建立發佈至 CloudWatch Logs 的流程日誌

您可以為 VPCs、子網路或網路介面建立流程日誌。如果您以使用者身分使用特定 IAM 角色執行這些步驟，請確定該角色具有使用該iam:PassRole動作的許可。

先決條件

確認您用來發出請求的 IAM 主體具有呼叫iam:PassRole動作的許可。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["iam:PassRole"],
      "Resource": "arn:aws:iam::account-id:role/flow-log-role-name"
    }
  ]
}

使用主控台建立流程日誌

執行以下任意一項：
- 在 EC2 開啟 Amazon https://console.aws.amazon.com/ec2/ 主控台。在導覽窗格中，選擇 Network Interfaces (網路介面)。選取網路介面的核取方塊。
- 在 VPC 開啟 Amazon https://console.aws.amazon.com/vpc/ 主控台。在導覽窗格中，選擇您的 VPCs。選取 VPC 的核取方塊。
- 在 VPC 開啟 Amazon https://console.aws.amazon.com/vpc/ 主控台。在導覽窗格中，選擇 Subnets (子網)。選取子網路的核取方塊。
選擇 Actions (動作)、Create flow log (建立流量日誌)。
對於 Filter (篩選條件)，請指定要記錄的流量類型。選擇 All (全部) 以記錄已接受和已拒絕的流量，選擇 Reject (拒絕) 以記錄僅拒絕的流量，或選擇 Accept (接受) 以記錄僅接受的流量。
針對 Maximum aggregation interval (最大彙總時間間隔)，選擇擷取流量並彙總至一個流量日誌記錄的最長期間。
針對目的地，選擇傳送至 CloudWatch 日誌。
針對目的地日誌群組，選擇現有日誌群組的名稱，或輸入新日誌群組的名稱。如果您輸入名稱，我們會在有流量要記錄時建立日誌群組。
針對 IAM 角色，指定具有將日誌發佈至 CloudWatch Logs 之許可的角色名稱。
對於 Log record format (日誌記錄格式)，請選取流量日誌記錄的格式。
- 若要使用預設格式，請選擇 AWS default format ( 預設格式)。
- 若要使用自訂格式，請選擇 Custom format (自訂格式)，然後從 Log format (日誌格式) 選取欄位。
對於其他中繼資料，如果您想要以日誌格式包含來自 Amazon ECS 的中繼資料，請選取。
(選用) 選擇 Add new tag (新增標籤) 將標籤套用至流量日誌。
選擇 Create flow log (建立流量日誌)。

使用命令列建立流量日誌

請使用下列其中一個命令。

create-flow-logs (AWS CLI)
New-EC2FlowLogs (AWS Tools for Windows PowerShell)

下列 AWS CLI 範例會建立流程日誌，以擷取指定子網路的所有已接受流量。流程日誌會交付至指定的日誌群組。--deliver-logs-permission-arn 參數會指定發佈至IAM Logs 所需的 CloudWatch 角色。


aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

將流程日誌發佈至Word Logs 的 CloudWatch IAM角色

使用 CloudWatch Logs 檢視流程日誌記錄