CloudWatch Logs に発行するフローログの作成
VPCs、サブネット、またはネットワークインターフェイスのフローログを作成できます。これらのステップを IAM ロールを使用するユーザーとして実行する場合は、そのロールが iam:PassRole
アクションを使用するアクセス許可があることを確認してください。
前提条件
リクエストを作成するために使用している IAM プリンシパルに iam:PassRole
を呼び出すアクセス許可があることを確認してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::
account-id
:role/flow-log-role-name
" } ] }
コンソールを使用してフローログを作成するには
-
次のいずれかを行います。
-
Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/
) を開きます。ナビゲーションペインで、[Network Interfaces] を選択します。ネットワークインターフェイスのチェックボックスをオンにします。 -
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。ナビゲーションペインで、[Your VPCs(お使いの VPC)] を選択します。VPC のチェックボックスをオンにします。 -
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。ナビゲーションペインで、[Subnets(サブネット)] を選択します。サブネットのチェックボックスをオンにします。
-
-
[アクション]、[フローログの作成] を選択します。
-
[Filter] (フィルター) で、ログに記録するトラフィックの種類を指定します。承認および拒否されたトラフィックを記録するには [All] (すべて)、拒否されたトラフィックだけをログ記録するには [Reject] (拒否)、承認されたトラフィックだけをログ記録するには [Accept] (承認) を選択します。
-
[Maximum aggregation interval] で、フローがキャプチャされ、1 つのフローログレコードに集約される最大期間を選択します。
-
[送信先] で、[Send to CloudWatch Logs (CloudWatch ログへの送信)] を選択します。
-
[送信先ロググループ] には、既存のロググループの名前を選択するか、新しいロググループの名前を入力します。名前を入力すると、記録するトラフィックがある場合にロググループが作成されます。
-
[IAM ロール] で、ログを CloudWatch Logs に発行できるアクセス許可があるロールの名前を指定します。
-
[Lログレコードの形式] で、フローログレコードの形式を選択します。
-
デフォルトの形式を使用するには、[AWS のデフォルト形式] を選択します。
-
カスタム形式を使用するには、[カスタム形式] を選択し、[ログ形式] からフィールドを選択します。
-
-
[追加のメタデータ]で、Amazon ECS からのメタデータをログ形式に含めるかどうかを選択します。
-
(オプション) フローログにタグを適用するには、[新規タグを追加] を選択します。
-
[フローログの作成] を選択します。
コマンドラインを使用してフローログを作成するには
以下のいずれかのコマンドを使用します。
-
create-flow-logs (AWS CLI)
-
New-EC2FlowLogs (AWS Tools for Windows PowerShell)
次の AWS CLI の例では、指定したサブネットの許可されたすべてのトラフィックをキャプチャするフローログが作成されます。フローログは、指定されたロググループに配信されます。--deliver-logs-permission-arn
パラメータは、CloudWatch Logs への発行に必要な IAM ロールを指定します。
aws ec2 create-flow-logs --resource-type
Subnet
--resource-idssubnet-1a2b3c4d
--traffic-type ACCEPT --log-group-namemy-flow-logs
--deliver-logs-permission-arn arn:aws:iam::123456789101
:role/publishFlowLogs