创建发布到 CloudWatch Logs 的流日志
您可以为 VPC、子网或网络接口创建流日志。如果以使用特定 IAM 角色的用户身份执行这些步骤,请确保该角色具有使用 iam:PassRole 操作的权限。
先决条件
验证用于发出请求的 IAM 主体是否具有调用 iam:PassRole 操作的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }
使用控制台创建流日志
-
请执行以下操作之一:
-
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2/
。在导航窗格中,选择网络接口。选中该网络接口的复选框。 -
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。在导航窗格中,选择 Your VPCs(您的 VPC)。选中该 VPC 的复选框。 -
通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/
。在导航窗格中,选择 Subnets(子网)。选中子网的复选框。
-
-
选择 Actions(操作)、Create flow log(创建流日志)。
-
对于Filter(筛选条件),指定要记录的流量的类型。选择All(全部)将记录接受和拒绝的流量,选择 Reject(拒绝)将仅记录被拒绝的流量,选择 Accept(接受)将仅记录接受的流量。
-
对于 Maximum aggregation interval(最大聚合时间间隔),选择捕获流并聚合到一个流日志记录中的最大时间段。
-
对于Destination(目的地),选择发送到 CloudWatch Logs。
-
对于目标日志组,选择现有日志组名称或输入新日志组名称。如果您输入名称,我们会在需要记录流量时创建日志组。
-
对于 IAM role(IAM 角色),指定有权将日志发布到 CloudWatch Logs 的角色的名称。
-
对于Log record format(日志记录格式),选定流日志记录的格式。
-
要使用默认格式,请选择AWSdefault format(亚马逊云科技默认格式)。
-
要使用自定义格式,请选择Custom format(自定义格式)然后从Log format(日志格式)选择字段。
-
-
对于其他元数据,选择是否要以日志格式包含来自 Amazon ECS 的元数据。
-
(可选)选择Add new tag(添加新标签)以将标签应用于流日志。
-
选择 Create flow log(创建流日志)。
以下 AWS CLI 示例将创建流日志,该日志将捕获指定子网的所有已接受流量。流日志将传输到指定的日志组。--deliver-logs-permission-arn 参数指定发布到 CloudWatch Logs 所需的 IAM 角色。
aws ec2 create-flow-logs --resource-typeSubnet--resource-idssubnet-1a2b3c4d--traffic-type ACCEPT --log-group-namemy-flow-logs--deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
