Configuración del registro estándar (heredado) - Amazon CloudFront
Elección de un bucket de Amazon S3 para registros estándarPermisosActivación del registro estándar (heredado)Edición de configuración de registro estándarEnvío de registros a Amazon S3Formato de archivo de registro estándarEliminación de archivos de registroPrecios

Configuración del registro estándar (heredado)

Notas

  • Este tema es para la versión anterior del registro estándar. Para obtener la última versión, consulte Configuración del registro estándar (v2).

  • Si ya ha activado el registro estándar (heredado) y quiere activar el registro estándar (v2) en Amazon S3, le recomendamos que especifique un bucket de Amazon S3 diferente o utilice una ruta distinta en el mismo bucket (por ejemplo, utilice un prefijo de registro o una partición). Esto le ayuda a realizar un seguimiento de los archivos de registro que están asociados a cada distribución y evita que los archivos de registro se sobrescriban entre sí.

Para comenzar con el registro estándar (heredado), siga estos pasos:

  1. Elija un bucket de Amazon S3 que reciba sus registros y agregue los permisos necesarios.

  2. Configure el registro estándar (heredado) desde la consola de CloudFront o la API de CloudFront. Solo puede elegir un bucket de Amazon S3 para recibir los registros.

  3. Consulte sus registros de acceso.

Elección de un bucket de Amazon S3 para registros estándar

Al habilitar el registro para una distribución, se especifica el bucket de Amazon S3 en el que desea que CloudFront almacene los archivos de registro. Si utiliza Amazon S3 como origen, le recomendamos que utilice un bucket independiente para los archivos de registro.

Especifique el bucket de Amazon S3 donde desea que CloudFront almacene los registros de acceso, por ejemplo, amzn-s3-demo-bucket.s3.amazonaws.com.

Puede almacenar los archivos de registro de varias distribuciones en el mismo bucket. Al habilitar el registro, puede especificar un prefijo para los nombres de archivo, para así realizar un seguimiento de que los archivos de registro que se asocian con las distribuciones.

Elección de un bucket de S3

  • El bucket debe tener una lista de control de acceso (ACL) habilitada. Si elige un bucket sin ACL habilitada desde la consola de CloudFront, aparecerá un mensaje de error. Consulte Permisos.

  • No elija un bucket de Amazon S3 con Propiedad de objetos de S3 configurado como propietario del bucket forzado. Esta configuración desactiva las ACL para el bucket y los objetos que contiene, lo que evita que CloudFront entregue archivos de registro al bucket.

  • No elija un bucket de Amazon S3 en las siguientes Regiones de AWS. CloudFront no entrega registros estándar a buckets en estas regiones:

    • Africa (Cape Town)

    • Asia-Pacífico (Hong Kong)

    • Asia-Pacífico (Hyderabad)

    • Asia-Pacífico (Yakarta)

    • Asia-Pacífico (Melbourne)

    • Oeste de Canadá (Calgary)

    • Europa (Milán)

    • Europa (España)

    • Europa (Zúrich)

    • Israel (Tel Aviv)

    • Medio Oriente (Baréin)

    • Medio Oriente (EAU)

Permisos

importante

A partir de abril de 2023, debe habilitar ACL de S3 para los nuevos buckets de S3 que se utilicen para los registros estándar de CloudFront. Puede habilitar las ACL cuando cree un bucket o habilitar ACL para un bucket existente.

Para obtener más información sobre los cambios, consulte Configuración predeterminada para preguntas frecuentes de buckets de S3 nuevos en la Guía del usuario de Amazon Simple Storage Service y Aviso: Los cambios en la seguridad de Amazon S3 llegarán en abril de 2023 en el Blog de novedades de AWS.

La Cuenta de AWS debe tener los siguientes permisos para el bucket que especifique para los archivos de registro:

  • La ACL del bucket debe concederle FULL_CONTROL. Si es el propietario del bucket, su cuenta tiene este permiso de forma predeterminada. Si no está, el propietario del bucket debe actualizar la ACL del bucket.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

ACL para el bucket

Al crear o actualizar una distribución y habilitar el registro, CloudFront utiliza estos permisos para actualizar ACL para que el bucket le conceda a la cuenta awslogsdelivery permiso FULL_CONTROL. La cuenta awslogsdelivery escribe archivos de registro en el bucket. Si su cuenta no tiene los permisos necesarios para actualizar la ACL, se producirá un error al crear o actualizar la distribución.

En determinadas circunstancias, si envía una solicitud de forma programada para crear un bucket con un nombre específico, pero ya existe uno con ese nombre, S3 restablece los permisos del bucket a sus valores predeterminados. Si configura CloudFront para guardar los registros de acceso en un bucket de S3 y los registros dejan de guardarse en ese bucket, compruebe los permisos del bucket para asegurarse de que CloudFront dispone de los permisos necesarios.

Restauración de la ACL para el bucket

Si elimina permisos para la cuenta awslogsdelivery, CloudFront no podrá guardar registros en el bucket de S3. Para permitir que CloudFront comience a guardar los registros de la distribución de nuevo, restaure el permiso de ACL realizando una de las siguientes acciones:

  • Desactive el registro de la distribución en CloudFront y, a continuación, habilítelo de nuevo. Para obtener más información, consulte Registro estándar.

  • Agregue el permiso de ACL para awslogsdelivery manualmente mediante el acceso al bucket de S3 en la consola de Amazon S3 y agregando permiso. Para añadir la ACL para awslogsdelivery, debe proporcionar el ID canónico de la cuenta, que es el siguiente:

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Para obtener más información acerca de cómo agregar ACL a buckets de S3, consulte Configuración de ACL en la Guía del usuario de Amazon Simple Storage Service.

ACL para cada archivo de registro

Además de la ACL del bucket, hay una ACL en cada archivo de registro. El propietario del bucket tiene permisos FULL_CONTROL en cada archivo de registro, el propietario de la distribución (si no es el mismo que el del bucket) no tiene permiso, y la cuenta awslogsdelivery tiene permisos de lectura y escritura.

Deshabilitar los registros

Si desactiva el registro, CloudFront no elimina las ACL del bucket ni de los archivos de registro. Puede eliminar las ACL si es necesario.

Política de claves necesarias para buckets de SSE-KMS

Si el bucket de S3 de los registros estándar utiliza cifrado del servidor con AWS KMS keys (SSE-KMS) mediante una clave administrada por el cliente, se debe agregar la siguiente instrucción a la política de claves para la clave administrada por el cliente. Esto permite a CloudFront escribir archivos de registro en el bucket. No puede utilizar SSE-KMS con la Clave administrada de AWS, porque CloudFront no podrá escribir los archivos de registro en el bucket.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Si el bucket de S3 para los registros estándar utiliza SSE-KMS con una clave de bucket de S3, también debe agregar el permiso kms:Decrypt a la instrucción de la política. En ese caso, la instrucción total de la política se ve del siguiente modo.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
nota

Cuando habilite SSE-KMS para el bucket de S3, especifique el ARN completo de la clave administrada por el cliente. Para obtener más información, consulte Uso del cifrado del servidor con AWS KMS keys (SSE-KMS) en la Guía del usuario de Amazon Simple Storage Service.

Activación del registro estándar (heredado)

Para activar los registros estándar, use la consola de CloudFront o la API de CloudFront.

Activación del registro estándar (heredado) (consola de CloudFront)

Para activar los registros estándar en una distribución de CloudFront (consola)

  1. Utilice la consola de CloudFront para crear una nueva distribución o actualizar una existente.

  2. En la sección Registro estándar, en Entrega de registros, seleccione Activado.

  3. (Opcional) En Registro de cookies, seleccione Activado si desea incluir cookies en sus registros. Para obtener más información, consulte Registro de cookies.

    sugerencia

    El registro de cookies es una configuración global que se aplica a todos los registros estándar de su distribución. No puede anular esta configuración para distintos destinos de entrega.

  4. En la sección Entregar a, especifique Amazon S3 (heredado).

  5. Especifique el bucket de Amazon S3. Si aún no tiene uno, puede elegir Crear o consultar la documentación para crear un bucket.

  6. (Opcional) En Prefijo del registro, especifique la cadena, de haberla, a la que CloudFront debe agregar un prefijo para los nombres de archivo de los registros de acceso de esta distribución; por ejemplo, exampleprefix/. La barra inclinada (/) al final es opcional pero recomendable para simplificar la navegación de los archivos de registro. Para obtener más información, consulte Prefijo de registros.

  7. Complete los pasos para actualizar o crear su distribución.

  8. En la página Registros, compruebe que el estado de los registros estándar sea Activado junto a la distribución.

    Para obtener más información sobre la entrega de registros estándar y los campos de registro, consulte Referencia de registro estándar.

Activación del registro estándar (heredado) (API de CloudFront)

También puede utilizar la API de CloudFront para activar los registros estándar en sus distribuciones.

Para activar los registros estándar en una distribución (API de CloudFront)

Edición de configuración de registro estándar

Puede habilitar o desactivar el registro, cambiar el bucket de Amazon S3 en el que se almacenan los registros y cambiar el prefijo de los archivos de registro a través de la consola de CloudFront o la API de CloudFront. Los cambios de configuración de registro surten efecto en un plazo de 12 horas.

Para obtener más información, consulte los siguientes temas:

  • Para actualizar una distribución mediante la consola de CloudFront, consulte Actualizar una distribución.

  • Para actualizar una distribución mediante la API de CloudFront, consulte UpdateDistribution en la Referencia de la API de Amazon CloudFront.

Envío de registros a Amazon S3

Cuando envía los registros a Amazon S3, los registros aparecen en el siguiente formato.

Formato del nombre de archivo

El nombre de cada archivo de registro que CloudFront guarda en el bucket de Amazon S3 utiliza el formato de nombre de archivo siguiente:

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

La fecha y la hora se muestran según la hora universal coordinada (UTC).

Por ejemplo, si utiliza example-prefix como prefijo y el ID de distribución es EMLARXS9EXAMPLE, los nombres de archivo tendrán el siguiente aspecto:

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Al habilitar el registro para una distribución, puede especificar un prefijo para los nombres de archivo, para así realizar un seguimiento de que los archivos de registro que se asocian a las distribuciones. Si incluye un valor para el prefijo del archivo de registro y el prefijo no termina con una barra inclinada (/), CloudFront agrega una automáticamente. Si el prefijo termina con una barra inclinada, CloudFront no agrega otra.

.gz al final del nombre del archivo indica que CloudFront ha comprimido el archivo de registro con gzip.

Formato de archivo de registro estándar

Cada entrada del archivo de registro ofrece información acerca de una única solicitud de espectador. Los archivos log tienen las siguientes características:

  • Utilice el formato de archivo de registro ampliado W3C.

  • Contienen valores separados por pestañas.

  • Contienen registros que no están necesariamente en orden cronológico.

  • Contiene dos líneas de encabezado: una con la versión de formato de archivo y otra que muestra la cantidad de campos de W3C incluidos en cada registro.

  • Contiene equivalentes codificados en URL para espacios y otros caracteres determinados en valores de campo.

    Los equivalentes codificados en URL se utilizan para los siguientes caracteres:

    • Códigos de caracteres ASCII de 0 a 32, ambos incluidos

    • Códigos de caracteres ASCII 127 y superiores

    • Todos los caracteres de la tabla siguiente

    El estándar de codificación de URL se define en RFC 1738.

Valor de URL codificada

Carácter

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

espacio

Eliminación de archivos de registro

CloudFront no elimina automáticamente los archivos de registro del bucket de Amazon S3. Para obtener más información sobre la eliminación de archivos de registro de un bucket de Amazon S3, consulte Eliminación de objetos en la Guía del usuario de la consola de Amazon Simple Storage Service.

Precios

El registro estándar es una característica opcional de CloudFront. CloudFront no cobra por activar los registros estándar. Sin embargo, se acumulan cargos de Amazon S3 usuales en concepto de almacenamiento y acceso a los archivos en Amazon S3. Puede eliminarlos en cualquier momento.

Para obtener más información acerca de los precios de Amazon S3, consulte Precios de Amazon S3.

Para obtener más información acerca de los precios de CloudFront, consulte Precios de CloudFront.