Aktivieren Sie die Zugriffsprotokolle für Ihren Network Load Balancer - Elastic Load Balancing
Bucket-AnforderungenKonfigurieren Sie die Zugriffsprotokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie die Zugriffsprotokolle für Ihren Network Load Balancer

Wenn Sie die Zugriffsprotokollierung für Ihren Load Balancer aktivieren, müssen Sie den Namen des S3-Bucket angeben, in dem der Load Balancer die Protokolle speichert. Der Bucket muss über eine Bucket-Richtlinie verfügen, die Elastic Load Balancing die Berechtigung zum Schreiben in den Bucket gewährt.

Wichtig

Zugriffsprotokolle werden nur erstellt, wenn der Load Balancer über einen TLS-Listener verfügt, und die Protokolle enthalten nur Informationen zu TLS-Anfragen.

Bucket-Anforderungen

Sie können einen vorhandenen Bucket verwenden oder einen Bucket speziell für Zugriffsprotokolle erstellen. Der Bucket muss die folgenden Anforderungen erfüllen.

Voraussetzungen

  • Der Bucket muss sich in derselben Region wie der Load Balancer befinden. Der Bucket und der Load Balancer können verschiedenen Konten gehören.

  • Das von Ihnen angegebene Präfix darf nicht AWSLogs enthalten. Wir fügen den Teil des Dateinamens hinzu, der mit AWSLogs nach dem von Ihnen angegebenen Bucket-Namen und dem Präfix beginnt.

  • Der Bucket muss über eine Bucket-Richtlinie verfügen, die die Berechtigung zum Schreiben von Zugriffsprotokollen in den Bucket gewährt. Bucket-Richtlinien sind eine Sammlung von JSON-Anweisungen, die in der Sprache der Zugriffsrichtlinie geschrieben sind, um Zugriffsberechtigungen für Ihre Buckets zu definieren.

Beispiel einer Bucket-Richtlinie

Es folgt eine Beispielrichtlinie . Ersetzen Sie die Resource Elemente amzn-s3-demo-destination-bucket durch den Namen des S3-Buckets für Ihre Zugriffsprotokolle. Achten Sie darauf, das wegzulassenPrefix/, wenn Sie kein Bucket-Präfix verwenden. Geben Sie für aws:SourceAccount die ID des AWS Kontos beim Load Balancer an. Ersetzen Sie für aws:SourceArn region und jeweils 012345678912 durch die Region und die Konto-ID des Load Balancers.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": [
                        "012345678912"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:012345678912:*"
                    ]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": [
                        "012345678912"
                    ]
                },
                "ArnLike": {
                    "aws:SourceArn": [
                        "arn:aws:logs:us-east-1:012345678912:*"
                    ]
                }
            }
        }
    ]
}
Verschlüsselung

Sie können die serverseitige Verschlüsselung für Ihren Amazon-S3-Zugriffsprotokoll-Bucket auf eine der folgenden Arten aktivieren:

  • Von Amazon S3 verwaltete Schlüssel (SSE-S3)

  • AWS KMS Schlüssel, die in AWS Key Management Service (SSE-KMS) † gespeichert sind

† Mit Network Load Balancer Balancer-Zugriffsprotokollen können Sie keine AWS verwalteten Schlüssel verwenden. Sie müssen vom Kunden verwaltete Schlüssel verwenden.

Weitere Informationen finden Sie unter Spezifizieren der Amazon S3 S3-Verschlüsselung (SSE-S3) und Spezifizieren der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS) im Amazon S3 S3-Benutzerhandbuch.

Die Schlüsselrichtlinie muss es dem Service ermöglichen, die Protokolle zu verschlüsseln und zu entschlüsseln. Es folgt eine Beispielrichtlinie .

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Konfigurieren Sie die Zugriffsprotokolle

Gehen Sie wie folgt vor, um Zugriffsprotokolle zu konfigurieren, um Anforderungsinformationen zu erfassen und Protokolldateien an Ihren S3-Bucket zu übermitteln.

Console
Um Zugriffsprotokolle zu aktivieren

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Load Balancers.

  3. Wählen Sie den Namen Ihres Load Balancers aus, um die Detailseite zu öffnen.

  4. Klicken Sie auf der Registerkarte Attribute auf Bearbeiten.

  5. Aktivieren Sie für die Überwachung die Option Zugriffsprotokolle.

  6. Geben Sie für S3-URI den S3-URI für Ihre Protokolldateien ein. Der URI, den Sie angeben, hängt davon ab, ob Sie ein Präfix verwenden.

    • URI mit einem Präfix: s3://amzn-s3-demo-logging-bucket/logging-prefix

    • URI ohne Präfix: s3://amzn-s3-demo-logging-bucket

  7. Wählen Sie Änderungen speichern aus.

AWS CLI
Um Zugriffsprotokolle zu aktivieren

Verwenden Sie den modify-load-balancer-attributesBefehl mit den zugehörigen Attributen.

aws elbv2 modify-load-balancer-attributes \
    --load-balancer-arn load-balancer-arn \
    --attributes \
        Key=access_logs.s3.enabled,Value=true \
        Key=access_logs.s3.bucket,Value=amzn-s3-demo-logging-bucket \
        Key=access_logs.s3.prefix,Value=logging-prefix
CloudFormation
Um Zugriffsprotokolle zu aktivieren

Aktualisieren Sie die AWS::ElasticLoadBalancingV2::LoadBalancerRessource so, dass sie die zugehörigen Attribute enthält.

Resources:
  myLoadBalancer:
    Type: 'AWS::ElasticLoadBalancingV2::LoadBalancer'
    Properties:
      Name: my-nlb
      Type: network
      Scheme: internal
      Subnets: 
        - !Ref subnet-AZ1
        - !Ref subnet-AZ2
      SecurityGroups: 
        - !Ref mySecurityGroup
      LoadBalancerAttributes: 
        - Key: "access_logs.s3.enabled"
          Value: "true"
        - Key: "access_logs.s3.bucket"
          Value: "amzn-s3-demo-logging-bucket"
        - Key: "access_logs.s3.prefix"
          Value: "logging-prefix"