Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créez un journal de flux qui publie dans CloudWatch Logs
Vous pouvez créer des journaux de flux pour votre VPCs, vos sous-réseaux ou vos interfaces réseau. Si vous effectuez ces étapes en tant qu'utilisateur utilisant un rôle IAM particulier, assurez-vous que ce rôle dispose des autorisations nécessaires pour utiliser l'action iam:PassRole.
Prérequis
Vérifiez que le principal IAM que vous utilisez pour effectuer la demande disposent des autorisations pour appeler l’action iam:PassRole.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }
Pour créer un journal de flux à l'aide de la console
-
Effectuez l’une des actions suivantes :
-
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/
. Dans le volet de navigation, choisissez Network Interfaces. Cochez la case correspondant à l’interface réseau. -
Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/
. Dans le volet de navigation, sélectionnez Votre VPCs. Cochez la case correspondant au VPC. -
Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/
. Dans le panneau de navigation, choisissez Subnets (Sous-réseaux). Cochez la case correspondant au sous-réseau.
-
-
Choisissez Actions, Create flow log (Créer le journal de flux).
-
Pour Filter (Filtre), spécifiez le type de trafic à journaliser. Sélectionnez All (Tout) pour journaliser le trafic accepté et refusé, Reject (Rejeter) pour enregistrer uniquement le trafic refusé ou Accept (Accepter) pour enregistrer uniquement le trafic accepté.
-
Pour Maximum aggregation interval (Intervalle d'agrégation maximal), choisissez la période maximale pendant laquelle un flux est capturé et agrégé dans un enregistrement de journal de flux.
-
Pour Destination, choisissez Envoyer vers CloudWatch les journaux.
-
Dans Groupe de journaux de destination, sélectionnez le nom d’un groupe de journaux existant ou entrez le nom d’un nouveau groupe de journaux. Si vous saisissez un nom, nous créons le groupe de journaux lorsqu’il y a du trafic à journaliser.
-
Pour l'accès au service, choisissez un rôle de service IAM existant autorisé à publier des journaux dans CloudWatch Logs ou créez un nouveau rôle de service.
-
Pour Log record format (Format d'enregistrement du journal), sélectionnez le format de l'enregistrement du journal de flux.
-
Pour utiliser le format par défaut, choisissez AWS default format (Format par défaut).
-
Pour utiliser un format personnalisé, choisissez Custom format (Format personnalisé), puis sélectionnez des champs dans Log format (Format du journal).
-
-
Pour Métadonnées supplémentaires, indiquez si vous souhaitez inclure les métadonnées d’Amazon ECS dans le format du journal.
-
(Facultatif) Sélectionnez Add new tag (Ajouter une nouvelle balise) pour appliquer des identifications au journal de flux.
-
Choisissez Créer le journal de flux.
Pour créer un journal de flux à l'aide de la ligne de commande
Utilisez l’une des commandes suivantes.
-
create-flow-logs
(AWS CLI) -
New-EC2FlowLog (AWS Tools for Windows PowerShell)
L' AWS CLI exemple suivant crée un journal de flux qui capture tout le trafic accepté pour le sous-réseau spécifié. Les journaux de flux sont transmis au groupe de journaux spécifié. Le --deliver-logs-permission-arn paramètre spécifie le rôle IAM requis pour publier dans CloudWatch Logs.
aws ec2 create-flow-logs --resource-typeSubnet--resource-idssubnet-1a2b3c4d--traffic-type ACCEPT --log-group-namemy-flow-logs--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
