Configurazione della registrazione standard (legacy) - Amazon CloudFront
Scegli un bucket Amazon S3 per i log standardAutorizzazioniAbilita la registrazione standard (legacy)Modifica le impostazioni di registrazione standardInviare registri ad Amazon S3Formato file registro standardEliminare i file di registroPrezzi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della registrazione standard (legacy)

Note

  • Questo argomento riguarda la versione precedente della registrazione standard. Per la versione più recente, consulta Configurare la registrazione standard (v2).

  • Se hai già abilitato la registrazione standard (legacy) e desideri abilitare la registrazione standard (v2) su Amazon S3, ti consigliamo di specificare un bucket Amazon S3 diverso o di utilizzare un percorso separato nello stesso bucket (ad esempio, utilizzare un prefisso di log o il partizionamento). Questo ti aiuta a tenere traccia di quali file di log sono associati a quale distribuzione e impedisce che i file di log si sovrascrivano a vicenda.

Per iniziare con la registrazione standard (legacy), completa i seguenti passaggi:

  1. Scegli un bucket Amazon S3 che riceverà i tuoi log e aggiungerà le autorizzazioni richieste.

  2. Configura la registrazione standard (legacy) dalla console o dall' CloudFront API. CloudFront Puoi scegliere solo un bucket Amazon S3 per ricevere i log.

  3. Visualizza i log di accesso.

Scegli un bucket Amazon S3 per i log standard

Quando abiliti la registrazione per una distribuzione, specifichi il bucket Amazon S3 in cui CloudFront desideri archiviare i file di registro. Se utilizzi Amazon S3 come origine, ti consigliamo di utilizzare un bucket separato per i tuoi file di registro.

Specificate il bucket Amazon S3 in cui desiderate CloudFront archiviare i log di accesso, ad esempio. amzn-s3-demo-bucket.s3.amazonaws.com

Puoi archiviare i file di log per più distribuzioni nello stesso bucket. Quando attivi la registrazione, puoi specificare un prefisso facoltativo per i nomi di file, in modo da sapere quali file di log sono associati a quali distribuzioni.

Informazioni sulla scelta di un bucket S3

  • Il tuo bucket deve avere la lista di controllo degli accessi (ACL) abilitata. Se scegli un bucket senza ACL abilitato dalla CloudFront console, verrà visualizzato un messaggio di errore. Per informazioni, consulta Autorizzazioni.

  • Non scegliere un bucket Amazon S3 con Proprietà dell'oggetto S3 impostato su bucket owner enforced. Questa impostazione disabilita ACLs il bucket e gli oggetti in esso contenuti, il che impedisce CloudFront la consegna dei file di registro al bucket.

  • Non scegliere un bucket Amazon S3 nei seguenti casi. Regioni AWS CloudFront non fornisce log standard ai bucket in queste regioni:

    • Africa (Città del Capo)

    • Asia Pacifico (Hong Kong)

    • Asia Pacific (Hyderabad)

    • Asia Pacifico (Giacarta)

    • Asia Pacifico (Melbourne)

    • Canada occidentale (Calgary)

    • Europa (Milano)

    • Europa (Spagna)

    • Europa (Zurigo)

    • Israele (Tel Aviv)

    • Medio Oriente (Bahrein)

    • Medio Oriente (Emirati Arabi Uniti)

Autorizzazioni

Importante

A partire da aprile 2023, devi abilitare S3 ACLs per i nuovi bucket S3 utilizzati per i log standard. CloudFront Puoi abilitarlo ACLs quando crei un bucket o ACLs abilitarlo per un bucket esistente.

Per ulteriori informazioni sulle modifiche, consultare le domande frequenti sulle impostazioni predefinite per i nuovi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service e Heads-Up: Amazon S3 Security Changes Are Coming in April of 2023 nel Blog AWS News.

Account AWS È necessario disporre delle seguenti autorizzazioni per il bucket specificato per i file di registro:

  • L'ACL del bucket deve concederti. FULL_CONTROL Se sei il proprietario del bucket, il tuo account dispone di questa autorizzazione per impostazione predefinita. Se non lo sei, il proprietario del bucket deve aggiornare l'ACL per il bucket.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

ACL per il bucket

Quando crei o aggiorni una distribuzione e abiliti la registrazione, CloudFront utilizza queste autorizzazioni per aggiornare l'ACL del bucket e concedere l'autorizzazione all'account. awslogsdelivery FULL_CONTROL L'account awslogsdelivery scrive i file di log nel bucket. Se l'account non dispone delle autorizzazioni necessarie per l'aggiornamento dell'ACL, la creazione o l'aggiornamento della distribuzione non riuscirà.

In alcuni casi, se invii una richiesta a livello di codice per creare un bucket, ma un bucket con il nome specificato esiste già, S3 reimposta le autorizzazioni per il bucket sul valore di default. Se hai configurato CloudFront per salvare i log di accesso in un bucket S3 e non riesci più a ricevere i log in quel bucket, controlla le autorizzazioni sul bucket per assicurarti che disponga delle autorizzazioni necessarie. CloudFront

Ripristino dell'ACL per il bucket

Se si rimuovono le autorizzazioni per l'account awslogsdelivery, CloudFront non sarà in grado di salvare i log nel bucket S3. Per consentire di CloudFront ricominciare a salvare i log per la tua distribuzione, ripristina l'autorizzazione ACL effettuando una delle seguenti operazioni:

  • Disabilita la registrazione per la tua distribuzione CloudFront, quindi abilitala nuovamente. Per ulteriori informazioni, consulta Registrazione standard.

  • Aggiungere l'autorizzazione ACL per awslogsdelivery manualmente passando al S3 bucket della console Amazon S3 e aggiungendo l'autorizzazione. Per aggiungere l'ACL per awslogsdelivery, è necessario fornire l'ID canonico per l'account, che è il seguente:

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Per ulteriori informazioni sull'aggiunta ACLs ai bucket S3, consulta la sezione Configurazione nella Guida per ACLs l'utente di Amazon Simple Storage Service.

ACL per ogni file di log

Oltre all'ACL sul bucket, è disponibile un ACL su ogni file di log. Il proprietario del bucket dispone dell'autorizzazione FULL_CONTROL su ciascun file di log, il proprietario della distribuzione (se diverso dal proprietario del bucket) non ha autorizzazioni e l'account awslogsdelivery dispone di autorizzazioni in lettura e in scrittura.

Disattivazione della registrazione

Se disabiliti la registrazione, CloudFront non elimina né il bucket né ACLs i file di registro. È possibile eliminare i file ACLs se necessario.

Policy chiave necessarie per i bucket SSE/KMS

Se il bucket S3 per i log standard utilizza la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente, è necessario aggiungere la seguente dichiarazione alla politica chiave per la chiave gestita dal cliente. Ciò consente CloudFront di scrivere file di registro nel bucket. Non è possibile utilizzare SSE-KMS con il Chiave gestita da AWS perché CloudFront non sarà possibile scrivere file di registro nel bucket.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Se il bucket S3 per i log standard utilizza SSE-KMS con una S3 Bucket Key, devi anche aggiungere l'autorizzazione all'informativa sulla policy. kms:Decrypt In tal caso, l'istruzione completa della policy è simile alla seguente.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Nota

Quando abiliti SSE-KMS per il tuo bucket S3, specifica l'ARN completo per la chiave gestita dal cliente. Per ulteriori informazioni, consulta Specificare la crittografia lato server con AWS KMS keys (SSE-KMS) nella Guida per l'utente di Amazon Simple Storage Service.

Abilita la registrazione standard (legacy)

Per abilitare i log standard, usa la CloudFront console o l' CloudFront API.

Abilita la registrazione standard (legacy) (CloudFrontconsole)

Per abilitare i log standard per una CloudFront distribuzione (console)

  1. Usa la CloudFront console per creare una nuova distribuzione o aggiornarne una esistente.

  2. Nella sezione Registrazione standard, per Consegna dei registri, scegli Attivato.

  3. (Facoltativo) Per la registrazione dei cookie, scegli Attivato se desideri includere i cookie nei registri. Per ulteriori informazioni, consulta Registrazione dei cookie.

    Suggerimento

    La registrazione dei cookie è un'impostazione globale che si applica a tutti i log standard della tua distribuzione. Non puoi ignorare questa impostazione per destinazioni di consegna separate.

  4. Per la sezione Consegna a, specifica Amazon S3 (Legacy).

  5. Specificate il vostro bucket Amazon S3. Se non ne hai già uno, puoi scegliere Crea o consultare la documentazione per creare un bucket.

  6. (Facoltativo) Per il prefisso di registro, specificate l'eventuale stringa CloudFront da aggiungere come prefisso ai nomi dei file di log di accesso per questa distribuzione, ad esempio. exampleprefix/ La barra finale (/) è facoltativa ma consigliata per semplificare la navigazione nei file di log. Per ulteriori informazioni, consulta Log Prefix (Prefisso log).

  7. Completa i passaggi per aggiornare o creare la tua distribuzione.

  8. Dalla pagina Registri, verifica che lo stato standard dei log sia Abilitato accanto alla distribuzione.

    Per ulteriori informazioni sulla consegna della registrazione standard e sui campi di registro, consulta la. Riferimento di registrazione standard

Abilita la registrazione standard (legacy) (CloudFrontAPI)

Puoi anche utilizzare l' CloudFront API per abilitare i log standard per le tue distribuzioni.

Per abilitare i log standard per una distribuzione (API) CloudFront

Modifica le impostazioni di registrazione standard

Puoi abilitare o disabilitare la registrazione, modificare il bucket Amazon S3 in cui sono archiviati i log e modificare il prefisso per i file di registro utilizzando CloudFront la console o l'API. CloudFront Le modifiche apportate alle impostazioni di registrazione diventano effettive entro 12 ore.

Per ulteriori informazioni, consulta i seguenti argomenti:

Inviare registri ad Amazon S3

Quando invii i log ad Amazon S3, i log vengono visualizzati nel seguente formato.

Formato del nome file

Il nome di ogni file di registro CloudFront salvato nel bucket Amazon S3 utilizza il seguente formato di nome file:

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

La data e l'ora sono in formato UTC.

Ad esempio, se si utilizza example-prefix come prefisso e l'ID di distribuzione è EMLARXS9EXAMPLE, i nomi dei file sono simili al seguente:

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Quando attivi la registrazione per una distribuzione, puoi specificare un prefisso facoltativo per i nomi di file, in modo da sapere quali file di log sono associati a quali distribuzioni. Se includi un valore per il prefisso del file di registro e il prefisso non termina con una barra (/), ne aggiunge una automaticamente. CloudFront Se il prefisso termina con una barra, CloudFront non ne aggiunge un'altra.

La .gz fine del nome del file indica che il file di registro CloudFront è stato compresso utilizzando gzip.

Formato file registro standard

Ogni voce in un file di log fornisce informazioni dettagliate su una singola richiesta visualizzatore. I file di registro presentano le seguenti caratteristiche:

  • Utilizzano il formato di file di log W3C esteso.

  • Contengono valori separati da tabulatore.

  • Contengono record che non sono necessariamente in ordine cronologico.

  • Contengono due righe di intestazione: una con la versione del formato del file e un'altra che elenca i campi W3C inclusi in ogni record.

  • Contengono equivalenti con codifica URL per spazi e per alcuni altri caratteri nei valori dei campi.

    Gli equivalenti con codifica URL vengono utilizzati per i seguenti caratteri:

    • Codici di caratteri ASCII da 0 a 32, inclusi

    • Codici di caratteri ASCII 127 e superiori

    • Tutti i caratteri nella tabella seguente

    Lo standard di codifica URL è definito in RFC 1738.

Valore con codifica URL

Carattere

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

spazio

Eliminare i file di registro

CloudFront non elimina automaticamente i file di registro dal tuo bucket Amazon S3. Per informazioni sull'eliminazione dei file di registro da un bucket Amazon S3, consulta Eliminazione di oggetti nella Guida per l'utente della console di Amazon Simple Storage Service.

Prezzi

La registrazione standard è una funzionalità opzionale di. CloudFront CloudFront non addebita alcun costo per l'abilitazione dei log standard. Tuttavia, ti vengono addebitati i normali costi di Amazon S3 per l'archiviazione e l'accesso ai file su Amazon S3. Puoi eliminarli in qualsiasi momento.

Per maggiori informazioni sui prezzi di Amazon S3, consulta Prezzi di Amazon S3.

Per ulteriori informazioni sui CloudFront prezzi, consulta la sezione CloudFront Prezzi.