Erstellen eines Flow-Protokolls, das in Amazon Data Firehose veröffentlicht
Sie können Flow-Protokolle für Ihre VPCs, Subnetze oder Netzwerkschnittstellen erstellen.
Voraussetzungen
-
Erstellen Sie einen Ziel-Bereitstellungsstream für Amazon Data Firehose. Verwenden Sie Direct Put als Quelle. Weitere Informationen finden Sie unter Creating an Amazon Data Firehose delivery stream.
-
Wenn Sie Flow-Protokolle in einem anderen Konto veröffentlichen, erstellen Sie die erforderlichen IAM-Rollen, wie unter IAM-Rollen für die kontoübergreifende Bereitstellung beschrieben.
So erstellen Sie ein Flow-Protokolls, das in Amazon Data Firehose veröffentlicht
-
Führen Sie eine der folgenden Aktionen aus:
-
Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/
. Wählen Sie im Navigationsbereich Network Interfaces aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle. -
Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/
. Wählen Sie im Navigationsbereich Your VPCs (Ihre VPCs) aus. Aktivieren Sie das Kontrollkästchen für die VPC. -
Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/
. Wählen Sie im Navigationsbereich Subnets (Subnetze) aus. Aktivieren Sie das Kontrollkästchen für das Subnetz.
-
-
Klicken Sie auf Actions (Aktionen), Create flow log (Flow-Protokoll erstellen).
-
Geben Sie für Filter den Typ des zu protokollierenden Verkehrs an.
-
Accept (Akzeptieren) – Nur akzeptierten Datenverkehr protokollieren
-
Reject (Ablehnen) – Nur abgelehnten Datenverkehr protokollieren
-
All (Alle) – Akzeptierten und abgelehnten Verkehr protokollieren
-
-
Wählen Sie unter Maximum aggregation interval (Maximales Aggregationsintervall) den maximalen Zeitraum aus, in dem ein Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird.
-
Wählen Sie für Destination (Ziel) eine der folgenden Optionen:
-
An Amazon Data Firehose im selben Konto senden – Der Bereitstellungsstream und die zu überwachende Ressource befinden sich im selben Konto.
-
An Amazon Data Firehose in einem anderen Konto senden – Der Bereitstellungsstream und die zu überwachende Ressource befinden sich in unterschiedlichen Konten.
-
-
Wählen Sie für den Stream-Namen von Amazon Data Firehose den Bereitstellungsstream aus, den Sie erstellt haben.
-
[Nur kontoübergreifende Bereitstellung] Wählen Sie für den Servicezugriff eine bestehende IAM-Servicerolle für die kontoübergreifende Bereitstellung aus, die über die Berechtigungen zum Veröffentlichen von Protokollen verfügt, oder wählen Sie Berechtigungen einrichten aus, um die IAM-Konsole zu öffnen und eine Servicerolle zu erstellen.
-
Für Log record format (Datensatzformat protokollieren) geben Sie das Format für den Flow-Protokolldatensatz an.
-
Wenn Sie das Standardformat für Flow-Protokolldatensätze verwenden möchten, wählen Sie AWS default format (-Standardformat).
-
Wenn Sie ein benutzerdefiniertes Format erstellen möchten, wählen Sie Custom format (Benutzerdefiniertes Format). Wählen Sie für Protokollformat die Felder, die im Flow-Protokolldatensatz berücksichtigt werden sollen.
-
-
Wählen Sie unter Zusätzliche Metadaten aus, ob Sie Metadaten von Amazon ECS in das Protokollformat einbeziehen möchten.
-
(Optional) Wählen Sie Tag hinzufügen aus, um Tags auf das Flow-Protokoll anzuwenden.
-
Wählen Sie Create flow log (Flussprotokoll erstellen) aus.
So erstellen Sie ein Flow-Protokoll, das in Amazon Data Firehose veröffentlicht wird, mithilfe der Befehlszeile
Verwenden Sie einen der folgenden Befehle:
-
create-flow-logs (AWS CLI)
-
New-EC2FlowLog (AWS Tools for Windows PowerShell)
Im folgenden Beispiel für die AWS CLI wird ein Flow-Protokoll erstellt, das den gesamten Datenverkehr für die genannte VPC erfasst und die Flow-Protokolle in einem Bereitstellungsstream für Amazon Data Firehose im selben Konto bereitstellt.
aws ec2 create-flow-logs --traffic-type ALL \ --resource-typeVPC\ --resource-idsvpc-00112233344556677\ --log-destination-typekinesis-data-firehose\ --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
Im folgenden Beispiel für die AWS CLI wird ein Flow-Protokoll erstellt, das den gesamten Datenverkehr für die genannte VPC erfasst und die Flow-Protokolle in einem Bereitstellungsstream für Amazon Data Firehose in einem anderen Konto bereitstellt.
aws ec2 create-flow-logs --traffic-type ALL \ --resource-typeVPC\ --resource-idsvpc-00112233344556677\ --log-destination-typekinesis-data-firehose\ --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream\ --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole\ --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
Nach der Erstellung des Flow-Protokolls können Sie die Flow-Protokolldaten von dem Ziel abrufen, das Sie für den Bereitstellungsstream konfiguriert haben.
