Aperçu rapide
Cet article illustre les aspects suivants :
- Qu'est-ce qu'un journal d'accès ?
- Que sont les fichiers journaux d’accès ?
- Que sont les entrées du journal d’accès ?
- Comment les fichiers journaux d’accès sont-ils traités ?
- Comment activer les journaux d'accès pour l'équilibreur de charge d'application ?
- Astuce bonus : désactivez les journaux d'accès
- Conclusion
Qu'est-ce qu'un journal d'accès ?
Le Journal d'accès est un fonctionnalité optionnelle de l'équilibreur de charge d'application qui capture des informations détaillées sur la demande envoyée à l'équilibreur de charge. Ces informations détaillées contiennent la date et l'heure de réception de la demande, l'adresse IP du client, les latences, le port, etc. sous la forme de 'Accéder aux fichiers journaux' . Dans Application Load Balancer (ALB), cette fonctionnalité doit être activée manuellement. Ces journaux d'accès sont ensuite reçus par le compartiment S3 à partir duquel ils peuvent être consultés et consultés par l'utilisateur.
Que sont les fichiers journaux d’accès ?
Les journaux d'accès contiennent 'Accéder aux fichiers journaux' qui sont publiés pour chaque nœud Load Balancer toutes les 5 minutes. Il peut y avoir plusieurs journaux si le site a un trafic élevé. Les fichiers journaux d'accès suivent un format spécifié :
seau [ / préfixe ] / Journaux AWS / ah - compte - identifiant / équilibrage de charge élastique / région / aaaa / mm / jj / ah - compte - id_elasticloadbalancing_region_app. charger - balancier - id_end - heure_ip - adresse_aléatoire - chaîne. enregistrer . gz
- ' seau » : le champ contient le nom du bucket qui recevra les fichiers logs.
- ' préfixe » : est facultatif. Ce champ contiendra une valeur s'il existe des préfixes spécifiés par l'utilisateur au moment de la création du compartiment S3. Le préfixe ne doit pas contenir le « Journaux AWS ' mot-clé.
- « aws-account-id » : contient l'ID de compte AWS du propriétaire.
- ' région » : le champ contient la région de l’équilibreur de charge.
- ' aaa/mm/jj » : précise les données sur lesquelles le log a été délivré.
- ' ID de l'équilibreur de charge » : indique l'ID spécifique de l'équilibreur de charge. De plus, les barres obliques dans l'ID sont remplacées par les points (.).
- ' heure de fin » : spécifie la date et l'heure de fin de l'intervalle de journalisation.
- ' adresse IP » : précise l'adresse IP sur laquelle fonctionne l'équilibreur de charge
- ' chaîne aléatoire » : contient une chaîne aléatoire générée par le système.
Que sont les entrées du journal d’accès ?
Ces entrées du journal d'accès contiennent des informations sur chaque demande adressée à l'Application Load Balancer. Ces demandes uniques sont appelées 'Entrée du journal' . Ces entrées de journal incluent également les requêtes mal formées, c'est-à-dire la requête qui n'a jamais été adressée à l'équilibreur de charge (ALB). Si les requêtes adressées à l'équilibreur de charge impliquent des sockets Web, cette entrée de journal ne sera enregistrée que lorsque la connexion est fermée.
Comment les fichiers journaux d’accès sont-ils traités ?
Par défaut, le accéder aux fichiers journaux sont comprimé . Par conséquent, ces fichiers doivent d’abord être décompressés lors du téléchargement pour afficher les informations. Cependant, en utilisant la console S3, l'utilisateur peut visualiser directement les informations de ces fichiers journaux.
Ces fichiers journaux sont générés à la suite de la demande faite au Équilibreur de charge . Si le trafic sur le site Web est actuellement élevé, les fichiers journaux générés par l'équilibreur de charge contiendront les données en gigaoctets. De telles quantités de données peuvent être traité en utilisant outils analytiques comme Amazon Athena, Splunk, Sumo Logic, etc.
Comment activer les journaux d'accès pour l'équilibreur de charge d'application ?
Les journaux d'accès peuvent être configurés pour différentes régions à l'aide des méthodes suivantes :
- Méthode 1 : journaux d'accès pour les régions disponibles avant août 2022
- Méthode 2 : journaux d'accès pour les régions disponibles à partir d'août 2022 ou après
Méthode 1 : journaux d'accès pour les régions disponibles avant août 2022
Pour configurer les journaux d'accès pour les régions disponibles avant août 2022, suivez les étapes mentionnées ci-dessous :
- Étape 1 : Créer le compartiment S3
- Étape 2 : Modifier les attributs de l'équilibreur de charge
- Étape 3 : Vérification
Étape 1 : Créer le compartiment S3
La première étape consiste à créer le compartiment S3 pour activer le journal d'accès pour l'ALB. Pour cela, accédez au service bucket S3 en le recherchant dans la barre de recherche du Console de gestion AWS :
Du Tableau de bord S3 , clique le 'Créer un compartiment' bouton:
Dans le Configuration générale , fournissez un identifiant unique au monde pour le compartiment S3 dans le champ « Nom du compartiment ' champ de texte. Il est important de considérer que le « Région AWS ' doit être similaire à la région de l'équilibreur de charge :
En gardant le reste des paramètres par défaut, cliquez sur le bouton « Créer un compartiment Bouton » situé en bas de l’interface :
Le seau a été créé avec succès :
Du Tableau de bord du compartiment S3 , appuyez sur le ' S3 ' Nom du bucket pour configurer les autorisations :
Du Console baquet S3 , clique le ' Autorisations Onglet ' :
Faites défiler l'interface et cliquez sur le bouton ' Modifier ' Bouton ' du ' Politique de compartiment ' section:
Dans le Éditeur , collez la stratégie ci-dessous et remplacez les variables suivantes :
{'Version' : '2012-10-17' ,
'Déclaration' : [
{
'Effet' : 'Permettre' ,
'Majeur' : {
'AWS' : 'arn:aws:iam::elb-account-id:root'
} ,
'Action' : 's3 : PutObject' ,
'Ressource' : 'mon-s3-arn'
}
]
}
- identifiant de compte elb : Dans ce champ, indiquez l'ID de la région AWS. Ces identifiants sont donnés dans le documentation officielle d'AWS . Faites défiler jusqu'à ' Journaux d'accès pour les régions disponibles avant août 2022 » et sous la politique, les régions avec leurs identifiants respectifs sont mentionnées :
- mon-s3-arn : L'ARN du bucket S3 peut être remplacé en utilisant deux formats :
- Format 1 : ARN avec un préfixe
- Format 2 : ARN sans préfixe
Format 1 : ARN avec un préfixe : Ce format est à suivre si votre bucket contient la valeur du préfixe :
arn:aws:s3:::nom-bucket / préfixe / Journaux AWS / aws-compte-id /*- Nom du compartiment : remplacez ce champ par le nom d'origine du bucket.
- préfixe : fournissez le préfixe si votre bucket en contient. La valeur du préfixe est obligatoire car elle est spécifiée dans ce format.
- ID de compte AWS : fournissez l'ID de compte AWS dans ce champ. Pour cela, appuyez sur le nom du compte AWS mentionné dans le coin supérieur gauche de l'interface. Dans le menu déroulant, copiez l'ID de compte :
Format 2 : ARN sans préfixe : Ce format est à utiliser lorsque le bucket ne contient aucun préfixe. Tous les champs spécifiés resteront les mêmes que ceux indiqués dans l'ARN mentionné ci-dessus. La seule différence est que ceci ' ARN » ne contient aucun champ « préfixe » :
arn:aws:s3:::nom-bucket / Journaux AWS / aws-compte-id /*Ici le politique a été remplacé :
Faites défiler vers le bas de l'interface et cliquez sur le bouton 'Sauvegarder les modifications' bouton pour appliquer les modifications :
Le politique a été édité avec succès :
Étape 2 : Modifier les attributs de l'équilibreur de charge
Du Tableau de bord EC2 , clique sur le « Équilibreurs de charge » option en vertu du 'L'équilibrage de charge' section du volet de navigation :
Du Tableau de bord de l'équilibreur de charge , cliquez sur le nom de l'équilibreur de charge pour activer les journaux d'accès . Pour cette démo, un équilibreur de charge a déjà été créé et en cours d'exécution :
Sous le ' Détails ', plusieurs options différentes sont disponibles. Clique le ' Les attributs Onglet ' :
Du ' Les attributs ', cliquez sur l'onglet ' Modifier ' bouton:
Sur l’interface suivante, faites défiler jusqu’à « Surveillance ' section. Basculez le ' Journaux d'accès ' pour activer le Fonctionnalité de journal d'accès . Ensuite, cliquez sur le « Parcourir S3 » bouton pour sélectionner le bucket :
Après avoir cliqué sur le « Parcourir S3 » bouton, une fenêtre contextuelle apparaîtra. Choisissez le compartiment S3 et appuyez sur le bouton ' Choisir ' bouton:
Après avoir ajouté le bucket, cliquez sur le bouton « Sauvegarder les modifications ' bouton:
AWS affichera un message de confirmation une fois la configuration réussie du compartiment S3 dans les journaux d'accès :
Étape 3 : Vérification
Pour vérifier si le compartiment a été ajouté, visitez le tableau de bord S3 et choisissez le compartiment :
Ici, ce bucket contient désormais un dossier «AWSLogs/» . Ce dossier contiendra toutes les informations liées aux journaux d'accès :
Méthode 2 : journaux d'accès pour les régions disponibles à partir d'août 2022 ou après
Pour activer les journaux d'accès pour les régions disponibles à partir d'août 2022 ou après, suivez les étapes mentionnées ci-dessous :
- Créez le compartiment S3.
- Après avoir créé le compartiment S3, appuyez sur le bouton « Autorisations onglet '. Appuyez sur le ' Modifier » dans la section suivante.
- Remplacez la stratégie existante par la stratégie suivante mentionnée :
'Version' : '2012-10-17' ,
'Déclaration' : [
{
'Effet' : 'Permettre' ,
'Majeur' : {
'Service' : 'logdelivery.elasticloadbalancing.amazonaws.com'
} ,
'Action' : 's3 : PutObject' ,
'Ressource' : 'arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*'
}
]
}
Dans la politique mentionnée ci-dessus, remplacez les variables suivantes :
- Nom du compartiment : remplacez ce champ par le nom du compartiment d'origine.
- préfixe (facultatif) : C'est un champ facultatif. Si votre compartiment contient un préfixe, indiquez le nom du préfixe dans ce champ. Cependant, l'utilisateur peut également ignorer ce champ s'il n'y a aucun préfixe à spécifier.
Après avoir spécifié cette politique, cliquez sur le bouton « Sauvegarder les modifications ' bouton pour appliquer les modifications. Le reste des étapes sera suivi dans le même ordre que celui indiqué dans la méthode 1.
Astuce bonus : désactivez les journaux d'accès
Pour désactiver les journaux d'accès dans l'application, suivez les étapes mentionnées ci-dessous :
- Sélectionnez l'équilibreur de charge dans le tableau de bord de l'équilibreur de charge.
- Faites défiler l'interface et cliquez sur le bouton ' Les attributs onglet '.
- Au sein du « Les attributs ', appuyez sur le bouton ' Modifier ' bouton.
- Faites défiler jusqu'à ' Surveillance ' section. Ici, l'utilisateur peut désactiver le journal d'accès en activant le bouton en surbrillance suivant. Frappez le 'Sauvegarder les modifications' bouton pour enregistrer et appliquer les modifications :
- Le journal d'accès a été désactivé avec succès et les Attributs sont modifiés :
C'est tout de ce guide
Conclusion
Pour activer les journaux d'accès pour l'équilibreur de charge, modifiez la stratégie mentionnée dans le compartiment S3 créé à partir de l'onglet « Autorisations » et cliquez sur le bouton « Enregistrer les modifications ». Les informations contenues dans ces fichiers journaux sont directement accessibles à partir de la console du compartiment S3. L'utilisateur peut également télécharger les fichiers journaux et les décompresser pour visualiser leur contenu. Ce blog est une démonstration étape par étape pour activer et désactiver le journal d'accès de l'équilibreur de charge.