Criar um log de fluxo que publique no CloudWatch Logs - Amazon Virtual Private Cloud

Criar um log de fluxo que publique no CloudWatch Logs

É possível criar logs de fluxos para suas VPCs, sub-redes ou interfaces de rede. Caso execute essas etapas como um usuário usando um perfil do IAM específico, verifique se o perfil tem permissões para usar a ação iam:PassRole.

Pré-requisito

Verifique se a entidade principal do IAM que você está usando para fazer a solicitação tem permissões para chamar a ação iam:PassRole.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }
Para criar um log de fluxo usando o console
  1. Execute um destes procedimentos:

  2. Selecione Ações, Criar log de fluxo.

  3. Em Filter (Filtrar), especifique o tipo de tráfego a ser registrado em log. Selecione All (Todos) para registrar em log o tráfego aceito e rejeitado, Rejected (Rejeitado) para registrar somente o tráfego rejeitado ou Accepted (Aceito) para registrar somente o tráfego aceito.

  4. Em Maximum aggregation interval (Intervalo máximo de agregação), escolha o período máximo durante o qual um fluxo é capturado e agregado em um registro de log de fluxo.

  5. Para Destination (Destino), escolha Send to CloudWatch Logs (Enviar para o CloudWatch Logs).

  6. Em Grupo de logs de destino, escolha o nome de um grupo de logs existente ou insira o nome de um novo grupo de logs. Se você inserir um nome, criaremos o grupo de registros quando houver tráfego para registrar em log.

  7. Para o Acesso ao serviço, escolha um perfil de serviço do IAM existente que tenha permissões para publicar logs no CloudWatch Logs ou escolha criar um novo perfil de serviço.

  8. Em Formato de registro do log , selecione o formato para o registro de log de fluxo.

    • Para usar o formato padrão, escolha AWS Formato padrão.

    • Para usar um formato personalizado, escolha Formato personalizado e, em seguida, selecione os campos de Formato de log.

  9. Para Metadados adicionais, escolha se quer incluir metadados do Amazon ECS no formato de log.

  10. (Opcional) Selecione Adicionar nova tag para aplicar tags ao log de fluxo.

  11. Selecione Criar log de fluxo.

Como criar um log de fluxo usando a linha de comando

Use um dos seguintes comandos.

O exemplo de AWS CLI a seguir cria um log de fluxo que captura todo o tráfego aceito para a sub-rede especificada. Os logs de fluxo são entregues ao grupo de logs especificado. O parâmetro --deliver-logs-permission-arn especifica o perfil do IAM necessário para publicar no CloudWatch Logs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs