Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Registros de acceso para el equilibrador de carga de red
Elastic Load Balancing proporciona registros de acceso que capturan información detallada sobre las TLS conexiones establecidas con el Network Load Balancer. Puede utilizar estos registros de acceso para analizar los patrones de tráfico y solucionar problemas.
importante
Los registros de acceso se crean solo si el balanceador de cargas tiene un agente de TLS escucha y los registros solo contienen información sobre TLS las solicitudes. Los registros de acceso registran las solicitudes en la medida de lo posible. Recomendamos utilizar los registros de acceso para comprender la naturaleza de las solicitudes y no como una relación exhaustiva de todas las solicitudes.
El registro de acceso es una característica opcional de Elastic Load Balancing que está desactivada de forma predeterminada. Una vez que se ha habilitado el registro de acceso del equilibrador de carga, Elastic Load Balancing captura los registros como archivos comprimidos y los almacena en el bucket de Amazon S3 que haya especificado. Puede deshabilitar el registro de acceso en cualquier momento.
Puede habilitar el cifrado del lado del servidor con claves de cifrado administradas por Amazon SSE S3 (-S3) o mediante el servicio de administración de claves con claves administradas por el cliente (SSE- KMSCMK) para su bucket de S3. Cada archivo de registro de acceso se cifra automáticamente antes de que se almacene en su bucket de S3 y se descifra al acceder al mismo. No es necesario que haga nada, ya que no hay diferencia en la forma de acceder a los archivos de registro cifrados o sin cifrar. Cada archivo de registro se cifra con una clave única, que a su vez se cifra con una KMS clave que se rota periódicamente. Para obtener más información, consulte Especificar el cifrado de Amazon S3 (SSE-S3) y Especificar el cifrado del lado del servidor con AWS KMS (SSE-KMS) en la Guía del usuario de Amazon S3.
Los logs de acceso no suponen ningún cargo adicional. Se cobran los costos de almacenamiento en Amazon S3, pero no el ancho de banda que Elastic Load Balancing utilice para enviar los archivos de registros a Amazon S3. Para obtener más información acerca de los costos de almacenamiento, consulte Precios de Amazon S3
Contenido
Archivos de registro de acceso
Elastic Load Balancing publica un archivo de registro por cada nodo del equilibrador de carga cada 5 minutos. La entrega de registros presenta consistencia final. El equilibrador de carga puede entregar varios registros para el mismo periodo. Esto suele ocurrir si el tráfico del sitio es elevado.
Los nombres de archivo de los registros de acceso utilizan el siguiente formato:
bucket[/prefix]/AWSLogs/aws-account-id/elasticloadbalancing/region/yyyy/mm/dd/aws-account-id_elasticloadbalancing_region_net.load-balancer-id_end-time_random-string.log.gz- bucket
-
Nombre del bucket de S3.
- prefix
-
El prefijo (jerarquía lógica) del bucket. Si no especifica un prefijo, los logs se colocan en el nivel raíz el bucket.
- aws-account-id
-
El Cuenta de AWS ID del propietario.
- region
-
La región del equilibrador de carga y del bucket de S3.
- aaaa/mm/dd
-
La fecha de entrega del log.
- load-balancer-id
-
ID de recurso del equilibrador de carga. Si el ID de recurso contiene barras diagonales (/), estas se sustituyen por puntos (.).
- end-time
-
La fecha y hora en que finalizó el intervalo de registro. Por ejemplo, la hora de finalización 20181220T2340Z contiene las entradas correspondientes a las solicitudes realizadas entre las 23:35 y las 23:40.
- random-string
-
Una cadena generada aleatoriamente por el sistema.
A continuación se muestra un ejemplo de nombre de un archivo log:
s3://my-bucket/prefix/AWSLogs/123456789012/elasticloadbalancing/us-east-2/2020/05/01/123456789012_elasticloadbalancing_us-east-2_net.my-loadbalancer.1234567890abcdef_20200501T0000Z_20sg8hgm.log.gzPuede almacenar los archivos de registro en su bucket durante todo el tiempo que desee, pero también puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de registro automáticamente. Para obtener más información, consulte Administración del ciclo de vida de almacenamiento en la Guía del usuario de Amazon S3.
Entradas de los registros de acceso
En la siguiente tabla se describen los campos de una entrada de registro de acceso, por orden. Todos los campos están delimitados por espacios. Cuando se introducen campos nuevos, se añaden al final de la entrada de log. Al procesar los archivos de registro, debe hacer caso omiso de todos los campos no esperados situados al final de la entrada de registro.
| Campo | Descripción |
|---|---|
type |
Tipo de agente de escucha. El valor admitido es |
versión |
Versión de la entrada de registro. La versión actual es 2.0. |
hora |
La hora registrada al final de la TLS conexión, en formato ISO 8601. |
elb |
ID de recurso del balanceador de carga. |
oyente |
El ID de recurso del TLS oyente de la conexión. |
client:port |
Dirección IP y puerto del cliente. |
destination:port |
La dirección IP y el puerto de destino. Si el cliente se conecta directamente al balanceador de carga, el destino es el agente de escucha. Si el cliente se conecta mediante un servicio de VPC punto final, el destino es el VPC punto final. |
connection_time |
Tiempo total para que se complete la conexión, desde el inicio al cierre, en milisegundos. |
tls_handshake_time |
El tiempo total que tarda el TLS apretón de manos en completarse una vez establecida la TCP conexión, incluidos los retrasos del lado del cliente, en milisegundos. Este tiempo se incluye en el campo connection_time. |
received_bytes |
Número de bytes recibidos por el balanceador de carga desde el cliente después del descifrado. |
sent_bytes |
Número de bytes enviados por el balanceador de carga al cliente antes del cifrado. |
incoming_tls_alert |
El valor entero de las TLS alertas que el balanceador de cargas recibe del cliente, si está presente. De lo contrario, este valor se establece en -. |
chosen_cert_arn |
El ARN del certificado entregado al cliente. Si no se envía un mensaje de saludo de cliente válido, este valor se establece en -. |
chosen_cert_serial |
Reservado para uso futuro. Este valor siempre se establece en -. |
tls_cipher |
El conjunto de cifrado negociado con el cliente, en SSL formato abierto. Si TLS la negociación no se completa, este valor se establece en -. |
tls_protocol_version |
El TLS protocolo negociado con el cliente, en formato de cadena. Los valores posibles son |
tls_named_group |
Reservado para uso futuro. Este valor siempre se establece en -. |
domain_name |
El valor de la extensión nombre_servidor del mensaje de saludo del cliente. Este valor está URL codificado en. Si no se ha enviado un mensaje de saludo de cliente válido o la extensión no está presente, el valor se establece en -. |
alpn_fe_protocol |
El protocolo de aplicación negociado con el cliente en formato de cadena. Los valores posibles son |
alpn_be_protocol |
El protocolo de aplicación negociado con el destino en formato de cadena. Los valores posibles son |
alpn_client_preference_list |
El valor de la extensión application_layer_protocol_negotiation en el mensaje de saludo del cliente. Este valor está codificado URL en. Cada protocolo está entre comillas dobles y los protocolos están separados por comas. Si no hay ninguna ALPN política configurada en el TLS listener, no se envía ningún mensaje de saludo del cliente válido o la extensión no está presente, este valor se establece en -. La cadena se trunca si tiene más de 256 bytes. |
tls_connection_creation_time |
La hora registrada al inicio de la TLS conexión, en formato ISO 8601. |
Ejemplo de entradas de registro
A continuación, se muestran ejemplos de entradas de registro. Tenga en cuenta que el texto aparece en varias líneas únicamente para facilitar su lectura.
El siguiente es un ejemplo para un TLS oyente sin una ALPN política.
tls 2.0 2018-12-20T02:59:40 net/my-network-loadbalancer/c6e77e28c25b2234 g3d4b5e8bb8464cd
72.21.218.154:51341 172.100.100.185:443 5 2 98 246 -
arn:aws:acm:us-east-2:671290407336:certificate/2a108f19-aded-46b0-8493-c63eb1ef4a99 -
ECDHE-RSA-AES128-SHA tlsv12 -
my-network-loadbalancer-c6e77e28c25b2234.elb.us-east-2.amazonaws.com
- - - 2018-12-20T02:59:30El siguiente es un ejemplo de un TLS oyente con una ALPN política.
tls 2.0 2020-04-01T08:51:42 net/my-network-loadbalancer/c6e77e28c25b2234 g3d4b5e8bb8464cd
72.21.218.154:51341 172.100.100.185:443 5 2 98 246 -
arn:aws:acm:us-east-2:671290407336:certificate/2a108f19-aded-46b0-8493-c63eb1ef4a99 -
ECDHE-RSA-AES128-SHA tlsv12 -
my-network-loadbalancer-c6e77e28c25b2234.elb.us-east-2.amazonaws.com
h2 h2 "h2","http/1.1" 2020-04-01T08:51:20Procesamiento de archivos de registro de acceso
Los archivos de registro de acceso están comprimidos. Si abre los archivos en la consola de Amazon S3, se descomprimen y se muestra la información. Si descarga los archivos, debe descomprimirlos para ver la información.
Si existe una gran cantidad de demanda en el sitio web, el equilibrador de carga puede generar archivos registro con gigabytes de datos. Es posible que no pueda procesar una cantidad tan grande de datos mediante el line-by-line procesamiento. En tal caso, podría ser preciso utilizar herramientas de análisis que ofrezcan soluciones de procesamiento en paralelo. Por ejemplo, puede utilizar las siguientes herramientas de análisis para analizar y procesar los registros de acceso:
-
Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 de forma estándar. SQL Para obtener más información, revise Consulta de registros del equilibrador de carga de red en la Guía del usuario de Amazon Athena.
