Creazione di un log di flusso che pubblica in Amazon S3

Dopo aver creato e configurato il bucket Amazon S3, puoi creare log di flusso per interfacce di rete, sottoreti e. VPCs

Prerequisito

Il principale IAM che crea il log di flusso deve utilizzare un ruolo IAM con le seguenti autorizzazioni, necessarie per pubblicare log di flusso nel bucket Amazon S3 di destinazione.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:DeleteLogDelivery"
      ],
      "Resource": "*"
    }
  ]
}

Creazione di un flusso di log tramite la console

Esegui una di queste operazioni:
- Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/. Nel riquadro di navigazione, selezionare Network Interfaces (Interfacce di rete). Seleziona la casella di controllo relativa all'interfaccia di rete.
- Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/. Nel riquadro di navigazione, scegli Your VPCs. Selezionare la casella di controllo relativa al VPC.
- Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/. Nel pannello di navigazione, scegli Subnets (Sottoreti). Seleziona la casella di controllo della sottorete.
Scegli Actions (Operazioni), Create flow log (Crea flusso di log).
Per Filter (Filtro), specificare il tipo di dati di traffico IP di cui eseguire il log.
- Accetta: registra solo il traffico accettato.
- Rifiuta: registra solo il traffico rifiutato.
- All (Tutto): esegui il log sia del traffico accettato che di quello rifiutato.
Per Maximum aggregation interval (Intervallo di aggregazione massimo), scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso.
Per Destinazione, scegli Invia a un bucket Amazon S3.
Per S3 bucket ARN (ARN bucket S3), specificare il nome della risorsa Amazon (ARN) di un bucket Amazon S3 esistente. Puoi anche includere una sottocartella. Ad esempio, per specificare una sottocartella denominata my-logs in un bucket denominato my-bucket, utilizzare il seguente ARN:

arn:aws:s3:::my-bucket/my-logs/

Il bucket non può utilizzare AWSLogs come nome di sottocartella, in quanto si tratta di un termine riservato.

Se si è il proprietario del bucket, noi creiamo automaticamente una policy delle risorse e la colleghiamo al bucket. Per ulteriori informazioni, consulta Autorizzazioni dei bucket Amazon S3 per log di flusso.
Per Log record format (Formato registro di log), seleziona il formato per il registro del flusso di log.
- Per utilizzare il formato di record di log di flusso predefinito, seleziona Formato predefinito AWS .
- Per creare un formato personalizzato, scegliere Custom format (Formato personalizzato). Per Log format (Formato log), scegliere i campi da includere nel record di log di flusso.
Per Metadati aggiuntivi, seleziona se desideri includere i metadati di Amazon ECS nel formato di log.
Per Log file format (Formato dei file di log), specifica il formato per il file di log.
- Text: Testo normale. Questo è il formato predefinito.
- Parquet: Apache Parquet è un formato dati colonnare. Le query sui dati in formato Parquet sono da 10 a 100 volte più veloci, rispetto alle query sui dati in testo normale. I dati in formato Parquet con compressione Gzip occupano il 20% di spazio di archiviazione in meno, rispetto al testo normale con compressione Gzip.
(Facoltativo) Per utilizzare prefissi S3 compatibili con Hive, scegli Hive-compatible S3 prefix (Prefisso S3 compatibile con Hive),Enable (Abilita).
(Facoltativo) Per partizionare i flussi di log per ora, scegli Every 1 hour (60 mins) Ogni ora (60 minuti).
(Facoltativo) Per aggiungere un tag al flusso di log, scegli Add new tag (Aggiungi nuovo tag) e specifica la chiave e il valore del tag.
Selezionare Create flow log (Crea log di flusso).

Per creare un log di flusso da pubblicare su Amazon S3 utilizzando la riga di comando

Utilizzare uno dei seguenti comandi:

create-flow-logs (AWS CLI)
New-EC2FlowLog (AWS Tools for Windows PowerShell)

L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e consegna i log di flusso al bucket Amazon S3 specificato. Il parametro --log-format specifica un formato personalizzato per i record di log di flusso.


aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni del file di log Amazon S3

Visualizzazione dei record dei log di flusso con Amazon S3