Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Konfigurasikan logging standar (warisan)
Catatan
-
Topik ini untuk versi logging standar sebelumnya. Untuk versi terbaru, lihatKonfigurasikan logging standar (v2).
-
Jika Anda sudah mengaktifkan pencatatan standar (lama) dan ingin mengaktifkan pencatatan standar (v2) ke Amazon S3, sebaiknya tentukan bucket Amazon S3 yang berbeda atau gunakan jalur terpisah di bucket yang sama (misalnya, gunakan awalan log atau partisi). Ini membantu Anda melacak file log mana yang terkait dengan distribusi mana dan mencegah file log saling menimpa.
Untuk memulai dengan logging standar (legacy), selesaikan langkah-langkah berikut:
-
Pilih bucket Amazon S3 yang akan menerima log Anda dan tambahkan izin yang diperlukan.
-
Konfigurasikan logging standar (legacy) dari CloudFront konsol atau CloudFront API. Anda hanya dapat memilih bucket Amazon S3 untuk menerima log Anda.
-
Lihat log akses Anda.
Pilih bucket Amazon S3 untuk log standar
Saat Anda mengaktifkan pencatatan untuk distribusi, Anda menentukan bucket Amazon S3 yang Anda inginkan CloudFront untuk menyimpan file log. Jika Anda menggunakan Amazon S3 sebagai asal Anda, sebaiknya gunakan bucket terpisah untuk file log Anda.
Tentukan bucket Amazon S3 tempat Anda CloudFront ingin menyimpan log akses, misalnya,. amzn-s3-demo-bucket.s3.amazonaws.com
Anda dapat menyimpan file log untuk beberapa distribusi dalam buket yang sama. Saat Anda mengaktifkan log, Anda dapat menentukan prefiks opsional untuk nama file, sehingga Anda dapat terus melacak file log yang terkait dengan distribusi yang mana.
Tentang memilih ember S3
-
Bucket Anda harus mengaktifkan daftar kontrol akses (ACL). Jika Anda memilih bucket tanpa ACL diaktifkan dari CloudFront konsol, pesan kesalahan akan muncul. Lihat Izin.
-
Jangan memilih bucket Amazon S3 dengan Kepemilikan Objek S3 yang disetel ke pemilik bucket yang diberlakukan. Pengaturan itu dinonaktifkan ACLs untuk ember dan objek di dalamnya, yang CloudFront mencegah pengiriman file log ke ember.
Jangan memilih bucket Amazon S3 berikut ini. Wilayah AWS CloudFront tidak mengirimkan log standar ke ember di Wilayah ini:
-
Afrika (Cape Town)
-
Asia Pasifik (Hong Kong)
-
Asia Pasifik (Hyderabad)
-
Asia Pasifik (Jakarta)
-
Asia Pasifik (Melbourne)
-
Kanada Barat (Calgary)
-
Eropa (Milan)
-
Eropa (Spanyol)
-
Eropa (Zürich)
-
Israel (Tel Aviv)
-
Timur Tengah (Bahrain)
-
Middle East (UAE)
-
Izin
penting
Mulai April 2023, Anda harus mengaktifkan S3 ACLs untuk bucket S3 baru yang digunakan untuk log standar. CloudFront Anda dapat mengaktifkan ACLs saat membuat bucket, atau mengaktifkan bucket ACLs yang sudah ada.
Untuk informasi selengkapnya tentang perubahan, lihat Pengaturan default untuk bucket S3 baru FAQ di Panduan Pengguna Amazon Simple Storage Service dan Heads-Up: Perubahan Keamanan Amazon S3 Akan Datang pada bulan April 2023 di Blog
Anda Akun AWS harus memiliki izin berikut untuk bucket yang Anda tentukan untuk file log:
-
ACL untuk ember harus memberi Anda
FULL_CONTROL
. Jika Anda adalah pemilik bucket, akun Anda memiliki izin ini secara default. Jika tidak, pemilik keranjang harus memperbarui ACL untuk buket. -
s3:GetBucketAcl
-
s3:PutBucketAcl
- ACL untuk buket
-
Saat Anda membuat atau memperbarui distribusi dan mengaktifkan pencatatan, CloudFront gunakan izin ini untuk memperbarui ACL untuk bucket guna memberikan izin
awslogsdelivery
akunFULL_CONTROL
.awslogsdelivery
akun menulis file log ke dalam buket. Jika akun Anda tidak memiliki izin yang diperlukan untuk memperbarui ACL, membuat atau memperbarui distribusi akan gagal.Dalam beberapa keadaan, jika Anda secara program mengirimkan permintaan untuk membuat buket tetapi buket dengan nama yang ditentukan sudah ada, S3 mengatur ulang izin pada buket ke nilai default. Jika Anda mengonfigurasi CloudFront untuk menyimpan log akses di bucket S3 dan Anda berhenti mendapatkan log di bucket itu, periksa izin di bucket untuk memastikan bahwa CloudFront memiliki izin yang diperlukan.
- Memulihkan ACL untuk ember
-
Jika Anda menghapus izin untuk
awslogsdelivery
pelanggan, CloudFront tidak akan dapat menyimpan log ke buket S3. Untuk mengaktifkan CloudFront untuk mulai menyimpan log untuk distribusi Anda lagi, pulihkan izin ACL dengan melakukan salah satu hal berikut:-
Nonaktifkan logging untuk distribusi Anda CloudFront, lalu aktifkan lagi. Untuk informasi selengkapnya, lihat Pencatatan standar.
-
Tambahkan izin ACL untuk
awslogsdelivery
secara manual dengan menavigasi ke bucket S3 di konsol Amazon S3 dan menambahkan izin. Untuk menambahkan ACL untukawslogsdelivery
, Anda harus memberikan ID kanonik untuk akun tersebut, yang merupakan di Wilayah Tiongkok:c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0
Untuk informasi selengkapnya tentang menambahkan ACLs ke bucket S3, lihat Mengonfigurasi ACLs di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
-
- ACL untuk setiap file log
-
Selain ACL pada buket, ada ACL pada setiap file log. Pemilik keranjang memiliki
FULL_CONTROL
izin di setiap file log, pemilik distribusi (jika berbeda dari pemilik bucket) tidak memiliki izin, danawslogsdelivery
akun memiliki izin baca dan tulis. - Menonaktifkan log
-
Jika Anda menonaktifkan logging, CloudFront tidak menghapus ACLs untuk bucket atau file log. Anda dapat menghapus ACLs jika diperlukan.
Kebijakan kunci yang diperlukan untuk bucket SSE-KMS
Jika bucket S3 untuk log standar Anda menggunakan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) dengan menggunakan kunci terkelola pelanggan, Anda harus menambahkan pernyataan berikut ke kebijakan kunci untuk kunci terkelola pelanggan Anda. Ini memungkinkan CloudFront untuk menulis file log ke ember. Anda tidak dapat menggunakan SSE-KMS dengan Kunci yang dikelola AWS karena CloudFront tidak akan dapat menulis file log ke ember.
{ "Sid": "Allow CloudFront to use the key to deliver logs", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*" }
Jika bucket S3 untuk log standar Anda menggunakan SSE-KMS dengan Kunci Bucket S3, Anda juga perlu menambahkan kms:Decrypt
izin ke pernyataan kebijakan. Dalam hal ini, pernyataan kebijakan penuh terlihat seperti berikut ini.
{ "Sid": "Allow CloudFront to use the key to deliver logs", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" }
catatan
Saat Anda mengaktifkan SSE-KMS untuk bucket S3 Anda, tentukan ARN lengkap untuk kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Menentukan enkripsi sisi server dengan AWS KMS keys (SSE-KMS) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Aktifkan pencatatan standar (lama)
Untuk mengaktifkan log standar, gunakan CloudFront konsol atau CloudFront API.
Daftar Isi
Aktifkan pencatatan standar (lama) (CloudFrontkonsol)
Untuk mengaktifkan log standar untuk CloudFront distribusi (konsol)
-
Gunakan CloudFront konsol untuk membuat distribusi baru atau memperbarui yang sudah ada.
-
Untuk bagian Pencatatan standar, untuk pengiriman Log, pilih Aktif.
-
(Opsional) Untuk pencatatan Cookie, pilih Aktif jika Anda ingin menyertakan cookie di log Anda. Untuk informasi selengkapnya, lihat Pencatatan cookie.
Tip
Cookie logging adalah pengaturan global yang berlaku untuk semua log standar untuk distribusi Anda. Anda tidak dapat mengganti pengaturan ini untuk tujuan pengiriman terpisah.
-
Untuk bagian Kirim ke, tentukan Amazon S3 (Legacy).
-
Tentukan bucket Amazon S3 Anda. Jika Anda belum memilikinya, Anda dapat memilih Buat atau melihat dokumentasi untuk membuat ember.
-
(Opsional) Untuk awalan Log, tentukan string, jika ada, yang ingin Anda awalan CloudFront ke nama file log akses untuk distribusi ini, misalnya,.
exampleprefix/
The trailing slash ( / ) adalah opsional tetapi dianjurkan untuk menyederhanakan browsing file log Anda. Untuk informasi selengkapnya, lihat Awalan log. -
Selesaikan langkah-langkah untuk memperbarui atau membuat distribusi Anda.
-
Dari halaman Log, verifikasi bahwa status log standar Diaktifkan di sebelah distribusi.
Untuk informasi selengkapnya tentang pengiriman logging standar dan bidang log, lihatReferensi logging standar.
Aktifkan pencatatan standar (lama) (CloudFrontAPI)
Anda juga dapat menggunakan CloudFront API untuk mengaktifkan log standar untuk distribusi Anda.
Untuk mengaktifkan log standar untuk distribusi (CloudFront API)
-
Gunakan operasi CreateDistributionatau UpdateDistributionAPI dan konfigurasikan LoggingConfigobjek.
Edit pengaturan logging standar
Anda dapat mengaktifkan atau menonaktifkan logging, mengubah bucket Amazon S3 tempat log Anda disimpan, dan mengubah awalan untuk file log menggunakan CloudFront konsol atau API
Untuk informasi selengkapnya, lihat topik berikut.
-
Untuk memperbarui distribusi menggunakan CloudFront konsol, lihatPerbarui distribusi.
-
Untuk memperbarui distribusi menggunakan CloudFront API, lihat UpdateDistributiondi Referensi Amazon CloudFront API.
Kirim log ke Amazon S3
Saat Anda mengirim log ke Amazon S3, log Anda muncul dalam format berikut.
Format nama file
Nama setiap file log yang CloudFront disimpan di bucket Amazon S3 Anda menggunakan format nama file berikut:
<optional
prefix>
/<distribution
ID>
.YYYY
-MM
-DD
-HH
.unique-ID
.gz
Tanggal dan waktu berada dalam Waktu Universal Terkoordinasi (UTC).
Misalnya, jika Anda menggunakan example-prefix
karena prefiks, dan ID distribusi Anda adalah EMLARXS9EXAMPLE
, nama file Anda terlihat mirip dengan ini:
example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz
Saat Anda mengaktifkan pencatatan untuk distribusi, Anda dapat menentukan prefiks opsional untuk nama file, sehingga Anda dapat melacak file log yang terkait dengan distribusi mana. Jika Anda menyertakan nilai untuk awalan file log dan awalan Anda tidak diakhiri dengan garis miring (/
), CloudFront tambahkan satu secara otomatis. Jika awalan Anda diakhiri dengan garis miring ke depan, jangan CloudFront tambahkan yang lain.
.gz
Di akhir nama file menunjukkan bahwa CloudFront telah dikompresi file log menggunakan gzip.
Format file log standar
Setiap entri dalam file log memberikan detail tentang permintaan penampil tunggal. File log memiliki karakteristik sebagai berikut:
-
Gunakan Format file log yang diperluas W3C
. -
Berisi nilai yang dipisahkan dengan tab.
-
Berisi catatan yang tidak selalu kronologis.
-
Berisi dua baris header: satu dengan versi format file, dan satu lagi yang mencantumkan kolom W3C yang disertakan dalam setiap catatan.
-
Berisi URL berkode setara untuk spasi dan karakter tertentu lainnya dalam nilai kolom.
Ekuivalen berkode URL digunakan untuk karakter berikut ini:
-
Kode karakter ASCII 0 melalui 32, inklusif
-
Kode karakter ASCII 127 dan lebih tinggi
-
Semua karakter dalam tabel berikut
Standar pengkodean URL ditetapkan dalam RFC 1738
. -
Nilai yang dikodekan URL |
Karakter |
---|---|
%3C |
< |
%3E |
> |
%22 |
" |
%23 |
# |
%25 |
% |
%7B |
{ |
%7D |
} |
%7C |
| |
%5C |
\ |
%5E |
^ |
%7E |
~ |
%5B |
[ |
%5D |
] |
%60 |
` |
%27 |
' |
%20 |
yang lebih besar |
Hapus file log
CloudFront tidak secara otomatis menghapus file log dari bucket Amazon S3 Anda. Untuk informasi tentang menghapus file log dari bucket Amazon S3, lihat Menghapus objek di Panduan Pengguna Konsol Layanan Penyimpanan Sederhana Amazon.
Harga
Pencatatan standar adalah fitur opsional dari CloudFront. CloudFront tidak mengenakan biaya untuk mengaktifkan log standar. Namun, Anda memperoleh biaya Amazon S3 biasa untuk menyimpan dan mengakses file di Amazon S3. Anda dapat menghapusnya kapan saja.
Untuk informasi selengkapnya tentang harga Amazon S3, lihat Harga Amazon S3
Untuk informasi selengkapnya tentang CloudFront harga, lihat CloudFront Harga