Registro em log do CloudFront e de funções de borda
O Amazon CloudFront fornece diferentes tipos de registro em log. É possível registrar em log as solicitações do visualizador recebidas pelas distribuições do CloudFront ou registrar as atividades do serviço do CloudFront (atividade de API) em sua conta da AWS. Também é possível obter logs das funções do CloudFront Functions e do Lambda@Edge.
Registrar solicitações em log
O CloudFront fornece as seguintes maneiras de registrar em log as solicitações recebidas por suas distribuições.
- Logs de acesso (logs padrão)
-
Os logs de acesso do CloudFront fornecem registros detalhados sobre cada solicitação feita a uma distribuição. Você pode usar os logs para cenários, como auditorias de segurança e acesso.
Os logs de acesso do CloudFront são entregues ao destino que você especificar.
Use logs de acesso quando precisar de:
-
análise e relatórios históricos;
-
requisitos de segurança e conformidade;
-
retenção econômica de logs em longo prazo.
Para ter mais informações, consulte Logs de acesso (logs padrão).
-
- Logs de acesso em tempo real
-
Os logs de acesso em tempo real do CloudFront são entregues em segundos depois o recebimento das solicitações e fornecem informações em tempo real sobre as solicitações feitas a uma distribuição. É possível escolher a taxa de amostragem para os logs de acesso em tempo real; isto é, a porcentagem de solicitações para as quais deseja receber registros de logs de acesso em tempo real. Também é possível escolher os campos específicos que deseja receber nos registros de log. Os logs de acesso em tempo real são ideais para monitoramento em tempo real do desempenho da entrega de conteúdo.
Os logs de acesso em tempo real do CloudFront são entregues ao fluxo de dados de sua preferência no Amazon Kinesis Data Streams. Além das cobranças de uso do Kinesis Data Streams, o CloudFront cobra por logs de acesso em tempo real.
Use logs de acesso em tempo real quando precisar de:
-
monitoramento e alertas em tempo real;
-
painéis e insights operacionais em tempo real.
Para ter mais informações, consulte Usar logs de acesso em tempo real.
-
- Logs de conexão
-
Os logs de conexão fornecem informações detalhadas sobre a conexão entre o servidor e o cliente para distribuições habilitadas para mTLS. Eles mostram informações sobre certificados de cliente, sobre os motivos das falhas na autenticação mTLS e sobre se a conexão foi permitida ou recusada.
Como os logs de acesso (logs padrão), os logs de conexão são entregues ao destino que você especificar.
nota
Para habilitar os logs de conexão, primeiro você deve habilitar a mTLS para sua distribuição.
Use logs de conexão quando precisar:
-
Saber o motivo do êxito ou falha de uma conexão durante o handshake do TLS.
-
Ter visibilidade das informações sobre certificados de cliente.
Para ter mais informações, consulte Observabilidade por meio de logs de conexão.
-
Registrar em log funções de borda
É possível usar o Amazon CloudWatch Logs para obter logs para as funções de borda, tanto do Lambda@Edge quanto do CloudFront Functions. É possível acessar os logs usando o console do CloudWatch ou a API do CloudWatch Logs. Para ter mais informações, consulte Logs de funções de borda.
Registrar em log as atividades do serviço
Você pode usar o AWS CloudTrail para registrar a atividade do serviço do CloudFront (atividade de API) em sua conta da AWS. O CloudTrail fornece um registro de ações de API realizadas por um usuário, uma função ou um serviço da AWS no CloudFront. Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação de API realizada para o CloudFront, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.
Para ter mais informações, consulte Registrar em log chamadas de API do Amazon CloudFront usando o AWS CloudTrail.
Consulte mais informações sobre o registro em log nos seguintes tópicos:
Tópicos
