Membuat log alur yang menerbitkan ke CloudWatch Log

Anda dapat membuat log alur untukVPCs, subnet, atau antarmuka jaringan. Jika Anda melakukan langkah-langkah ini sebagai pengguna menggunakan IAM peran tertentu, pastikan bahwa peran tersebut memiliki izin untuk menggunakan iam:PassRole tindakan tersebut.

Prasyarat

Verifikasi bahwa IAM prinsipal yang Anda gunakan untuk membuat permintaan memiliki izin untuk memanggil iam:PassRole tindakan.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:PassRole"],
      "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
    }
  ]
}

Untuk membuat log alur menggunakan konsol

Lakukan salah satu hal berikut ini:
- Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/. Di panel navigasi, pilih Antarmuka Jaringan. Pilih kotak centang untuk antarmuka jaringan.
- Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/. Di panel navigasi, pilih Anda VPCs. Pilih kotak centang untuk file. VPC
- Buka VPC konsol Amazon di https://console.aws.amazon.com/vpc/. Di panel navigasi, pilih Pengguna. Pilih kotak centang untuk subnet.
Pilih Tindakan, Buat log alur.
Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.
Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan dikumpulkan ke dalam satu catatan log alur.
Untuk Tujuan, pilih Kirim ke CloudWatch Log.
Untuk grup log Tujuan, pilih nama grup log yang ada atau masukkan nama grup log baru. Jika Anda memasukkan nama, kami membuat grup log ketika ada lalu lintas untuk log.
Untuk IAMperan, tentukan nama peran yang memiliki izin untuk menerbitkan log ke CloudWatch Log.
Untuk Format catatan log, pilih format untuk catatan log alur.
- Untuk menggunakan format default, pilih format default AWS .
- Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.
Untuk metadata tambahan, pilih jika Anda ingin menyertakan metadata dari ECS Amazon dalam format log.
(Opsional) Pilih Tambahkan tag baru untuk menerapkan tag ke log alur.
Pilih Buat log alur.

Untuk membuat log alur menggunakan baris perintah

Gunakan salah satu perintah berikut ini.

create-flow-logs (AWS CLI)
New-EC2FlowLogs (AWS Tools for Windows PowerShell)

AWS CLI Contoh berikut membuat log alur yang menangkap semua lalu lintas yang diterima untuk subnet yang ditentukan. Log alur dikirim ke grup log tertentu. --deliver-logs-permission-arnParameter menentukan IAM peran yang diperlukan untuk mempublikasikan ke CloudWatch Log.


aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IAMperan untuk menerbitkan log alur ke CloudWatch Log

Melihat catatan log alur dengan CloudWatch Log