Amazon CloudWatch Logs に発行する Transit Gateway フローログレコードを作成する
Transit Gateway のフローログを作成できます。これらのステップを IAM ユーザーとして実行する場合は、iam:PassRole アクションを使用するアクセス許可があることを確認してください。詳細については、「IAM ユーザーがロールを渡すためのアクセス許可」を参照してください。
Amazon VPC コンソールまたは AWS CLI を使用して、Amazon CloudWatch フローログを作成できます。
コンソールを使用して Transit Gateway フローログを作成するには
AWS Management Console にサインインして、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[Transit Gateway] を選択します。
-
1 つまたは複数の Transit Gateway のチェックボックスを選択し、[アクション]、[フローログの作成] の順に選択します。
-
[送信先] で、[CloudWatch ログへの送信] を選択します。
-
[送信先ロググループ] で、現在の送信先ロググループの名前を選択します。
注記
送信先ロググループがまだ存在しない場合は、このフィールドに新しい名前を入力すると、新しい送信先ロググループが作成されます。
-
[IAM ロール] で、ログを CloudWatch Logs に発行できるアクセス許可があるロールの名前を指定します。
-
[Lログレコードの形式] で、フローログレコードの形式を選択します。
-
デフォルトの形式を使用するには、[AWS のデフォルト形式] を選択します。
-
カスタム形式を使用するには、[カスタム形式] を選択し、[ログ形式] からフィールドを選択します。
-
-
(オプション) フローログにタグを適用するには、[新規タグを追加] を選択します。
-
[フローログの作成] を選択します。
コマンドラインを使用してフローログを作成するには
以下のいずれかのコマンドを使用します。
-
create-flow-logs (AWS CLI)
-
New-EC2FlowLogs (AWS Tools for Windows PowerShell)
-
CreateFlowLogs (Amazon EC2 Query API)
次の AWS CLI の例では、Transit Gateway 情報をキャプチャするフローログを作成します。フローログは、IAM ロール my-flow-logs を使用し、アカウント 123456789101 内で、publishFlowLogs と呼ばれる CloudWatch Logs 内のロググループに配信されます。
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
