As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Registros de acesso para Amazon VPC Lattice
Os registros de acesso capturam informações detalhadas sobre seus serviços e configurações de recursos do VPC Lattice. Você pode usar esses logs de acesso para analisar padrões de tráfego e auditar todos os serviços na rede. Para serviços VPC Lattice, publicamos `VpcLatticeAccessLogs` e para configurações de recursos, publicamos o `VpcLatticeResourceAccessLogs` que precisa ser configurado separadamente.
Logs de acesso são opcionais e estão desabilitados por padrão. Após ativar os logs de acesso, você poderá desabilitá-los a qualquer momento.
**Preços**
Haverá cobranças quando os logs de acesso forem publicados. *Os registros que são publicados AWS nativamente em seu nome são chamados de registros vendidos.* Para obter mais informações sobre preços de registros vendidos, consulte [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), escolha **Logs** e veja os preços em **Vended** Logs.
**Topics**
+ [Permissões do IAM necessárias para habilitar os logs de acesso](#monitoring-access-logs-IAM)
+ [Destinos de logs de acesso](#monitoring-access-logs-destinations)
+ [Habilitar logs de acesso](#monitoring-access-logs-enable)
+ [Solicitar rastreamento](#x-amzn-RequestId-enable)
+ [Conteúdo dos logs de acesso](#monitoring-access-logs-contents)
+ [Conteúdo do log de acesso a recursos](#monitoring-resource-access-logs-contents)
+ [Solucionar problemas de logs de acesso](#monitoring-access-logs-troubleshoot)
## Permissões do IAM necessárias para habilitar os logs de acesso
Para habilitar os logs de acesso e enviá-los para seus destinos, você deverá ter as seguintes ações na política anexadas ao usuário, grupo ou perfil do IAM que você estiver usando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Sid": "ManageVPCLatticeAccessLogSetup",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"vpc-lattice:CreateAccessLogSubscription",
"vpc-lattice:GetAccessLogSubscription",
"vpc-lattice:UpdateAccessLogSubscription",
"vpc-lattice:DeleteAccessLogSubscription",
"vpc-lattice:ListAccessLogSubscriptions"
],
"Resource": [
"*"
]
}
]
}
```
------
Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
Após atualizar a política anexada ao usuário, grupo ou perfil do IAM que você estiver usando, acesse [Habilitar logs de acesso](#monitoring-access-logs-enable).
## Destinos de logs de acesso
Você pode enviar logs de acesso para os seguintes destinos.
**CloudWatch Registros da Amazon**
+ O VPC Lattice normalmente entrega registros para o Logs em CloudWatch 2 minutos. No entanto, lembre-se de que o tempo efetivo de entrega dos logs é baseado no melhor esforço possível e pode haver latência adicional.
+ Uma política de recursos é criada automaticamente e adicionada ao grupo de CloudWatch registros se o grupo de registros não tiver determinadas permissões. Para obter mais informações, consulte [Registros enviados para CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) no *Guia CloudWatch do usuário da Amazon*.
+ Você pode encontrar registros de acesso que são enviados CloudWatch em Grupos de registros no CloudWatch console. Para obter mais informações, consulte [Exibir dados de log enviados para CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData) no *Guia CloudWatch do usuário da Amazon*.
**Amazon S3**
+ Normalmente, o VPC Lattice entrega logs para o Amazon S3 em até 6 minutos. No entanto, lembre-se de que o tempo efetivo de entrega dos logs é baseado no melhor esforço possível e pode haver latência adicional.
+ Uma política de bucket será criada automaticamente e adicionada ao seu bucket do Amazon S3 se o bucket não tiver determinadas permissões. Para obter mais informações, consulte [Registros enviados para o Amazon S3 no Guia CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) *do usuário da Amazon*.
+ Logs de acesso que são enviados ao Amazon S3 usam a seguinte convenção de nomenclatura:
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
+ VpcLatticeResourceAccessLogs que são enviados para o Amazon S3 usam a seguinte convenção de nomenclatura:
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
**Amazon Data Firehose**
+ O VPC Lattice normalmente entrega registros para o Firehose em 2 minutos. No entanto, lembre-se de que o tempo efetivo de entrega dos logs é baseado no melhor esforço possível e pode haver latência adicional.
+ Um perfil vinculado a serviço é criado automaticamente e concede permissão para que o VPC Lattice envie logs de acesso para o Amazon Data Firehose. Para que a criação automática da função seja bem-sucedida, os usuários devem ter permissão para a ação `iam:CreateServiceLinkedRole`. Para obter mais informações, consulte [Registros enviados Amazon Data Firehose](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-Firehose) no *Guia do CloudWatch usuário da Amazon*.
+ Para obter mais informações sobre como visualizar os logs enviados ao Amazon Data Firehose, consulte [Como monitorar o Amazon Kinesis Data Streams](https://docs.aws.amazon.com//streams/latest/dev/monitoring.html) no *Guia do desenvolvedor do Amazon Data Firehose *.
## Habilitar logs de acesso
Execute o procedimento a seguir para configurar logs de acesso a fim de capturar e entregar logs de acesso ao destino que você escolher.
**Topics**
+ [Habilitar os logs de acesso usando o console](#monitoring-access-logs-console)
+ [Ative os registros de acesso usando o AWS CLI](#monitoring-access-logs-cli)
### Habilitar os logs de acesso usando o console
Você pode ativar os registros de acesso para uma rede de serviços, um serviço ou uma configuração de recursos durante a criação. Você também pode ativar os registros de acesso depois de criar uma rede de serviços, um serviço ou uma configuração de recursos, conforme descrito no procedimento a seguir.
**Para criar um serviço básico usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Selecione a rede de serviços, o serviço ou a configuração do recurso.
1. Escolha **Ações**, **Editar configurações de log**.
1. Ative o seletor de **Logs de acesso**.
1. Adicione um destino de entrega para seus logs de acesso da seguinte forma:
+ Selecione **Grupo de CloudWatch registros** e escolha um grupo de registros. Para criar um grupo de registros, escolha **Criar um grupo de registros em CloudWatch**.
+ Selecione o **bucket do S3** e insira o caminho do bucket do S3, incluindo qualquer prefixo. Para pesquisar seus buckets do S3, escolha **Procurar S3**.
+ Em **Fluxo de entrega do Kinesis Data Firehose**, selecione um fluxo de entrega. Para criar um fluxo de entrega, escolha **Criar um fluxo de entrega no Kinesis**.
1. Escolha **Salvar alterações**.
### Ative os registros de acesso usando o AWS CLI
Use o comando CLI [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html)para habilitar registros de acesso para redes ou serviços de serviços.
## Solicitar rastreamento
O VPC Lattice oferece suporte ao rastreamento e à correlação de solicitações entre clientes, destinos e registros para observabilidade e depuração com o cabeçalho. x-amzn-requestid Esse cabeçalho pode ser definido e enviado pelo cliente ou gerado pelo VPC Lattice e é enviado aos destinos e também está disponível nos registros de acesso.
**Comportamento padrão do**
+ O VPC Lattice gera automaticamente esse cabeçalho para cada solicitação.
+ O valor é um identificador gerado aleatoriamente (estilo UUID por padrão).
+ O identificador gerado é:
+ Propagado para alvos a jusante.
+ Retornado em cabeçalhos de resposta aos clientes.
+ Registros de acesso logados
**Exemplo (resposta padrão)**
Veja a seguir um exemplo de uma resposta enviada ao cliente com o comportamento padrão do VPC Lattice gerando um valor aleatório para o cabeçalho valu eof. x-amzn-requestid
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
**Cliente definindo o valor**
+ Opcionalmente, os clientes podem definir esse cabeçalho nas solicitações recebidas para substituir o valor gerado automaticamente.
+ Considerações
+ O valor do cabeçalho não precisa seguir o formato UUID.
+ Se o valor do cabeçalho exceder 512 bytes, o VPC Lattice o truncará para 512.
+ Quando substituído com sucesso, o valor do cabeçalho fornecido será:
+ Aparecer nos cabeçalhos de resposta
+ Seja propagado para os alvos
+ Aparecem nos registros e métricas de acesso
**Exemplo (substituir solicitação do cliente)**
Veja a seguir um exemplo de uma solicitação enviada pelo cliente com um valor de cabeçalho.
```
{
"GET /my-service/endpoint HTTP/1.1
Host: my-api.example.com
x-amzn-requestid: trace-request-foobar"
}
```
**Exemplo (resposta de substituição padrão)**
Veja a seguir um exemplo de uma resposta enviada ao cliente com o valor substituído.
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: trace-request-foobar"
}
```
## Conteúdo dos logs de acesso
A tabela a seguir descreve os campos de uma entrada no log de acesso.
| Campo | Description | Formato |
| --- | --- | --- |
| callerPrincipalTags | O PrincipalTags na solicitação. | JSON |
| hostHeader | O cabeçalho da autoridade da solicitação. | string |
| sslCipher | O nome OpenSSL do conjunto de cifras usado para estabelecer a conexão TLS do cliente. | string |
| serviceNetworkArn | O ARN da rede de serviços. | arn:aws:vpc-lattice: ::servicenetwork/ *region* *account* *id* |
| resolvedUser | O ARN do usuário quando a autenticação estiver habilitada e a autenticação acontecer. | null \$1 ARN \$1 "Anonymous" \$1 "Unknown" |
| authDeniedReason | O motivo pelo qual o acesso é negado quando a autenticação estiver habilitada. | null \$1 "Service" \$1 "Network" \$1 "Identity" |
| requestMethod | O cabeçalho do método da solicitação. | string |
| targetGroupArn | O grupo de hosts de destino ao qual o host de destino pertence. | string |
| tlsVersion | A versão do TLS. | TLSv*x* |
| userAgent | O cabeçalho user-agent. | string |
| serverNameIndication | [Somente HTTPS] O valor definido no soquete de conexão SSL para a Indicação de nome de servidor (SNI). | string |
| destinationVpcId | O ID da VPC de destino. | pvc- *xxxxxxxx* |
| sourceIpPort | O endereço IP e a porta da origem. | *ip*:*port* |
| targetIpPort | O endereço IP e a porta do destino. | *ip*:*port* |
| serviceArn | O ARN do serviço. | arn:aws:vpc-lattice: ::service/ *region* *account* *id* |
| sourceVpcId | O ID da VPC de origem. | pvc- *xxxxxxxx* |
| requestPath | O caminho da solicitação. | LatticePath?:*path* |
| startTime | O horário inicial da solicitação. | *YYYY*- *MM* - *DD* T *HH**MM*: *SS* Z |
| protocol | O protocolo. Atualmente, HTTP/1.1 ou HTTP/2. | string |
| responseCode | O código HTTP da resposta. Somente o código de resposta para os cabeçalhos finais é registrado em log. Para obter mais informações, consulte [Solucionar problemas de logs de acesso](#monitoring-access-logs-troubleshoot). | integer |
| bytesReceived | Os bytes do corpo e do cabeçalho recebidos. | integer |
| bytesSent | Os bytes do corpo e do cabeçalho enviados. | integer |
| duration | Duração total em milissegundos da solicitação desde a hora de início até o último byte de saída. | integer |
| requestToTargetDuration | Duração total em milissegundos da solicitação desde a hora de início até o último byte enviado ao destino. | integer |
| responseFromTargetDuration | Duração total em milissegundos da solicitação desde o primeiro byte lido do host de destino até o último byte enviado ao cliente. | integer |
| grpcResponseCode | O código da resposta gRPC. Para obter mais informações, consulte [Códigos de status e seu uso no gRPC](https://grpc.github.io/grpc/core/md_doc_statuscodes.html). Esse campo só será registrado em log se o serviço for compatível com gRPC. | integer |
| requestId | Esse é um identificador exclusivo incluído automaticamente nas respostas como o valor do x-amzn-requestid cabeçalho. Ele permite a correlação de solicitações entre clientes, destinos e registros para observabilidade e depuração. | string |
| callerPrincipal | A entidade principal autenticada. | string |
| callerX509SubjectCN | O nome do assunto (CN). | string |
| callerX509IssuerOU | O emissor (OU). | string |
| callerX509SANNameCN | O nome alternativo do emissor (nome/CN). | string |
| callerX509SANDNS | O nome alternativo do assunto (DNS). | string |
| callerX509SANURI | O nome alternativo do assunto (URI). | string |
| sourceVpcArn | O ARN da VPC na qual a solicitação teve origem. | arn:aws:ec2: ::vpc/ *region* *account* *id* |
| failureReason | Indica o motivo pelo qual uma solicitação falhou. Os valores possíveis são os seguintes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-access-logs.html) | string |
**Exemplo**
Este é um exemplo de entrada de log.
```
{
"callerPrincipalTags" : "{ "TagA": "ValA", "TagB": "ValB", ... }",
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1,
"requestId": "a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
## Conteúdo do log de acesso a recursos
A tabela a seguir descreve os campos de uma entrada de registro de acesso a recursos.
| Campo | Description | Formato |
| --- | --- | --- |
| serviceNetworkArn | O ARN da rede de serviços. | Arquivo: *partition* vpc-lattice: ::servicenetwork/ *region* *account* *id* |
| serviceNetworkResourceAssociationId | O ID do recurso da rede de serviços. | *snra*-*xxx* |
| vpcEndpointId | O ID do endpoint usado para acessar o recurso. | string |
| sourceVpcArn | O ARN da VPC de origem ou a VPC de onde a conexão foi iniciada. | string |
| resourceConfigurationArn | O ARN da configuração do recurso que foi acessado. | string |
| protocol | O protocolo usado para se comunicar com a configuração do recurso. Atualmente, somente o tcp é suportado. | string |
| sourceIpPort | O endereço IP e a porta da fonte que iniciou a conexão. | *ip*:*port* |
| destinationIpPort | O endereço IP e a porta na qual a conexão foi iniciada. Esse será o IP do SN-E/SN-A. | *ip*:*port* |
| gatewayIpPort | O endereço IP e a porta usados pelo gateway de recursos para acessar o recurso. | *ip*:*port* |
| resourceIpPort | O endereço IP e a porta do recurso. | *ip*:*port* |
**Exemplo**
Este é um exemplo de entrada de log.
```
{
"eventTimestamp": "2024-12-02T10:10:10.123Z",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
"serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
"vpcEndpointId": "vpce-01a2b3c4d",
"sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
"resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
"protocol": "tcp",
"sourceIpPort": "172.31.23.56:44076",
"destinationIpPort": "172.31.31.226:80",
"gatewayIpPort": "10.0.28.57:49288",
"resourceIpPort": "10.0.18.190:80"
}
```
## Solucionar problemas de logs de acesso
Esta seção contém uma explicação dos códigos de erro HTTP que você pode ver nos logs de acesso.
| Código de erro | Possíveis causas |
| --- | --- |
| HTTP 400: solicitação inválida | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-access-logs.html) |
| HTTP 403: negado | A autenticação foi configurada para o serviço, mas a solicitação recebida não está autenticada nem autorizada. |
| HTTP 404: serviço inexistente | Você está tentando se conectar a um serviço que não existe ou não está registrado na rede de serviços correta. |
| HTTP 500: Erro interno do servidor | O VPC Lattice encontrou um erro, como falha na conexão com os destinos. |
| HTTP 502: Bad Gateway | O VPC Lattice encontrou um erro. |