View a markdown version of this page

Konfigurieren der Standardprotokollierung (Legacy) - Amazon CloudFront
Auswählen eines Amazon-S3-Buckets für StandardprotokolleBerechtigungenAktivieren der Standardprotokollierung (Legacy)Bearbeiten der StandardprotokollierungseinstellungenSenden von Protokollen an Amazon S3Dateiformat des StandardprotokollsLöschen von ProtokolldateienPreisgestaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren der Standardprotokollierung (Legacy)

Hinweise

  • Dieses Thema bezieht sich auf die vorherige Version der Standardprotokollierung. Informationen zur neuesten Version finden Sie unter Konfigurieren der Standardprotokollierung (v2).

  • Wenn Sie die Standardprotokollierung (Legacy) bereits aktiviert haben und die Standardprotokollierung (v2) für Amazon S3 aktivieren möchten, empfehlen wir Ihnen, einen anderen Amazon-S3-Bucket anzugeben oder einen separaten Pfad in demselben Bucket zu verwenden (z. B. ein Protokollpräfix oder eine Partitionierung zu verwenden). Auf diese Weise behalten Sie den Überblick darüber, welche Protokolldateien mit welcher Distribution verknüpft sind, und es wird verhindert, dass sich Protokolldateien gegenseitig überschreiben.

Führen Sie für den Einstieg in die Standardprotokollierung (Legacy) die folgenden Schritte aus:

  1. Wählen Sie einen Amazon-S3-Bucket aus, der Ihre Protokolle empfängt, und fügen Sie die erforderlichen Berechtigungen hinzu.

  2. Konfigurieren Sie die Standardprotokollierung (Legacy) CloudFront über die Konsole oder die CloudFront API. Sie können nur einen Amazon-S3-Bucket zum Empfang Ihrer Protokolle auswählen.

  3. Zeigen Sie Ihre Zugriffsprotokolle an.

Auswählen eines Amazon-S3-Buckets für Standardprotokolle

Wenn Sie die Protokollierung für eine Distribution aktivieren, geben Sie den Amazon S3 S3-Bucket CloudFront an, in dem Sie Protokolldateien speichern möchten. Wenn Sie Amazon S3 als Ursprung verwenden, empfehlen wir, einen separaten Bucket für Ihre Protokolldateien zu verwenden.

Geben Sie den Amazon S3 S3-Bucket CloudFront an, in dem Sie Zugriffs-Logs speichern möchten, amzn-s3-demo-bucket.s3.amazonaws.com z. B.

Sie können Protokolldateien für mehrere Verteilungen in demselben Bucket speichern. Wenn Sie die Protokollierung aktivieren, können Sie ein optionales Präfix für den Dateinamen festlegen; so behalten Sie den Überblick darüber, welche Protokolldateien welchen Verteilungen zugeordnet sind.

Informationen zur Auswahl eines S3-Buckets

  • Für Ihren Bucket muss die Zugriffssteuerungsliste (ACL) aktiviert sein. Wenn Sie in der CloudFront Konsole einen Bucket ohne aktivierte ACL auswählen, wird eine Fehlermeldung angezeigt. Siehe Berechtigungen.

  • Wählen Sie keinen Amazon-S3-Bucket, wenn S3-Objekteigentümerschaft auf Bucket-Eigentümer erzwungen festgelegt ist. Diese Einstellung ist ACLs für den Bucket und die darin enthaltenen Objekte deaktiviert, wodurch CloudFront verhindert wird, dass Protokolldateien an den Bucket gesendet werden.

  • Legacy-Logging unterstützt keine Amazon S3 S3-Buckets in Opt-in-Regionen. Bitte wählen Sie eine Region aus, die standardmäßig aktiviert ist, oder verwenden Sie Standard Logging V2, das optionale Regionen und zusätzliche Funktionen unterstützt. Eine Liste der Standard- und Opt-in-Regionen finden Sie unter. AWS-Regionen

Berechtigungen

Wichtig

Ab April 2023 müssen Sie S3 ACLs für neue S3-Buckets aktivieren, die für CloudFront Standardprotokolle verwendet werden. Sie können die Option aktivieren ACLs , wenn Sie einen Bucket erstellen, oder die Aktivierung ACLs für einen vorhandenen Bucket.

Weitere Informationen zu den Änderungen finden Sie unter Häufig gestellte Fragen zu Standardeinstellungen für neue S3-Buckets im Benutzerhandbuch zu Amazon Simple Storage Service und unter Achtung: Sicherheitsänderungen in Amazon S3 im April 2023 im AWS News-Blog.

Sie AWS-Konto müssen über die folgenden Berechtigungen für den Bucket verfügen, den Sie für Protokolldateien angeben:

  • Die ACL muss Ihnen FULL_CONTROL für den Bucket gewähren. Wenn Sie der Bucket-Eigentümer sind, verfügt Ihr Konto standardmäßig über diese Berechtigung. Sind Sie das nicht, muss der Bucket-Eigentümer die ACL für den Bucket aktualisieren.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

ACL für den Bucket

Wenn Sie eine Distribution erstellen oder aktualisieren und die Protokollierung aktivieren, CloudFront verwendet diese Berechtigungen, um die ACL für den Bucket zu aktualisieren und dem awslogsdelivery Konto die entsprechenden Berechtigungen zu FULL_CONTROL erteilen. Das awslogsdelivery-Konto schreibt Protokolldateien in den Bucket. Wenn Ihr Konto nicht über die erforderlichen Berechtigungen zum Aktualisieren der ACL verfügt, schlägt das Erstellen oder Aktualisieren der Verteilung fehl.

Wenn Sie programmgesteuert eine Anfrage senden, um einen Bucket zu erstellen, aber ein Bucket mit dem angegebenen Namen bereits vorhanden ist, setzt S3 in einigen Fällen die Berechtigungen für den Bucket auf den Standardwert zurück. Wenn Sie das Speichern von Zugriffsprotokollen in einem S3-Bucket konfiguriert CloudFront haben und Sie keine Protokolle mehr in diesem Bucket abrufen, überprüfen Sie die Berechtigungen für den Bucket, um sicherzustellen, dass dieser CloudFront über die erforderlichen Berechtigungen verfügt.

Wiederherstellung der ACL für den Bucket

Wenn Sie Berechtigungen für das awslogsdelivery-Konto aufheben, kann CloudFront keine Protokolle in dem S3-Bucket speichern. Um wieder mit dem Speichern von Protokollen für Ihre Distribution beginnen CloudFront zu können, stellen Sie die ACL-Berechtigung wieder her, indem Sie einen der folgenden Schritte ausführen:

  • Deaktivieren Sie die Protokollierung für Ihre Distribution und aktivieren Sie sie dann erneut. CloudFront Weitere Informationen finden Sie unter Standardprotokollierung.

  • Fügen Sie die ACL-Berechtigung für awslogsdelivery manuell hinzu, indem Sie in der Amazon S3-Konsole zu dem S3-Bucket gehen und die Berechtigung hinzufügen. Um die ACL für awslogsdelivery hinzuzufügen, müssen Sie die kanonische ID für das Konto angeben, nämlich:

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Weitere Informationen zum Hinzufügen ACLs zu S3-Buckets finden Sie unter Konfiguration ACLs im Amazon Simple Storage Service-Benutzerhandbuch.

ACL für jede Protokolldatei

Neben der ACL für den Bucket gibt es auch ACLs für jede einzelne Protokolldatei. Der Bucket-Eigentümer verfügt für jede Protokolldatei über die Berechtigung FULL_CONTROL, der Eigentümer der Verteilung (wenn dieser vom Bucket-Eigentümer abweicht) hat keine Berechtigung und das awslogsdelivery-Konto verfügt über Lese- und Schreibberechtigungen.

Deaktivieren der Protokollierung

Wenn Sie die Protokollierung deaktivieren, CloudFront werden weder ACLs für den Bucket noch für die Protokolldateien gelöscht. Sie können die bei ACLs Bedarf löschen.

Erforderliche Schlüsselrichtlinie für SSE-KMS Buckets

Wenn der S3-Bucket für Ihre Standardprotokolle serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) unter Verwendung eines kundenseitig verwalteten Schlüssels verwendet, müssen Sie der Schlüsselrichtlinie für Ihren kundenseitig verwalteten Schlüssel die folgende Anweisung hinzufügen: Dies ermöglicht CloudFront das Schreiben von Protokolldateien in den Bucket. Sie können SSE-KMS nicht mit dem verwenden Von AWS verwalteter Schlüssel , da CloudFront dann keine Protokolldateien in den Bucket geschrieben werden können.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Wenn der S3-Bucket für Ihre Standardprotokolle SSE-KMS mit einem S3-Bucket-Schlüssel verwendet, müssen Sie auch die kms:Decrypt-Berechtigung zur Richtlinienanweisung hinzufügen. In diesem Fall sieht die vollständige Richtlinienanweisung wie folgt aus.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Anmerkung

Wenn Sie SSE-KMS für Ihren S3-Bucket aktivieren, geben Sie den vollständigen ARN für den kundenseitig verwalteten Schlüssel an. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS KMS keys (SSE-KMS) angeben im Amazon Simple Storage Service-Benutzerhandbuch.

Aktivieren der Standardprotokollierung (Legacy)

Verwenden Sie die CloudFront Konsole oder die API, um Standardprotokolle zu aktivieren. CloudFront

Aktivieren Sie die Standardprotokollierung (Legacy) (CloudFront Konsole)

Um Standardprotokolle für eine CloudFront Distribution zu aktivieren (Konsole)

  1. Verwenden Sie die CloudFront Konsole, um eine neue Distribution zu erstellen oder eine bestehende zu aktualisieren.

  2. Wählen Sie im Bereich Standardprotokollierung für die Protokollbereitstellung die Option Ein aus.

  3. (Optional) Wählen Sie für die Cookie-Protokollierung die Option Ein, wenn Sie Cookies in Ihre Protokolle aufnehmen möchten. Weitere Informationen finden Sie unter Protokollierung von Cookies.

    Tipp

    Die Cookie-Protokollierung ist eine globale Einstellung, die für alle Standardprotokolle Ihrer Distribution gilt. Sie können diese Einstellung nicht für separate Bereitstellungsziele überschreiben.

  4. Im Abschnitt Bereitstellen an geben Sie Amazon S3 (Legacy) an.

  5. Wählen Sie Ihren Amazon-S3-Bucket aus. Wenn Sie noch keinen haben, können Sie Erstellen auswählen oder die Dokumentation zum Erstellen eines Buckets konsultieren.

  6. (Optional) Geben Sie unter Protokollpräfix die Zeichenfolge CloudFront an, die Sie den Namen der Zugriffsprotokolldateien für diese Verteilung voranstellen möchten, exampleprefix/ z. B. Der abschließende Schrägstrich (/) ist optional, jedoch empfohlen, um das Durchsuchen Ihrer Protokolldateien zu vereinfachen. Weitere Informationen finden Sie unter Protokollpräfix.

  7. Führen Sie die Schritte zum Aktualisieren oder Erstellen Ihrer Distribution aus.

  8. Vergewissern Sie sich auf der Seite Protokolle, dass der Status der Standardprotokolle neben der Distribution aktiviert lautet.

    Weitere Informationen zur standardmäßigen Bereitstellung der Protokollierung und den Protokollfeldern finden Sie in der Referenz zur Standardprotokollierung.

Aktivieren Sie die Standardprotokollierung (Legacy) (CloudFront API)

Sie können die CloudFront API auch verwenden, um Standardprotokolle für Ihre Distributionen zu aktivieren.

Um Standardprotokolle für eine Distribution (CloudFront API) zu aktivieren

Bearbeiten der Standardprotokollierungseinstellungen

Sie können die Protokollierung aktivieren oder deaktivieren, den Amazon S3 S3-Bucket ändern, in dem Ihre Protokolle gespeichert sind, und das Präfix für Protokolldateien ändern, indem Sie die CloudFront Konsole oder die CloudFront API verwenden. Ihre Änderungen der Protokollierungseinstellungen werden innerhalb von 12 Stunden wirksam.

Weitere Informationen finden Sie unter den folgenden Themen:

  • Informationen zum Aktualisieren einer Distribution mithilfe der CloudFront Konsole finden Sie unterEine Verteilung aktualisieren.

  • Informationen zum Aktualisieren einer Distribution mithilfe der CloudFront API finden Sie UpdateDistributionin der Amazon CloudFront API-Referenz.

Senden von Protokollen an Amazon S3

Wenn Sie Ihre Protokolle an Amazon S3 senden, werden sie im folgenden Format angezeigt.

Dateinamenformat

Der Name jeder Protokolldatei, die in Ihrem Amazon S3 S3-Bucket CloudFront gespeichert wird, verwendet das folgende Dateinamenformat:

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

Datum und Uhrzeit entsprechen der Zeitzone UTC (Coordinated Universal Time).

Wenn Sie beispielsweise example-prefix als Präfix verwenden und Ihre Verteilungs-ID EMLARXS9EXAMPLE lautet, sehen Ihre Dateinamen folgendermaßen aus:

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Wenn Sie die Protokollierung für eine Verteilung aktivieren, können Sie ein optionales Präfix für den Dateinamen festlegen; so behalten Sie den Überblick darüber, welche Protokolldateien welchen Verteilungen zugeordnet sind. Wenn Sie einen Wert für das Präfix der Protokolldatei angeben und Ihr Präfix nicht mit einem Schrägstrich (/) CloudFront endet, wird automatisch einer angehängt. Wenn Ihr Präfix mit einem Schrägstrich endet, wird CloudFront kein weiterer hinzugefügt.

Das .gz Ende des Dateinamens weist darauf hin, dass die Protokolldatei mit gzip komprimiert CloudFront wurde.

Dateiformat des Standardprotokolls

Jeder Eintrag in einer Protokolldatei enthält detaillierte Informationen zu den einzelnen Viewer-Anfragen. Die Protokolldateien weisen folgende Merkmale auf:

  • Sie verwenden das erweiterte W3C-Format für Protokolldateien.

  • Sie enthalten tabulatorgetrennte Werte.

  • Sie enthalten Datensätze in nicht unbedingt chronologischer Reihenfolge.

  • Sie enthalten zwei Headerzeilen: eine mit der Version des Dateiformats und eine andere mit den W3C-Feldern für jeden einzelnen Datensatz.

  • Sie enthalten URL-codierte Äquivalente für Leerzeichen und bestimmte andere Zeichen in Feldwerten.

    URL-kodierte Äquivalente werden für die folgenden Zeichen verwendet:

    • ASCII-Zeichencodes 0 bis 32, inklusive

    • ASCII-Zeichencodes 127 und höher

    • Alle Zeichen in der folgenden Tabelle

    Der URL-Codierungsstandard ist in RFC 1738 definiert.

URL-codierter Wert

Zeichen

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

Leerzeichen

Löschen von Protokolldateien

CloudFront löscht Protokolldateien nicht automatisch aus Ihrem Amazon S3 S3-Bucket. Informationen zum Löschen von Protokolldateien aus einem Amazon-S3-Bucket finden Sie unter Löschen von Objekten im Konsolen-Benutzerhandbuch für Amazon Simple Storage Service.

Preisgestaltung

Die Standardprotokollierung ist eine optionale Funktion von CloudFront. CloudFront berechnet keine Gebühren für die Aktivierung von Standardprotokollen. Sie müssen jedoch die normalen Amazon-S3-Gebühren für das Speichern und den Zugriff auf die Dateien in Amazon S3 entrichten. Sie können sie jederzeit löschen.

Weitere Informationen zu Preisen finden Sie unter Amazon S3-Preise.

Weitere Informationen zur CloudFront Preisgestaltung finden Sie unter CloudFront Preise.