 및 지표에 표시
**예제(클라이언트 요청 재정의)**
다음은 헤더 값을 사용하여 클라이언트가 보낸 요청의 예입니다.
```
{
"GET /my-service/endpoint HTTP/1.1
Host: my-api.example.com
x-amzn-requestid: trace-request-foobar"
}
```
**예제(기본 재정의 응답)**
다음은 재정의된 값을 사용하여 클라이언트에 전송된 응답의 예입니다.
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: trace-request-foobar"
}
```
## 액세스 로그 내용
다음 표에서는 액세스 로그 항목의 필드를 설명합니다.
| 필드 | 설명 | 형식 |
| --- | --- | --- |
| callerPrincipalTags | 요청의 PrincipalTags입니다. | JSON |
| hostHeader | 요청의 권한 헤더. | 문자열 |
| sslCipher | 클라이언트 TLS 연결을 설정하는 데 사용되는 암호 집합의 OpenSSL 이름. | 문자열 |
| serviceNetworkArn | 서비스 네트워크 ARN. | arn:aws:vpc-lattice:*리전*:*계정*:servicenetwork/*id* |
| resolvedUser | 인증이 활성화되고 완료되었을 때의 사용자 ARN. | null \$1 ARN \$1 "익명" \$1 "알 수 없음" |
| authDeniedReason | 인증이 활성화된 경우 액세스가 거부되는 이유. | null \$1 "서비스" \$1 "네트워크" \$1 "자격 증명" |
| requestMethod | 요청의 메서드 헤더. | 문자열 |
| targetGroupArn | 대상 호스트가 속하는 대상 호스트 그룹. | 문자열 |
| tlsVersion | TLS 버전. | TLSv*x* |
| userAgent | 사용자-에이전트 헤더. | 문자열 |
| serverNameIndication | [HTTPS만 해당] SSL 연결 소켓에 SNI(서버 이름 표시)에 대해 설정된 값. | 문자열 |
| destinationVpcId | 대상 VPC ID. | vpc-*xxxxxxxx* |
| sourceIpPort | 클라이언트의 IP 주소 및 소스 포트. | *ip*:*포트* |
| targetIpPort | 클라이언트의 IP 주소 및 대상 포트. | *ip*:*포트* |
| serviceArn | 서비스 ARN. | arn:aws:vpc-lattice:*리전*:*계정*:service/*id* |
| sourceVpcId | 소스 VPC. | vpc-*xxxxxxxx* |
| requestPath | 요청의 경로. | LatticePath?:*경로* |
| startTime | 요청 시작 시간. | *YYYY*-*MM*-*DD*T*HH*:*MM*:*SS*Z |
| protocol | 프로토콜. 현재 HTTP/1.1 또는 HTTP/2. | 문자열 |
| responseCode | HTTP 응답 코드입니다. 최종 헤더의 응답 코드만 기록됩니다. 자세한 내용은 [액세스 로그 문제 해결](#monitoring-access-logs-troubleshoot) 단원을 참조하십시오. | 정수 |
| bytesReceived | 받은 본문 및 헤더 바이트. | 정수 |
| bytesSent | 보낸 본문 및 헤더 바이트. | 정수 |
| duration | 시작 시간부터 마지막 바이트 출력까지의 총 요청 시간(밀리초). | 정수 |
| requestToTargetDuration | 시작 시간부터 대상으로 전송된 마지막 바이트까지의 총 요청 시간(밀리초). | 정수 |
| responseFromTargetDuration | 대상 호스트에서 읽은 첫 번째 바이트부터 클라이언트로 전송된 마지막 바이트까지의 총 요청 시간(밀리초). | 정수 |
| grpcResponseCode | gRPC 응답 코드. 자세한 내용은 [gRPC에서의 상태 코드 및 사용](https://grpc.github.io/grpc/core/md_doc_statuscodes.html)을 참조하세요. 서비스에서 gRPC를 지원하는 경우에만 이 필드를 기록합니다. | 정수 |
| requestId | 이 고유 식별자는 응답에 x-amzn-requestid 헤더의 값으로 자동으로 포함됩니다. 관찰성 및 디버깅을 위해 클라이언트, 대상 및 로그 간의 요청 상관관계를 활성화합니다. | 문자열 |
| callerPrincipal | 인증된 보안 주체. | 문자열 |
| callerX509SubjectCN | 주체 이름(CN). | 문자열 |
| callerX509IssuerOU | 발급자(OU). | 문자열 |
| callerX509SANNameCN | 발급자 대체(이름/CN). | 문자열 |
| callerX509SANDNS | 주체 대체 이름(DNS). | 문자열 |
| callerX509SANURI | 주체 대체 이름(URI). | 문자열 |
| sourceVpcArn | 요청이 시작된 VPC의 ARN. | arn:aws:ec2:*리전*:*계정*:vpc/*id* |
| failureReason | 요청이 실패한 이유를 나타냅니다. 가능한 값은 다음과 같습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-access-logs.html) | 문자열 |
**예제**
다음은 로그 항목의 예시입니다.
```
{
"callerPrincipalTags" : "{ "TagA": "ValA", "TagB": "ValB", ... }",
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1,
"requestId": "a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
## 리소스 액세스 로그 콘텐츠
다음 표에서는 리소스 액세스 로그 항목의 필드를 설명합니다.
| 필드 | 설명 | 형식 |
| --- | --- | --- |
| serviceNetworkArn | 서비스 네트워크 ARN. | arn:*partition* vpc-lattice:*region*:*account*:servicenetwork/*id* |
| serviceNetworkResourceAssociationId | 서비스 네트워크 리소스 ID입니다. | *snra*-*xxx* |
| vpcEndpointId | 리소스에 액세스하는 데 사용된 엔드포인트 ID입니다. | 문자열 |
| sourceVpcArn | 연결이 시작된 소스 VPC ARN 또는 VPC입니다. | 문자열 |
| resourceConfigurationArn | 액세스한 리소스 구성의 ARN입니다. | 문자열 |
| protocol | 리소스 구성과 통신하는 데 사용되는 프로토콜입니다. 현재 tcp만 지원됩니다. | 문자열 |
| sourceIpPort | 연결을 시작한 소스의 IP 주소 및 포트입니다. | *ip*:*포트* |
| destinationIpPort | 연결이 시작된 IP 주소 및 포트입니다. SN-E/SN-A의 IP가 됩니다. | *ip*:*포트* |
| gatewayIpPort | 리소스 게이트웨이가 리소스에 액세스하는 데 사용하는 IP 주소 및 포트입니다. | *ip*:*포트* |
| resourceIpPort | 리소스의 IP 주소 및 포트입니다. | *ip*:*포트* |
**예제**
다음은 로그 항목의 예시입니다.
```
{
"eventTimestamp": "2024-12-02T10:10:10.123Z",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
"serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
"vpcEndpointId": "vpce-01a2b3c4d",
"sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
"resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
"protocol": "tcp",
"sourceIpPort": "172.31.23.56:44076",
"destinationIpPort": "172.31.31.226:80",
"gatewayIpPort": "10.0.28.57:49288",
"resourceIpPort": "10.0.18.190:80"
}
```
## 액세스 로그 문제 해결
이 섹션에는 액세스 로그에 표시될 수 있는 HTTP 오류 코드에 대한 설명이 포함되어 있습니다.
| 오류 코드 | 가능한 원인 |
| --- | --- |
| HTTP 400: 잘못된 요청 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/vpc-lattice/latest/ug/monitoring-access-logs.html) |
| HTTP 403: 금지됨 | 서비스에 대한 인증이 구성되었지만 수신되는 요청이 인증되거나 승인되지 않았습니다. |
| HTTP 404: 존재하지 않는 서비스 | 사용자가 존재하지 않거나 올바른 서비스 네트워크에 등록되지 않은 서비스에 연결을 시도하고 있습니다. |
| HTTP 500: 내부 서버 오류 | VPC Lattice에서 대상에 연결하지 못하는 등의 오류가 발생했습니다. |
| HTTP 502: 잘못된 게이트웨이 | VPC Lattice에 오류가 발생했습니다. |
# Amazon VPC Lattice에 대한 CloudTrail 로그
Amazon VPC Lattice는 사용자[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), 역할 또는가 수행한 작업에 대한 레코드를 제공하는 서비스인와 통합됩니다 AWS 서비스. CloudTrail은 VPC Lattice에 대한 모든 API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 VPC Lattice 콘솔의 호출과 VPC Lattice API 작업에 대한 코드 호출이 포함됩니다. CloudTrail에서 수집한 정보를 사용하여 VPC Lattice에 수행된 요청, 요청이 수행된 IP 주소, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다.
모든 이벤트 또는 로그 항목에는 요청을 생성했던 사용자에 관한 정보가 포함됩니다. 자격 증명을 이용하면 다음을 쉽게 판단할 수 있습니다.
+ 요청을 루트 사용자로 했는지 사용자 보안 인증으로 했는지 여부.
+ IAM Identity Center 사용자를 대신하여 요청이 이루어졌는지 여부입니다.
+ 역할 또는 페더레이션 사용자의 임시 자격 증명을 사용하여 요청이 생성되었는지 여부.
+ 다른 AWS 서비스에서 요청했는지 여부
CloudTrail은 계정을 생성할 AWS 계정 때에서 활성화되며 CloudTrail **이벤트 기록에** 자동으로 액세스할 수 있습니다. CloudTrail **이벤트 기록**은 지난 90일 간 AWS 리전의 관리 이벤트에 대해 보기, 검색 및 다운로드가 가능하고, 수정이 불가능한 레코드를 제공합니다. 자세한 설명은 *AWS CloudTrail 사용 설명서*의 [CloudTrail 이벤트 기록 작업](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)을 참조하세요. **이벤트 기록** 보기는 CloudTrail 요금이 부과되지 않습니다.
AWS 계정 지난 90일 동안의 이벤트를 지속적으로 기록하려면 추적 또는 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 이벤트 데이터 스토어를 생성합니다.
**CloudTrail 추적**
CloudTrail은 *추적*을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 를 사용하여 생성된 모든 추적 AWS Management Console 은 다중 리전입니다. AWS CLI를 사용하여 단일 리전 또는 다중 리전 추적을 생성할 수 있습니다. 계정의 모든 AWS 리전 에서 활동을 캡처하므로 다중 리전 추적을 생성하는 것이 좋습니다. 단일 리전 추적을 생성하는 경우 추적의 AWS 리전에 로깅된 이벤트만 볼 수 있습니다. 추적에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [AWS 계정에 대한 추적 생성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) 및 [조직에 대한 추적 생성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)을 참조하세요.
CloudTrail에서 추적을 생성하여 진행 중인 관리 이벤트의 사본 하나를 Amazon S3 버킷으로 무료로 전송할 수는 있지만, Amazon S3 스토리지 요금이 부과됩니다. CloudTrail 요금에 관한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요. Amazon S3 요금에 관한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.
**CloudTrail Lake 이벤트 데이터 스토어**
*CloudTrail Lake*를 사용하면 이벤트에 대해 SQL 기반 쿼리를 실행할 수 있습니다. CloudTrail Lake는 행 기반 JSON 형식의 기존 이벤트를 [ Apache ORC](https://orc.apache.org/) 형식으로 변환합니다. ORC는 빠른 데이터 검색에 최적화된 열 기반 스토리지 형식입니다. 이벤트는 *이벤트 데이터 스토어*로 집계되며, 이벤트 데이터 스토어는 [고급 이벤트 선택기](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors)를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. 이벤트 데이터 스토어에 적용하는 선택기는 어떤 이벤트가 지속되고 쿼리에 사용 가능한지를 제어합니다. CloudTrail Lake에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [AWS CloudTrail Lake 작업을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 참조하세요.
CloudTrail Lake 이벤트 데이터 스토어 및 쿼리에는 비용이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금에 관한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
추가 작업을 모니터링하려면 액세스 로그를 사용하세요. 자세한 내용은 [액세스 로그](monitoring-access-logs.md) 단원을 참조하십시오.
## CloudTrail의 VPC Lattice 관리 이벤트
[관리 이벤트](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)는의 리소스에서 수행되는 관리 작업에 대한 정보를 제공합니다 AWS 계정. 이를 컨트롤 플레인 작업이라고도 합니다. 기본적으로 CloudTrail은 관리 이벤트를 로깅합니다.
Amazon VPC Lattice는 VPC Lattice 컨트롤 플레인 작업을 관리 이벤트로 로깅합니다. VPC Lattice가 CloudTrail에 로깅하는 Amazon VPC Lattice 컨트롤 플레인 작업 목록은 [Amazon VPC Lattice API 참조](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/)를 참조하세요.
## VPC Lattice 이벤트 예제
이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청된 API 작업, 작업 날짜와 시간, 요청 파라미터 등에 관한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 직접 호출의 주문 스택 추적이 아니므로 이벤트가 특정 순서로 표시되지 않습니다.
다음 예제에서는 [CreateService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_CreateService.html) 작업에 대한 CloudTrail 이벤트를 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"accountId": "abcdef01234567890",
"accessKeyId": "abcdef01234567890",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"accountId": "abcdef01234567890",
"userName": "abcdef01234567890"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-08-16T03:34:54Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-08-16T03:36:12Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateService",
"awsRegion": "us-west-2",
"sourceIPAddress": "abcdef01234567890",
"userAgent": "abcdef01234567890",
"requestParameters": {
"name": "rates-service"
},
"responseElements": {
"name": "rates-service",
"id": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"status": "CREATE_IN_PROGRESS"
},
"requestID": "abcdef01234567890",
"eventID": "abcdef01234567890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "abcdef01234567890",
"eventCategory": "Management"
}
```
다음 예제에서는 [DeleteService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteService.html) 작업에 대한 CloudTrail 이벤트를 보여줍니다.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "abcdef01234567890",
"arn": "arn:ABCXYZ123456",
"accountId": "abcdef01234567890",
"accessKeyId": "abcdef01234567890",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "abcdef01234567890",
"arn": "arn:aws:iam::AIDACKCEVSQ6C2EXAMPLE:role/Admin",
"accountId": "abcdef01234567890",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-10-27T17:42:36Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-10-27T17:56:41Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "DeleteService",
"awsRegion": "us-east-1",
"sourceIPAddress": "72.21.198.64",
"userAgent": "abcdef01234567890",
"requestParameters": {
"serviceIdentifier": "abcdef01234567890"
},
"responseElements": {
"name": "test",
"id": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"status": "DELETE_IN_PROGRESS"
},
"requestID": "abcdef01234567890",
"eventID": "abcdef01234567890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "abcdef01234567890",
"eventCategory": "Management"
}
```
CloudTrail 레코드 콘텐츠에 대한 자세한 내용은 **AWS CloudTrail 사용 설명서의 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.