As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Monitoramento do Amazon VPC Lattice
Use os recursos desta seção para monitorar suas redes de serviços, serviços, grupos de destino e conexões de VPC do Amazon VPC Lattice.
**Topics**
+ [CloudWatch métricas para Amazon VPC Lattice](monitoring-cloudwatch.md)
+ [Registros de acesso para Amazon VPC Lattice](monitoring-access-logs.md)
+ [CloudTrail registros para Amazon VPC Lattice](monitoring-cloudtrail.md)
# CloudWatch métricas para Amazon VPC Lattice
O Amazon VPC Lattice envia dados relacionados aos seus grupos-alvo e serviços para a Amazon e os processa em métricas legíveis CloudWatch, quase em tempo real. Essas métricas são mantidas por 15 meses, de maneira que você possa acessar informações históricas e ter uma perspectiva melhor sobre o desempenho da aplicação Web ou do serviço. Você também pode definir alarmes que observam determinados limites e enviam notificações ou realizam ações quando esses limites são atingidos. Para obter mais informações, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html).
O Amazon VPC Lattice usa uma função vinculada ao serviço em sua AWS conta para enviar métricas para a Amazon. CloudWatch Para obter mais informações, consulte [Usando funções vinculadas a serviços para Amazon VPC Lattice](using-service-linked-roles.md).
**Topics**
+ [Veja as CloudWatch métricas da Amazon](#monitoring-cloudwatch-view)
+ [Métricas do grupo de destino](#monitoring-cloudwatch-tg)
+ [Métricas de serviço](#monitoring-cloudwatch-service)
## Veja as CloudWatch métricas da Amazon
Você pode visualizar as CloudWatch métricas da Amazon para seus grupos-alvo e serviços usando o CloudWatch console ou AWS CLI.
**Para visualizar métricas usando o CloudWatch console**
1. Abra o CloudWatch console da Amazon em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Métricas**.
1. Selecione o namespace `AWS/VpcLattice`.
1. (Opcional) Para visualizar uma métrica em todas as dimensões, digite o nome no campo de pesquisa.
1. (Opcional) Para filtrar por dimensão, selecione uma das seguintes ações:
+ Para exibir somente as métricas relatadas para seus grupos de destino, escolha **Grupos de destino**. Para visualizar uma métrica para um só grupo de destino, digite o nome no campo de pesquisa.
+ Para exibir somente as métricas relatadas para seus serviços, escolha **Serviços**. Para visualizar uma métrica para um só serviço, digite seu nome no campo de pesquisa.
**Para visualizar métricas usando o AWS CLI**
Use o seguinte AWS CLI comando [CloudWatch list-metrics](https://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html) para listar as métricas disponíveis:
`aws cloudwatch list-metrics --namespace AWS/VpcLattice`
Para obter informações sobre cada métricas e suas dimensões, consulte [Métricas do grupo de destino](#monitoring-cloudwatch-tg) e [Métricas de serviço](#monitoring-cloudwatch-service).
## Métricas do grupo de destino
[O VPC Lattice armazena automaticamente métricas relacionadas aos grupos-alvo no namespace da Amazon`AWS/VpcLattice`. CloudWatch ](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace) Para obter mais informações sobre grupos de destino, consulte [Grupos de destino no VPC Lattice](target-groups.md).
**Dimensões**
Para filtrar as métricas para grupos-alvo, use as seguintes dimensões:
+ `AvailabilityZone`
+ `TargetGroup`
| Métrica | Description | TargetGroup Protocol (Protocolo) |
| --- | --- | --- |
| TotalConnectionCount | Total de conexões. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| ActiveConnectionCount | Conexões ativas. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| ConnectionErrorCount | Total de falhas de conexão. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| HTTP1\$1ConnectionCount | Total de conexões HTTP/1.1. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| HTTP2\$1ConnectionCount | Total de conexões HTTP/2. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| ConnectionTimeoutCount | Total de tempos limite de conexão esgotados. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalReceivedConnectionBytes | Total de bytes de conexão recebidos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalSentConnectionBytes | Total de bytes de conexão enviados. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalRequestCount | Total de solicitações. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| ActiveRequestCount | Total de solicitações ativas. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| RequestTime | Tempo de solicitação até o último byte em milissegundos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| HTTPCode\$12XX\$1Count, HTTPCode\$13XX\$1Count, HTTPCode\$14XX\$1Count, HTTPCode\$15XX\$1Count | Códigos de resposta HTTP agregados. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS |
| TLSConnectionErrorCount | Total de erros de conexão TLS, sem incluir falhas nas verificações de certificado. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
| TotalTLSConnectionHandshakeCount | Total de handshakes de conexão TLS bem-sucedidos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) | HTTP, HTTPS, TCP |
## Métricas de serviço
[O VPC Lattice armazena automaticamente métricas relacionadas aos serviços no namespace da Amazon`AWS/VpcLattice`. CloudWatch ](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace) Para obter mais informações sobre os serviços, consulte [Serviços no VPC Lattice](services.md).
**Dimensões**
Para filtrar as métricas para grupos-alvo, use as seguintes dimensões:
+ `AvailabilityZone`
+ `Service`
| Métrica | Description |
| --- | --- |
| RequestTimeoutCount | Total de solicitações que atingiram o tempo limite à espera de uma resposta. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| TotalRequestCount | Total de solicitações. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| RequestTime | Tempo de solicitação em milissegundos. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
| HTTPCode\$12XX\$1Count, HTTPCode\$13XX\$1Count, HTTPCode\$14XX\$1Count, HTTPCode\$15XX\$1Count | Códigos de resposta HTTP agregados. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-cloudwatch.html) |
# Registros de acesso para Amazon VPC Lattice
Os registros de acesso capturam informações detalhadas sobre seus serviços e configurações de recursos do VPC Lattice. Você pode usar esses logs de acesso para analisar padrões de tráfego e auditar todos os serviços na rede. Para serviços VPC Lattice, publicamos `VpcLatticeAccessLogs` e para configurações de recursos, publicamos o `VpcLatticeResourceAccessLogs` que precisa ser configurado separadamente.
Logs de acesso são opcionais e estão desabilitados por padrão. Após ativar os logs de acesso, você poderá desabilitá-los a qualquer momento.
**Preços**
Haverá cobranças quando os logs de acesso forem publicados. *Os registros que são publicados AWS nativamente em seu nome são chamados de registros vendidos.* Para obter mais informações sobre preços de registros vendidos, consulte [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), escolha **Logs** e veja os preços em **Vended** Logs.
**Topics**
+ [Permissões do IAM necessárias para habilitar os logs de acesso](#monitoring-access-logs-IAM)
+ [Destinos de logs de acesso](#monitoring-access-logs-destinations)
+ [Habilitar logs de acesso](#monitoring-access-logs-enable)
+ [Solicitar rastreamento](#x-amzn-RequestId-enable)
+ [Conteúdo dos logs de acesso](#monitoring-access-logs-contents)
+ [Conteúdo do log de acesso a recursos](#monitoring-resource-access-logs-contents)
+ [Solucionar problemas de logs de acesso](#monitoring-access-logs-troubleshoot)
## Permissões do IAM necessárias para habilitar os logs de acesso
Para habilitar os logs de acesso e enviá-los para seus destinos, você deverá ter as seguintes ações na política anexadas ao usuário, grupo ou perfil do IAM que você estiver usando.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Sid": "ManageVPCLatticeAccessLogSetup",
"Action": [
"logs:CreateLogDelivery",
"logs:GetLogDelivery",
"logs:UpdateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"vpc-lattice:CreateAccessLogSubscription",
"vpc-lattice:GetAccessLogSubscription",
"vpc-lattice:UpdateAccessLogSubscription",
"vpc-lattice:DeleteAccessLogSubscription",
"vpc-lattice:ListAccessLogSubscriptions"
],
"Resource": [
"*"
]
}
]
}
```
------
Para obter mais informações, consulte [Adicionar e remover permissões de identidade do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) no *Guia do usuário do AWS Identity and Access Management *.
Após atualizar a política anexada ao usuário, grupo ou perfil do IAM que você estiver usando, acesse [Habilitar logs de acesso](#monitoring-access-logs-enable).
## Destinos de logs de acesso
Você pode enviar logs de acesso para os seguintes destinos.
**CloudWatch Registros da Amazon**
+ O VPC Lattice normalmente entrega registros para o Logs em CloudWatch 2 minutos. No entanto, lembre-se de que o tempo efetivo de entrega dos logs é baseado no melhor esforço possível e pode haver latência adicional.
+ Uma política de recursos é criada automaticamente e adicionada ao grupo de CloudWatch registros se o grupo de registros não tiver determinadas permissões. Para obter mais informações, consulte [Registros enviados para CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) no *Guia CloudWatch do usuário da Amazon*.
+ Você pode encontrar registros de acesso que são enviados CloudWatch em Grupos de registros no CloudWatch console. Para obter mais informações, consulte [Exibir dados de log enviados para CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData) no *Guia CloudWatch do usuário da Amazon*.
**Amazon S3**
+ Normalmente, o VPC Lattice entrega logs para o Amazon S3 em até 6 minutos. No entanto, lembre-se de que o tempo efetivo de entrega dos logs é baseado no melhor esforço possível e pode haver latência adicional.
+ Uma política de bucket será criada automaticamente e adicionada ao seu bucket do Amazon S3 se o bucket não tiver determinadas permissões. Para obter mais informações, consulte [Registros enviados para o Amazon S3 no Guia CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) *do usuário da Amazon*.
+ Logs de acesso que são enviados ao Amazon S3 usam a seguinte convenção de nomenclatura:
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
+ VpcLatticeResourceAccessLogs que são enviados para o Amazon S3 usam a seguinte convenção de nomenclatura:
```
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
```
**Amazon Data Firehose**
+ O VPC Lattice normalmente entrega registros para o Firehose em 2 minutos. No entanto, lembre-se de que o tempo efetivo de entrega dos logs é baseado no melhor esforço possível e pode haver latência adicional.
+ Um perfil vinculado a serviço é criado automaticamente e concede permissão para que o VPC Lattice envie logs de acesso para o Amazon Data Firehose. Para que a criação automática da função seja bem-sucedida, os usuários devem ter permissão para a ação `iam:CreateServiceLinkedRole`. Para obter mais informações, consulte [Registros enviados Amazon Data Firehose](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-Firehose) no *Guia do CloudWatch usuário da Amazon*.
+ Para obter mais informações sobre como visualizar os logs enviados ao Amazon Data Firehose, consulte [Como monitorar o Amazon Kinesis Data Streams](https://docs.aws.amazon.com//streams/latest/dev/monitoring.html) no *Guia do desenvolvedor do Amazon Data Firehose *.
## Habilitar logs de acesso
Execute o procedimento a seguir para configurar logs de acesso a fim de capturar e entregar logs de acesso ao destino que você escolher.
**Topics**
+ [Habilitar os logs de acesso usando o console](#monitoring-access-logs-console)
+ [Ative os registros de acesso usando o AWS CLI](#monitoring-access-logs-cli)
### Habilitar os logs de acesso usando o console
Você pode ativar os registros de acesso para uma rede de serviços, um serviço ou uma configuração de recursos durante a criação. Você também pode ativar os registros de acesso depois de criar uma rede de serviços, um serviço ou uma configuração de recursos, conforme descrito no procedimento a seguir.
**Para criar um serviço básico usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Selecione a rede de serviços, o serviço ou a configuração do recurso.
1. Escolha **Ações**, **Editar configurações de log**.
1. Ative o seletor de **Logs de acesso**.
1. Adicione um destino de entrega para seus logs de acesso da seguinte forma:
+ Selecione **Grupo de CloudWatch registros** e escolha um grupo de registros. Para criar um grupo de registros, escolha **Criar um grupo de registros em CloudWatch**.
+ Selecione o **bucket do S3** e insira o caminho do bucket do S3, incluindo qualquer prefixo. Para pesquisar seus buckets do S3, escolha **Procurar S3**.
+ Em **Fluxo de entrega do Kinesis Data Firehose**, selecione um fluxo de entrega. Para criar um fluxo de entrega, escolha **Criar um fluxo de entrega no Kinesis**.
1. Escolha **Salvar alterações**.
### Ative os registros de acesso usando o AWS CLI
Use o comando CLI [create-access-log-subscription](https://docs.aws.amazon.com/cli/latest/reference/vpc-lattice/create-access-log-subscription.html)para habilitar registros de acesso para redes ou serviços de serviços.
## Solicitar rastreamento
O VPC Lattice oferece suporte ao rastreamento e à correlação de solicitações entre clientes, destinos e registros para observabilidade e depuração com o cabeçalho. x-amzn-requestid Esse cabeçalho pode ser definido e enviado pelo cliente ou gerado pelo VPC Lattice e é enviado aos destinos e também está disponível nos registros de acesso.
**Comportamento padrão do**
+ O VPC Lattice gera automaticamente esse cabeçalho para cada solicitação.
+ O valor é um identificador gerado aleatoriamente (estilo UUID por padrão).
+ O identificador gerado é:
+ Propagado para alvos a jusante.
+ Retornado em cabeçalhos de resposta aos clientes.
+ Registros de acesso logados
**Exemplo (resposta padrão)**
Veja a seguir um exemplo de uma resposta enviada ao cliente com o comportamento padrão do VPC Lattice gerando um valor aleatório para o cabeçalho valu eof. x-amzn-requestid
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
**Cliente definindo o valor**
+ Opcionalmente, os clientes podem definir esse cabeçalho nas solicitações recebidas para substituir o valor gerado automaticamente.
+ Considerações
+ O valor do cabeçalho não precisa seguir o formato UUID.
+ Se o valor do cabeçalho exceder 512 bytes, o VPC Lattice o truncará para 512.
+ Quando substituído com sucesso, o valor do cabeçalho fornecido será:
+ Aparecer nos cabeçalhos de resposta
+ Seja propagado para os alvos
+ Aparecem nos registros e métricas de acesso
**Exemplo (substituir solicitação do cliente)**
Veja a seguir um exemplo de uma solicitação enviada pelo cliente com um valor de cabeçalho.
```
{
"GET /my-service/endpoint HTTP/1.1
Host: my-api.example.com
x-amzn-requestid: trace-request-foobar"
}
```
**Exemplo (resposta de substituição padrão)**
Veja a seguir um exemplo de uma resposta enviada ao cliente com o valor substituído.
```
{
"HTTP/1.1 200 OK
x-amzn-requestid: trace-request-foobar"
}
```
## Conteúdo dos logs de acesso
A tabela a seguir descreve os campos de uma entrada no log de acesso.
| Campo | Description | Formato |
| --- | --- | --- |
| callerPrincipalTags | O PrincipalTags na solicitação. | JSON |
| hostHeader | O cabeçalho da autoridade da solicitação. | string |
| sslCipher | O nome OpenSSL do conjunto de cifras usado para estabelecer a conexão TLS do cliente. | string |
| serviceNetworkArn | O ARN da rede de serviços. | arn:aws:vpc-lattice: ::servicenetwork/ *region* *account* *id* |
| resolvedUser | O ARN do usuário quando a autenticação estiver habilitada e a autenticação acontecer. | null \$1 ARN \$1 "Anonymous" \$1 "Unknown" |
| authDeniedReason | O motivo pelo qual o acesso é negado quando a autenticação estiver habilitada. | null \$1 "Service" \$1 "Network" \$1 "Identity" |
| requestMethod | O cabeçalho do método da solicitação. | string |
| targetGroupArn | O grupo de hosts de destino ao qual o host de destino pertence. | string |
| tlsVersion | A versão do TLS. | TLSv*x* |
| userAgent | O cabeçalho user-agent. | string |
| serverNameIndication | [Somente HTTPS] O valor definido no soquete de conexão SSL para a Indicação de nome de servidor (SNI). | string |
| destinationVpcId | O ID da VPC de destino. | pvc- *xxxxxxxx* |
| sourceIpPort | O endereço IP e a porta da origem. | *ip*:*port* |
| targetIpPort | O endereço IP e a porta do destino. | *ip*:*port* |
| serviceArn | O ARN do serviço. | arn:aws:vpc-lattice: ::service/ *region* *account* *id* |
| sourceVpcId | O ID da VPC de origem. | pvc- *xxxxxxxx* |
| requestPath | O caminho da solicitação. | LatticePath?:*path* |
| startTime | O horário inicial da solicitação. | *YYYY*- *MM* - *DD* T *HH**MM*: *SS* Z |
| protocol | O protocolo. Atualmente, HTTP/1.1 ou HTTP/2. | string |
| responseCode | O código HTTP da resposta. Somente o código de resposta para os cabeçalhos finais é registrado em log. Para obter mais informações, consulte [Solucionar problemas de logs de acesso](#monitoring-access-logs-troubleshoot). | integer |
| bytesReceived | Os bytes do corpo e do cabeçalho recebidos. | integer |
| bytesSent | Os bytes do corpo e do cabeçalho enviados. | integer |
| duration | Duração total em milissegundos da solicitação desde a hora de início até o último byte de saída. | integer |
| requestToTargetDuration | Duração total em milissegundos da solicitação desde a hora de início até o último byte enviado ao destino. | integer |
| responseFromTargetDuration | Duração total em milissegundos da solicitação desde o primeiro byte lido do host de destino até o último byte enviado ao cliente. | integer |
| grpcResponseCode | O código da resposta gRPC. Para obter mais informações, consulte [Códigos de status e seu uso no gRPC](https://grpc.github.io/grpc/core/md_doc_statuscodes.html). Esse campo só será registrado em log se o serviço for compatível com gRPC. | integer |
| requestId | Esse é um identificador exclusivo incluído automaticamente nas respostas como o valor do x-amzn-requestid cabeçalho. Ele permite a correlação de solicitações entre clientes, destinos e registros para observabilidade e depuração. | string |
| callerPrincipal | A entidade principal autenticada. | string |
| callerX509SubjectCN | O nome do assunto (CN). | string |
| callerX509IssuerOU | O emissor (OU). | string |
| callerX509SANNameCN | O nome alternativo do emissor (nome/CN). | string |
| callerX509SANDNS | O nome alternativo do assunto (DNS). | string |
| callerX509SANURI | O nome alternativo do assunto (URI). | string |
| sourceVpcArn | O ARN da VPC na qual a solicitação teve origem. | arn:aws:ec2: ::vpc/ *region* *account* *id* |
| failureReason | Indica o motivo pelo qual uma solicitação falhou. Os valores possíveis são os seguintes: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-access-logs.html) | string |
**Exemplo**
Este é um exemplo de entrada de log.
```
{
"callerPrincipalTags" : "{ "TagA": "ValA", "TagB": "ValB", ... }",
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1,
"requestId": "a9f2c7a1-6b4f-4c79-9e87-ff5a1234a001"
}
```
## Conteúdo do log de acesso a recursos
A tabela a seguir descreve os campos de uma entrada de registro de acesso a recursos.
| Campo | Description | Formato |
| --- | --- | --- |
| serviceNetworkArn | O ARN da rede de serviços. | Arquivo: *partition* vpc-lattice: ::servicenetwork/ *region* *account* *id* |
| serviceNetworkResourceAssociationId | O ID do recurso da rede de serviços. | *snra*-*xxx* |
| vpcEndpointId | O ID do endpoint usado para acessar o recurso. | string |
| sourceVpcArn | O ARN da VPC de origem ou a VPC de onde a conexão foi iniciada. | string |
| resourceConfigurationArn | O ARN da configuração do recurso que foi acessado. | string |
| protocol | O protocolo usado para se comunicar com a configuração do recurso. Atualmente, somente o tcp é suportado. | string |
| sourceIpPort | O endereço IP e a porta da fonte que iniciou a conexão. | *ip*:*port* |
| destinationIpPort | O endereço IP e a porta na qual a conexão foi iniciada. Esse será o IP do SN-E/SN-A. | *ip*:*port* |
| gatewayIpPort | O endereço IP e a porta usados pelo gateway de recursos para acessar o recurso. | *ip*:*port* |
| resourceIpPort | O endereço IP e a porta do recurso. | *ip*:*port* |
**Exemplo**
Este é um exemplo de entrada de log.
```
{
"eventTimestamp": "2024-12-02T10:10:10.123Z",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
"serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
"vpcEndpointId": "vpce-01a2b3c4d",
"sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
"resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
"protocol": "tcp",
"sourceIpPort": "172.31.23.56:44076",
"destinationIpPort": "172.31.31.226:80",
"gatewayIpPort": "10.0.28.57:49288",
"resourceIpPort": "10.0.18.190:80"
}
```
## Solucionar problemas de logs de acesso
Esta seção contém uma explicação dos códigos de erro HTTP que você pode ver nos logs de acesso.
| Código de erro | Possíveis causas |
| --- | --- |
| HTTP 400: solicitação inválida | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc-lattice/latest/ug/monitoring-access-logs.html) |
| HTTP 403: negado | A autenticação foi configurada para o serviço, mas a solicitação recebida não está autenticada nem autorizada. |
| HTTP 404: serviço inexistente | Você está tentando se conectar a um serviço que não existe ou não está registrado na rede de serviços correta. |
| HTTP 500: Erro interno do servidor | O VPC Lattice encontrou um erro, como falha na conexão com os destinos. |
| HTTP 502: Bad Gateway | O VPC Lattice encontrou um erro. |
# CloudTrail registros para Amazon VPC Lattice
O Amazon VPC Lattice está integrado com [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um serviço que fornece um registro das ações realizadas por um usuário, função ou um. AWS service (Serviço da AWS) CloudTrail captura todas as chamadas de API para o VPC Lattice como eventos. As chamadas capturadas incluem chamadas do console VPC Lattice e chamadas de código para as operações da API VPC Lattice. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita à VPC Lattice, o endereço IP a partir do qual a solicitação foi feita, quando foi feita e detalhes adicionais.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário raiz ou credenciais de usuário.
+ Se a solicitação foi feita em nome de um usuário do Centro de Identidade do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS service (Serviço da AWS).
CloudTrail está ativo Conta da AWS quando você cria a conta e você tem acesso automático ao **histórico de CloudTrail eventos**. O **histórico de CloudTrail eventos** fornece um registro visível, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento registrados em um. Região da AWS Para obter mais informações, consulte [Trabalhando com o histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) no *Guia AWS CloudTrail do usuário*. Não há CloudTrail cobrança pela visualização do **histórico de eventos**.
Para um registro contínuo dos eventos dos Conta da AWS últimos 90 dias, crie uma trilha ou um armazenamento de dados de eventos do [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail trilhas**
Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Todas as trilhas criadas usando o Console de gerenciamento da AWS são multirregionais. Só é possível criar uma trilha de região única ou de várias regiões usando a AWS CLI. É recomendável criar uma trilha multirregional porque você captura todas as atividades Regiões da AWS em sua conta. Ao criar uma trilha de região única, é possível visualizar somente os eventos registrados na Região da AWS da trilha. Para obter mais informações sobre trilhas, consulte [Criar uma trilha para a Conta da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Criar uma trilha para uma organização](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) no *Guia do usuário do AWS CloudTrail *.
Você pode entregar uma cópia dos seus eventos de gerenciamento contínuos para o bucket do Amazon S3 sem nenhum custo CloudTrail criando uma trilha. No entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/). Para receber informações sobre a definição de preços do Amazon S3, consulte [Definição de preços do Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Armazenamentos de dados de eventos em Lake**
*CloudTrail O Lake* permite que você execute consultas baseadas em SQL em seus eventos. CloudTrail O Lake converte eventos existentes no formato JSON baseado em linhas para o formato [Apache](https://orc.apache.org/) ORC. O ORC é um formato colunar de armazenamento otimizado para recuperação rápida de dados. Os eventos são agregados em *armazenamentos de dados de eventos*, que são coleções imutáveis de eventos baseados nos critérios selecionados com a aplicação de [seletores de eventos avançados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Os seletores que aplicados a um armazenamento de dados de eventos controlam quais eventos persistem e estão disponíveis para consulta. Para obter mais informações sobre o CloudTrail Lake, consulte [Trabalhando com o AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) no *Guia AWS CloudTrail do Usuário*.
CloudTrail Os armazenamentos e consultas de dados de eventos em Lake incorrem em custos. Ao criar um armazenamento de dados de eventos, você escolhe a [opção de preço](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
Para monitorar ações adicionais, use logs de acesso. Para obter mais informações, consulte [Logs de acesso](monitoring-access-logs.md).
## Eventos de gerenciamento do VPC Lattice em CloudTrail
[Os eventos de gerenciamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos do seu Conta da AWS. Também são conhecidas como operações de ambiente de gerenciamento. Por padrão, CloudTrail registra eventos de gerenciamento.
O Amazon VPC Lattice registra as operações do plano de controle do VPC Lattice como eventos de gerenciamento. [Para obter uma lista das operações do plano de controle do Amazon VPC Lattice nas quais o VPC Lattice se registra, consulte a Referência da API CloudTrail do Amazon VPC Lattice.](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/)
## Exemplos de eventos do VPC Lattice
Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a operação de API solicitada, a data e a hora da operação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, os eventos não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra um CloudTrail evento para a [CreateService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_CreateService.html)operação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"accountId": "abcdef01234567890",
"accessKeyId": "abcdef01234567890",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"accountId": "abcdef01234567890",
"userName": "abcdef01234567890"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-08-16T03:34:54Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-08-16T03:36:12Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateService",
"awsRegion": "us-west-2",
"sourceIPAddress": "abcdef01234567890",
"userAgent": "abcdef01234567890",
"requestParameters": {
"name": "rates-service"
},
"responseElements": {
"name": "rates-service",
"id": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"status": "CREATE_IN_PROGRESS"
},
"requestID": "abcdef01234567890",
"eventID": "abcdef01234567890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "abcdef01234567890",
"eventCategory": "Management"
}
```
O exemplo a seguir mostra um CloudTrail evento para a [DeleteService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteService.html)operação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "abcdef01234567890",
"arn": "arn:ABCXYZ123456",
"accountId": "abcdef01234567890",
"accessKeyId": "abcdef01234567890",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "abcdef01234567890",
"arn": "arn:aws:iam::AIDACKCEVSQ6C2EXAMPLE:role/Admin",
"accountId": "abcdef01234567890",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-10-27T17:42:36Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2022-10-27T17:56:41Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "DeleteService",
"awsRegion": "us-east-1",
"sourceIPAddress": "72.21.198.64",
"userAgent": "abcdef01234567890",
"requestParameters": {
"serviceIdentifier": "abcdef01234567890"
},
"responseElements": {
"name": "test",
"id": "abcdef01234567890",
"arn": "arn:abcdef01234567890",
"status": "DELETE_IN_PROGRESS"
},
"requestID": "abcdef01234567890",
"eventID": "abcdef01234567890",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "abcdef01234567890",
"eventCategory": "Management"
}
```
Para obter informações sobre o conteúdo do CloudTrail registro, consulte [o conteúdo do CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) no *Guia AWS CloudTrail do usuário*.