为经典负载均衡器启用访问日志 - Elastic Load Balancing
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为经典负载均衡器启用访问日志

要为负载均衡器启用访问日志,您必须指定负载均衡器将在其中存储日志的 Amazon S3 存储桶的名称。您还必须将一个存储桶策略附加到此存储桶,该策略向 Elastic Load Balancing 授予写入存储桶的权限。

步骤 1:创建 S3 存储桶

在启用访问日志时,您必须为访问日志指定 S3 存储桶。存储桶必须满足以下要求。

要求
  • 存储桶必须位于与负载均衡器相同的区域中。该存储桶和负载均衡器可由不同的账户拥有。

  • 唯一支持的服务器端加密选项是 Amazon S3 托管密钥 (SSE-S3) 有关更多信息,请参阅 Amazon S3 托管的加密密钥 (SSE-S3)

使用 Amazon S3 控制台创建 S3 存储桶。
  1. 通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 选择 Create bucket (创建存储桶)

  3. Create a bucket (创建存储桶) 页上,执行以下操作:

    1. 对于存储桶名称,请输入存储桶的名称。此名称在 Amazon S3 内所有现有存储桶名称中必须唯一。在某些区域,可能对存储桶名称有其他限制。有关更多信息,请参阅 《Amazon Simple Storage Service 用户指南》中的存储桶限制

    2. 对于 Amazon 区域,选择在其中创建负载均衡器的区域。

    3. 对于默认加密,选择 Amazon S3 托管式密钥(SSE-S3)

    4. 请选择创建存储桶

步骤 2:将策略附加到 S3 存储桶

S3 存储桶必须具有为 Elastic Load Balancing 授予将访问日志写入存储桶的权限的存储桶策略。存储桶策略是 JSON 语句的集合,这些语句以访问策略语言编写,用于为存储桶定义访问权限。每个语句都包括有关单个权限的信息并包含一系列元素。

如果您正在使用具有附加策略的现有存储桶,则可以将 Elastic Load Balancing 访问日志的语句添加到该策略。如果您这样做,则建议您评估生成的权限集,以确保它们适用于需要具有对访问日志的存储桶的访问权的用户。

可用的存储桶策略

您将使用的存储桶策略取决于存储桶的 Amazon Web Services 区域。以下每个可扩展部分都包含存储桶策略,以及有关何时使用该策略的信息。

该策略向指定的日志传送服务授予权限。将此策略用于以下区域的可用区和本地区中的负载均衡器:

  • 亚太地区(海得拉巴)

  • 亚太地区(墨尔本)

  • 加拿大西部(卡尔加里)

  • 欧洲(西班牙)

  • 欧洲(苏黎世)

  • 以色列(特拉维夫)

  • 中东(阿联酋)

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logdelivery.elasticloadbalancing.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*" } ] }

该策略向指定的 Elastic Load Balancing 账户 ID 授予权限。将此策略用于以下所列 区域的可用区或 Local Zones 中的负载均衡器。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::elb-account-id:root" }, "Action": "s3:PutObject", "Resource": "my-s3-arn" } ] }

elb-account-id替换为您所在地区的 Elastic Load Balancing 的 ID:Amazon Web Services 账户

  • 中国(北京)– 638102146993

  • 中国(宁夏)– 037604701340

用您的访问日志所在位置的 ARN 替换 my-s3-arn。您指定的 ARN 取决于您是否计划在第 3 步中启用访问日志时指定前缀。

  • 带有前缀的 ARN 示例

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*
  • 不带前缀的 ARN 示例

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*
使用 Amazon S3 控制台将访问日志的存储桶策略附加到您的存储桶
  1. 通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 选择存储桶的名称以打开其详细信息页面。

  3. 选择 Permissions(权限),然后选择 Bucket policy(存储桶策略)、Edit(编辑)。

  4. 更新存储桶策略以授予所需权限。

  5. 选择保存更改

步骤 3:配置访问日志

使用以下过程配置访问日志,以捕获日志文件并将其传输到 S3 存储桶。

要求

存储桶必须满足第 1 步中所描述的要求,并且必须附加第 2 步中所描述的存储桶策略。如果指定前缀,则前缀不得包含字符串 “AWSLogs”。

New EC2 experience
使用控制台为负载均衡器配置访问日志
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的负载均衡下,选择负载均衡器

  3. 选择您的负载均衡器的名称以打开其详细信息页面。

  4. 属性选项卡上,选择编辑

  5. 编辑负载均衡器属性页面的监控部分中,执行以下操作:

    1. 启用访问日志

    2. 对于 S3 URI,输入日志文件的 S3 URI。您指定的 URI 取决于您是否使用前缀。

      • 带有前缀的 URI:s3://bucket-name/prefix

      • 不带前缀的 URI:s3://bucket-name

    3. 日志记录间隔时间保留为 60 minutes - default

    4. 选择保存更改

Old EC2 experience
使用控制台为负载均衡器配置访问日志
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/

  2. 在导航窗格上的负载均衡下,选择负载均衡器

  3. 选择您的负载均衡器的名称以打开其详细信息页面。

  4. Description(描述)选项卡上,选择 Configure access logs(配置访问日志)。

  5. Configure Access Logs(配置访问日志)页面上,执行以下操作:

    1. 选择启用访问日志

    2. 保留间隔的默认设置 60 minutes

    3. 对于 S3 位置,请输入日志文件的 S3 URI。您指定的 URI 取决于您是否使用前缀。

      • 带有前缀的 URI:s3://bucket-name/prefix

      • 不带前缀的 URI:s3://bucket-name

    4. 选择保存

使用 Amazon CLI 为负载均衡器配置访问日志

首先,创建一个 .json 文件,该文件使 Elastic Load Balancing 能够捕获日志并每 60 分钟将这些日志传输到您为日志创建的 S3 存储桶一次:

{ "AccessLog": { "Enabled": true, "S3BucketName": "my-loadbalancer-logs", "EmitInterval": 60, "S3BucketPrefix": "my-app" } }

接下来,在modify-load-balancer-attributes命令中指定.json 文件,如下所示:

aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes file://my-json-file.json

以下为响应示例。

{ "LoadBalancerAttributes": { "AccessLog": { "Enabled": true, "EmitInterval": 60, "S3BucketName": "my-loadbalancer-logs", "S3BucketPrefix": "my-app" } }, "LoadBalancerName": "my-loadbalancer" }
管理保存访问日志的 S3 存储桶

要删除您配置用于访问日志的存储桶,请确保首先禁用访问日志。否则,如果在一个不属于您的 Amazon Web Services 账户 中创建了具有相同名称和必要的存储桶策略的新存储桶,Elastic Load Balancing 会将您的负载均衡器的访问日志写入这个新存储桶。

步骤 4:确认存储桶权限

在为负载均衡器启用访问日志后,Elastic Load Balancing 将验证 S3 存储桶,并创建测试文件以确保存储桶策略指定所需权限。您可以使用 S3 控制台验证是否已创建测试文件。测试文件不是实际的访问日志文件;它不包含示例记录。

验证 Elastic Load Balancing 是否在 S3 存储桶中创建了测试文件
  1. 通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/

  2. 选择您指定用于访问日志的 S3 存储桶的名称。

  3. 导航到测试文件 ELBAccessLogTestFile。位置取决于您是否使用前缀。

    • 带有前缀的位置:my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile

    • 不带前缀的位置:my-bucket/AWSLogs/123456789012/ELBAccessLogTestFile

排查问题

以下存储桶的访问被拒绝:bucket-name。请检查 S3bucket 权限

如果您收到此错误,则以下是可能的原因:

  • 存储桶策略没有为 Elastic Load Balancing 授予将访问日志写入存储桶的权限。确认您使用的是该区域正确的存储桶策略。确认资源 ARN 使用的存储桶名称与您在启用访问日志时指定的存储桶名称相同。如果您在启用访问日志时未指定前缀,请确认资源 ARN 不包含前缀。

  • 存储桶使用不支持的服务器端加密选项。该存储段必须使用 Amazon S3 托管密钥(SSE-S3)。