Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Log aliran dapat mempublikasikan data log aliran langsung ke Amazon CloudWatch.
Saat dipublikasikan ke CloudWatch Log, data log aliran dipublikasikan ke grup log, dan setiap gateway transit memiliki aliran log unik di grup log. Pengaliran log berisi catatan log alur. Anda dapat membuat beberapa log alur yang menerbitkan data ke grup log yang sama. Jika gateway transit yang sama hadir dalam satu atau lebih log aliran dalam grup log yang sama, ia memiliki satu aliran log gabungan. Jika Anda telah menetapkan bahwa satu log alur harus menangkap lalu lintas yang ditolak, dan log alur lainnya harus menangkap lalu lintas yang diterima, maka pengaliran log gabungan menangkap semua lalu lintas.
Biaya konsumsi data dan arsip untuk log penjual berlaku saat Anda mempublikasikan log aliran ke Log. CloudWatch Untuk informasi selengkapnya, lihat CloudWatch Harga Amazon
Di CloudWatch Log, bidang stempel waktu sesuai dengan waktu mulai yang ditangkap dalam catatan log aliran. Bidang IngestionTime menyediakan tanggal dan waktu ketika catatan log aliran diterima oleh Log. CloudWatch Stempel waktu lebih lambat dari waktu akhir yang ditangkap dalam catatan log aliran.
Untuk informasi selengkapnya tentang CloudWatch Log, lihat Log yang dikirim ke CloudWatch Log di Panduan Pengguna CloudWatch Log Amazon.
Daftar Isi
Peran IAM untuk menerbitkan log alur ke CloudWatch Log
Peran IAM yang terkait dengan log alur Anda harus memiliki izin yang cukup untuk mempublikasikan log aliran ke grup log yang ditentukan di CloudWatch Log. Peran IAM harus menjadi milik Anda Akun AWS.
Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
} Juga memastikan bahwa peran Anda memiliki hubungan kepercayaan yang memungkinkan layanan log alur untuk menjalankan peran.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} Kami menyarankan Anda menggunakan kunci syarat aws:SourceAccount dan aws:SourceArn untuk melindungi diri Anda dari masalah wakil yang membingungkan. Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN log aliran. Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian ARN tersebut dengan wildcard (*) dan kemudian memperbarui kebijakan setelah Anda membuat log alur.
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}Izin bagi pengguna IAM untuk meneruskan peran
Pengguna juga harus memiliki izin untuk menggunakan tindakan iam:PassRole untuk IAM role yang terkait dengan log alur.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
}
]
}