Créer un journal de flux qui publie vers Amazon S3

Après avoir créé et configuré votre compartiment Amazon S3, vous pouvez créer des journaux de flux pour vos interfaces réseaux, sous-réseaux ou. VPCs

Prérequis

Le IAM principal qui crée le journal de flux doit utiliser un IAM rôle qui dispose des autorisations suivantes, qui sont nécessaires pour publier les journaux de flux dans le compartiment Amazon S3 de destination.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:DeleteLogDelivery"
      ],
      "Resource": "*"
    }
  ]
}

Pour créer un journal de flux à l'aide de la console

Effectuez l’une des actions suivantes :
- Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/. Dans le volet de navigation, choisissez Network Interfaces. Cochez la case correspondant à l’interface réseau.
- Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/. Dans le panneau de navigation, choisissez Votre VPCs. Coche cochez bebez. VPC
- Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/. Dans le panneau de navigation, choisissez Subnets (Sous-réseaux). Cochez la case correspondant au sous-réseau.
Choisissez Actions, Create flow log (Créer le journal de flux).
Pour Filter (Filtrer), spécifiez le type de données de trafic IP à journaliser.
- Accept (Accepter) : journalise uniquement le trafic accepté.
- Reject (Rejeter) : journalise uniquement le trafic rejeté.
- All (Tout) : journalise le trafic accepté et rejeté.
Pour Maximum aggregation interval ((Intervalle d'agrégation maximal), choisissez la période maximale pendant laquelle un flux est capturé et agrégé dans un enregistrement de journal de flux.
Pour Destination, choisissez (Send to an Amazon S3 bucket)Envoyer vers un compartiment Amazon S3.
Pour S3 bucket (Nom de compartiment S3ARN)ARN, indiquez le nom de ressource Amazon S3 existant. Vous pouvez éventuellement inclure un sous-dossier. Par exemple, pour spécifier un sous-dossier nommé my-logs dans un compartiment nommémy-bucket, utilisez ce qui suit : ARN

arn:aws:s3:::my-bucket/my-logs/

Le compartiment ne peut pas utiliser AWSLogs comme nom de sous-dossier, car il s'agit d'un terme réservé.

Si vous êtes le propriétaire du compartiment, nous créons automatiquement une politique de ressource et l'attachons au compartiment. Pour de plus amples informations, veuillez consulter Autorisations du compartiment Amazon S3 pour les journaux de flux.
Pour Log record format (Format d'enregistrement du journal), sélectionnez le format de l'enregistrement du journal de flux.
- Pour utiliser le format de registre de journal de flux par défaut, sélectionnez AWS default format (Format par défaut).
- Pour créer un format personnalisé, choisissez Custom format (Format personnalisé). Pour Log format (Format de journal), choisissez les champs à inclure dans l'enregistrement de journal de flux.
Pour Métadonnées supplémentaires, indiquez si vous souhaitez inclure les métadonnées d'Amazon ECS dans le format du journal.
Pour Format du fichier journal, spécifiez le format du fichier journal.
- Text : texte brut. Il s'agit du format par défaut.
- Parquet : Apache Parquet est un format de données en colonnes. Les requêtes sur les données au format Parquet sont 10 à 100 fois plus rapides que les requêtes sur des données en texte brut. Les données au format Parquet avec compression Gzip occupent 20 % moins d'espace de stockage que le texte brut avec compression Gzip.
(Facultatif) Pour utiliser des préfixes S3 compatibles avec Hive, choisissez Hive-compatible S3 prefix (Préfixe S3 compatible HIVE), Enable. (Activer).
(Facultatif) Pour partitionner vos journaux de flux par heure, choisissez Every 1 hour (60 mins) (Toutes les 1 heure (60 minutes)).
(Facultatif) Pour ajouter une identification au journal de flux, choisissez Add new tag (Ajouter une nouvelle identification) et spécifiez la clé et la valeur de l'identification.
Choisissez Create flow log. (Créer le journal de flux).

Pour créer un journal de flux qui publie vers Amazon S3 à l'aide de l'outil de ligne de commande

Utilisez l’une des commandes suivantes :

create-flow-logs (AWS CLI)
New-EC2FlowLogs (AWS Tools for Windows PowerShell)

L' AWS CLI exemple suivant crée un journal de flux qui capture tout le trafic pour le champ spécifié VPC et distribue les journaux de flux vers le compartiment Amazon S3 spécifié. Le paramètre --log-format spécifie un format personnalisé pour les enregistrements de journal de flux.


aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations pour les fichiers journaux Amazon S3

Afficher les enregistrements de journaux de flux avec Amazon S3