Pencatatan permintaan dengan pencatatan akses server - Amazon Simple Storage Service
Bagaimana cara mengaktifkan log pengiriman?Format kunci objek logBagaimana log dikirimkan?Pengiriman log server dengan upaya terbaikPerubahan status pencatatan log bucket memerlukan waktu

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencatatan permintaan dengan pencatatan akses server

Pencatatan akses server menyediakan catatan terperinci untuk permintaan yang dilakukan ke bucket. Log akses server bermanfaat untuk berbagai macam aplikasi. Misalnya, informasi log akses dapat berguna dalam audit keamanan dan akses. Informasi ini juga dapat membantu Anda untuk mempelajari basis pelanggan Anda, serta memahami tagihan Amazon S3.

catatan

Log akses server tidak mencatat informasi tentang kesalahan pengalihan wilayah yang salah untuk Wilayah yang diluncurkan setelah 20 Maret 2019. Kesalahan pengalihan wilayah yang salah terjadi saat permintaan objek atau bucket dibuat di luar Wilayah tempat bucket berada.

Bagaimana cara mengaktifkan log pengiriman?

Untuk mengaktifkan log pengiriman, lakukan langkah-langkah basic berikut. Untuk detailnya, lihat Mengaktifkan pencatatan akses server Amazon S3.

  1. Berikan nama bucket tujuan (juga dikenal sebagai bucket target). Bucket ini adalah tempat Anda ingin Amazon S3 menyimpan pencatatan akses sebagai objek. Bucket sumber dan tujuan harus berada di Wilayah AWS yang sama, dan dimiliki oleh akun yang sama. Bucket tujuan tidak boleh memiliki konfigurasi periode retensi default Kunci Objek S3. Bucket tujuan juga harus tidak mengaktifkan Requester Pays.

    Anda dapat mengirimkan log ke bucket mana pun milik Anda yang berada di Wilayah yang sama dengan bucket sumber, termasuk bucket sumber itu sendiri. Tetapi untuk manajemen log yang lebih sederhana, kami sarankan agar Anda menyimpan log akses dalam bucket yang berbeda.

    Saat bucket sumber dan bucket tujuan Anda merupakan bucket yang sama, akan dibuat log tambahan untuk log yang ditulis ke bucket, yang akan membuat loop log tak terbatas. Kami tidak menyarankan melakukan hal ini karena dapat menyebabkan sedikit peningkatan dalam penagihan penyimpanan Anda. Selain itu, catatan tambahan tentang log mungkin akan menyulitkan Anda menemukan log yang Anda cari.

    Jika Anda memilih untuk menyimpan log akses di bucket sumber, sebaiknya Anda menentukan prefiks tujuan (juga dikenal sebagai prefiks target) untuk semua kunci objek log. Saat Anda menentukan prefiks, semua nama objek log dimulai dengan string umum, yang membuat objek log lebih mudah diidentifikasi.

  2. (Opsional) Tetapkan prefiks tujuan ke semua kunci objek log Amazon S3. Awalan tujuan (juga dikenal sebagai prefiks target) menjadikan pencarian objek log lebih mudah. Misalnya, jika Anda menentukan nilai prefikslogs/, setiap objek log yang dibuat Amazon S3 dimulai dengan prefiks logs/ di dalam kuncinya, misalnya:

    logs/2013-11-01-21-32-16-E568B2907131C0C0

    Jika Anda menentukan nilai prefiks logs, objek log muncul sebagai berikut:

    logs2013-11-01-21-32-16-E568B2907131C0C0

    Prefiks juga berguna untuk membedakan bucket sumber jika beberapa bucket mencatat ke bucket tujuan yang sama.

    Prefiks ini juga dapat membantu saat Anda menghapus pencatatan. Misalnya, Anda dapat menetapkan aturan konfigurasi siklus aktif bagi Amazon S3 untuk menghapus objek dengan prefiks kunci tertentu. Untuk informasi selengkapnya, lihat Menghapus file log Amazon S3.

  3. (Opsional) Atur izin sehingga orang lain dapat mengakses log yang dihasilkan. Secara default, hanya pemilik bucket yang selalu memiliki akses penuh ke objek log. Jika bucket tujuan menggunakan setelan yang diberlakukan pemilik Bucket untuk Kepemilikan Objek S3 untuk menonaktifkan daftar kontrol akses (ACLs), Anda tidak dapat memberikan izin dalam hibah tujuan (juga dikenal sebagai hibah target) yang digunakan. ACLs Namun, Anda dapat memperbarui kebijakan bucket untuk bucket tujuan untuk memberikan akses kepada orang lain. Untuk informasi selengkapnya, silakan lihat Identity and Access Management untuk Amazon S3 dan Izin untuk pengiriman log.

  4. (Opsional) Tetapkan format kunci objek log untuk file log. Anda memiliki dua opsi untuk format kunci objek log (juga dikenal sebagai format kunci objek target):

    • Non-date-based partisi - Ini adalah format kunci objek log asli. Jika Anda memilih format ini, format kunci file log muncul sebagai berikut: 

      [DestinationPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

      Misalnya, jika Anda menentukan logs/ sebagai prefiks, objek log Anda diberi nama seperti ini: 

      logs/2013-11-01-21-32-16-E568B2907131C0C0

    • Partisi berbasis tanggal–Jika Anda memilih partisi berbasis tanggal, Anda dapat memilih waktu peristiwa atau waktu pengiriman untuk file log sebagai sumber tanggal yang digunakan dalam format log. Format ini membuatnya lebih mudah untuk mengkueri log.

      Jika Anda memilih partisi berbasis tanggal, format kunci file log akan muncul sebagai berikut: 

      [DestinationPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

      Misalnya, jika Anda menentukan logs/ sebagai prefiks target, objek log Anda diberi nama seperti ini:

      logs/123456789012/us-west-2/amzn-s3-demo-source-bucket/2023/03/01/2023-03-01-21-32-16-E568B2907131C0C0

      Untuk pengiriman waktu pengiriman, waktu dalam nama file log sesuai dengan waktu pengiriman untuk file log.

      Untuk pengiriman waktu peristiwa, tahun, bulan, dan hari sesuai dengan hari di mana peristiwa itu terjadi, dan jam, menit dan detik diatur ke 00 dalam kunci. Log yang dikirimkan dalam file log ini hanya untuk hari tertentu.

    Jika Anda mengonfigurasi log melalui AWS Command Line Interface (AWS CLI) AWS SDKs, atau Amazon REST API S3, TargetObjectKeyFormat gunakan untuk menentukan format kunci objek log. Untuk menentukan non-date-based partisi, gunakan. SimplePrefix Untuk menentukan partisi berbasis data, gunakan PartitionedPrefix. Jika Anda menggunakanPartitionedPrefix, gunakan PartitionDateSource untuk menentukan antara EventTime, atau DeliveryTime.

    Untuk SimplePrefix, format kunci file log muncul sebagai berikut:

    [TargetPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

    Untuk PartitionedPrefix dengan waktu peristiwa atau waktu pengiriman, format kunci file log muncul sebagai berikut:

    [TargetPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

Format kunci objek log

Amazon S3 menggunakan format kunci objek berikut untuk objek log yang diunggahnya di bucket tujuan:

  • Non-date-based partisi - Ini adalah format kunci objek log asli. Jika Anda memilih format ini, format kunci file log muncul sebagai berikut: 

    [DestinationPrefix][YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

  • Partisi berbasis tanggal–Jika Anda memilih partisi berbasis tanggal, Anda dapat memilih waktu peristiwa atau waktu pengiriman untuk file log sebagai sumber tanggal yang digunakan dalam format log. Format ini membuatnya lebih mudah untuk mengkueri log.

    Jika Anda memilih partisi berbasis tanggal, format kunci file log akan muncul sebagai berikut: 

    [DestinationPrefix][SourceAccountId]/[SourceRegion]/[SourceBucket]/[YYYY]/[MM]/[DD]/[YYYY]-[MM]-[DD]-[hh]-[mm]-[ss]-[UniqueString]

Dalam kunci objek log, YYYY, MM, DD, hh, mm, dan ss merupakan digit tahun, bulan, hari, jam, menit, dan detik (masing-masing). Tanggal dan waktu ini berada dalam Waktu Universal Terkoordinasi (UTC).

Berkas log yang dikirimkan pada waktu tertentu dapat berisi catatan yang ditulis kapan pun sebelum waktu tersebut. Tidak ada cara untuk mengetahui apakah semua catatan log untuk interval waktu tertentu telah dikirim atau tidak.

Komponen UniqueString pada kunci ada untuk mencegah penimpaan file. Tidak memiliki makna, dan perangkat lunak pemroses log harus mengabaikannya.

Bagaimana log dikirimkan?

Amazon S3 secara berkala mengumpulkan catatan akses, mengonsolidasikan catatan dalam file log, kemudian mengunggah file log ke bucket tujuan sebagai objek log. Jika Anda mengaktifkan pencatatan log ke beberapa bucket sumber yang mengidentifikasi bucket tujuan yang sama, bucket tujuan akan memiliki catatan akses untuk semua bucket sumber tersebut. Namun demikian, setiap objek catatan melaporkan arsip log akses untuk bucket sumber spesifik.

Amazon S3 menggunakan akun pengiriman log kustom untuk menulis log akses server. Penulisan ini tunduk pada pembatasan kontrol akses biasa. Kami menyarankan Anda memperbarui kebijakan bucket pada bucket tujuan untuk memberikan akses ke pengguna utama layanan pencatatan (logging.s3.amazonaws.com) kepada pengiriman log akses. Anda juga dapat memberikan akses untuk pengiriman log akses ke grup pengiriman log S3 melalui daftar kontrol akses bucket (ACL). Namun, pemberian akses ke grup pengiriman log S3 dengan menggunakan bucket Anda tidak ACL disarankan.

Saat mengaktifkan pencatatan akses server dan memberikan akses untuk pengiriman log akses melalui kebijakan bucket tujuan, Anda harus memperbarui kebijakan untuk mengizinkan akses s3:PutObject bagi pengguna utama layanan pencatatan. Jika Anda menggunakan konsol Amazon S3 untuk mengaktifkan pencatatan akses server, konsol akan secara otomatis memperbarui kebijakan bucket tujuan untuk memberikan izin ini kepada pengguna utama layanan logging. Untuk informasi selengkapnya tentang pemberian izin untuk pengiriman log akses server, lihat Izin untuk pengiriman log.

catatan

S3 tidak mendukung pengiriman CloudTrail log atau log akses server ke pemohon atau pemilik bucket untuk permintaan VPC titik akhir saat kebijakan VPC titik akhir menolaknya atau untuk permintaan yang gagal sebelum kebijakan dievaluasi. VPC

Pengaturan yang diberlakukan pemilik bucket untuk Kepemilikan Objek S3

Jika bucket tujuan menggunakan setelan diberlakukan pemilik Bucket untuk Kepemilikan Objek, akan ACLs dinonaktifkan dan tidak lagi memengaruhi izin. Anda harus memperbarui kebijakan bucket pada bucket tujuan untuk memberikan akses ke pengguna utama layanan logging. Untuk informasi selengkapnya tentang Kepemilikan Objek, lihat Berikan akses ke grup pengiriman log S3 untuk pencatatan akses server.

Pengiriman log server dengan upaya terbaik

Catatan log akses server disampaikan atas dasar upaya terbaik. Sebagian besar permintaan bucket yang dikonfigurasi dengan benar untuk mencatat hasil dalam catatan log yang dikirim. Sebagian besar catatan log dikirim dalam beberapa jam setelah log dicatat, tetapi dapat dikirimkan lebih sering.

Kelengkapan dan ketepatan waktu pencatatan server tidak dijamin. Catatan log untuk permintaan tertentu mungkin dikirim dalam waktu lama setelah permintaan diproses, atau mungkin tidak dikirimkan sama sekali. Ada kemungkinan bahwa Anda bahkan mungkin melihat duplikasi catatan log. Tujuan log server adalah untuk memberikan Anda ide tentang sifat lalu lintas terhadap bucket Anda. Meskipun catatan akuntasi log jarang hilang atau digandakan, perlu diketahui bahwa pencatatan akuntasi server tidak dimaksudkan untuk menjadi pencatatan akuntasi lengkap atas semua permintaan.

Karena sifat upaya terbarik dari pencatatan log, laporan penggunaan Anda dapat mencakup satu permintaan akses atau lebih yang tidak muncul di log server yang dikirim. Anda dapat menemukan laporan penggunaan ini di bawah Laporan biaya & penggunaan di konsol AWS Billing and Cost Management .

Perubahan status pencatatan log bucket memerlukan waktu

Perubahan status pencatatan log pada bucket memerlukan waktu untuk benar-benar memengaruhi pengiriman file log. Misalnya, jika Anda mengaktifkan pencatatan log untuk bucket, beberapa permintaan yang dilakukan di jam berikutnya mungkin akan dicatat, dan yang lainnya mungkin tidak. Misalkan Anda mengubah bucket tujuan untuk pencatatan log dari bucket A ke bucket B. Untuk jam berikutnya, beberapa catatan mungkin akan terus dikirimkan ke bucket A, sedangkan yang lain mungkin dikirimkan ke bucket tujuan B baru. Dalam semua kasus, pengaturan baru tersebut pada akhirnya akan berlaku tanpa tindakan lebih lanjut dari pihak Anda.

Untuk informasi lebih lanjut tentang pencatatan dan file log, lihat bagian berikut:

Topik