Configurer la journalisation standard (héritée) - Amazon CloudFront
Choix d’un compartiment Amazon S3 pour les journaux standardAutorisationsActivation de la journalisation standard (héritée)Modification des paramètres de journalisation standardEnvoi de journaux vers Amazon S3Format de fichier journal standardSuppression des fichiers journauxTarification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer la journalisation standard (héritée)

Remarques

  • Cette rubrique concerne la version précédente de la journalisation standard. Pour obtenir la dernière version, consultez Configuration de la journalisation standard (v2).

  • Si vous utilisez déjà la journalisation standard (héritée) et que vous souhaitez activer la journalisation standard (v2) sur Amazon S3, nous vous conseillons d’indiquer un compartiment Amazon S3 différent ou d’utiliser un chemin distinct dans le même compartiment (par exemple, un préfixe de journal ou un partitionnement). Vous pouvez ainsi facilement identifier les fichiers journaux associés à chaque distribution, tout en évitant qu’ils ne se remplacent mutuellement.

Pour commencer avec la journalisation standard (héritée), procédez comme suit :

  1. Choisissez un compartiment Amazon S3 qui recevra vos journaux, puis ajoutez les autorisations requises.

  2. Configurez la journalisation standard (héritée) depuis la console CloudFront ou l’API CloudFront. Vous ne pouvez choisir qu’un compartiment Amazon S3 pour recevoir vos journaux.

  3. Affichez vos journaux d’accès.

Choix d’un compartiment Amazon S3 pour les journaux standard

Lorsque vous activez la journalisation pour une distribution, vous spécifiez le compartiment Amazon S3 dans lequel vous voulez que CloudFront stocke les fichiers journaux. Si vous utilisez Amazon S3 comme origine, nous vous recommandons d’utiliser un compartiment distinct pour vos fichiers journaux.

Indiquez le compartiment Amazon S3 dans lequel CloudFront doit enregistrer les journaux d’accès, par exemple amzn-s3-demo-bucket.s3.amazonaws.com.

Vous pouvez stocker les fichiers journaux de plusieurs distributions dans le même compartiment. Lorsque vous activez la journalisation, vous pouvez spécifier un préfixe facultatif pour les noms de fichier et vous pouvez ainsi savoir quels fichiers journaux sont associés à quelles distributions.

À propos du choix d’un compartiment S3

  • La liste de contrôle d’accès (ACL) doit être activée sur votre compartiment. Si vous choisissez un compartiment dont l’ACL n’est pas activée depuis la console CloudFront, un message d’erreur s’affichera. Consultez Autorisations.

  • Ne choisissez pas un compartiment Amazon S3 avec l’option S3 Object Ownership (Propriété de l’objet S3) définie sur bucket owner enforced (appliqué par le propriétaire du compartiment). Ce paramètre désactive les listes ACL pour le compartiment et les objets à l’intérieur, ce qui empêche CloudFront de transmettre des fichiers journaux au compartiment.

  • N’utilisez pas de compartiment Amazon S3 dans les Régions AWS suivantes. CloudFront ne livre pas les journaux standard vers des compartiments situés dans ces régions :

    • Afrique (Le Cap)

    • Asie-Pacifique (Hong Kong)

    • Asie-Pacifique (Hyderabad)

    • Asie-Pacifique (Jakarta)

    • Asie-Pacifique (Melbourne)

    • Canada-Ouest (Calgary)

    • Europe (Milan)

    • Europe (Espagne)

    • Europe (Zurich)

    • Israël (Tel Aviv)

    • Moyen-Orient (Bahreïn)

    • Moyen-Orient (EAU)

Autorisations

Important

À compter d’avril 2023, vous devrez activer les ACL S3 pour les nouveaux compartiments S3 utilisés pour les journaux standard CloudFront. Vous pouvez activer les ACL lorsque vous créez un compartiment ou activer les ACL pour un compartiment existant.

Pour plus d'informations sur ces modifications, consultez Paramètres par défaut pour les nouveaux compartiments S3 FAQ dans le Guide de l'utilisateur d'Amazon Simple Storage Service et Attention : des modifications de sécurité seront apportées à Amazon S3 en avril 2023 dans le Blog d'actualités AWS.

Votre Compte AWS doit disposer des autorisations suivantes pour le compartiment que vous spécifiez pour les fichiers journaux :

  • L’ACL définie pour le compartiment doit vous accorder l’autorisation FULL_CONTROL. Si vous êtes le propriétaire du compartiment, votre compte dispose de cette autorisation par défaut. Si vous ne l’êtes pas, le propriétaire du compartiment doit mettre à jour l’ACL de ce compartiment.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

Liste ACL pour le compartiment

Lorsque vous créez ou mettez à jour une distribution et activez la journalisation, CloudFront utilise ces autorisations pour mettre à jour la liste ACL du compartiment afin d’accorder au compte awslogsdelivery l’autorisation FULL_CONTROL. Le compte awslogsdelivery écrit les fichiers journaux dans le compartiment. Si votre compte ne dispose pas des autorisations requises pour mettre à jour la liste ACL, la création ou la mise à jour de la distribution échouera.

Dans certaines circonstances, si vous envoyez par programmation une demande pour créer un compartiment, mais qu’un compartiment avec le nom spécifié existe déjà, S3 réinitialise les autorisations sur le compartiment à la valeur par défaut. Si vous avez configuré CloudFront pour enregistrer les journaux d’accès dans un compartiment S3 et que vous cessez d’obtenir des journaux dans ce compartiment, vérifiez que CloudFront dispose des autorisations nécessaires pour ce compartiment.

Restauration de la liste ACL pour le compartiment

Si vous supprimez des autorisations pour le compte awslogsdelivery, CloudFront ne peut plus enregistrer les journaux dans le compartiment S3. Afin de permettre à CloudFront de commencer à enregistrer des journaux pour votre distribution, restaurez l’autorisation de la liste ACL en effectuant l’une des actions suivantes :

  • Désactivez la journalisation pour votre distribution dans CloudFront, puis réactivez-la. Pour plus d’informations, consultez Journalisation standard.

  • Ajoutez manuellement l’autorisation de la liste ACL pour le compte awslogsdelivery en accédant au compartiment S3 dans la console Amazon S3 et en ajoutant l’autorisation. Afin d’ajouter la liste ACL pour le compte awslogsdelivery, vous devez fournir l’ID canonique suivant pour le compte :

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Pour plus d’informations sur l’ajout d’ACL aux compartiments S3, consultez Configuration des listes ACL dans le Guide de l’utilisateur Amazon Simple Storage Service.

Liste ACL pour chaque fichier journal

En plus de la liste ACL sur le compartiment, il existe une ACL sur chaque fichier journal. Le propriétaire du compartiment dispose de l’autorisation FULL_CONTROL sur chaque fichier journal, le propriétaire de la distribution (s’il est différent du propriétaire du compartiment) n’a aucune autorisation et le compte awslogsdelivery a les autorisations en lecture et écriture.

Désactivation de la journalisation

Si vous désactivez la journalisation, CloudFront ne supprime pas les listes ACL, que ce soit pour le compartiment ou les fichiers journaux. Vous pouvez supprimer les ACL si nécessaire.

Politique de clé requise pour les compartiments SSE-KMS

Si le compartiment S3 de vos journaux standard utilise le chiffrement côté serveur avec les AWS KMS keys (SSE-KMS) utilisant une clé gérée par le client, vous devez ajouter l’instruction suivante à la stratégie de clé pour la clé gérée par votre client. Cela permet à CloudFront d’écrire des fichiers journaux dans le compartiment. Vous ne pouvez pas utiliser SSE-KMS avec la Clé gérée par AWS, car CloudFront ne pourra pas écrire les fichiers journaux dans le compartiment.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Si le compartiment S3 de vos journaux standard utilise SSE-KMS avec une clé de compartiment S3, vous devez également ajouter l’autorisation kms:Decrypt à l’instruction de stratégie. Dans ce cas, l’énoncé de stratégie complet ressemble à ce qui suit.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Note

Lorsque vous activez SSE-KMS pour votre compartiment S3, spécifiez l’ARN complet de la clé gérée par le client. Pour plus d’informations, consultez Spécification du chiffrement côté serveur avec les AWS KMS keys (SSE-KMS) dans le Guide de l’utilisateur Amazon Simple Storage Service.

Activation de la journalisation standard (héritée)

Pour activer la journalisation standard, utilisez la console CloudFront ou l’API CloudFront.

Activation de la journalisation standard (héritée) (console CloudFront)

Pour activer les journaux standard pour une distribution CloudFront (console)

  1. Utilisez la console CloudFront pour créer une nouvelle distribution ou mettre à jour une distribution existante.

  2. Dans la section Journalisation standard, sélectionnez Activé pour la Livraison des journaux.

  3. (Facultatif) Pour la journalisation des cookies, choisissez Activé si vous souhaitez inclure les cookies dans vos journaux. Pour plus d’informations, consultez Journalisation des cookies.

    Astuce

    La journalisation des cookies est un paramètre global qui s’applique à l’ensemble des journaux standard de votre distribution. Vous ne pouvez pas remplacer ce paramètre pour des destinations de livraison distinctes.

  4. Dans la section Livrer à, indiquez Amazon S3 (hérité).

  5. Indiquez votre compartiment Amazon S3. Si vous n’en avez pas encore, vous pouvez choisir Créer ou consulter la documentation pour créer un compartiment.

  6. (Facultatif) Pour Préfixe de journal, indiquez la chaîne que CloudFront doit ajouter en préfixe aux noms de fichiers journaux d’accès de cette distribution, par exemple, exampleprefix/. La barre oblique de fin (/) est facultative, mais recommandée pour simplifier la navigation dans vos fichiers-journaux. Pour plus d’informations, consultez Préfixe de journal.

  7. Terminez les étapes pour mettre à jour ou créer votre distribution.

  8. Sur la page Journaux, vérifiez que l’état des journaux standard est défini sur Activé à côté de la distribution.

    Pour plus d’informations sur la livraison de la journalisation standard et les champs de journal, consultez la Référence de la journalisation standard.

Activation de la journalisation standard (héritée) (API CloudFront)

Vous pouvez également utiliser l’API CloudFront pour activer les journaux standard de vos distributions.

Pour activer les journaux standard pour une distribution (API CloudFront)

Modification des paramètres de journalisation standard

Vous pouvez activer ou désactiver la journalisation, changer le compartiment Amazon S3 dans lequel vos journaux sont stockés et modifier le préfixe des fichiers journaux à l’aide de la console CloudFront ou de l’API CloudFront. Les modifications apportées aux paramètres de journalisation prennent effet dans les 12 heures.

Pour plus d’informations, consultez les rubriques suivantes :

  • Pour mettre à jour une distribution à l’aide de la console CloudFront, consultez Mettre à jour une distribution.

  • Pour mettre à jour une distribution à l’aide de l’API CloudFront, consultez UpdateDistribution dans la Référence des API Amazon CloudFront.

Envoi de journaux vers Amazon S3

Lorsque vos journaux sont envoyés à Amazon S3, ils se présentent sous le format suivant.

Format de nom de fichier

Le nom de chaque fichier journal que CloudFront enregistre dans votre compartiment Amazon S3 utilise le format de nom de fichier suivant :

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

Les dates et heures sont exprimées en heure UTC (temps universel coordonné).

Par exemple, si vous utilisez example-prefix comme préfixe et que votre ID de distribution est EMLARXS9EXAMPLE, les noms de fichiers ressemblent à ceci :

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Lorsque vous activez la journalisation pour une distribution, vous pouvez spécifier un préfixe facultatif pour les noms de fichier et vous pouvez ainsi savoir quels fichiers journaux sont associés à quelles distributions. Si vous incluez une valeur pour le préfixe du fichier journal et que votre préfixe ne se termine pas par une barre oblique (/), CloudFront en ajoute une automatiquement. Si votre préfixe se termine par une barre oblique, CloudFront n’en ajoute pas une autre.

L’extension .gz à la fin du nom de fichier indique que CloudFront a compressé le fichier journal avec gzip.

Format de fichier journal standard

Chaque entrée d’un fichier journal fournit des informations détaillées sur une seule demande utilisateur. Les fichiers journaux présentent les caractéristiques suivantes :

  • Utilisez le format de fichier journal étendu W3C.

  • Contiennent des valeurs séparées par des virgules.

  • Contiennent des enregistrements qui ne sont pas nécessairement dans l’ordre chronologique.

  • Contiennent deux lignes d’en-tête : l’une avec la version fichier-format et l’autre qui répertorie les champs W3C inclus dans chaque enregistrement.

  • Contiennent des équivalents encodés en URL pour des espaces et certains autres caractères dans les valeurs de champ.

    Les équivalents encodés en URL sont utilisés pour les caractères suivants :

    • Codes de caractères ASCII 0 à 32 inclus

    • Codes de caractères ASCII 127 et suivants

    • Tous les caractères du tableau suivant

    La norme d’encodage d’URL est définie dans la norme RFC 1738.

Valeur codée par URL

Caractère

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

espace

Suppression des fichiers journaux

CloudFront ne supprime pas automatiquement les fichiers journaux de votre compartiment Amazon S3. Pour en savoir plus sur la suppression de fichiers journaux dans un compartiment Amazon S3, consultez Suppression des objets dans le Guide de l’utilisateur de la console Amazon Simple Storage Service.

Tarification

La journalisation standard est une fonction facultative de CloudFront. CloudFront ne facture pas l’activation des journaux standard. Cependant, les frais Amazon S3 usuels sont facturés pour stocker les fichiers et y accéder sur Amazon S3. Vous pouvez les supprimer à tout moment.

Pour plus d’informations sur la tarification Amazon S3, consultez Tarification Amazon S3.

Pour plus d’informations sur les frais liés à CloudFront, consultez Tarification CloudFront.