本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
流量日誌可以將流量日誌資料直接發佈到 Amazon CloudWatch。
發佈至 CloudWatch Logs 時,流量日誌資料會發佈至日誌群組,該日誌群組中每個傳輸閘道具有唯一日誌串流。日誌串流包含流量日誌記錄。您可以建立多個流量日誌,將資料發佈至相同的日誌群組。若相同日誌群組中的一或多個流量日誌內存在相同的傳輸閘道,它便會擁有一個合併日誌串流。若您指定其中一個流量日誌應擷取拒絕流量,並且指定其他流量日誌應擷取接受流量,則合併日誌串流便會擷取所有流量。
當您將流量日誌發佈到 CloudWatch Logs 時,會套用付費日誌的資料擷取和存檔費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價
在 CloudWatch Logs 中,timestamp 欄位對應到流量日誌記錄中擷取的開始時間。ingestionTime 欄位提供 CloudWatch Logs 收到流量日誌記錄的日期和時間。該時間戳記晚於流量日誌記錄中擷取的結束時間。
如需 CloudWatch Logs 的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的傳送至 CloudWatch Logs 的日誌。
用於將流量日誌發佈至 CloudWatch Logs 的 IAM 角色
與您流量日誌關聯的 IAM 角色必須具有足夠的許可,將流量日誌發佈到 CloudWatch Logs 中指定的日誌群組。IAM 角色必須屬於您的 AWS 帳戶。
與您 IAM 角色連線的 IAM 政策必須包含至少下列任一許可:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
} 同時確認您的角色具有允許流量日誌服務擔任角色的信任關係。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
} 建議您使用 aws:SourceAccount 和 aws:SourceArn 條件金鑰,保護自己免受混淆代理人問題的困擾。例如,您可以將下列條件區塊新增至先前的信任政策。來源帳戶是流量日誌的擁有者,且來源 ARN 是流量日誌 ARN。如果您不清楚流量日誌 ID,您可以使用萬用字元 (*) 取代該部分的 ARN,然後在建立流量日誌之後更新政策。
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}IAM 使用者傳遞角色的許可
使用者也必須具備許可,能使用與此流量日誌相關聯之 IAM 角色的 iam:PassRole 動作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["iam:PassRole"],
"Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
}
]
}