翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Lattice VPC のアクセスログ
アクセスログには、Lattice VPC サービスとリソース設定に関する詳細情報がキャプチャされます。これらのアクセスログを使用して、トラフィックパターンを分析し、ネットワーク内のすべてのサービスを監査できます。Lattice VPC サービスでは、 を公開VpcLatticeAccessLogsし、リソース設定では、個別に設定VpcLatticeResourceAccessLogsする必要がある を公開します。
アクセスログはオプションであり、デフォルトでは無効になっています。アクセスログを有効にした後は、いつでも無効にできます。
料金
アクセスログが公開されると料金が発生します。ユーザーに代わって AWS ネイティブに発行されるログは、販売ログと呼ばれます。販売されたログの料金の詳細については、「Amazon CloudWatch の料金
IAM アクセスログを有効にするために必要な アクセス許可
アクセスログを有効にしてログを送信先に送信するには、使用しているIAMユーザー、グループ、またはロールにアタッチされたポリシーに次のアクションが必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Sid": "ManageVPCLatticeAccessLogSetup", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "vpc-lattice:CreateAccessLogSubscription", "vpc-lattice:GetAccessLogSubscription", "vpc-lattice:UpdateAccessLogSubscription", "vpc-lattice:DeleteAccessLogSubscription", "vpc-lattice:ListAccessLogSubscriptions" ], "Resource": [ "*" ] } ] }
詳細については、「 AWS Identity and Access Management ユーザーガイド」のIAM「ID アクセス許可の追加と削除」を参照してください。
使用しているIAMユーザー、グループ、またはロールにアタッチされたポリシーを更新したら、「」に進みますアクセスログの有効化。
アクセスログの送信先
アクセスログは、次の宛先に送信できます。
Amazon CloudWatch ログ
-
VPC 通常、Lattice は 2 分以内にログを CloudWatch ログに配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。
-
CloudWatch ロググループに特定のアクセス許可がない場合、リソースポリシーが自動的に作成され、ロググループに追加されます。詳細については、「Amazon ユーザーガイド」の「ログに送信された CloudWatch ログ」を参照してください。 CloudWatch
-
に送信されるアクセスログは、 コンソールの CloudWatch CloudWatchロググループにあります。詳細については、「Amazon CloudWatch ユーザーガイド」の「ログに送信された CloudWatch ログデータを表示する」を参照してください。
Amazon S3
-
VPC 通常、Lattice は 6 分以内に Amazon S3 にログを配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。
-
バケットに特定の権限がない場合は、バケットポリシーが自動的に作成され、Amazon S3 バケットに追加されます。詳細については、Amazon S3に送信されたログ」を参照してください。 CloudWatch
-
Amazon S3 に送信されるアクセスログには、次の命名規則が使用されます。
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz -
VpcLatticeResourceAccessLogs Amazon S3 に送信される は、次の命名規則を使用します。
[bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose
-
VPC 通常、Lattice は 2 分以内に Firehose にログを配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。
-
アクセスログを送信するアクセス許可を Lattice VPC に付与するサービスにリンクされたロールが自動的に作成されます Amazon Data Firehose。この自動ロール作成が正常に行われるには、ユーザーが
iam:CreateServiceLinkedRoleアクションに対する許可を持っている必要があります。詳細については、「Amazon CloudWatch ユーザーガイド」の「 に送信されたログ Amazon Data Firehose」を参照してください。 -
Amazon Data Firehoseに送信されたログの表示の詳細については、「Amazon Data Firehose デベロッパーガイド」の「Amazon Kinesis Data Streams のモニタリング」を参照してください。
アクセスログの有効化
次の手順を実行して、アクセスログを取得し、選択した宛先に配信するように設定します。
コンソールを使用してアクセスログを有効にする
作成時に、サービスネットワーク、サービス、またはリソース設定のアクセスログを有効にできます。次の手順で説明するように、サービスネットワーク、サービス、またはリソース設定を作成した後にアクセスログを有効にすることもできます。
コンソールを使用して基本サービスを作成するには
で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/
。 -
サービスネットワーク、サービス、またはリソース設定を選択します。
-
[アクション]、[ログ設定を編集] の順に選択します。
-
[アクセスログ] トグルスイッチをオンにします。
-
アクセスログの配信先を次のように追加します。
-
CloudWatch ロググループを選択し、ロググループを選択します。ロググループを作成するには、 でロググループを作成する CloudWatchを選択します。
-
[S3 バケット] を選択し、プレフィックスを含む S3 バケットパスを入力します。S3 バケットを検索するには、[S3 を参照] を選択します。
-
[Kinesis Data Firehose 配信ストリーム] を選択し、配信ストリームを選択します。配信ストリームを作成するには、[Kinesis で配信ストリームを作成] を選択します。
-
-
[Save changes] (変更の保存) をクリックします。
AWS CLIを使用してアクセスログを有効にする
CLI コマンドを使用してcreate-access-log-subscription
アクセスログの内容
次の表は、アクセスログのエントリのフィールドを示しています。
| フィールド | 説明 | 形式 |
|---|---|---|
hostHeader
|
リクエストの権限ヘッダー。 |
string |
sslCipher
|
クライアントTLS接続の確立に使用される一連の暗号の OpenSSL 名。 |
string |
serviceNetworkArn
|
サービスネットワーク ARN。 |
arn:aws:vpc-lattice: |
resolvedUser
|
認証が有効で、認証が完了したときARNのユーザーの 。 |
null | ARN | "Anonymous" | "Unknown" |
authDeniedReason
|
認証が有効な場合にアクセスが拒否される理由。 |
null | "Service" | "Network" | "Identity" |
requestMethod
|
リクエストのメソッドヘッダー。 |
string |
targetGroupArn
|
ターゲットホストが属するターゲットホストグループ。 |
string |
tlsVersion
|
TLS バージョン。 |
TLSv |
userAgent
|
ユーザーエージェントヘッダー。 |
string |
ServerNameIndication
|
〔HTTPS のみ] Server Name Indication () の ssl 接続ソケットに設定された値SNI。 |
string |
destinationVpcId
|
送信先 VPC ID。 |
VPC- |
sourceIpPort
|
送信元の IP アドレスとポート。 |
|
targetIpPort
|
ターゲットの IP アドレスとポート。 |
|
serviceArn
|
サービス ARN。 |
arn:aws:vpc-lattice: |
sourceVpcId
|
ソース VPC ID。 |
VPC- |
requestPath
|
リクエストのパス。 |
LatticePath?: |
startTime
|
リクエストの開始時刻。 |
|
protocol
|
プロトコル。現在、HTTP/1.1 または HTTP/2 のいずれかです。 |
string |
responseCode
|
HTTP レスポンスコード。最終ヘッダーのレスポンスコードのみが記録されます。詳細については、「アクセスログのトラブルシューティング」を参照してください。 |
integer |
bytesReceived
|
受信した本文とヘッダーのバイト数。 |
integer |
bytesSent
|
送信された本文とヘッダーのバイト数。 |
integer |
duration
|
リクエストの開始時刻から最後のバイトが送信されるまでの合計期間 (ミリ秒単位)。 |
integer |
requestToTargetDuration
|
リクエストの開始時刻から最後のバイトがターゲットに送信されるまでの合計期間 (ミリ秒単位)。 |
integer |
responseFromTargetDuration
|
リクエストの最初のバイトがターゲットホストから読み取られてから、最後のバイトがクライアントに送信されるまでの合計期間 (ミリ秒単位)。 |
integer |
grpcResponseCode
|
gRPC レスポンスコード。詳細については、「ステータスコードとその g での使用RPC |
integer |
callerPrincipal
|
認証されたプリンシパル。 |
string |
callerX509SubjectCN
|
サブジェクト名 (CN)。 |
string |
callerX509IssuerOU
|
発行者 (OU)。 |
string |
callerX509SANNameCN
|
発行者の代替 (名前/CN)。 |
string |
callerX509SANDNS
|
サブジェクトの代替名 (DNS)。 |
string |
callerX509SANURI
|
サブジェクトの代替名 (URI)。 |
string |
sourceVpcArn
|
リクエストが発生した ARNの VPC 。 |
arn:aws:ec2: |
例
ログエントリの例を示します。
{
"hostHeader": "example.com",
"sslCipher": "-",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
"resolvedUser": "Unknown",
"authDeniedReason": "null",
"requestMethod": "GET",
"targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
"tlsVersion": "-",
"userAgent": "-",
"serverNameIndication": "-",
"destinationVpcId": "vpc-0abcdef1234567890",
"sourceIpPort": "178.0.181.150:80",
"targetIpPort": "131.31.44.176:80",
"serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
"sourceVpcId": "vpc-0abcdef1234567890",
"requestPath": "/billing",
"startTime": "2023-07-28T20:48:45Z",
"protocol": "HTTP/1.1",
"responseCode": 200,
"bytesReceived": 42,
"bytesSent": 42,
"duration": 375,
"requestToTargetDuration": 1,
"responseFromTargetDuration": 1,
"grpcResponseCode": 1
}リソースアクセスログの内容
次の表は、リソースアクセスログエントリのフィールドを示しています。
| フィールド | 説明 | 形式 |
|---|---|---|
serviceNetworkArn
|
サービスネットワーク ARN。 |
arn: |
serviceNetworkResourceAssociationId
|
サービスネットワークリソース ID。 |
|
vpcEndpointId
|
リソースへのアクセスに使用されたエンドポイント ID。 |
string |
sourceVpcArn
|
接続が開始されたソースVPCARNまたは VPC 。 |
string |
resourceConfigurationArn
|
アクセスされたリソース設定ARNの 。 |
string |
protocol
|
リソース設定との通信に使用されるプロトコル。現在、tcp のみがサポートされています。 |
string |
sourceIpPort
|
接続を開始したソースの IP アドレスとポート。 |
|
destinationIpPort
|
接続が開始された IP アドレスとポート。これは SN-E/SN-A の IP になります。 |
|
gatewayIpPort
|
リソースゲートウェイがリソースにアクセスするために使用する IP アドレスとポート。 |
|
resourceIpPort
|
リソースの IP アドレスとポート。 |
|
例
ログエントリの例を示します。
{
"eventTimestamp": "2024-12-02T10:10:10.123Z",
"serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
"serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
"vpcEndpointId": "vpce-01a2b3c4d",
"sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
"resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
"protocol": "tcp",
"sourceIpPort": "172.31.23.56:44076",
"destinationIpPort": "172.31.31.226:80",
"gatewayIpPort": "10.0.28.57:49288",
"resourceIpPort": "10.0.18.190:80"
}アクセスログのトラブルシューティング
このセクションでは、アクセスログに表示される可能性のあるHTTPエラーコードについて説明します。
| エラーコード | 考えられる原因 |
|---|---|
|
HTTP 400: 不正なリクエスト |
|
|
HTTP 403: 禁止 |
認証はサービスに対して設定されているが、受信リクエストは認証も承認もされていない。 |
|
HTTP 404: 存在しないサービス |
存在しないサービスに接続しようとしているか、適切なサービスネットワークに登録されていない。 |
|
HTTP 500: 内部サーバーエラー |
VPC Lattice でターゲットへの接続に失敗するなどのエラーが発生しました。 |
|
HTTP 502: 不正なゲートウェイ |
VPC Lattice でエラーが発生しました。 |
