Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat mengaktifkan logging untuk menulis log ke CloudWatch Log. Anda dapat menggunakan variabel logging untuk menyesuaikan konten log Anda.
Untuk meningkatkan postur keamanan Anda, sebaiknya Anda menulis CloudWatch log ke Log untuk semua tahapan API HTTP Anda. Anda mungkin perlu melakukan ini untuk mematuhi berbagai kerangka kerja kepatuhan. Untuk informasi selengkapnya, lihat kontrol Amazon API Gateway di Panduan AWS Security Hub Pengguna.
Untuk mengaktifkan logging untuk API HTTP, Anda harus melakukan hal berikut.
Pastikan bahwa pengguna Anda memiliki izin yang diperlukan untuk mengaktifkan logging.
Buat grup CloudWatch log Log.
Berikan ARN dari grup CloudWatch log Log untuk tahap API Anda.
Izin untuk mengaktifkan logging
Untuk mengaktifkan logging untuk API, pengguna Anda harus memiliki izin berikut.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:GetLogEvents", "logs:FilterLogEvents" ], "Resource": "arn:aws:logs:us-east-2:123456789012:log-group:*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:PutResourcePolicy", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:CreateLogGroup", "logs:DescribeResourcePolicies", "logs:GetLogDelivery", "logs:ListLogDeliveries" ], "Resource": "*" } ] }
Buat grup log dan aktifkan logging untuk HTTP APIs
Anda dapat membuat grup log dan mengaktifkan log akses menggunakan AWS Management Console atau AWS CLI.
-
Membuat sebuah grup log.
Untuk mempelajari cara membuat grup log menggunakan konsol, lihat Membuat Grup Log di Panduan Pengguna CloudWatch Log Amazon.
Masuk ke konsol API Gateway di https://console.aws.amazon.com/apigateway
. -
Pilih API HTTP.
-
Di bawah tab Monitor di panel navigasi utama, pilih Logging.
-
Pilih tahap untuk mengaktifkan logging dan pilih Pilih.
-
Pilih Edit untuk mengaktifkan pencatatan akses.
-
Aktifkan Pencatatan akses, masukkan CloudWatch Log, dan pilih format log.
-
Pilih Simpan.
Contoh format log
Contoh beberapa format log akses umum tersedia di konsol API Gateway dan dicantumkan sebagai berikut.
-
CLF(Format Log Umum): $context.identity.sourceIp - - [$context.requestTime] "$context.httpMethod $context.routeKey $context.protocol" $context.status $context.responseLength $context.requestId $context.extendedRequestId -
JSON:{ "requestId":"$context.requestId", "ip": "$context.identity.sourceIp", "requestTime":"$context.requestTime", "httpMethod":"$context.httpMethod","routeKey":"$context.routeKey", "status":"$context.status","protocol":"$context.protocol", "responseLength":"$context.responseLength", "extendedRequestId": "$context.extendedRequestId" } -
XML:<request id="$context.requestId"> <ip>$context.identity.sourceIp</ip> <requestTime>$context.requestTime</requestTime> <httpMethod>$context.httpMethod</httpMethod> <routeKey>$context.routeKey</routeKey> <status>$context.status</status> <protocol>$context.protocol</protocol> <responseLength>$context.responseLength</responseLength> <extendedRequestId>$context.extendedRequestId</extendedRequestId> </request> -
CSV(nilai yang dipisahkan koma):$context.identity.sourceIp,$context.requestTime,$context.httpMethod,$context.routeKey,$context.protocol,$context.status,$context.responseLength,$context.requestId,$context.extendedRequestId
