CloudWatch Logs に発行するフローログの作成 - Amazon Virtual Private Cloud

CloudWatch Logs に発行するフローログの作成

VPCs、サブネット、またはネットワークインターフェイスのフローログを作成できます。これらのステップを IAM ロールを使用するユーザーとして実行する場合は、そのロールが iam:PassRole アクションを使用するアクセス許可があることを確認してください。

前提条件

リクエストを作成するために使用している IAM プリンシパルに iam:PassRole を呼び出すアクセス許可があることを確認してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }
コンソールを使用してフローログを作成するには
  1. 次のいずれかを行います。

  2. [アクション][フローログの作成] を選択します。

  3. [Filter] (フィルター) で、ログに記録するトラフィックの種類を指定します。承認および拒否されたトラフィックを記録するには [All] (すべて)、拒否されたトラフィックだけをログ記録するには [Reject] (拒否)、承認されたトラフィックだけをログ記録するには [Accept] (承認) を選択します。

  4. [Maximum aggregation interval] で、フローがキャプチャされ、1 つのフローログレコードに集約される最大期間を選択します。

  5. [送信先] で、[Send to CloudWatch Logs (CloudWatch ログへの送信)] を選択します。

  6. [送信先ロググループ] には、既存のロググループの名前を選択するか、新しいロググループの名前を入力します。名前を入力すると、記録するトラフィックがある場合にロググループが作成されます。

  7. [IAM ロール] で、ログを CloudWatch Logs に発行できるアクセス許可があるロールの名前を指定します。

  8. [Lログレコードの形式] で、フローログレコードの形式を選択します。

    • デフォルトの形式を使用するには、[AWS のデフォルト形式] を選択します。

    • カスタム形式を使用するには、[カスタム形式] を選択し、[ログ形式] からフィールドを選択します。

  9. [追加のメタデータ]で、Amazon ECS からのメタデータをログ形式に含めるかどうかを選択します。

  10. (オプション) フローログにタグを適用するには、[新規タグを追加] を選択します。

  11. [フローログの作成] を選択します。

コマンドラインを使用してフローログを作成するには

以下のいずれかのコマンドを使用します。

次の AWS CLI の例では、指定したサブネットの許可されたすべてのトラフィックをキャプチャするフローログが作成されます。フローログは、指定されたロググループに配信されます。--deliver-logs-permission-arn パラメータは、CloudWatch Logs への発行に必要な IAM ロールを指定します。

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs