本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
流日志可以将流日志数据直接发布到 Amazon CloudWatch。
发布到 CloudWatch 日志后,流日志数据将发布到日志组,并且每个传输网关在日志组中都有唯一的日志流。日志流包含流日志记录。您可以创建将数据发布到相同日志组的多个流日志。如果同一中转网关存在于同一日志组中的一个或多个流日志中,则它具有一个组合日志流。如果您指定了一个流日志应该捕获已拒绝流量,而另一个流日志应该捕获已接受流量,则组合日志流会捕获所有流量。
将流日志发布到 Logs 时,会收取已售日志的数据摄取和存档费用。 CloudWatch 有关更多信息,请参阅 Amazon CloudWatch 定价
在 CloudWatch 日志中,时间戳字段对应于流日志记录中捕获的开始时间。Ingesti onTime 字段提供日志收到流日志记录的日期和时间。 CloudWatch 此时间戳晚于在流日志记录中捕获的结束时间。
有关 CloudWatch 日志的更多信息,请参阅 Amazon CloudWatch 日志用户指南中的发送到 CloudWatch 日志的日志。
用于将流日志发布到 CloudWatch 日志的 IAM 角色
与您的流日志关联的 IAM 角色必须具有足够的权限才能将流日志发布到日志中的指定 CloudWatch 日志组。IAM 角色必须属于您的 AWS 账户。
附加到您的 IAM 角色的 IAM policy 必须至少包括以下权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
} 另请确保您的角色具有信任关系,以允许流日志服务代入该角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} 建议您使用 aws:SourceAccount 和 aws:SourceArn 条件键来防止出现混淆代理人问题。例如,您可以将以下条件块添加到以前的信任策略。源帐户是流日志的所有者,并且源 ARN 是流日志 ARN。如果您不知道流日志 ID,则可以用通配符(*)替换 ARN 的该部分,然后在创建流日志后更新策略。
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}IAM 用户传递角色的权限
用户还必须有权对与流日志关联的 IAM 角色使用 iam:PassRole 操作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
}
]
}