Configurazione della registrazione di log standard (legacy) - Amazon CloudFront
Scelta di un bucket Amazon S3 per i log standardAutorizzazioniAbilitazione della registrazione di log standard (legacy)Modifica delle impostazioni di registrazione di log standardInvio di log ad Amazon S3Formato file registro standardEliminazione di file di logPrezzi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione della registrazione di log standard (legacy)

Note

  • Questo argomento riguarda la versione precedente della registrazione di log standard. Per la versione più recente, consulta Configurazione della registrazione di log standard (v2).

  • Se hai già abilitato la registrazione di log standard (legacy) e desideri abilitare la registrazione di log standard (v2) su Amazon S3, ti consigliamo di specificare un bucket Amazon S3 diverso o di utilizzare un percorso separato nello stesso bucket (ad esempio, utilizzare un prefisso di log o il partizionamento). Questo consente di tenere traccia di quali file di log sono associati a quale distribuzione ed evita la sovrascrittura reciproca dei file di log.

Per iniziare a utilizzare la registrazione di log standard (legacy), completa le fasi seguenti:

  1. Scegli un bucket Amazon S3 di destinazione dei log e aggiungi autorizzazioni richieste.

  2. Configura la registrazione di log standard (legacy) dalla console CloudFront o dall’API CloudFront. Puoi scegliere solo un bucket Amazon S3 per ricevere i log.

  3. Visualizza i log di accesso.

Scelta di un bucket Amazon S3 per i log standard

Quando abiliti la registrazione per una distribuzione, specifichi il bucket Amazon S3 in cui desideri che CloudFront memorizzi i file di log. Se utilizzi Amazon S3 come origine, ti consigliamo di utilizzare un bucket separato per i file di log.

Specifica il bucket Amazon S3 in cui CloudFront deve archiviare i log di accesso, ad esempio amzn-s3-demo-bucket.s3.amazonaws.com.

Puoi archiviare i file di log per più distribuzioni nello stesso bucket. Quando attivi la registrazione, puoi specificare un prefisso facoltativo per i nomi di file, in modo da sapere quali file di log sono associati a quali distribuzioni.

Informazioni sulla scelta di un bucket S3

  • La lista di controllo degli accessi (ACL) deve essere abilitata nel bucket. Se scegli un bucket senza ACL abilitata dalla console CloudFront, verrà visualizzato un messaggio di errore. Per informazioni, consulta Autorizzazioni.

  • Non scegliere un bucket Amazon S3 con Proprietà dell'oggetto S3 impostato su bucket owner enforced. Questa impostazione disabilita gli ACL per il bucket e gli oggetti in esso contenuti, il che impedisce a CloudFront di consegnare i file di log al bucket.

  • Non scegliere un bucket Amazon S3 nelle seguenti Regioni AWS. CloudFront non invia log standard ai bucket in queste regioni:

    • Africa (Città del Capo)

    • Asia Pacifico (Hong Kong)

    • Asia Pacific (Hyderabad)

    • Asia Pacifico (Giacarta)

    • Asia Pacifico (Melbourne)

    • Canada occidentale (Calgary)

    • Europa (Milano)

    • Europa (Spagna)

    • Europa (Zurigo)

    • Israele (Tel Aviv)

    • Medio Oriente (Bahrein)

    • Medio Oriente (Emirati Arabi Uniti)

Autorizzazioni

Importante

A partire da aprile 2023, devi abilitare gli ACL S3 per i nuovi bucket S3 utilizzati per i log standard di CloudFront. Puoi abilitare gli ACL quando crei un bucket o per un bucket esistente.

Per ulteriori informazioni sulle modifiche, consultare le domande frequenti sulle impostazioni predefinite per i nuovi bucket S3 nella Guida per l'utente di Amazon Simple Storage Service e Heads-Up: Amazon S3 Security Changes Are Coming in April of 2023 nel Blog AWS News.

L’Account AWS deve disporre delle seguenti autorizzazioni per il bucket specificato per i file di log:

  • L’ACL per il bucket deve concedere l’autorizzazione FULL_CONTROL. Se sei il proprietario del bucket, il tuo account dispone di questa autorizzazione per impostazione predefinita. Se non lo sei, il proprietario del bucket deve aggiornare l'ACL per il bucket.

  • s3:GetBucketAcl

  • s3:PutBucketAcl

ACL per il bucket

Quando si crea o si aggiorna una distribuzione e si abilita la registrazione, CloudFront utilizza queste autorizzazioni per aggiornare l’ACL per il bucket per concedere l’autorizzazione awslogsdelivery dell’account FULL_CONTROL. L’account awslogsdelivery scrive i file di log nel bucket. Se l'account non dispone delle autorizzazioni necessarie per l'aggiornamento dell'ACL, la creazione o l'aggiornamento della distribuzione non riuscirà.

In alcuni casi, se invii una richiesta a livello di codice per creare un bucket, ma un bucket con il nome specificato esiste già, S3 reimposta le autorizzazioni per il bucket sul valore di default. Se hai configurato CloudFront per salvare log di accesso in un S3 bucket e non ricevi più i log in quel bucket, controlla le autorizzazioni per il bucket per accertarti che CloudFront disponga delle autorizzazioni necessarie.

Ripristino dell'ACL per il bucket

Se si rimuovono le autorizzazioni per l'account awslogsdelivery, CloudFront non sarà in grado di salvare i log nel S3 bucket. Per consentire a CloudFront di iniziare nuovamente a salvare i log per la distribuzione, ripristinare l'autorizzazione ACL in uno dei seguenti modi:

  • Disabilitare il log per la distribuzione in CloudFront e quindi abilitarlo di nuovo. Per ulteriori informazioni, consulta Registrazione di log standard.

  • Aggiungere l'autorizzazione ACL per awslogsdelivery manualmente passando al S3 bucket della console Amazon S3 e aggiungendo l'autorizzazione. Per aggiungere l'ACL per awslogsdelivery, è necessario fornire l'ID canonico per l'account, che è il seguente:

    c4c1ede66af53448b93c283ce9448c4ba468c9432aa01d700d3878632f77d2d0

    Per ulteriori informazioni sull’aggiunta di ACL ai bucket S3, consulta Configurazione di ACL nella Guida per l’utente di Amazon Simple Storage Service Console.

ACL per ogni file di log

Oltre all'ACL sul bucket, è disponibile un ACL su ogni file di log. Il proprietario del bucket dispone dell'autorizzazione FULL_CONTROL su ciascun file di log, il proprietario della distribuzione (se diverso dal proprietario del bucket) non ha autorizzazioni e l'account awslogsdelivery dispone di autorizzazioni in lettura e in scrittura.

Disattivazione della registrazione

Se disattivi la registrazione, CloudFront non elimina le liste ACL per il bucket o per i file di log. Puoi eliminare gli ACL, se necessario.

Policy chiave necessarie per i bucket SSE/KMS

Se il bucket S3 per i log standard utilizza la crittografia lato server con AWS KMS keys (SSE-KMS) utilizzando una chiave gestita dal cliente, è necessario aggiungere l’istruzione seguente alla policy della chiave gestita dal cliente. Ciò consente a CloudFront di scrivere file di log nel bucket. Non è possibile utilizzare SSE-KMS con la Chiave gestita da AWS perché CloudFront non sarà in grado di scrivere file di log nel bucket.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}

Se il bucket S3 per i log standard utilizza SSE-KMS con una chiave del bucket S3, è necessario anche aggiungere l’autorizzazione kms:Decrypt alla dichiarazione di policy. In tal caso, l'istruzione completa della policy è simile alla seguente.

{
    "Sid": "Allow CloudFront to use the key to deliver logs",
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey*",
        "kms:Decrypt"
    ],
    "Resource": "*"
}
Nota

Quando abiliti SSE-KMS per il bucket S3, specifica l’ARN completo per la chiave gestita dal cliente. Per ulteriori informazioni, consulta Specifica della crittografia lato server con AWS KMS keys (SSE-KMS) nella Guida per l’utente di Amazon Simple Storage Service.

Abilitazione della registrazione di log standard (legacy)

Per abilitare i log standard, utilizza la console CloudFront o l’API CloudFront.

Abilitazione della registrazione di log standard (legacy) (console CloudFront)

Come abilitare la registrazione di log standard per una distribuzione CloudFront (console)

  1. Utilizza la console CloudFront per creare una nuova distribuzione o aggiornarne una esistente.

  2. Nella sezione Registrazione di log standard, per Consegna di log, scegli Attivo.

  3. (Facoltativo) Per Registrazione di cookie, scegli Attivo se desideri includere i cookie nei log. Per ulteriori informazioni, consulta Registrazione dei cookie.

    Suggerimento

    Registrazione di cookie è un’impostazione globale che si applica a tutti i log standard per la distribuzione. Non puoi sovrascrivere questa impostazione per destinazioni di consegna separate.

  4. Per la sezione Consegna a, specifica Amazon S3 (Legacy).

  5. Specifica il bucket Amazon S3. Se non ne hai già uno, puoi scegliere Crea o consultare la documentazione per creare un bucket.

  6. (Facoltativo) Per Prefisso di log, specifica l’eventuale stringa utilizzata da CloudFront come prefisso per i nomi dei file di log di accesso per questa distribuzione, ad esempio, exampleprefix/. La barra finale (/) è facoltativa ma consigliata per semplificare la navigazione nei file di log. Per ulteriori informazioni, consulta Log Prefix (Prefisso log).

  7. Completa le fasi per aggiornare o creare la distribuzione.

  8. Nella pagina Log, verifica che lo stato dei log standard sia Abilitato accanto alla distribuzione.

    Per ulteriori informazioni sui campi di log e di consegna della registrazione di log standard, consulta Riferimento alla registrazione di log standard.

Abilitazione della registrazione di log standard (legacy) (API CloudFront)

Puoi anche utilizzare l’API CloudFront per abilitare i log standard per le distribuzioni.

Come abilitare i log standard per una distribuzione (API CloudFront)

Modifica delle impostazioni di registrazione di log standard

Puoi attivare o disattivare la registrazione, modificare il bucket Amazon S3 in cui sono memorizzati i registri e modificare il prefisso per i file di registro utilizzando la console CloudFront o l'API CloudFront. Le modifiche apportate alle impostazioni di registrazione diventano effettive entro 12 ore.

Per ulteriori informazioni, consultare i seguenti argomenti:

Invio di log ad Amazon S3

Quando invii i log ad Amazon S3, vengono visualizzati nel seguente formato.

Formato del nome file

Il nome di ogni file di log che CloudFront salva nel tuo bucket Amazon S3 utilizza il seguente formato di nome di file:

<optional prefix>/<distribution ID>.YYYY-MM-DD-HH.unique-ID.gz

La data e l'ora sono in formato UTC.

Ad esempio, se si utilizza example-prefix come prefisso e l'ID di distribuzione è EMLARXS9EXAMPLE, i nomi dei file sono simili al seguente:

example-prefix/EMLARXS9EXAMPLE.2019-11-14-20.RT4KCN4SGK9.gz

Quando attivi la registrazione per una distribuzione, puoi specificare un prefisso facoltativo per i nomi di file, in modo da sapere quali file di log sono associati a quali distribuzioni. Se si include un valore per il prefisso del file di log e il prefisso non termina con una barra (/), CloudFront ne aggiunge una automaticamente. Se il prefisso termina con una barra, CloudFront non ne aggiunge un'altra.

L'estensione .gz alla fine del nome del file indica che CloudFront ha compresso il file di log utilizzando gzip.

Formato file registro standard

Ogni voce in un file di log fornisce informazioni dettagliate su una singola richiesta visualizzatore. I file di registro presentano le seguenti caratteristiche:

  • Utilizzano il formato di file di log W3C esteso.

  • Contengono valori separati da tabulatore.

  • Contengono record che non sono necessariamente in ordine cronologico.

  • Contengono due righe di intestazione: una con la versione del formato del file e un'altra che elenca i campi W3C inclusi in ogni record.

  • Contengono equivalenti con codifica URL per spazi e per alcuni altri caratteri nei valori dei campi.

    Gli equivalenti con codifica URL vengono utilizzati per i seguenti caratteri:

    • Codici di caratteri ASCII da 0 a 32, inclusi

    • Codici di caratteri ASCII 127 e superiori

    • Tutti i caratteri nella tabella seguente

    Lo standard di codifica URL è definito in RFC 1738.

Valore con codifica URL

Carattere

%3C

<

%3E

>

%22

"

%23

#

%25

%

%7B

{

%7D

}

%7C

|

%5C

\

%5E

^

%7E

~

%5B

[

%5D

]

%60

`

%27

'

%20

spazio

Eliminazione di file di log

CloudFront non elimina automaticamente i file di log dal bucket Amazon S3. Per ulteriori informazioni sull’eliminazione di file di log da un bucket Amazon S3, consulta Eliminazione di oggetti nella Guida per l’utente di Amazon Simple Storage Service Console.

Prezzi

La registrazione standard è una caratteristica facoltativa di CloudFront. CloudFront non addebita alcun costo per l’abilitazione dei log standard. Tuttavia, vengono addebitati i costi Amazon S3 usuali inerenti all’archiviazione dei file e all’accesso agli stessi in Amazon S3. Puoi eliminarli in qualsiasi momento.

Per maggiori informazioni sui prezzi di Amazon S3, consulta Prezzi di Amazon S3.

Per ulteriori informazioni sui prezzi di CloudFront, consulta i Prezzi di CloudFront.