Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Protokollieren von IP-Datenverkehr mit VPC Flow Logs
<a name="flow-logs"></a>

VPC Flow Logs ist ein Feature, mit der Sie Informationen über den IP-Datenverkehr zu und von Netzwerkschnittstellen in Ihrer VPC erfassen können. Flow-Protokolldaten können an den folgenden Speicherorten veröffentlicht werden: Amazon CloudWatch Logs, Amazon S3 oder Amazon Data Firehose. Der konfigurierte Lieferpfad und die Berechtigungen, die das Senden von Netzwerkdatenverkehrsprotokollen an ein Ziel wie CloudWatch Logs oder S3 ermöglichen, werden als *Abonnements* bezeichnet. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die Flow-Protokolldatensätze in der von Ihnen konfigurierten Protokollgruppe, dem Bucket oder dem Bereitstellungsstream abrufen und anzeigen.

Mit Flow-Protokollen können Sie eine Reihe von Aufgaben ausführen, z. B.:
+ Diagnose übermäßig restriktiver Sicherheitsgruppenregeln
+ Überwachen des Datenverkehrs, der auf Ihrer Instance eintrifft
+ Ermitteln der Richtung des Datenverkehrs zu und von den Netzwerkschnittstellen

Flow-Potokolldaten werden außerhalb des Pfades des Netzwerkdatenverkehrs erfasst und wirken sich daher nicht auf den Netzwerkdurchsatz oder die Latenz aus. Sie können Flow-Protokolle erstellen oder löschen, ohne dass die Netzwerkleistung beeinträchtigt wird.

**Anmerkung**  
In diesem Abschnitt geht es nur um Flow-Logs für VPCs. Informationen zu Flow-Protokollen für Transit-Gateways, die in Version 6 eingeführt wurden, finden Sie unter [Protokollieren des Netzwerkverkehrs mithilfe von Flow-Protokollen für Transit-Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) im *Benutzerhandbuch zu Amazon VPC Transit Gateways*.

**Topics**
+ [Grundlagen zu Flow-Protokollen](flow-logs-basics.md)
+ [Flow-Protokolldatensätze](flow-log-records.md)
+ [Beispiele für Flow-Protokolldatensätze](flow-logs-records-examples.md)
+ [Einschränkungen von Flow-Protokollen](flow-logs-limitations.md)
+ [Preisgestaltung](#flow-logs-pricing)
+ [Arbeiten mit Flow-Protokollen](working-with-flow-logs.md)
+ [Veröffentlichen Sie Flow-Logs in CloudWatch Logs](flow-logs-cwl.md)
+ [Veröffentlichen von Flow-Protokollen auf Amazon S3](flow-logs-s3.md)
+ [Veröffentlichen von Flow-Protokollen in Amazon Data Firehose](flow-logs-firehose.md)
+ [Abfragen von Flow-Protokollen mit Amazon Athena](flow-logs-athena.md)
+ [Fehlerbehebung bei VPC Flow Logs](flow-logs-troubleshooting.md)

# Grundlagen zu Flow-Protokollen
<a name="flow-logs-basics"></a>

Sie können Flow-Protokolle für VPCs, Subnetze oder Netzwerkschnittstellen erstellen. Wenn Sie ein Flow-Protokoll für ein Subnetz oder eine VPC erstellen, werden alle Netzwerkschnittstellen innerhalb dieses Subnetzes oder der VPC überwacht. 

Flow-Protokolldaten für eine überwachte Netzwerkschnittstelle werden als *Flow-Protokolldatensätze* aufgezeichnet. Hierbei handelt es sich um Protokollereignisse bestehend aus Feldern, die den Datenfluss beschreiben. Weitere Informationen finden Sie unter [Flow-Protokolldatensätze](flow-log-records.md).

Für die Erstellung eines Flow-Protokolls geben Sie Folgendes an:
+ Die Ressource, für die das Flow-Protokoll erstellt werden soll
+ Den Typ des zu erfassenden Datenverkehrs (zulässiger Datenverkehr, abgelehnter Datenverkehr oder gesamter Datenverkehr)
+ Die Ziele, an die die Flow-Protokolldaten veröffentlicht werden sollen.

Im folgenden Beispiel erstellen Sie ein Flow-Protokoll, das den akzeptierten Datenverkehr für die Netzwerkschnittstelle einer der EC2-Instances in einem privaten Subnetz erfasst und die Flow-Protokollsätze in einem Amazon-S3-Bucket veröffentlicht.

![\[Flow-Protokolle für eine Instance\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/flow-logs-diagram-s3.png)


Im folgenden Beispiel erfasst ein Flow-Protokoll den gesamten Datenverkehr für ein Subnetz und veröffentlicht die Flow-Protokolldatensätze in Amazon CloudWatch Logs. Das Flow-Protokoll erfasst den Datenverkehr für alle Netzwerkschnittstellen im Subnetz.

![\[Flow-Protokolle für ein Subnetz\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/flow-logs-diagram-cw.png)


Nach dem Erstellen eines Flow-Protokolls kann es einige Minuten dauern, bis Daten erfasst und an den gewünschten Zielen veröffentlicht werden. Flow-Protokolle erfassen keine Echtzeitprotokollstreams für Ihre Netzwerkschnittstellen. Weitere Informationen finden Sie unter [2. Erstellen eines Flow-Protokolls](working-with-flow-logs.md#create-flow-log). 

Wenn Sie eine Instance in Ihrem Subnetz starten, nachdem Sie ein Flow-Log für Ihr Subnetz oder Ihre VPC erstellt haben, erstellen wir einen Log-Stream (für CloudWatch Logs) oder ein Protokolldatei-Objekt (für Amazon S3) für die neue Netzwerkschnittstelle, sobald Netzwerkverkehr für die Netzwerkschnittstelle vorhanden ist.

Sie können Flow-Protokolle für Netzwerkschnittstellen erstellen, die von anderen AWS -Services erstellt wurden, z. B.:
+ Elastic Load Balancing
+ Amazon RDS
+ Amazon ElastiCache
+ Amazon Redshift
+ Amazon WorkSpaces
+ NAT-Gateways
+ Transit-Gateways

Unabhängig von der Art der Netzwerkschnittstelle müssen Sie die Amazon EC2-Konsole oder die Amazon EC2-API verwenden, um ein Flow-Protokoll für eine Netzwerkschnittstelle zu erstellen.

Sie können auf Ihre Flow-Protokolle Tags anwenden. Jeder Tag besteht aus einem Schlüssel und einem optionalen Wert, beides können Sie bestimmen. Tags können Ihnen dabei helfen, Ihre Flow-Protokolle zu organisieren, z. B. nach Zweck oder Besitzer.

Wenn Sie ein Flow-Protokoll nicht mehr benötigen, können Sie es löschen. Durch das Löschen eines Flow-Protokolls wird der Flow-Protokoll-Service für die Ressource deaktiviert, so dass keine neuen Flow-Protokollsätze erstellt oder veröffentlicht werden. Durch das Löschen eines Flow-Protokolls werden keine vorhandenen Flow-Protokolldaten gelöscht. Nachdem Sie ein Flow-Protokoll gelöscht haben, können Sie die Flow-Protokolldaten direkt vom Ziel löschen, wenn Sie damit fertig sind. Weitere Informationen finden Sie unter [4. Löschen eines Flow-Protokolls](working-with-flow-logs.md#delete-flow-log).

# Flow-Protokolldatensätze
<a name="flow-log-records"></a>

Ein Flow-Protokolldatensatz repräsentiert einen Netzwerk-Flow in Ihrer VPC. Standardmäßig erfasst jeder Datensatz einen Netzwerk-Internetprotokoll-(IP)-Datenverkehrsfluss (gekennzeichnet durch ein 5-Tupel auf der Basis der einzelnen Netzwerkschnittstellen), der innerhalb eines *Aggregationsintervalls * auftritt, das auch als *Erfassungsfenster* bezeichnet wird.

Jeder Datensatz ist ein String mit durch Leerzeichen getrennten Feldern. Der Datensatz enthält Werte für die verschiedenen Komponenten des IP-Flows, zum Beispiel Quelle, Ziel und Protokoll.

Wenn Sie ein Flow-Protokoll erstellen, können Sie das Standardformat für den Flow-Protokolldatensatz verwenden oder ein benutzerdefiniertes Format angeben.

**Topics**
+ [Aggregationsintervall](#flow-logs-aggregration-interval)
+ [Standardformat](#flow-logs-default)
+ [Benutzerdefiniertes Format](#flow-logs-custom)
+ [Verfügbare Felder](#flow-logs-fields)

## Aggregationsintervall
<a name="flow-logs-aggregration-interval"></a>

Das Aggregationsintervall ist der Zeitraum, in dem ein bestimmter Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird. Standardmäßig beträgt das maximale Aggregationsintervall 10 Minuten. Wenn Sie ein Flow-Protokoll erstellen, können Sie optional ein maximales Aggregationsintervall von 1 Minute angeben. Flow-Protokolle mit einem maximalen Aggregationsintervall von 1 Minute erzeugen ein höheres Volumen an Flow-Protokoll-Datensätzen als Flow-Protokolle mit einem maximalen Aggregationsintervall von 10 Minuten.

Wenn eine Netzwerkschnittstelle einer [Nitro-basierten Instance](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html) zugewiesen ist, beträgt das Aggregationsintervall immer 1 Minute oder weniger, unabhängig vom angegebenen maximalen Aggregationsintervall.

Nachdem Daten innerhalb eines Aggregationsintervalls erfasst wurden, nimmt die Verarbeitung und Veröffentlichung der Daten in CloudWatch Logs oder Amazon S3 zusätzliche Zeit in Anspruch. Der Flow Log-Service übermittelt Protokolle in der Regel in etwa 5 Minuten an CloudWatch Logs und in etwa 10 Minuten an Amazon S3. Die Protokollbereitstellung erfolgt jedoch nach bestem Bemühen, und Ihre Protokolle können über die typische Lieferzeit hinaus verzögert werden.

## Standardformat
<a name="flow-logs-default"></a>

Mit dem Standardformat enthalten die Flow-Protokolldatensätze die Felder der Version 2 in der Reihenfolge, die in der Tabelle [Verfügbare Felder](#flow-logs-fields) angezeigt wird. Das Standardformat kann nicht angepasst oder geändert werden. Um zusätzliche Felder oder eine unterschiedliche Teilmenge an Feldern zu erfassen, müssen Sie stattdessen ein benutzerdefiniertes Format angeben.

## Benutzerdefiniertes Format
<a name="flow-logs-custom"></a>

Mit einem benutzerdefinierten Format geben Sie an, welche Felder in den Flow-Protokolldatensätzen in welcher Reihenfolge enthalten sind. Auf diese Weise können Sie spezifische Flow-Protokolle für Ihre Anforderungen erstellen und Felder auslassen, die nicht relevant sind. Ein benutzerdefiniertes Format kann dazu beitragen, dass weniger separate Prozesse erforderlich sind, um spezifische Informationen aus veröffentlichten Flow-Protokollen zu extrahieren. Sie können eine beliebige Anzahl an verfügbaren Flow-Protokollfeldern angeben, Sie müssen jedoch mindestens eins angeben.

## Verfügbare Felder
<a name="flow-logs-fields"></a>

Die folgende Tabelle beschreibt alle verfügbaren Felder für einen Flow-Protokolldatensatz. In der Spalte **Version** wird die Version des VPC-Flow-Protokolls angegeben, in der das Feld eingeführt wurde. Das Standardformat enthält alle Felder der Version 2 in der Reihenfolge, in der sie in der Tabelle angezeigt werden.

Beim Veröffentlichen von Flow-Protokoll-Daten in Amazon S3 hängt der Datentyp für die Felder vom Flow-Protokoll-Format ab. Wenn das Format reiner Text ist, sind alle Felder vom Typ STRING. Wenn das Format Parquet ist, lesen Sie die Tabelle für die Felddatentypen.

Wenn ein Feld für einen bestimmten Datensatz nicht anwendbar ist oder nicht verarbeitet werden konnte, wird für diesen Eintrag „-“ angezeigt. Metadatenfelder, die nicht direkt aus dem Paket-Header stammen, sind Best-Effort-Annäherungen, und ihre Werte können fehlen oder ungenau sein.


| Feld | Beschreibung | Version | 
| --- | --- | --- | 
|  version  |  Die Version des VPC-Flow-Protokolls. Wenn Sie das Standardformat verwenden, lautet die Version 2. Wenn Sie ein benutzerdefiniertes Format verwenden, ist die Version die höchste Version unter den angegebenen Feldern. Wenn Sie beispielsweise nur Felder aus Version 2 angeben, lautet die Version 2. Wenn Sie eine Mischung aus Feldern aus den Versionen 2, 3 und 4 angeben, lautet die Version 4. **Parquet-Datentyp:** INT\$132  | 2 | 
|  account-id  |  Die AWS Konto-ID des Besitzers der Quellnetzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. Wenn die Netzwerkschnittstelle von einem AWS Dienst erstellt wird, z. B. beim Erstellen eines VPC-Endpunkts oder eines Network Load Balancer, wird der Datensatz möglicherweise unknown für dieses Feld angezeigt. **Parquet-Datentyp: ** STRING  | 2 | 
|  interface-id  |  Die ID der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. Gibt ein „-“ -Symbol für Datenflüsse zurück, die mit einem regionalen NAT-Gateway verknüpft sind. **Parquet-Datentyp: ** STRING  | 2 | 
|  srcaddr  |   Für eingehenden Datenverkehr ist das die IP-Adresse der Datenverkehrsquelle. Für ausgehenden Verkehr ist dies die private IPv4 Adresse oder die IPv6 Adresse der Netzwerkschnittstelle, die den Verkehr sendet. Für ausgehenden Datenverkehr vom regionalen NAT-Gateway ist dies dieselbe Quell-IP-Adresse auf Paketebene wie in. pkt-srcaddr Siehe auch pkt-srcaddr. **Parquet-Datentyp:** SCHNUR  | 2 | 
|  dstaddr  |  Die Zieladresse für ausgehenden Verkehr IPv4 oder die IPv6 Oder-Adresse der Netzwerkschnittstelle für eingehenden Verkehr auf der Netzwerkschnittstelle. Die IPv4 Adresse der Netzwerkschnittstelle ist immer ihre private IPv4 Adresse. Für eingehenden Datenverkehr zum regionalen NAT-Gateway ist dies dieselbe Ziel-IP-Adresse auf Paketebene wie in. pkt-dstaddr Siehe auch pkt-dstaddr. **Parquet-Datentyp:** SCHNUR  | 2 | 
|  srcport  |  Der Quellport des Datenverkehrs **Parquet-Datentyp:** INT\$132  | 2 | 
|  dstport  |  Der Zielport des Datenverkehrs **Parquet-Datentyp: ** INT\$132  | 2 | 
|  protocol  |  Die IANA-Protokollnummer des Datenverkehrs. Weitere Informationen finden Sie unter [Zugewiesene IP-Nummern](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Parquet-Datentyp:** INT\$132  | 2 | 
|  packets  |  Die Anzahl der Pakete, die während des Flows übertragen wurden **Parquet-Datentyp:** INT\$164  | 2 | 
|  bytes  |  Die Anzahl der Bytes, die während des Flows übertragen wurden **Parquet-Datentyp: ** INT\$164  | 2 | 
|  start  |  Die Zeit, in Unix-Sekunden, in der das erste Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf der Netzwerkschnittstelle übertragen oder empfangen wurde. **Parquet-Datentyp:** INT\$164  | 2 | 
|  end  |  Die Zeit, in Unix-Sekunden, in der das letzte Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf der Netzwerkschnittstelle übertragen oder empfangen wurde. **Parquet-Datentyp:** INT\$164  | 2 | 
|  action  |  Die mit dem Datenverkehr verknüpfte Aktion: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/flow-log-records.html) **Parquet-Datentyp: ** STRING  | 2 | 
|  log-status  |  Der Protokollstatus des Flow-Protokolls: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/flow-log-records.html) **Parquet-Datentyp: ** STRING  | 2 | 
|  vpc-id  |  Die ID der VPC mit der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. **Parquet-Datentyp:** SCHNUR  | 3 | 
|  subnet-id  |  Die ID des Subnetzes mit der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. Gibt ein „-“ -Symbol für Flows zurück, die mit dem regionalen NAT-Gateway verknüpft sind. **Parquet-Datentyp:** STRING  | 3 | 
|  instance-id  |  Die ID der Instance, die mit der Netzwerkschnittstelle verbunden ist, für die der Datenverkehr aufgezeichnet wird, sofern die Instance Ihnen gehört. Gibt das Symbol '-' für eine [vom Anforderer verwaltete Netzwerkschnittstelle](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html) zurück, wie beispielsweise die Netzwerkschnittstelle für ein NAT-Gateway. **Parquet-Datentyp:** SCHNUR  | 3 | 
|  tcp-flags  | Der Bitmasken-Wert für die folgenden TCP-Flags:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/flow-log-records.html)Wenn keine unterstützten Flags aufgezeichnet werden, ist der TCP-Flag-Wert 0. Da tcp-flags beispielsweise die Protokollierung von ACK- oder PSH-Flags nicht unterstützt, führen Datensätze für Datenverkehr mit diesen nicht unterstützten Flags zu einem tcp-flags-Wert von 0. Wenn jedoch ein nicht unterstütztes Flag von einem unterstützten Flag begleitet wird, geben wir den Wert des unterstützten Flags an. Wenn ACK beispielsweise Teil von SYN-ACK ist, wird 18 angegeben. Und wenn es einen Datensatz wie SYN\$1ECE gibt, ist der TCP-Flaggenwert 2, da SYN ein unterstütztes Flag ist und ECE nicht. Wenn die Flag-Kombination aus irgendeinem Grund ungültig ist und der Wert nicht berechnet werden kann, ist der Wert „-“. Wenn keine Flags gesendet werden, ist der TCP-Flag-Wert 0.TCP-Flags können während des Aggregationsintervalls ODER-verknüpft werden. Für kurze Verbindungen können die Flags in derselben Zeile im Flow-Protokolldatensatz festgelegt werden, wie beispielsweise 19 für SYN-ACK und FIN und 3 für SYN und FIN. Ein Beispiel finden Sie unter [TCP-Flag-Sequenz](flow-logs-records-examples.md#flow-log-example-tcp-flag).Allgemeine Informationen zu TCP-Flags (z. B. die Bedeutung von Flags wie FIN, SYN und ACK) finden Sie unter [TCP-Segmentstruktur](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) auf Wikipedia.**Parquet-Datentyp:** INT\$132 | 3 | 
|  type  |  Der Typ des Datenverkehrs. Die möglichen Werte sind: IPv4 \$1 IPv6 \$1 EFA. Weitere Informationen finden Sie unter [Elastic Fabric Adapter](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html). **Parquet-Datentyp:** STRING  | 3 | 
|  pkt-srcaddr  |  Die (ursprüngliche) Quell-IP-Adresse des Datenverkehrs auf Paketebene. Verwenden Sie dieses Feld mit dem Feld srcaddr, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs zu unterscheiden. Beispiel: Wenn Datenverkehr durch [eine Netzwerkschnittstelle für ein NAT-Gateway](flow-logs-records-examples.md#flow-log-example-nat) fließt oder wenn die IP-Adresse eines Pods in Amazon EKS von der IP-Adresse der Netzwerkschnittstelle des Instance-Knotens abweicht, auf dem der Pod (für die Kommunikation innerhalb der VPC) ausgeführt wird. **Parquet-Datentyp:** SCHNUR  | 3 | 
|  pkt-dstaddr  |  Die (ursprüngliche) Ziel-IP-Adresse für den Datenverkehr auf Paketebene. Verwenden Sie dieses Feld mit dem Feld dstaddr, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der endgültigen Ziel-IP-Adresse des Datenverkehrs zu unterscheiden. Beispiel: Wenn Datenverkehr durch [eine Netzwerkschnittstelle für ein NAT-Gateway](flow-logs-records-examples.md#flow-log-example-nat) fließt oder wenn die IP-Adresse eines Pods in Amazon EKS von der IP-Adresse der Netzwerkschnittstelle des Instance-Knotens abweicht, auf dem der Pod (für die Kommunikation innerhalb der VPC) ausgeführt wird. **Parquet-Datentyp:** SCHNUR  | 3 | 
|  region  |  Die Region, die die Netzwerkschnittstelle enthält, für die der Datenverkehr aufgezeichnet wird. **Parquet-Datentyp:** SCHNUR  |  4  | 
|  az-id  |  Die ID der Availability Zone, die die Netzwerkschnittstelle enthält, für die der Datenverkehr aufgezeichnet wird. Wenn der Datenverkehr von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an. **Parquet-Datentyp:** SCHNUR  |  4  | 
|  sublocation-type  |  Der Typ des untergeordneten Standorts, der im Feld sublocation-id zurückgegeben wird. Die möglichen Werte sind: [wavelength](https://aws.amazon.com/wavelength/) \$1 [outpost](https://docs.aws.amazon.com/outposts/latest/userguide/) \$1 [localzone](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones). Wenn der Datenverkehr nicht von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an. **Parquet-Datentyp:** SCHNUR  |  4  | 
|  sublocation-id  |  Die ID des untergeordneten Standorts mit der Netzwerkschnittstelle, für die der Datenverkehr aufgezeichnet wird. Wenn der Datenverkehr nicht von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an. **Parquet-Datentyp:** SCHNUR  |  4  | 
|  pkt-src-aws-service  |  Der Name der Teilmenge von [IP-Adressbereichen](aws-ip-ranges.md) für das Feld pkt-srcaddr, wenn die Ziel-IP-Adresse für einen AWS -Service ist. Wenn die Quell-IP-Adresse zu einem [überlappenden Bereich](aws-ip-syntax.md#aws-ip-range-overlaps) gehört, pkt-src-aws-service wird nur einer der AWS Dienstcodes angezeigt. Die möglichen Werte sind: `AMAZON` \$1 \$1 `AMAZON_APPFLOW` \$1 `AMAZON_CONNECT` \$1 `API_GATEWAY` \$1 `AURORA_DSQL` \$1 `CHIME_MEETINGS` \$1 `CHIME_VOICECONNECTOR` \$1 \$1 `CLOUD9` \$1 `CLOUDFRONT` \$1 `CLOUDFRONT_ORIGIN_FACING` \$1 `CODEBUILD` \$1 `DYNAMODB` \$1 `EBS` \$1 \$1 `EC2` \$1 `EC2_INSTANCE_CONNECT` \$1 `GLOBALACCELERATOR` \$1 `IVS_LOW_LATENCY` \$1 `IVS_REALTIME` \$1 `KINESIS_VIDEO_STREAMS` \$1 `MEDIA_PACKAGE_V2` \$1 `ROUTE53` \$1 \$1 `ROUTE53_HEALTHCHECKS` \$1 `ROUTE53_HEALTHCHECKS_PUBLISHING` \$1 `ROUTE53_RESOLVER` \$1 `S3` \$1 `WORKSPACES_GATEWAYS` **Parquet-Datentyp:** SCHNUR  |  5  | 
|  pkt-dst-aws-service  |  Der Name der Teilmenge der IP-Adressbereiche für das pkt-dstaddr Feld, wenn die Ziel-IP-Adresse für einen AWS Dienst bestimmt ist. Eine Liste möglicher Werte finden Sie im Feld pkt-src-aws-service. **Parquet-Datentyp:** SCHNUR  |  5  | 
|  flow-direction  |  Die Richtung des Flusses in Bezug auf die Schnittstelle, an der der Verkehr erfasst wird. Die möglichen Werte sind: ingress \$1 egress. **Parquet-Datentyp:** SCHNUR  |  5  | 
|  traffic-path  |  Der Weg, der ausgehenden Verkehr zum Ziel führt. Um festzustellen, ob es sich bei dem Verkehr um einen ausgehenden Verkehr handelt, überprüfen Sie die Feld flow-direction. Die möglichen Werte lauten wie folgt: Wenn keiner der Werte zutrifft, wird für das Feld „-“ angezeigt.  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/flow-log-records.html) **Parquet-Datentyp:** INT\$132  |  5  | 
|  ecs-cluster-arn  | AWS Ressourcenname (ARN) des ECS-Clusters, wenn der Datenverkehr von einer laufenden ECS-Task stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters.Parquet-Datentyp:  STRING |  7  | 
|  ecs-cluster-name  | Name des ECS-Clusters, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters.Parquet-Datentyp:  STRING |  7  | 
|  ecs-container-instance-arn  | ARN der ECS-Container-Instance, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe auf einer EC2-Instance stammt. Wenn der Kapazitätsanbieter AWS Fargate ist, wird für dieses Feld „-“ angezeigt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListContainerInstances. Parquet-Datentyp:  STRING |  7  | 
|  ecs-container-instance-id  | ID der ECS-Container-Instance, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe auf einer EC2-Instance stammt. Wenn der Kapazitätsanbieter AWS Fargate ist, wird für dieses Feld „-“ angezeigt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListContainerInstances. Parquet-Datentyp:  STRING |  7  | 
|  ecs-container-id  | Docker-Laufzeit-ID des Containers, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Wenn die ECS-Aufgabe einen oder mehrere Container enthält, ist dies die Docker-Laufzeit-ID des ersten Containers. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters. Parquet-Datentyp:  STRING |  7  | 
|  ecs-second-container-id  | Docker-Laufzeit-ID des Containers, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Wenn die ECS-Aufgabe mehr als einen Container enthält, ist dies die Docker-Laufzeit-ID des zweiten Containers. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: aufzurufenListClusters. Parquet-Datentyp:  STRING |  7  | 
|  ecs-service-name  | Name des ECS-Service, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt und die ECS-Aufgabe von einem ECS-Service gestartet wurde. Wenn die ECS-Aufgabe nicht von einem ECS-Service gestartet wurde, wird in diesem Feld „-“ angezeigt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListServices. Parquet-Datentyp:  STRING |  7  | 
|  ecs-task-definition-arn  | ARN der ECS-Aufgabendefinition, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs aufzurufen: ListTaskDefinitions Parquet-Datentyp:  STRING |  7  | 
|  ecs-task-arn  | ARN der ECS-Aufgabe, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListTasks. Parquet-Datentyp:  STRING |  7  | 
|  ecs-task-id  | ID der ECS-Aufgabe, wenn der Datenverkehr von einer ausgeführten ECS-Aufgabe stammt. Um dieses Feld in Ihr Abonnement aufzunehmen, benötigen Sie die Erlaubnis, ecs: ListClusters und ecs: aufzurufenListTasks. Parquet-Datentyp:  STRING |  7  | 
|  reject-reason  |  Der Grund, warum der Datenverkehr abgelehnt wurde. Mögliche Werte: BPA, EC. Gibt für jeden anderen Ablehnungsgrund ein „-“ zurück. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/flow-log-records.html) **Parquet-Datentyp: ** STRING  |  8  | 
|  resource-id  | Die ID des regionalen NAT-Gateways, das die Netzwerkschnittstelle enthält, für die der Verkehr aufgezeichnet wird. Gibt ein „-“ -Symbol für Verkehrsflüsse zurück, die nicht mit einem regionalen NAT-Gateway verknüpft sind. Weitere Informationen zu regionalen NAT-Gateways finden Sie unter[Regionale NAT-Gateways für automatische Multi-AZ-Erweiterung](nat-gateways-regional.md). **Parquet-Datentyp: ** STRING  |  9  | 
|  Verschlüsselungsstatus  |  Verschlüsselungsstatus des Datenflusses. Weitere Informationen zu VPC Encryption Controls finden Sie unter[VPC-Verschlüsselung bei der Übertragung erzwingen](vpc-encryption-controls.md). Die möglichen Werte sind: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/flow-log-records.html) Der Wert ist '-', wenn VPC Encryption Controls nicht aktiviert ist oder wenn der Status FlowLog nicht abgerufen werden kann.  \$1 Bei Schnittstellen- und Gateway-Endpunkten werden bei der Bestimmung des Verschlüsselungsstatus AWS nicht die Paketdaten berücksichtigt, sondern wir verlassen uns stattdessen auf den Port, der zur Annahme des Verschlüsselungsstatus verwendet wird. \$1\$1 AWS Ermittelt den Verschlüsselungsstatus für bestimmte AWS verwaltete Endpunkte auf der Grundlage der TLS-Anforderung in der Dienstkonfiguration.  **Parquet-Datentyp: ** INT\$132  |  10  | 

# Beispiele für Flow-Protokolldatensätze
<a name="flow-logs-records-examples"></a>

Im Folgenden finden Sie Beispiele für Flow-Protokolldatensätze, die spezifischen Datenverkehr erfassen.

Informationen zum Format des Flow-Protokolldatensatzes finden Sie unter [Flow-Protokolldatensätze](flow-log-records.md). Informationen zum Erstellen von Flow-Protokollen finden Sie unter [Arbeiten mit Flow-Protokollen](working-with-flow-logs.md).

**Topics**
+ [Zulässiger und abgelehnter Datenverkehr](#flow-log-example-accepted-rejected)
+ [Keine Daten und übersprungene Datensätze](#flow-log-example-no-data)
+ [Sicherheitsgruppen- und Netzwerk-ACL-Regeln](#flow-log-example-security-groups)
+ [IPv6 Verkehr](#flow-log-example-ipv6)
+ [TCP-Flag-Sequenz](#flow-log-example-tcp-flag)
+ [Verkehr über ein zonales NAT-Gateway](#flow-log-example-nat)
+ [Verkehr über ein regionales NAT-Gateway](#flow-log-example-regional-nat)
+ [Datenverkehr durch ein Transit-Gateway](#flow-log-example-tgw)
+ [Servicename, Verkehrspfad und Flow-Richtung](#flow-log-example-traffic-path)

## Zulässiger und abgelehnter Datenverkehr
<a name="flow-log-example-accepted-rejected"></a>

Im Folgenden finden Sie Beispiele für Standard-Flow-Protokolldatensätze.

In diesem Beispiel wurde der SSH-Datenverkehr (Zielport 22, TCP-Protokoll) von der IP-Adresse 172.31.16.139 zur Netzwerkschnittstelle mit der privaten IP-Adresse 172.31.16.21 und der ID eni-1235b8ca123456789 im Konto 123456789010 zugelassen.

```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
```

In diesem Beispiel wurde RDP-Datenverkehr (Zielport 3389, TCP-Protokoll) zur Netzwerkschnittstelle eni-1235b8ca123456789 im Konto 123456789010 abgelehnt.

```
2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
```

## Keine Daten und übersprungene Datensätze
<a name="flow-log-example-no-data"></a>

Im Folgenden finden Sie Beispiele für Standard-Flow-Protokolldatensätze.

In diesem Beispiel wurden während des Aggregationsintervalls keine Daten aufgezeichnet.

```
2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA
```

VPC Flow Logs überspringt Datensätze, wenn es während eines Aggregationsintervalls keine Flow-Protokolldaten erfassen kann, weil sie die interne Kapazität überschreiten. Ein einzelner übersprungener Datensatz kann mehrere Datenflüsse darstellen, die während des Aggregationsintervalls nicht für die Netzwerkschnittstelle erfasst wurden.

```
2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA
```

**Anmerkung**  
Während des Aggregationsintervalls werden einige Flow-Protokolldatensätze möglicherweise übersprungen (siehe *log-status* in [Verfügbare Felder](flow-log-records.md#flow-logs-fields)). Dies kann durch eine interne AWS Kapazitätsbeschränkung oder einen internen Fehler verursacht werden. Wenn Sie VPC-Flow-Log-Gebühren anzeigen und einige Flow-Logs während des Flow-Log-Aggregationsintervalls übersprungen AWS Cost Explorer werden, ist die Anzahl der gemeldeten Flow-Logs höher als die Anzahl der von Amazon VPC veröffentlichten Flow-Logs. AWS Cost Explorer 

## Sicherheitsgruppen- und Netzwerk-ACL-Regeln
<a name="flow-log-example-security-groups"></a>

Wenn Sie mithilfe von Flow-Protokollen übermäßig restriktive oder offene Sicherheitsgruppenregeln oder Netzwerk-ACL-Regeln diagnostizieren, müssen Sie dabei beachten, inwieweit eine Ressource zustandsbehaftet ist. Sicherheitsgruppen sind zustandsbehaftet, d. h. Antworten auf zulässigen Datenverkehr sind immer zulässig, auch wenn die Regeln der Sicherheitsgruppe dies nicht zulassen würden. Umgekehrt ACLs sind Netzwerke zustandslos, weshalb Antworten auf erlaubten Datenverkehr den Netzwerk-ACL-Regeln unterliegen.

Sie senden beispielsweise den Befehl **ping** von Ihrem privaten Computer (mit der IP-Adresse 203.0.113.12) an Ihre Instance (mit der privaten IP-Adresse der Netzwerkschnittstelle 172.31.16.139). Die Regeln für eingehenden Datenverkehr Ihrer Sicherheitsgruppe lassen ICMP-Datenverkehr zu, die Regeln für ausgehenden Datenverkehr lassen ICMP-Datenverkehr jedoch nicht zu. Da die Sicherheitsgruppen zustandsbehaftet sind, ist der Antwort-Ping von Ihrer Instance zulässig. Ihre Netzwerk-ACL erlaubt eingehenden, jedoch keinen ausgehenden ICMP-Datenverkehr. Da Netzwerke zustandslos ACLs sind, wird der Antwort-Ping gelöscht und erreicht Ihren Heimcomputer nicht. In einem Flow-Standardprotokoll wird dies als zwei Flow-Protokolldatensätze angezeigt:
+ Ein ACCEPT-Datensatz für den ursprünglichen Ping, der sowohl von der Netzwerk-ACL als auch der Sicherheitsgruppe zugelassen wird und daher zur Instance durchdringen konnte
+ Ein REJECT-Datensatz für den Antwortping, der von der Netzwerk-ACL abgelehnt wurde

```
2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
```

```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
```

Wenn Ihre Netzwerk-ACL ausgehenden ICMP-Datenverkehr zulässt, enthält das Flow-Protokoll zwei ACCEPT-Datensätze (einen für den ursprünglichen Ping und einen für den Antwortping). Wenn Ihre Sicherheitsgruppe eingehenden ICMP-Datenverkehr ablehnt, enthält das Flow-Protokoll einen REJECT-Datensatz, da der Datenverkehr die Instance nicht erreicht hat.

## IPv6 Verkehr
<a name="flow-log-example-ipv6"></a>

Der folgende Code ist ein Beispiel für einen Standard-Flow-Protokolldatensatz. Im Beispiel war SSH-Verkehr (Port 22) von der IPv6 Adresse 2001:db 8:1234:a 100:8 d6e:3477:df66:f105 zur Netzwerkschnittstelle eni-1235b8ca123456789 im Konto 123456789010 zulässig.

```
2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK
```

## TCP-Flag-Sequenz
<a name="flow-log-example-tcp-flag"></a>

Dieser Abschnitt enthält Beispiele für benutzerdefinierte Flow-Protokolle, die die folgenden Felder in der folgenden Reihenfolge erfassen.

```
version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status
```

tcp-flagsDas Feld in den Beispielen second-to-last in diesem Abschnitt wird durch den Wert im Flow-Protokoll dargestellt. Mit Hilfe von TCP-Flags können Sie die Richtung des Datenverkehrs ermitteln, z. B. welcher Server die Verbindung initiiert hat.

**Anmerkung**  
Weitere Informationen über die Option tcp-flags und eine Erklärung der einzelnen TCP-Flags finden Sie unter [Verfügbare Felder](flow-log-records.md#flow-logs-fields).

In den folgenden Datensätzen (mit Beginn um 19:47:55 und Ende um 19:48:53) wurden zwei Verbindungen von einem Client auf einem Server gestartet, der auf Port 5001 ausgeführt wird. Der Server empfing zwei SYN-Flags (2) vom Client von verschiedenen Quell-Ports auf dem Client (43416 und 43418). Für jedes SYN wurde ein SYN-ACK vom Server an den Client (18) auf dem entsprechenden Port gesendet.

```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK
```

Im zweiten Aggregationsintervall ist jetzt eine der Verbindungen beendet, die während des vorherigen Flows hergestellt wurde. Der Server hat ein FIN-Flag (1) für die Verbindung auf Port 43418 an den Client gesendet. Der Client hat mit einem FIN an den Server auf Port 43418 geantwortet.

```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK
```

Für kurze Verbindungen (z. B. wenige Sekunden), die innerhalb eines einzigen Aggregationsintervalls hergestellt und beendet werden, können die Flags in derselben Zeile im Flow-Protokolldatensatz für Datenverkehr in die gleiche Richtung festgelegt werden. Im folgenden Beispiel wird die Verbindung innerhalb desselben Aggregationsintervalls hergestellt und beendet. In der ersten Zeile lautet der Wert des TCP-Flags 3. Dies deutet darauf hin, dass eine SYN- und eine FIN-Meldung vom Client an den Server gesendet wurden. In der zweiten Zeile lautet der Wert des TCP-Flags 19. Dies deutet darauf hin, dass eine SYN-ACK- und eine FIN-Meldung vom Server an den Client gesendet wurden.

```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638  10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK
```

## Verkehr über ein zonales NAT-Gateway
<a name="flow-log-example-nat"></a>

In diesem Beispiel greift eine Instance in einem privaten Subnetz über ein zonales NAT-Gateway, das sich in einem öffentlichen Subnetz befindet, auf das Internet zu.

![\[Zugriff auf das Internet über ein zonales NAT-Gateway\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/flow-log-nat-gateway.png)


Das folgende benutzerdefinierte Flussprotokoll für die zonale NAT-Gateway-Netzwerkschnittstelle erfasst die folgenden Felder in der folgenden Reihenfolge.

```
instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```

Das Flussprotokoll zeigt den Datenfluss von der Instanz-IP-Adresse (10.0.1.5) über die zonale NAT-Gateway-Netzwerkschnittstelle zu einem Host im Internet (203.0.113.5). Bei der Netzwerkschnittstelle des zonalen NAT-Gateways handelt es sich um eine vom Anforderer verwaltete Netzwerkschnittstelle. Daher wird im Flow-Log-Datensatz ein „-“ -Symbol für das Feld angezeigt. instance-id Die folgende Zeile zeigt den Verkehr von der Quell-Instance zur Netzwerkschnittstelle des zonalen NAT-Gateways. Die Werte für die Felder dstaddr und pkt-dstaddr unterscheiden sich. Das dstaddr Feld zeigt die private IP-Adresse der zonalen NAT-Gateway-Netzwerkschnittstelle an, und das pkt-dstaddr Feld zeigt die endgültige Ziel-IP-Adresse des Hosts im Internet an. 

```
- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5
```

Die nächsten beiden Zeilen zeigen den Verkehr von der zonalen NAT-Gateway-Netzwerkschnittstelle zum Zielhost im Internet und den Antwortverkehr vom Host zur NAT-Gateway-Netzwerkschnittstelle.

```
- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5
- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220
```

Die folgende Zeile zeigt den Antwortverkehr von der Netzwerkschnittstelle des zonalen NAT-Gateways zur Quell-Instance. Die Werte für die Felder srcaddr und pkt-srcaddr unterscheiden sich. Das srcaddr Feld zeigt die private IP-Adresse der zonalen NAT-Gateway-Netzwerkschnittstelle an, und das pkt-srcaddr Feld zeigt die IP-Adresse des Hosts im Internet an.

```
- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5
```

Sie erstellen ein weiteres benutzerdefiniertes Flow-Protokoll mit derselben Gruppe an Feldern wie oben. Sie erstellen das Flow-Protokoll für die Netzwerkschnittstelle für die Instance im privaten Subnetz. In diesem Fall gibt das Feld instance-id die ID der mit der Netzwerkschnittstelle verknüpften Instance zurück und die Felder dstaddr und pkt-dstaddr sowie srcaddr und pkt-srcaddr unterscheiden sich nicht. Im Gegensatz zur Netzwerkschnittstelle für das zonale NAT-Gateway ist diese Netzwerkschnittstelle keine zwischengeschaltete Netzwerkschnittstelle für den Datenverkehr.

```
i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```

## Verkehr über ein regionales NAT-Gateway
<a name="flow-log-example-regional-nat"></a>

Ein regionales NAT-Gateway kann eine Verbindung zu mehreren Subnetzen in verschiedenen Availability Zones herstellen. In diesem Beispiel greifen zwei Instances in privaten Subnetzen aus zwei verschiedenen Availability Zones über dasselbe regionale NAT-Gateway auf das Internet zu. Die folgenden Flussprotokolle zeigen den Datenverkehr von einer der Instances zum Internet über das regionale NAT-Gateway.

![\[Zugriff auf das Internet über ein regionales NAT-Gateway\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/flow-log-regional-nat-gateway.png)


Das folgende benutzerdefinierte Flussprotokoll für das regionale NAT-Gateway erfasst die folgenden Felder in der folgenden Reihenfolge.

```
resource-id instance-id interface-id subnet-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```

Das Flussprotokoll zeigt den Verkehrsfluss von der Instanz-IP-Adresse (10.0.1.5) über das regionale NAT-Gateway zu einem Host im Internet (203.0.113.5). instance-idinterface-id, und gelten subnet-id nicht für das regionale NAT-Gateway. Daher wird im Flow-Protokolldatensatz für diese Felder ein „-“ -Symbol angezeigt. Stattdessen zeigt das resource-id Feld die ID des regionalen NAT-Gateways an. In den pkt-dstaddr Feldern dstaddr und wird die endgültige Ziel-IP-Adresse des Hosts im Internet angezeigt.

```
nat-1234567890abcdef - - - 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5
```

Die nächsten beiden Zeilen zeigen den Verkehr vom regionalen NAT-Gateway (öffentliche IP-Adresse 107.22.182.139) zum Zielhost im Internet und den Antwortverkehr vom Host zum regionalen NAT-Gateway.

```
nat-1234567890abcdef - - - 107.22.182.139 203.0.113.5 107.22.182.139 203.0.113.5
nat-1234567890abcdef - - - 203.0.113.5 107.22.182.139 203.0.113.5 107.22.182.139
```

Die folgende Zeile zeigt den Antwortverkehr vom regionalen NAT-Gateway zur Quell-Instance. In den pkt-srcaddr Feldern srcaddr und wird die IP-Adresse des Hosts im Internet angezeigt.

```
nat-1234567890abcdef - - - 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5
```

Sie erstellen ein weiteres benutzerdefiniertes Flow-Protokoll mit derselben Gruppe an Feldern wie oben. Sie erstellen das Flow-Protokoll für die Netzwerkschnittstelle für die Instance im privaten Subnetz. In diesem Fall gibt das instance-id Feld die ID der Instanz zurück, die mit der Netzwerkschnittstelle verknüpft resource-id ist, und zwar '-. Es gibt keinen Unterschied zwischen den pkt-dstaddr Feldern dstaddr und srcaddr undpkt-srcaddr.

```
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```

## Datenverkehr durch ein Transit-Gateway
<a name="flow-log-example-tgw"></a>

In diesem Beispiel stellt ein Client in VPC A über ein Transit-Gateway eine Verbindung mit einem Webserver in VPC B her. Client und Server befinden sich in verschiedenen Availability Zones. Der Datenverkehr erreicht den Server in VPC B über eine elastische Netzwerkschnittstellen-ID (in diesem Beispiel ist die ID eni-11111111111111111) und verlässt VPC B über eine andere (z. B. eni-22222222222222222).

![\[Datenverkehr durch ein Transit-Gateway\]](http://docs.aws.amazon.com/de_de/vpc/latest/userguide/images/flow-log-tgw.png)


Sie erstellen ein benutzerdefiniertes Flow-Protokoll für VPC B mit dem folgenden Format.

```
version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status
```

Die folgenden Zeilen aus den Flow-Protokolldatensätzen zeigen den Flow des Datenverkehrs an der Netzwerkschnittstelle für den Webserver. Die erste Zeile zeigt den Anfragedatenverkehr vom Client und die letzte Zeile zeigt den Antwortdatenverkehr vom Webserver.

```
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
...
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```

Die folgende Zeile zeigt den Anforderungsdatenverkehr auf eni-11111111111111111, einer vom Anforderer verwalteten Netzwerkschnittstelle für das Transit-Gateway in Subnetz subnet-11111111aaaaaaaaa. Daher zeigt der Flow-Protokolldatensatz für das Feld instance-id das Symbol '-'. Das Feld srcaddr zeigt die private IP-Adresse der Netzwerkschnittstelle des Transit-Gateways an, und das Feld pkt-srcaddr zeigt die Quell-IP-Adresse des Clients in VPC A an.

```
3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
```

Die folgende Zeile zeigt den Antwortdatenverkehr auf eni-22222222222222222, einer vom Anforderer verwalteten Netzwerkschnittstelle für das Transit-Gateway in Subnetz subnet-22222222bbbbbbbbb an. Das Feld dstaddr zeigt die private IP-Adresse der Netzwerkschnittstelle des Transit-Gateways an, und das Feld pkt-dstaddr zeigt die IP-Adresse des Clients in VPC A an.

```
3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```

## Servicename, Verkehrspfad und Flow-Richtung
<a name="flow-log-example-traffic-path"></a>

Im Folgenden finden Sie ein Beispiel der Felder für einen benutzerdefinierten Flow-Protokolldatensatz.

```
version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status
```

Im folgenden Beispiel ist die Version 5, da die Datensätze Felder der Version 5 enthalten. Eine EC2-Instance ruft den Amazon S3-Service auf. Flow-Protokolle werden auf der Netzwerkschnittstelle für die Instance erfasst. Der erste Datensatz hat eine Flow-Richtung von ingress und der zweite Datensatz hat eine Flow-Richtung von egress. Für den egress-Datensatz ist traffic-path 8, was darauf hinweist, dass der Datenverkehr über ein Internet-Gateway läuft. Das Feld traffic-path wird nicht für ingress-Verkehr unterstützt. Wenn pkt-srcaddr oder pkt-dstaddr eine öffentliche IP-Adresse ist, wird der Servicename angezeigt.

```
5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK
5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK
```

# Einschränkungen von Flow-Protokollen
<a name="flow-logs-limitations"></a>

Machen Sie sich bei der Verwendung von Flow-Protokollen folgende Beschränkungen bewusst:
+ Nachdem Sie ein Flow-Protokoll erstellt haben, werden die Flow-Protokolldaten erst dann angezeigt, wenn für die ausgewählte Netzwerkschnittstelle, das Subnetz oder die VPC aktiver Datenverkehr stattfindet.
+ Sie können nur dann Flow-Logs aktivieren VPCs , wenn sich die Peer-VPC in Ihrem Konto befindet.
+ Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie seine Konfiguration und das Format des Flow-Protokolldatensatzes nicht mehr ändern. Sie können beispielsweise keine andere IAM-Rolle mit dem Flow-Protokoll verknüpfen und keine Felder zum Flow-Protokolldatensatz hinzufügen oder daraus entfernen. Sie müssen in diesem Fall das Flow-Protokoll löschen und ein neues Protokoll mit der erforderlichen Konfiguration erstellen. 
+ Wenn Ihre Netzwerkschnittstelle mehrere IPv4 Adressen hat und der Datenverkehr an eine sekundäre private IPv4 Adresse gesendet wird, zeigt das Flow-Protokoll die primäre private IPv4 Adresse in dem Feld an. `dstaddr` Erstellen Sie ein Flow-Protokoll mit dem Feld `pkt-dstaddr`, um die ursprüngliche Ziel-IP-Adresse zu erfassen.
+ Wenn der Datenverkehr an eine Netzwerkschnittstelle gesendet wird und das Ziel keine der IP-Adressen der Netzwerkschnittstelle ist, zeigt das Flussprotokoll die primäre private IPv4 Adresse in dem `dstaddr` Feld an. Erstellen Sie ein Flow-Protokoll mit dem Feld `pkt-dstaddr`, um die ursprüngliche Ziel-IP-Adresse zu erfassen.
+  Wenn der Datenverkehr von einer Netzwerkschnittstelle gesendet wird und es sich bei der Quelle nicht um eine der IP-Adressen der Netzwerkschnittstelle handelt, zeigt das Flow-Protokoll die primäre private IPv4 Adresse im `srcaddr` Feld an, wenn sich der Protokolleintrag auf einen Ausgangsfluss bezieht. Erstellen Sie ein Flow-Protokoll mit dem Feld `pkt-srcaddr`, um die ursprüngliche Quell-IP-Adresse zu erfassen. Wenn sich der Protokolleintrag auf einen eingehenden Datenfluss in die Netzwerkschnittstelle bezieht, wird die primäre private IP der Netzwerkschnittstelle nicht im Feld `srcaddr` angezeigt.
+ Wenn Ihre Netzwerkschnittstelle einer [Nitro-basierten Instance](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html) zugewiesen ist, beträgt das Aggregationsintervall immer 1 Minute oder weniger, unabhängig vom angegebenen maximalen Aggregationsintervall.
+ Bei den Feldern `pkt-srcaddr` und `pkt-dstaddr` wird für dieses Feld möglicherweise die erhaltene Client-IP-Adresse anstelle der IP-Adresse der Zwischenebene angezeigt, wenn auf der Zwischenebene die Erhaltung der Client-IP-Adresse aktiviert ist.
+ Für das Feld `traffic-path` ist der Wert für Flows durch Ressourcen in derselben VPC und Flows, die über ein lokales Outpost-Gateway laufen, derselbe.
+ Während des Aggregationsintervalls werden einige Flow-Protokolldatensätze möglicherweise übersprungen (siehe *log-status* in [Verfügbare Felder](flow-log-records.md#flow-logs-fields)). Dies kann durch eine interne AWS Kapazitätsbeschränkung oder einen internen Fehler verursacht werden. Wenn Sie VPC-Flow-Log-Gebühren anzeigen und einige Flow-Logs während des Flow-Log-Aggregationsintervalls übersprungen AWS Cost Explorer werden, ist die Anzahl der gemeldeten Flow-Logs höher als die Anzahl der von Amazon VPC veröffentlichten Flow-Logs. AWS Cost Explorer 
+ Wenn Sie [VPC Block Public Access (BPA)](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl) verwenden:
  + Flow-Protokolle für VPC BPA enthalten keine [übersprungenen Datensätze](flow-logs-records-examples.md#flow-log-example-no-data).
  + [`bytes`](flow-log-records.md#flow-logs-fields) sind nicht in Flow-Protokollen für VPC BPA enthalten, auch wenn Sie das Feld `bytes` in Ihr Flow-Protokoll aufnehmen.

Flow-Protokolle erfassen nicht alle Arten von IP-Datenverkehr. Für folgende Arten von Datenverkehr werden keine Daten erfasst:
+ Datenverkehr von Instances, die den Amazon-DNS-Server kontaktieren. Wenn Sie einen eigenen DNS-Server verwenden, wird sämtlicher Datenverkehr zu diesem DNS-Server erfasst. 
+ Datenverkehr von Windows-Instances zur Lizenzaktivierung von Amazon Windows
+ Datenverkehr zu und von `169.254.169.254` für Instance-Metadaten
+ Datenverkehr zu und von `169.254.169.123` für den Amazon Time Sync Service.
+ DHCP-Datenverkehr
+ Der [Datenverkehr spiegelte](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-how-it-works.html) den Quellverkehr wider. Sie sehen nur den gespiegelten Zieldatenverkehr.
+ Datenverkehr zur reservierten IP-Adresse des Standard-VPC-Routers.
+ Datenverkehr zwischen einer Endpunkt-Netzwerkschnittstelle und einer Network Load Balancer-Netzwerkschnittstelle.
+ ARP-Datenverkehr (Address Resolution Protocol).
+ Datenverkehr auf einem kurzlebigen regionalen NAT-Gateway, der einige Minuten nach der Erstellung gelöscht wird.

Spezifische Einschränkungen für ECS-Felder, die in Version 7 verfügbar sind:
+ ECS-Felder werden nicht berechnet, wenn die zugrunde liegenden ECS-Aufgaben nicht dem Eigentümer des Flow-Protokollabonnements gehören. Wenn Sie beispielsweise ein Subnetz (`SubnetA`) für ein anderes Konto (`AccountB`) freigeben und dann ein Flow-Protokollabonnement für `SubnetA` erstellen, wenn `AccountB` im freigegebenen Subnetz ECS-Aufgaben startet, erhält Ihr Abonnement Datenverkehrsprotokolle von ECS-Aufgaben, die von `AccountB` gestartet wurden. Die ECS-Felder für diese Protokolle werden aus Sicherheitsgründen jedoch nicht berechnet.
+ Wenn Sie Flow-Log-Abonnements mit ECS-Feldern auf VPC/Subnet Ressourcenebene erstellen, wird jeglicher Datenverkehr, der für Nicht-ECS-Netzwerkschnittstellen generiert wird, auch für Ihre Abonnements bereitgestellt. Die Werte für ECS-Felder sind „-“ für Nicht-ECS-IP-Datenverkehr. Sie haben beispielsweise ein Subnetz (`subnet-000000`) und erstellen für dieses Subnetz ein Flow-Protokollabonnement mit ECS-Feldern (`fl-00000000`). In `subnet-000000` starten Sie eine EC2-Instance (`i-0000000`), die mit dem Internet verbunden ist und aktiv IP-Datenverkehr generiert. Sie starten auch eine ausgeführte ECS-Aufgabe (`ECS-Task-1`) im selben Subnetz. Da sowohl `i-0000000` als auch `ECS-Task-1` IP-Datenverkehr generieren, liefert Ihr Flow-Protokollabonnement `fl-00000000` Datenverkehrsprotokolle für beide Entitäten. Allerdings enthält nur `ECS-Task-1` die tatsächlichen ECS-Metadaten für die ECS-Felder, die Sie in Ihr logFormat aufgenommen haben. Für Datenverkehr in Bezug auf `i-0000000` haben diese Felder den Wert „-“.
+ `ecs-container-id` und `ecs-second-container-id` sind in der Reihenfolge angeordnet, in der der VPC-Flow-Protokollservice sie aus dem ECS-Ereignis-Stream empfängt. Es kann nicht garantiert werden, dass sie sich in derselben Reihenfolge befinden, in der Sie sie auf der ECS-Konsole oder im DescribeTask API-Aufruf sehen. Wenn ein Container in den Status ANGEHALTEN übergeht, während die Aufgabe noch ausgeführt wird, wird er möglicherweise weiterhin in Ihrem Protokoll angezeigt.
+ Die ECS-Metadaten und IP-Verkehrsprotokolle stammen aus zwei verschiedenen Quellen. Wir beginnen mit der Berechnung Ihres ECS-Datenverkehrs, sobald wir alle erforderlichen Informationen von den Upstream-Abhängigkeiten erhalten haben. Nachdem Sie eine neue Aufgabe gestartet haben, beginnen wir mit der Berechnung Ihrer ECS-Felder, 1) wenn wir den IP-Datenverkehr für die zugrunde liegende Netzwerkschnittstelle erhalten und 2) wenn wir das ECS-Ereignis erhalten, das die Metadaten für Ihre ECS-Aufgabe enthält, um anzuzeigen, dass die Aufgabe jetzt ausgeführt wird. Nachdem Sie eine Aufgabe beendet haben, beenden wir die Berechnung Ihrer ECS-Felder, 1) wenn wir keinen IP-Datenverkehr mehr für die zugrunde liegende Netzwerkschnittstelle oder IP-Datenverkehr mit einer Verzögerung von mehr als einem Tag erhalten und 2) wenn wir das ECS-Ereignis erhalten, das die Metadaten für Ihre ECS-Aufgabe enthält, um anzuzeigen, dass Ihre Aufgabe nicht mehr ausgeführt wird.
+ Es werden nur ECS-Aufgaben unterstützt, die im [Netzwerkmodus](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) `awsvpc` gestartet wurden. 

`encryption-status`Feldspezifische Einschränkungen:
+ Der Verschlüsselungsstatus kann in einigen Datenströmen '-' (nicht verfügbar) sein, da einige Netzwerk-Appliances den Verschlüsselungsstatus nur begrenzt melden können. Benutzer können diese Datenflüsse bei der Analyse ignorieren.
+ Wenn der Datenfluss im Überwachungsmodus als verschlüsselt angezeigt wird, bedeutet das nicht, dass der Datenfluss im Erzwingungsmodus zulässig ist. Umgekehrt.
  + Wenn ein Datenfluss im Überwachungsmodus verschlüsselt wird, ist er im Erzwingungsmodus möglicherweise nicht konform:
    + Wenn der Flow eine ENI beinhaltet, die von einem AWS Dienst erstellt wurde, muss der Service Encryption Controls unterstützen.
    + Wenn der Datenfluss VPC-Peering durchläuft, erzwingt die gepeerte VPC möglicherweise keine Verschlüsselungskontrollen.
  + Wenn ein Flow im Überwachungsmodus nicht verschlüsselt ist, ist er im Erzwingungsmodus möglicherweise trotzdem konform, vorausgesetzt, der Dienst, der sich auf den Flow bezieht, wird als Ausnahme hinzugefügt.

## Preisgestaltung
<a name="flow-logs-pricing"></a>

Es fallen Datenerfassungs- und Archivierungsgebühren für Verkaufsprotokolle an, wenn Sie Flow-Protokolle veröffentlichen. Weitere Informationen zu den Preisen bei der Veröffentlichung von Verkaufslogs finden Sie unter [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), wählen Sie **Logs aus und suchen Sie nach **Vended** Logs**.

Um Gebühren für die Veröffentlichung von Flow-Protokollen in CloudWatch Logs zu verfolgen, können Sie auf Ihre CloudWatch-Logs-Zielprotokollgruppe Kostenzuordnungs-Tags anwenden. Danach umfasst Ihr AWS Kostenzuordnungsbericht die Nutzung und die Kosten, die nach diesen Tags zusammengefasst sind. Sie können Tags anwenden, die geschäftliche Kategorien (wie Kostenstellen, Anwendungsnamen oder Besitzer) darstellen, um die Kosten zu organisieren. Weitere Informationen finden Sie hier:
+ [Verwenden von Kostenzuordnungs-Tags](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) im *AWS Billing - Benutzerhandbuch*.
+ [Taggen Sie Protokollgruppen in Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#log-group-tagging) im *Amazon CloudWatch Logs-Benutzerhandbuch*
+ [Verwenden von Kostenzuordnungs-Tags für S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) im *Benutzerhandbuch zu Amazon Simple Storage Service*
+ [Markieren Ihrer Bereitstellungsstreams](https://docs.aws.amazon.com/firehose/latest/dev/firehose-tagging.html) im *Entwicklerhandbuch für Amazon Data Firehose*

# Arbeiten mit Flow-Protokollen
<a name="working-with-flow-logs"></a>

Sie können mit Flow-Protokollen über die Konsolen von Amazon EC2 und Amazon VPC arbeiten.

**Topics**
+ [1. Kontrollieren der Nutzung von Flow-Protokollen mit IAM](#controlling-use-of-flow-logs)
+ [2. Erstellen eines Flow-Protokolls](#create-flow-log)
+ [3. Markieren eines Flow-Protokolls](#modify-tags-flow-logs)
+ [4. Löschen eines Flow-Protokolls](#delete-flow-log)
+ [Befehlszeilenübersicht](#flow-logs-api-cli)

## 1. Kontrollieren der Nutzung von Flow-Protokollen mit IAM
<a name="controlling-use-of-flow-logs"></a>

Standardmäßig haben -Benutzer keine Berechtigungen zum Arbeiten mit Flow-Protokollen. Sie können eine IAM-Rolle mit einer angefügten Richtlinie erstellen, über die Benutzer die Berechtigungen zum Erstellen, Ändern, Beschreiben und Löschen von Flow-Protokollen erhalten.

Nachfolgend finden Sie eine Beispielrichtlinie, die Benutzern uneingeschränkte Berechtigungen erteilt, um Flow-Protokolle zu erstellen, zu beschreiben und zu löschen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DeleteFlowLogs",
        "ec2:CreateFlowLogs",
        "ec2:DescribeFlowLogs"
      ],
      "Resource": "*"
    }
  ]
}
```

------

 Weitere Informationen finden Sie unter [Funktionsweise von der Amazon VPC mit IAM](security_iam_service-with-iam.md).

## 2. Erstellen eines Flow-Protokolls
<a name="create-flow-log"></a>

Sie können Flow-Logs für Ihre VPCs Subnetze oder Netzwerkschnittstellen erstellen. Wenn Sie ein Flow-Protokoll erstellen, müssen Sie ein Ziel für das Flow-Protokoll angeben. Weitere Informationen finden Sie hier:
+ [Erstellen Sie ein Flow-Protokoll, das in Logs veröffentlicht wird CloudWatch](flow-logs-cwl-create-flow-log.md)
+ [Erstellen eines Flow-Protokolls, das in Amazon S3 veröffentlicht](flow-logs-s3-create-flow-log.md)
+ [Erstellen eines Flow-Protokolls, das in Amazon Data Firehose veröffentlicht](flow-logs-firehose-create-flow-log.md)

## 3. Markieren eines Flow-Protokolls
<a name="modify-tags-flow-logs"></a>

Sie können jederzeit Tags für ein Flow-Protokoll hinzufügen oder entfernen.

**So verwalten Sie Tags für ein Flow-Protokoll**

1. Führen Sie eine der folgenden Aktionen aus:
   + Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Wählen Sie im Navigationsbereich **Network Interfaces** aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Ihr VPCs** aus. Aktivieren Sie das Kontrollkästchen für die VPC.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Subnetze** aus. Aktivieren Sie das Kontrollkästchen für das Subnetz.

1. Wählen Sie **Flow Logs** (Flow-Protokolle).

1. Klicken Sie auf **Actions** (Aktionen), **Manage tags** (Markierungen verwalten).

1. Um ein neues Tag hinzuzufügen, wählen Sie **Add new Tag** (Neuen Tag hinzufügen) und geben Sie dann den Markierungsschlüssel und -Wert ein. Klicken Sie zum Entfernen eines Tags auf **Remove (Entfernen)**.

1. Wenn Sie mit dem Einfügen oder Entfernen der Tags fertig sind, wählen Sie **Save** (Speichern).

## 4. Löschen eines Flow-Protokolls
<a name="delete-flow-log"></a>

Sie können ein Flow-Protokoll jederzeit löschen. Nachdem Sie ein Flow-Protokolls gelöscht haben, kann es einige Minuten dauern, bis keine Daten mehr erfasst werden.

Durch das Löschen eines Flow-Protokolls werden die Protokolldaten nicht aus dem Ziel gelöscht und die Zielressource wird nicht geändert. Sie müssen die vorhandenen Flow-Protokolldaten direkt vom Ziel löschen und die Zielressource mithilfe der Konsole für den Zielservice bereinigen.

**So löschen Sie ein Flow-Protokoll**

1. Führen Sie eine der folgenden Aktionen aus:
   + Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Wählen Sie im Navigationsbereich **Network Interfaces** aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Ihr** aus VPCs. Aktivieren Sie das Kontrollkästchen für die VPC.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Subnetze** aus. Aktivieren Sie das Kontrollkästchen für das Subnetz.

1. Wählen Sie **Flow Logs** (Flow-Protokolle).

1. Wählen Sie **Actions** (Aktionen), **Delete flow logs** (Flow-Protokolle löschen).

1. Wenn Sie zur Bestätigung aufgefordert werden, geben Sie **delete** ein und wählen Sie dann **Delete** (Löschen) aus.

## Befehlszeilenübersicht
<a name="flow-logs-api-cli"></a>

Sie können die auf dieser Seite beschriebenen Aufgaben über die Befehlszeile ausführen.

**Erstellen eines Flow-Protokolls**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

**Beschreiben eines Flow-Protokolls**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

**Markieren eines Flow-Protokolls**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) und [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) und [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html) (AWS Tools for Windows PowerShell)

**Löschen eines Flow-Protokolls**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

# Veröffentlichen Sie Flow-Logs in CloudWatch Logs
<a name="flow-logs-cwl"></a>

Flow Logs können Flow-Protokolldaten direkt auf Amazon veröffentlichen CloudWatch. Amazon CloudWatch ist ein umfassender Überwachungs- und Beobachtbarkeitsservice. Es sammelt und verfolgt Metriken, Protokolle und Ereignisdaten aus verschiedenen AWS Ressourcen sowie aus Ihren eigenen Anwendungen und Diensten. CloudWatch bietet Einblicke in die Ressourcennutzung, die Anwendungsleistung und den Betriebszustand, sodass Sie systemweite Leistungsänderungen und potenzielle Probleme erkennen und darauf reagieren können. Mit CloudWatch können Sie Alarme einrichten, Protokolle und Metriken visualisieren und automatisch reagieren, um Ihre Cloud-Ressourcen zu sammeln und zu optimieren. Es ist ein unverzichtbares Tool, um die Zuverlässigkeit, Verfügbarkeit und Leistung Ihrer cloudbasierten Infrastruktur und Anwendungen sicherzustellen.

Bei der Veröffentlichung in CloudWatch Logs werden die Flow-Protokolldaten in einer Protokollgruppe veröffentlicht, und jede Netzwerkschnittstelle hat einen eigenen Protokollstream in der Protokollgruppe. Protokollstreams enthalten Flow-Protokolldatensätze. Sie können mehrere Flow-Protokolle erstellen, die Daten in derselben Protokollgruppe veröffentlichen. Wenn dieselbe Netzwerkschnittstelle von mehreren Flow-Protokollen innerhalb derselben Protokollgruppe verwendet wird, wird für diese Schnittstelle ein kombinierter Protokollstream erstellt. Wenn Sie ein Flow-Protokoll zum Erfassen von abgelehntem Datenverkehr und ein weiteres Flow-Protokoll zum Erfassen von zulässigem Datenverkehr erstellt haben, erfasst der kombinierte Protokollstream sämtlichen Datenverkehr.

In CloudWatch Logs entspricht das **Zeitstempelfeld** der Startzeit, die im Flow-Protokolldatensatz erfasst wurde. Das Feld **ingestionTime** gibt das Datum und die Uhrzeit an, an dem der Flow-Protokolldatensatz von Logs empfangen wurde. CloudWatch Dieser Zeitstempel liegt später als die Endzeit, die im Flow-Protokolldatensatz erfasst wird.

Weitere Informationen zu CloudWatch Logs finden Sie unter [Logs sent to CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

**Preisgestaltung**  
Wenn Sie Flow-Logs in Logs veröffentlichen, fallen Gebühren für Datenaufnahme und Archivierung für verkaufte Logs an. CloudWatch Weitere Informationen finden Sie unter [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), wählen Sie **Logs** aus und suchen Sie nach **Vended Logs**.

**Topics**
+ [IAM-Rolle für die Veröffentlichung von Flow-Protokollen in Logs CloudWatch](flow-logs-iam-role.md)
+ [Erstellen Sie ein Flow-Protokoll, das in Logs veröffentlicht wird CloudWatch](flow-logs-cwl-create-flow-log.md)
+ [Zeigen Sie Flow-Protokolldatensätze mit CloudWatch Logs an](view-flow-log-records-cwl.md)
+ [Suche nach Flow-Protokoll-Datensätzen](search-flow-log-records-cwl.md)
+ [Protokolldatensätze für den Prozessablauf in CloudWatch Logs](process-records-cwl.md)

# IAM-Rolle für die Veröffentlichung von Flow-Protokollen in Logs CloudWatch
<a name="flow-logs-iam-role"></a>

Die IAM-Rolle, die Ihrem Flow-Protokoll zugeordnet ist, muss über ausreichende Berechtigungen verfügen, um Flow-Logs in der angegebenen Protokollgruppe in CloudWatch Logs zu veröffentlichen. Die IAM-Rolle muss zu Ihrem AWS Konto gehören.

Die IAM-Richtlinie, die mit Ihrer IAM-Rolle verknüpft ist, muss mindestens folgende Berechtigungen enthalten:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Flow-Protokollservice erlaubt, die Rolle zu übernehmen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Wir empfehlen Ihnen, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zu verwenden, um sich vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Eigentümer des Flow-Protokolls und der Quell-ARN ist der Flow Protokoll-ARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (\$1) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben.

```
"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}
```

## Erstellen einer IAM-Rolle für Flow-Protokolle
<a name="create-flow-logs-role"></a>

Sie können eine vorhandene Rolle wie oben beschrieben aktualisieren. Alternativ können Sie mit dem folgenden Verfahren eine neue Rolle für Flow-Protokolle erstellen. Sie geben diese Rolle an, wenn Sie das Flow-Protokoll erstellen.

**So erstellen Sie eine IAM-Rolle für Flow-Protokolle**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Führen Sie auf der Seite **Create policy (Richtlinie erstellen)** die folgenden Schritte aus:

   1. Wählen Sie **JSON**.

   1. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie einen Namen und eine optionale Beschreibung sowie Tags für Ihre Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role** (Rolle erstellen) aus.

1. Für **Trusted entity type** (Vertrauenstyp der Entität), wählen Sie **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie). Für **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie `"Principal": {},` mit Folgendem und wählen Sie **Next** (Weiter).

   ```
   "Principal": {
      "Service": "vpc-flow-logs.amazonaws.com"
   },
   ```

1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend **Next** (Weiter).

1. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.

1. Wählen Sie **Rolle erstellen** aus.

# Erstellen Sie ein Flow-Protokoll, das in Logs veröffentlicht wird CloudWatch
<a name="flow-logs-cwl-create-flow-log"></a>

Sie können Flow-Logs für Ihre VPCs Subnetze oder Netzwerkschnittstellen erstellen. Wenn Sie diese Schritte als Benutzer ausführen, der eine bestimmte IAM-Rolle verwendet, stellen Sie sicher, dass die Rolle über Berechtigungen zum Verwenden der `iam:PassRole`-Aktion verfügt.

**Voraussetzung**  
Vergewissern Sie sich, dass der IAM-Prinzipal, den Sie für die Anfrage verwenden, über die Berechtigungen zum Aufrufen der Aktion `iam:PassRole` verfügt.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
        }
    ]
}
```

------

**So erstellen Sie ein Flow-Protokoll mithilfe der Konsole**

1. Führen Sie eine der folgenden Aktionen aus:
   + Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Wählen Sie im Navigationsbereich **Network Interfaces** aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Ihr VPCs** aus. Aktivieren Sie das Kontrollkästchen für die VPC.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Subnetze** aus. Aktivieren Sie das Kontrollkästchen für das Subnetz.

1. Klicken Sie auf **Actions (Aktionen)**, **Create flow log (Flow-Protokoll erstellen)**.

1. Geben Sie für **Filter** den Typ des zu protokollierenden Verkehrs an. Wählen Sie **All (Alle)** aus, um sämtlichen akzeptierten und abgelehnten Datenverkehr, **Reject (Ablehnen)**, um nur abgelehnten Datenverkehr, oder **Accept (Akzeptieren)**, um nur akzeptierten Datenverkehr aufzuzeichnen.

1. Wählen Sie unter **Maximum aggregation interval (Maximales Aggregationsintervall)** den maximalen Zeitraum aus, in dem ein Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird.

1. Wählen Sie als **Ziel** die Option An ** CloudWatchProtokolle senden** aus.

1. Wählen Sie für **Zielprotokollgruppe** den Namen einer vorhandenen Protokollgruppe aus oder geben Sie den Namen einer neuen Protokollgruppe ein. Wenn Sie einen Namen eingeben, erstellen wir die Protokollgruppe, wenn Datenverkehr protokolliert werden muss.

1. Wählen Sie für **den Dienstzugriff** eine bestehende [IAM-Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) aus, die berechtigt ist, Logs in CloudWatch Logs zu veröffentlichen, oder erstellen Sie eine neue Servicerolle.

1. Für **Log record format (Datensatzformat protokollieren)** wählen Sie das Format für den Flow-Protokolldatensatz aus.
   + Wenn Sie das Standardformat verwenden möchten, wählen Sie **AWS default format** (-Standardformat) aus.
   + Um ein benutzerdefiniertes Format zu verwenden, wählen Sie **Custom format (Benutzerdefiniertes Format)** und dann Felder aus **Log format (Format protokollieren)** aus.

1. Wählen Sie unter **Zusätzliche Metadaten** aus, ob Sie Metadaten von Amazon ECS in das Protokollformat einbeziehen möchten.

1. (Optional) Wählen Sie **Add new tag (Neuen Tag hinzufügen)** aus, um Tags auf das Flow-Protokoll anzuwenden.

1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.

**So erstellen Sie ein Flow-Protokoll mit der Befehlszeile**

Verwenden Sie einen der folgenden Befehle.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

Im folgenden AWS CLI Beispiel wird ein Flow-Protokoll erstellt, das den gesamten akzeptierten Datenverkehr für das angegebene Subnetz erfasst. Die Flow-Protokolle werden an die angegebene Protokollgruppe übermittelt. Der `--deliver-logs-permission-arn` Parameter gibt die IAM-Rolle an, die für die Veröffentlichung in Logs erforderlich ist. CloudWatch 

```
aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```

# Zeigen Sie Flow-Protokolldatensätze mit CloudWatch Logs an
<a name="view-flow-log-records-cwl"></a>

Sie können Ihre Flow-Protokolldatensätze in der CloudWatch Logs-Konsole anzeigen. Es kann nach dem Erstellen eines Flow-Protokolls einige Minuten dauern, bis das Protokoll in der Konsole angezeigt wird.

**Um die in Logs veröffentlichten CloudWatch Flow-Log-Datensätze mit der Konsole anzuzeigen**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.

1. Wählen Sie den Namen der Protokollgruppe aus, die Ihre Flow-Protokolle enthält, um die Detailseite zu öffnen.

1. Wählen Sie den Namen des Protokollstreams aus, der die Flow-Protokolldatensätze enthält. Weitere Informationen finden Sie unter [Flow-Protokolldatensätze](flow-log-records.md).

**Um die in CloudWatch Logs veröffentlichten Flow-Protokolldatensätze über die Befehlszeile anzuzeigen**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [CWLLogEreignis abrufen](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)

# Suche nach Flow-Protokoll-Datensätzen
<a name="search-flow-log-records-cwl"></a>

Sie können Ihre Flow-Log-Datensätze, die in CloudWatch Logs veröffentlicht wurden, mithilfe der CloudWatch Logs-Konsole durchsuchen. Sie können [Metrikfilter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) verwenden, um Flow-Protokolldatensätze zu filtern. Flow-Protokolldatensätze sind durch Leerzeichen getrennt.

**So suchen Sie mit der CloudWatch Logs-Konsole nach Flow-Log-Datensätzen**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.

1. Wählen Sie die Protokollgruppe mit Ihrem Flow-Protokoll und danach den Protokollstream aus, wenn Sie die Netzwerkschnittstelle kennen, nach der Sie suchen. Als alternative Vorgehensweise wählen Sie **Search log group** (Protokollgruppe suchen). Dies kann einige Zeit in Anspruch nehmen, wenn sich viele Netzwerkschnittstellen in Ihrer Protokollgruppe befinden oder je nach ausgewähltem Zeitbereich.

1. Geben Sie unter **Ereignisse filtern** die folgende Zeichenfolge ein. Hierbei wird davon ausgegangen, dass der Flow-Protokolldatensatz das [Standardformat](flow-log-records.md#flow-logs-default) verwendet.

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

1. Ändern Sie den Filter nach Bedarf, indem Sie Werte für die Felder angeben. In den folgenden Beispielen wird nach bestimmten Quell-IP-Adressen gefiltert.

   ```
   [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

   Die folgenden Beispiele filtern nach Zielport, Anzahl der Bytes und ob der Datenverkehr abgelehnt wurde.

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
   ```

# Protokolldatensätze für den Prozessablauf in CloudWatch Logs
<a name="process-records-cwl"></a>

Sie können Flow-Protokolldatensätze wie alle anderen von CloudWatch Logs erfassten Protokollereignisse verarbeiten. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

## Beispiel: Erstellen Sie einen CloudWatch Metrikfilter und einen Alarm für ein Flow-Protokoll
<a name="flow-logs-cw-alarm-example"></a>

In diesem Beispiel haben Sie ein Flow-Protokoll für `eni-1a2b3c4d`. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.

**So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.

1. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann **Actions (Aktionen)**, **Create metric filter (Metrikfilter erstellen)**.

1. Geben Sie für **Filter pattern** (Filtermuster) folgende Informationen ein.

   ```
   [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
   ```

1. Wählen Sie für **Select Log Data to Test (Die zu testenden Protokolldaten auswählen)** den Protokollstream Ihrer Netzwerkschnittstelle aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie **Test Pattern (Testmuster)**.

1. Wählen Sie danach **Next (Weiter)** aus.

1. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf 1 fest. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** und dann **Create metric filter (Metrikfilter erstellen)** aus.

1. Wählen Sie im Navigationsbereich **Alarms (Alarme)** und **All alarms (Alle Alarme)** aus.

1. Wählen Sie **Create alarm** (Alarm erstellen) aus.

1. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf **Metrik auswählen**.

1. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann **Weiter**:
   + Wählen Sie für **Statistic (Statistik)** **Sum (Summe)** aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.
   + Wählen Sie als **Period (Zeitraum)** **1 Hour (1 Stunde)** aus.
   + Denn **wann immer TimeSinceLastActive ist...** , wählen Sie **Größer/Gleich** und geben Sie 10 als Schwellenwert ein.
   + Belassen Sie für **Additional configuration (Zusätzliche Konfiguration)**, **Datapoints to alarm (Zu alarmierende Datenpunkte)** den Standardwert 1.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **Notification (Benachrichtigung)** ein vorhandenes SNS-Thema aus oder wählen Sie **Create new topic (Neues Thema erstellen)**, um ein neues zu erstellen. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie **Next (Weiter)**.

1. Wenn Sie mit der Vorschau des Alarms fertig sind, wählen Sie **Alarm erstellen** aus.

# Veröffentlichen von Flow-Protokollen auf Amazon S3
<a name="flow-logs-s3"></a>

Flow-Protokolle können Flow-Protokolldaten direkt in Amazon S3 veröffentlichen. Amazon S3 (Simple Storage Service) ist ein hochgradig skalierbarer und dauerhafter Objektspeicherservice. Er wurde entwickelt, um beliebige Datenmengen zu speichern und abzurufen, und zwar von jedem beliebigen Ort im Internet aus. S3 bietet branchenführende Haltbarkeit und Verfügbarkeit mit integrierten Features für die Versionsverwaltung von Daten, Verschlüsselung und Zugriffskontrolle.

Beim Veröffentlichen in Amazon S3 werden Flow-Protokolldaten in einem vorhandenen Amazon S3-Bucket veröffentlicht, den Sie zuvor angegeben haben. Flow-Protokolldatensätze für alle überwachten Netzwerkschnittstellen werden in eine Reihe von Protokolldateiobjekten veröffentlicht, die im Bucket abgelegt sind. Wenn das Flow-Protokoll Daten für eine VPC erfasst, veröffentlicht das Flow-Protokoll Flow-Protokolldatensätze für alle Netzwerkschnittstellen in der ausgewählten VPC.

Informationen zum Erstellen eines Amazon-S3-Buckets für die Verwendung mit Flow-Protokollen finden Sie unter [Erstellen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) im *Benutzerhandbuch zu Amazon S3*.

Weitere Informationen zur Optimierung der Erfassung von VPC-Flow-Logs, der Flow-Log-Verarbeitung und der Flow-Log-Visualisierung finden Sie unter [Centralized Logging with OpenSearch](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) in der Lösungsbibliothek. AWS 

Weitere Informationen zu CloudWatch Logs finden Sie unter [An Amazon S3 gesendete](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) Logs im *Amazon CloudWatch Logs-Benutzerhandbuch*.

**Preisgestaltung**  
Für die Dateneingabe und Archivierung fallen Gebühren für angebotene Protokolle an, wenn Sie Flow-Protokolle in Amazon S3 veröffentlichen. Weitere Informationen finden Sie unter [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), wählen Sie **Logs** aus und suchen Sie nach **Vended Logs**.

**Topics**
+ [Flow-Protokolldateien](flow-logs-s3-path.md)
+ [Amazon S3-Bucket-Berechtigungen für Flow-Protokolle](flow-logs-s3-permissions.md)
+ [Erforderliche Schlüsselrichtlinie zur Verwendung mit SSE-KMS](flow-logs-s3-cmk-policy.md)
+ [Amazon S3-Protokolldateiberechtigungen](flow-logs-file-permissions.md)
+ [Erstellen eines Flow-Protokolls, das in Amazon S3 veröffentlicht](flow-logs-s3-create-flow-log.md)
+ [Anzeigen von Flow-Protokolldatensätzen mit Amazon S3](view-flow-log-records-s3.md)

# Flow-Protokolldateien
<a name="flow-logs-s3-path"></a>

 VPC-Flow-Protokolle sammeln Daten über den IP-Datenverkehr zu und von Ihrer VPC in Protokolldatensätzen, fassen diese Datensätze in Protokolldateien zusammen und veröffentlichen die Protokolldateien dann in 5-Minuten-Intervallen im Amazon-S3-Bucket. Es können mehrere Dateien veröffentlicht werden und jede Protokolldatei kann einige oder alle Flow-Protokolldatensätze für den in den letzten fünf Minuten aufgezeichneten IP-Datenverkehr enthalten. 

In Amazon S3 gibt das Feld **Last modified (Zuletzt geändert)** für die FLow-Protokolldatei Datum und Uhrzeit an, zu dem/der die Datei in den Amazon S3-Bucket hochgeladen wurde. Dieser Zeitpunkt ist später als der Zeitstempel im Dateinamen und die Differenz ist die Zeitspanne, die zum Upload der Datei in den Amazon S3-Bucket benötigt wird.

**Protokolldateiformat**

Sie können eines der folgenden Formate für die Protokolldateien festlegen. Jede Datei wird in eine einzelne Gzip-Datei komprimiert.
+ **Text** – Klartext. Dies ist das Standardformat.
+ **Parquet** – Apache Parquet ist ein spaltenförmiges Datenformat. Abfragen zu Daten im Parquet-Format sind 10 bis 100 Mal schneller im Vergleich zu Abfragen zu Daten im Klartext. Daten im Parquet-Format mit Gzip-Komprimierung benötigen 20 Prozent weniger Speicherplatz als Nur-Text bei Gzip-Komprimierung.

**Anmerkung**  
Wenn Daten im Parquet-Format mit Gzip-Komprimierung weniger als 100 KB pro Aggregationszeitraum betragen, kann das Speichern von Daten im Parquet-Format aufgrund der Speicheranforderungen für die Parquet-Datei mehr Speicherplatz beanspruchen als Klartext mit Gzip-Komprimierung.

**Protokolldateioptionen**

Optional können Sie folgende Optionen angeben.
+ **HIVE-kompatible S3-Präfixe** – Aktivieren Sie HIVE-kompatible Präfixe, anstatt Partitionen in Ihre HIVE-kompatiblen Tools zu importieren. Bevor Sie Abfragen ausführen, verwenden Sie den **MSCK REPAIR TABLE**-Befehl.
+ **Stündliche Partitionen** – Wenn Sie über eine große Anzahl von Protokollen verfügen und Abfragen normalerweise auf eine bestimmte Stunde richten, können Sie schnellere Ergebnisse erzielen und Abfragekosten sparen, indem Sie Protokolle stündlich partitionieren.

**S3-Bucket-Struktur der Protokolldatei**  
Protokolldateien werden im angegebenen Amazon-S3-Bucket mit einer Ordnerstruktur gespeichert, die auf der ID, der Region, dem Erstellungsdatum und den Zieloptionen des Flow-Protokolls basiert.

Standardmäßig werden die Dateien an den folgenden Speicherort geliefert.

```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```

Wenn Sie HIVE-kompatible S3-Präfixe aktivieren, werden die Dateien an den folgenden Speicherort geliefert.

```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```

Wenn Sie stündliche Partitionen aktivieren, werden die Dateien an den folgenden Speicherort geliefert.

```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```

Wenn Sie HIVE-kompatible Partitionen aktivieren und das Flow-Protokoll pro Stunde partitionieren, werden die Dateien an den folgenden Speicherort geliefert.

```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```

**Protokolldateinamen**  
Der Dateiname einer Protokolldatei basiert auf der Flow-Protokoll-ID, der Region sowie dem Erstellungsdatum und der Uhrzeit. Dateinamen verwenden das folgende Format:

```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```

Im Folgenden sehen Sie ein Beispiel für eine Protokolldatei für ein Flow-Protokoll, das von AWS -Konto 123456789012 für eine Ressource in der us-east-1-Region am June 20, 2018 um 16:20 UTC erstellt wurde. Die Datei enthält die Flow-Protokolldatensätze mit einer Endzeit zwischen 16:20:00 und 16:24:59.

```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```

# Amazon S3-Bucket-Berechtigungen für Flow-Protokolle
<a name="flow-logs-s3-permissions"></a>

Standardmäßig sind Amazon S3-Buckets und die darin enthaltenen Objekte privat. Nur der Bucket-Besitzer kann auf den Bucket und die darin gespeicherten Objekte zugreifen. Der Bucket-Besitzer kann jedoch anderen Ressourcen und Benutzern Zugriffsberechtigungen erteilen, indem er eine Zugriffsrichtlinie schreibt.

Wenn der Benutzer, der das Flow-Protokoll erstellt, Eigentümer des Buckets ist und `PutBucketPolicy`- und `GetBucketPolicy`-Berechtigungen für den Bucket besitzt, fügen wir automatisch die folgende Richtlinie an den Bucket an. Diese Richtlinie überschreibt alle vorhandenen Richtlinien, die bereits an den Bucket angefügt sind.

Ansonsten muss der Bucket-Eigentümer diese Richtlinie zum Bucket hinzufügen und dabei die AWS -Konto-ID des Flow-Protokoll-Erstellers oder die Erstellung des Flow-Logs schlägt fehl. Weitere Informationen finden Sie unter [Verwenden von Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
                }
            }
        }
    ]
}
```

------

Der ARN, für den Sie angeben, *my-s3-arn* hängt davon ab, ob Sie HIVE-kompatible S3-Präfixe verwenden.
+ Standardpräfixe

  ```
  arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
  ```
+ HIVE-kompatible S3-Präfixe

  ```
  arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
  ```

Es hat sich bewährt, diese Berechtigungen nicht einer Einzelperson, sondern dem Prinzipal des Protokollzustellungsdienstes zu erteilen. AWS-Konto ARNs Es ist auch eine bewährte Methode, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zum Schutz vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu verwenden. Das Quellkonto ist der Eigentümer des Flow-Protokolls und der Quell-ARN ist der Platzhalter-AARN (\$1) des Protokolldienstes.

Beachten Sie, dass der Service zur Protokollbereitstellung die `HeadBucket`-Amazon-S3-API-Aktion aufruft, um die Existenz und den Speicherort des S3-Buckets zu überprüfen. Sie müssen dem Service zur Protokollbereitstellung nicht die Erlaubnis erteilen, diese Aktion aufzurufen. Der Service stellt trotzdem VPC-Flow-Protokolle bereit, auch wenn er nicht bestätigen kann, dass der S3-Bucket existiert und wo er sich befindet. In Ihren CloudTrail Protokollen wird jedoch ein `AccessDenied` Fehler `HeadBucket` beim Aufruf von auftreten.

# Erforderliche Schlüsselrichtlinie zur Verwendung mit SSE-KMS
<a name="flow-logs-s3-cmk-policy"></a>

Sie können die Daten in Ihrem Amazon-S3-Bucket schützen, indem Sie entweder Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder Serverseitige Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) für Ihr S3-Bucket aktivieren. Weitere Informationen finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) im *Amazon S3-Entwicklerhandbuch*.

Wenn Sie SSE-S3 wählen, ist keine zusätzliche Konfiguration erforderlich. Amazon S3 verarbeitet den Verschlüsselungsschlüssel.

Wenn Sie sich für SSE-KMS entscheiden, müssen Sie einen vom Kunden verwalteten Schlüssel-ARN verwenden. Wenn Sie eine Schlüssel-ID verwenden, kann beim Erstellen eines Flow-Protokolls ein [LogDestination nicht zustellbar](flow-logs-troubleshooting.md#flow-logs-troubleshooting-kms-id)-Fehler auftreten. Sie müssen die Schlüsselrichtlinie für Ihren vom Kunden verwalteten Schlüssel aktualisieren, damit das Protokollzustellungskonto in Ihren S3-Bucket schreiben kann. Weitere Informationen zur erforderlichen Schlüsselrichtlinie für die Verwendung mit SSE-KMS finden Sie unter [serverseitige Verschlüsselung des Amazon S3 S3-Buckets](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

# Amazon S3-Protokolldateiberechtigungen
<a name="flow-logs-file-permissions"></a>

Zusätzlich zu den erforderlichen Bucket-Richtlinien verwendet Amazon S3 Zugriffskontrolllisten (ACLs), um den Zugriff auf die von einem Flow-Protokoll erstellten Protokolldateien zu verwalten. Standardmäßig hat der Bucket-Eigentümer `FULL_CONTROL`-Berechtigungen für jede Protokolldatei. Der Protokollbereitstellungseigentümer hat keine Berechtigungen, wenn er nicht gleichzeitig der Bucket-Eigentümer ist. Das Konto für die Protokollbereitstellung hat `READ`- und `WRITE`-Berechtigungen. Weitere Informationen finden Sie unter [Zugriffssteuerungslisten (ACL) – Übersicht](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon-S3-Benutzerhandbuch*.

# Erstellen eines Flow-Protokolls, das in Amazon S3 veröffentlicht
<a name="flow-logs-s3-create-flow-log"></a>

Nachdem Sie Ihren Amazon S3 S3-Bucket erstellt und konfiguriert haben, können Sie Flow-Logs für Ihre Netzwerkschnittstellen, Subnetze und VPCs erstellen.

**Voraussetzung**

Der IAM-Prinzipal, der das Flow-Protokoll erstellt, muss eine IAM-Rolle verwenden, die über die folgenden Berechtigungen verfügt, die für die Veröffentlichung von Flow-Protokollen im Amazon-S3-Ziel-Bucket erforderlich sind.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:DeleteLogDelivery"
      ],
      "Resource": "*"
    }
  ]
}
```

------

**So erstellen Sie ein Flow-Protokoll mithilfe der Konsole**

1. Führen Sie eine der folgenden Aktionen aus:
   + Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Wählen Sie im Navigationsbereich **Network Interfaces** aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Ihr VPCs**. Aktivieren Sie das Kontrollkästchen für die VPC.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Subnetze** aus. Aktivieren Sie das Kontrollkästchen für das Subnetz.

1. Klicken Sie auf **Actions (Aktionen)**, **Create flow log (Flow-Protokoll erstellen)**.

1. Geben Sie für **Filter** den Typ der zu protokollierenden IP-Verkehrsdaten an.
   + **Akzeptieren** – Nur akzeptierten Datenverkehr protokollieren.
   + **Ablehnen** – Nur abgelehnten Datenverkehr protokollieren.
   + **Alle** – Akzeptierten und abgelehnten Verkehr protokollieren.

1. Wählen Sie unter **Maximum aggregation interval (Maximales Aggregationsintervall)** den maximalen Zeitraum aus, in dem ein Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird.

1. Wählen Sie für **Destination (Ziel)** die Option **Send to an Amazon S3 bucket (An einen Amazon S3-Bucket senden)**.

1. Geben Sie für **S3 bucket ARN (S3-Bucket-ARN)** den Amazon-Ressourcennamen (ARN) eines vorhandenen Amazon S3-Buckets an. Sie können optional einen Unterordner einfügen. Um beispielsweise den Unterordner `my-logs` im Bucket `my-bucket` anzugeben, verwenden Sie den folgenden ARN:

   `arn:aws:s3:::my-bucket/my-logs/`

   Der Bucket kann als Unterordnername nicht `AWSLogs` verwenden, da dieser Begriff reserviert ist.

   Wenn Sie der Eigentümer des Buckets sind, erstellen wir automatisch eine Ressourcenrichtlinie und fügen sie dem Bucket hinzu. Weitere Informationen finden Sie unter [Amazon S3-Bucket-Berechtigungen für Flow-Protokolle](flow-logs-s3-permissions.md).

1. Für **Log record format (Datensatzformat protokollieren)** geben Sie das Format für den Flow-Protokolldatensatz an.
   + Wenn Sie das Standardformat für Flow-Protokolldatensätze verwenden möchten, wählen Sie **AWS default format (-Standardformat)**.
   + Wenn Sie ein benutzerdefiniertes Format erstellen möchten, wählen Sie **Custom format (Benutzerdefiniertes Format)**. Wählen Sie für **Protokollformat** die Felder, die im Flow-Protokolldatensatz berücksichtigt werden sollen.

1. Wählen Sie unter **Zusätzliche Metadaten** aus, ob Sie Metadaten von Amazon ECS in das Protokollformat einbeziehen möchten.

1. Geben Sie für **Log file format (Protokolldateiformat)** das Format für die Protokolldatei an.
   + **Text** – Klartext. Dies ist das Standardformat.
   + **Parquet** – Apache Parquet ist ein spaltenförmiges Datenformat. Abfragen zu Daten im Parquet-Format sind 10 bis 100 Mal schneller im Vergleich zu Abfragen zu Daten im Klartext. Daten im Parquet-Format mit Gzip-Komprimierung benötigen 20 Prozent weniger Speicherplatz als Nur-Text bei Gzip-Komprimierung.

1. (Optional) Um Hive-kompatible S3-Präfixe zu verwenden, wählen Sie **Hive-compatible S3 prefix (Hive-kompatibles S3-Präfix)**, **Enable (Aktivieren)**.

1. (Optional) Um Ihre Flow-Protokolle pro Stunde zu partitionieren, wählen Sie **Every 1 hour (60 mins) (Jede 1 Stunde (60 Minuten))**.

1. (Optional) Um dem Flow-Protokoll ein Tag hinzuzufügen, wählen Sie **Add new tag (Neues Tag hinzufügen)** und geben Sie den Tag-Schlüssel und -Wert an.

1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.

**So erstellen Sie ein Flow-Protokoll, das mithilfe der Befehlszeile in Amazon S3 veröffentlicht**

Verwenden Sie einen der folgenden Befehle:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

Das folgende AWS CLI Beispiel erstellt ein Flow-Protokoll, das den gesamten Datenverkehr für die angegebene VPC erfasst und die Flow-Logs an den angegebenen Amazon S3 S3-Bucket übermittelt. Der Parameter `--log-format` legt ein benutzerdefiniertes Format für die Flow-Protokolldatensätze fest.

```
aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'
```

# Anzeigen von Flow-Protokolldatensätzen mit Amazon S3
<a name="view-flow-log-records-s3"></a>

Sie können Ihre Flow-Protokolle mit der Amazon-S3-Konsole anzeigen. Es kann nach dem Erstellen eines Flow-Protokolls einige Minuten dauern, bis das Protokoll in der Konsole angezeigt wird.

Die Protokolldateien werden komprimiert. Wenn Sie die Protokolldateien unter Verwendung der Amazon S3-Konsole öffnen, werden sie dekomprimiert und die Flow-Protokolldatensätze werden angezeigt. Wenn Sie die Dateien herunterladen, müssen Sie sie dekomprimieren, um die Flow-Protokolldatensätze anzuzeigen.

**So zeigen Sie in Amazon S3 veröffentlichte Flow-Protokolldatensätze an**

1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Wählen Sie den Namen des Buckets aus, um seine Detailseite zu öffnen.

1. Navigieren Sie zu dem Ordner mit den Protokolldateien. Zum Beispiel*prefix*//AWSLogs*account\$1id**region*/vpcflowlogs////. *year* *month* *day*

1. Aktivieren Sie das Kontrollkästchen neben dem Dateinamen und wählen Sie dann **Download** (Herunterladen).

Sie können die Flow-Protokolldatensätze in den Protokolldateien auch mit Amazon Athena abfragen. Amazon Athena ist ein interaktiver Abfrageservice, der die Analyse von Daten in Amazon S3 mit Standard-SQL erleichtert. Weitere Informationen finden Sie unter [Abfragen von Amazon VPC Flow-Protokollen](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) im *Amazon Athena-Benutzerhandbuch*.

# Veröffentlichen von Flow-Protokollen in Amazon Data Firehose
<a name="flow-logs-firehose"></a>

Flow-Protokolle können Flow-Protokolldaten direkt in Amazon Data Firehose veröffentlichen. Amazon Data Firehose ist ein vollständig verwalteter Service, der Datenströme in Echtzeit sammelt, transformiert und in verschiedene AWS Datenspeicher und Analysedienste überträgt. Er übernimmt die Datenerfassung in Ihrem Namen.

Wenn es um VPC-Flow-Protokolle geht, kann Firehose nützlich sein. VPC-Flow-Protokolle erfassen Informationen zum IP-Datenverkehr zu und von Netzwerkschnittstellen in Ihrer VPC. Diese Daten können für die Sicherheitsüberwachung, die Leistungsanalyse und die Einhaltung von Vorschriften entscheidend sein. Allerdings kann die Verwaltung der Speicherung und Verarbeitung dieses kontinuierlichen Stroms von Protokolldaten eine komplexe und ressourcenintensive Aufgabe sein.

Durch die Integration von Firehose in Ihre VPC-Flow-Protokolle können Sie diese Daten für Ihr bevorzugtes Ziel wie Amazon S3 oder Amazon Redshift bereitstellen. Firehose wird so skaliert, dass es die Erfassung, Transformation und Bereitstellung Ihrer VPC-Flow-Protokolle übernimmt und Sie von der operativen Last befreit. So können Sie sich auf die Analyse der Protokolle und die Ableitung von Erkenntnissen konzentrieren, anstatt sich Gedanken über die zugrunde liegende Infrastruktur machen zu müssen.

Darüber hinaus bietet Firehose Features wie Datentransformation, Komprimierung und Verschlüsselung, die die Effizienz und Sicherheit Ihrer Verarbeitungspipeline für VPC-Flow-Protokolle verbessern können. Die Verwendung von Firehose für VPC-Flow-Protokolle kann Ihre Datenverwaltung vereinfachen und ermöglicht es Ihnen, Erkenntnisse aus Ihren Netzwerkverkehrsdaten zu gewinnen. 

Wenn Sie in Amazon Data Firehose veröffentlichen, werden Flow-Protokolldaten in einem Bereitstellungsstream von Amazon Data Firehose im reinen Textformat veröffentlicht.

**Preisgestaltung**  
Es fallen die üblichen Kosten für Einnahme und Lieferung an. Weitere Informationen finden Sie unter [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), wählen Sie **Logs** aus und suchen Sie nach **Vended Logs**.

**Topics**
+ [IAM-Rollen für die kontoübergreifende Bereitstellung](firehose-cross-account-delivery.md)
+ [Erstellen eines Flow-Protokolls, das in Amazon Data Firehose veröffentlicht](flow-logs-firehose-create-flow-log.md)

# IAM-Rollen für die kontoübergreifende Bereitstellung
<a name="firehose-cross-account-delivery"></a>

Wenn Sie in Amazon Data Firehose veröffentlichen, können Sie einen Bereitstellungsstream auswählen, der sich in demselben Konto wie die zu überwachende Ressource (das Quellkonto) oder in einem anderen Konto (dem Zielkonto) befindet. Um die kontenübergreifende Übermittlung von Flow-Protokollen an Amazon Data Firehose zu ermöglichen, müssen Sie eine IAM-Rolle im Quellkonto und eine IAM-Rolle im Zielkonto erstellen.

**Topics**
+ [Rolle des Quellkontos](#firehose-source-account-role)
+ [Rolle des Zielkontos](#firehose-destination-account-role)

## Rolle des Quellkontos
<a name="firehose-source-account-role"></a>

Erstellen Sie im Quellkonto eine Rolle, die die folgenden Berechtigungen gewährt. In diesem Beispiel lautet der Name der Rolle `mySourceRole`, allerdings können Sie einen anderen Namen für diese Rolle wählen. Die letzte Anweisung ermöglicht es der Rolle im Zielkonto, diese Rolle zu übernehmen. Die Bedingungsanweisungen stellen sicher, dass diese Rolle nur an den Protokollbereitstellungsservice und nur beim Überwachen der angegebenen Ressource übergeben wird. Wenn Sie Ihre Richtlinie erstellen, geben Sie die VPCs Netzwerkschnittstellen oder Subnetze, die Sie überwachen, mit dem Bedingungsschlüssel an. `iam:AssociatedResourceARN`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/mySourceRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "delivery.logs.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-00112233344556677"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:GetLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
        }
    ]
}
```

------

Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Protokollservice erlaubt, die Rolle zu übernehmen.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Führen Sie aus dem Quellkonto die folgenden Schritte zum Erstellen der Rolle aus.

**So erstellen Sie die Rolle des Quellkontos**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Führen Sie auf der Seite **Create policy (Richtlinie erstellen)** die folgenden Schritte aus:

   1. Wählen Sie **JSON**.

   1. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie einen Namen und eine optionale Beschreibung sowie Tags für Ihre Richtlinie ein und wählen Sie dann **Richtlinie erstellen** aus.

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role** (Rolle erstellen) aus.

1. Für **Trusted entity type** (Vertrauenstyp der Entität), wählen Sie **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie). Für **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie `"Principal": {},` mit dem Folgenden, was den Protokollbereitstellungsdienst spezifiziert. Wählen Sie **Weiter** aus.

   ```
   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },
   ```

1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend **Next** (Weiter).

1. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.

1. Wählen Sie **Rolle erstellen** aus.

## Rolle des Zielkontos
<a name="firehose-destination-account-role"></a>

Erstellen Sie im Zielkonto eine Rolle mit einem Namen, der mit **AWSLogDeliveryFirehoseCrossAccountRole**beginnt. Die Rolle muss die folgenden Berechtigungen enthalten.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Stellen Sie sicher, dass diese Rolle über die folgende Vertrauensrichtlinie verfügt, mit der die Rolle, die Sie im Quellkonto erstellt haben, diese Rolle übernehmen kann.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/mySourceRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Führen Sie vom Quellkonto die folgenden Schritte zum Erstellen der Rolle aus.

**So erstellen Sie die Rolle des Zielkontos**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Führen Sie auf der Seite **Create policy (Richtlinie erstellen)** die folgenden Schritte aus:

   1. Wählen Sie **JSON**.

   1. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.

   1. Wählen Sie **Weiter** aus.

   1. Geben Sie einen Namen für Ihre Richtlinie ein, der mit beginnt **AWSLogDeliveryFirehoseCrossAccountRole**, und wählen Sie dann **Richtlinie erstellen** aus.

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role** (Rolle erstellen) aus.

1. Für **Trusted entity type** (Vertrauenstyp der Entität), wählen Sie **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie). Für **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie `"Principal": {},` mit dem Folgenden, was die Rolle des Quellkontos angibt. Wählen Sie **Weiter** aus.

   ```
   "Principal": {
      "AWS": "arn:aws:iam::source-account:role/mySourceRole"
   },
   ```

1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend **Next** (Weiter).

1. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.

1. Wählen Sie **Rolle erstellen** aus.

# Erstellen eines Flow-Protokolls, das in Amazon Data Firehose veröffentlicht
<a name="flow-logs-firehose-create-flow-log"></a>

Sie können Flow-Logs für Ihre VPCs Subnetze oder Netzwerkschnittstellen erstellen.

**Voraussetzungen**
+ Erstellen Sie einen Ziel-Bereitstellungsstream für Amazon Data Firehose. Verwenden Sie **Direct Put** als Quelle. Weitere Informationen finden Sie unter [Creating an Amazon Data Firehose delivery stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ Das Konto, das das Flow-Protokoll erstellt, muss eine IAM-Rolle verwenden, die die folgenden Berechtigungen zum Veröffentlichen von Flow-Protokollen in Amazon Data Firehose gewährt. 

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogDelivery",
                  "logs:DeleteLogDelivery",
                  "iam:CreateServiceLinkedRole",
                  "firehose:TagDeliveryStream"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Wenn Sie Flow-Protokolle in einem anderen Konto veröffentlichen, erstellen Sie die erforderlichen IAM-Rollen, wie unter [IAM-Rollen für die kontoübergreifende Bereitstellung](firehose-cross-account-delivery.md) beschrieben.

**So erstellen Sie ein Flow-Protokolls, das in Amazon Data Firehose veröffentlicht**

1. Führen Sie eine der folgenden Aktionen aus:
   + Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Wählen Sie im Navigationsbereich **Network Interfaces** aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). **Wählen Sie im Navigationsbereich Ihr. VPCs** Aktivieren Sie das Kontrollkästchen für die VPC.
   + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Subnetze** aus. Aktivieren Sie das Kontrollkästchen für das Subnetz.

1. Klicken Sie auf **Actions (Aktionen)**, **Create flow log (Flow-Protokoll erstellen)**.

1. Geben Sie für **Filter** den Typ des zu protokollierenden Verkehrs an.
   + **Accept** (Akzeptieren) – Nur akzeptierten Datenverkehr protokollieren
   + **Reject** (Ablehnen) – Nur abgelehnten Datenverkehr protokollieren
   + **All** (Alle) – Akzeptierten und abgelehnten Verkehr protokollieren

1. Wählen Sie unter **Maximum aggregation interval (Maximales Aggregationsintervall)** den maximalen Zeitraum aus, in dem ein Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird.

1. Wählen Sie für **Destination** (Ziel) eine der folgenden Optionen:
   + **An Amazon Data Firehose im selben Konto senden** – Der Bereitstellungsstream und die zu überwachende Ressource befinden sich im selben Konto.
   + **An Amazon Data Firehose in einem anderen Konto senden** – Der Bereitstellungsstream und die zu überwachende Ressource befinden sich in unterschiedlichen Konten.

1. Wählen Sie für den Stream-Namen von **Amazon Data Firehose** den Bereitstellungsstream aus, den Sie erstellt haben.

1. [Nur kontoübergreifende Bereitstellung] Wählen Sie für den **Servicezugriff** eine bestehende [IAM-Servicerolle für die kontoübergreifende Bereitstellung](firehose-cross-account-delivery.md) aus, die über die Berechtigungen zum Veröffentlichen von Protokollen verfügt, oder wählen Sie **Berechtigungen einrichten** aus, um die IAM-Konsole zu öffnen und eine Servicerolle zu erstellen.

1. Für **Log record format (Datensatzformat protokollieren)** geben Sie das Format für den Flow-Protokolldatensatz an.
   + Wenn Sie das Standardformat für Flow-Protokolldatensätze verwenden möchten, wählen Sie **AWS default format (-Standardformat)**.
   + Wenn Sie ein benutzerdefiniertes Format erstellen möchten, wählen Sie **Custom format (Benutzerdefiniertes Format)**. Wählen Sie für **Protokollformat** die Felder, die im Flow-Protokolldatensatz berücksichtigt werden sollen.

1. Wählen Sie unter **Zusätzliche Metadaten** aus, ob Sie Metadaten von Amazon ECS in das Protokollformat einbeziehen möchten.

1. (Optional) Wählen Sie **Tag hinzufügen** aus, um Tags auf das Flow-Protokoll anzuwenden.

1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.

**So erstellen Sie ein Flow-Protokoll, das in Amazon Data Firehose veröffentlicht wird, mithilfe der Befehlszeile**

Verwenden Sie einen der folgenden Befehle:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

Im folgenden AWS CLI Beispiel wird ein Flow-Protokoll erstellt, das den gesamten Datenverkehr für die angegebene VPC erfasst und die Flow-Protokolle an den angegebenen Amazon Data Firehose-Lieferstream im selben Konto übermittelt.

```
aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
```

Im folgenden AWS CLI Beispiel wird ein Flow-Protokoll erstellt, das den gesamten Datenverkehr für die angegebene VPC erfasst und die Flow-Protokolle an den angegebenen Amazon Data Firehose-Lieferstream in einem anderen Konto übermittelt.

```
aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
  --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \ 
  --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```

Nach der Erstellung des Flow-Protokolls können Sie die Flow-Protokolldaten von dem Ziel abrufen, das Sie für den Bereitstellungsstream konfiguriert haben.

# Abfragen von Flow-Protokollen mit Amazon Athena
<a name="flow-logs-athena"></a>

Amazon Athena ist ein interaktiver Abfrageservice, mit dem Sie Daten in Amazon S3, wie Ihre Flow-Protokolle, mithilfe von Standard-SQL analysieren können. Sie können Athena mit VPC Flow Logs verwenden, um schnell umsetzbare Einblicke in den Verkehr zu erhalten, der durch Ihre VPC fließt. Sie können beispielsweise ermitteln, welche Ressourcen in Ihren virtuellen privaten Clouds (VPCs) am häufigsten sprechen, oder Sie können die IP-Adressen mit den am häufigsten abgelehnten TCP-Verbindungen ermitteln.

**Optionen**
+ Sie können die Integration Ihrer VPC-Flow-Logs mit Athena optimieren und automatisieren, indem Sie eine CloudFormation Vorlage generieren, die die erforderlichen AWS Ressourcen und vordefinierten Abfragen erstellt, die Sie ausführen können, um Einblicke in den Datenverkehr zu erhalten, der durch Ihre VPC fließt.
+ Sie können eigene Abfragen mit Athena erstellen. Weitere Informationen finden Sie unter [Abfragen von Flow-Protokollen mit Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) im *Amazon Athena-Benutzerhandbuch*.

**Preisgestaltung**  
Für die Durchführung von Anfragen fallen Ihnen standardmäßige [Amazon Athena-Gebühren](https://aws.amazon.com/athena/pricing/) an. Es fallen Ihnen standardmäßige [AWS Lambda -Gebühren](https://aws.amazon.com/lambda/pricing/) für die Lambda-Funktion an, die neue Partitionen nach einem wiederkehrenden Zeitplan lädt (wenn Sie eine Partitionsladehäufigkeit, aber kein Start- und Enddatum angeben).

**Topics**
+ [Generieren Sie die Vorlage mithilfe der Konsole CloudFormation](flow-logs-generate-template-console.md)
+ [CloudFormation Generieren Sie die Vorlage mit dem AWS CLI](flow-logs-generate-template-cli.md)
+ [Ausführen einer vordefinierten Abfrage](flow-logs-run-athena-query.md)

# Generieren Sie die Vorlage mithilfe der Konsole CloudFormation
<a name="flow-logs-generate-template-console"></a>

Nachdem die ersten Flow-Logs an Ihren S3-Bucket geliefert wurden, können Sie Athena integrieren, indem Sie eine CloudFormation Vorlage generieren und die Vorlage verwenden, um einen Stack zu erstellen.

**Voraussetzungen**
+ Die ausgewählte Region muss Amazon Athena unterstützen AWS Lambda .
+ Die Amazon S3-Buckets müssen sich in der ausgewählten Region befinden.
+ Das Protokollsatzformat für das Ablaufprotokoll muss die Felder enthalten, die von den spezifischen vordefinierten Abfragen, die Sie ausführen möchten, verwendet werden.

**So generieren Sie die Vorlage mit der Konsole**

1. Führen Sie eine der folgenden Aufgaben aus:
   + Öffnen Sie die Amazon VPC-Konsole. Wählen Sie im Navigationsbereich **Ihre VPCs** und dann Ihre VPC aus.
   + Öffnen Sie die Amazon VPC-Konsole. Wählen Sie im Navigationsbereich die Option **Subnets (Subnetze)** und dann Ihr Subnetz aus.
   + Öffnen Sie die Amazon EC2-Konsole. Klicken Sie im Navigationsbereich auf **Network Interfaces (Netzwerkschnittstellen)** und dann Ihre Netzwerkschnittstelle aus.

1. Wählen Sie auf der Registerkarte **Flow logs (Flow-Protokolle)** ein Flow-Protokoll aus, das in Amazon S3 veröffentlicht wird, und wählen Sie dann **Actions (Aktionen)**, **Generate Athena Integration (Athena-Integration generieren)** aus.

1. Geben Sie die Ladehäufigkeit der Partition an. Wenn Sie **None (Keine)** wählen, müssen Sie das Start- und Enddatum der Partition unter Verwendung von in der Vergangenheit liegenden Daten angeben. Wenn Sie **Daily (Täglich)**, **Weekly (Wöchentlich)** oder **Monthly (Monatlich)** auswählen, sind das Start- und Enddatum der Partition optional. Wenn Sie kein Start- und Enddatum angeben, erstellt die CloudFormation Vorlage eine Lambda-Funktion, die neue Partitionen nach einem wiederkehrenden Zeitplan lädt.

1. Wählen oder erstellen Sie einen S3-Bucket für die generierte Vorlage und einen S3-Bucket für die Abfrageergebnisse.

1. Wählen Sie **Generate Athena Integration (Athena-Integration generieren** aus.

1. (Optional) Wählen Sie in der Erfolgsmeldung den Link aus, um zu dem Bucket zu navigieren, den Sie für die CloudFormation Vorlage angegeben haben, und passen Sie die Vorlage an.

1. Wählen Sie in der Erfolgsmeldung **Create CloudFormation Stack** aus, um den Assistenten **Create Stack** in der CloudFormation Konsole zu öffnen. Die URL für die generierte CloudFormation Vorlage ist im Abschnitt **Vorlage** angegeben. Schließen Sie den Assistenten ab, um die Ressourcen zu erstellen, die in der Vorlage angegeben sind.

**Mit der CloudFormation Vorlage erstellte Ressourcen**
+ Eine Athena-Datenbank. Der Datenbankname lautet *flow-logs-subscription-id*vpcflowlogsathenadatabase< >.
+ Eine Athena-Arbeitsgruppe. **Der Name der Arbeitsgruppe lautet < >< >< Startdatum >< Enddatum >Arbeitsgruppe *flow-log-subscription-id*partition-load-frequency****
+ Eine partitionierte Athena-Tabelle, die Ihren Flow-Protokolldatensätzen entspricht. **Der Tabellenname lautet < >< >< Startdatum >< Enddatum >. *flow-log-subscription-id*partition-load-frequency****
+ Eine Gruppe von Athena-benannten Abfragen. Weitere Informationen finden Sie unter [Vordefinierte Abfragen](flow-logs-run-athena-query.md#predefined-queries).
+ Eine Lambda-Funktion, die neue Partitionen nach dem angegebenen Zeitplan (täglich, wöchentlich oder monatlich) in die Tabelle lädt.
+ Eine IAM-Rolle, die die Berechtigung zum Ausführen der Lambda-Funktionen gewährt.

# CloudFormation Generieren Sie die Vorlage mit dem AWS CLI
<a name="flow-logs-generate-template-cli"></a>

Nachdem die ersten Flow-Logs an Ihren S3-Bucket übermittelt wurden, können Sie eine CloudFormation Vorlage für die Integration mit Athena generieren und verwenden.

Verwenden Sie den folgenden Befehl [get-flow-logs-integration-template](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-flow-logs-integration-template.html), um die CloudFormation Vorlage zu generieren.

```
aws ec2 get-flow-logs-integration-template --cli-input-json file://config.json
```

Das folgende Beispiel zeigt eine `config.json`-Datei.

```
{
    "FlowLogId": "fl-12345678901234567",
    "ConfigDeliveryS3DestinationArn": "arn:aws:s3:::my-flow-logs-athena-integration/templates/",
    "IntegrateServices": {
        "AthenaIntegrations": [
            {
                "IntegrationResultS3DestinationArn": "arn:aws:s3:::my-flow-logs-analysis/athena-query-results/",
                "PartitionLoadFrequency": "monthly",
                "PartitionStartDate": "2021-01-01T00:00:00",
                "PartitionEndDate": "2021-12-31T00:00:00"
            }
        ]
    }
}
```

Verwenden Sie den folgenden Befehl [create-stack](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html), um einen Stack mit der generierten Vorlage zu erstellen. CloudFormation 

```
aws cloudformation create-stack --stack-name my-vpc-flow-logs --template-body file://my-cloudformation-template.json
```

# Ausführen einer vordefinierten Abfrage
<a name="flow-logs-run-athena-query"></a>

Die generierte CloudFormation Vorlage enthält eine Reihe vordefinierter Abfragen, die Sie ausführen können, um schnell aussagekräftige Einblicke in den Datenverkehr in Ihrem AWS Netzwerk zu erhalten. Nachdem Sie den Stack erstellt und überprüft haben, ob alle Ressourcen korrekt erstellt wurden, können Sie eine der vordefinierten Abfragen ausführen.

**So führen Sie eine vordefinierte Abfrage mit der Konsole aus**

1. Öffnen Sie die Athena-Konsole.

1. Wählen Sie im Navigationsbereich die Option **Query Editor** (Abfrage-Editor) aus. Wählen Sie unter **Arbeitsgruppe** die Arbeitsgruppe aus, die mit der CloudFormation Vorlage erstellt wurde.

1. Wählen Sie **Saved queries** (Gespeicherte Abfragen) aus, wählen Sie eine Abfrage aus, ändern Sie die Parameter nach Bedarf und führen Sie dann die Abfrage aus. Eine Liste der verfügbaren vordefinierten Abfragen finden Sie unter [Predefined queries](#predefined-queries) (Vordefinierte Abfragen).

1. Sehen Sie sich unter **Query results** (Abfrageergebnisse) die Abfrageergebnisse an.

## Vordefinierte Abfragen
<a name="predefined-queries"></a>

Das Folgende ist eine vollständige Liste der Athena-benannten Abfragen. Die vordefinierten Abfragen, die beim Generieren der Vorlage bereitgestellt werden, hängen von den Feldern ab, die Teil des Protokolldatensatzformats für das Ablaufprotokoll sind. Daher enthält die Vorlage möglicherweise nicht alle diese vordefinierten Abfragen.
+ **VpcFlowLogsAcceptedTraffic**— Die TCP-Verbindungen, die aufgrund Ihrer Sicherheitsgruppen und Ihres Netzwerks zugelassen wurden. ACLs
+ **VpcFlowLogsAdminPortTraffic**— Die 10 IP-Adressen mit dem meisten Datenverkehr, aufgezeichnet von Anwendungen, die Anfragen an Administrator-Ports bearbeiten.
+ **VpcFlowLogsIPv4Verkehr** — Die Gesamtzahl der aufgezeichneten IPv4 Datenverkehrs-Bytes.
+ **VpcFlowLogsIPv6Verkehr** — Die Gesamtzahl der Byte des aufgezeichneten IPv6 Datenverkehrs.
+ **VpcFlowLogsRejectedTCPTraffic**— Die TCP-Verbindungen, die aufgrund Ihrer Sicherheitsgruppen oder Ihres Netzwerks abgelehnt wurden ACLs.
+ **VpcFlowLogsRejectedTraffic**— Der Datenverkehr, der aufgrund Ihrer Sicherheitsgruppen oder Ihres Netzwerks abgelehnt wurde ACLs.
+ **VpcFlowLogsSshRdpTraffic**— Der SSH- und RDP-Verkehr.
+ **VpcFlowLogsTopTalkers**— Die 50 IP-Adressen mit dem meisten aufgezeichneten Verkehr.
+ **VpcFlowLogsTopTalkersPacketLevel**— Die 50 IP-Adressen auf Paketebene mit dem meisten aufgezeichneten Verkehr.
+ **VpcFlowLogsTopTalkingInstances**— Die IDs der 50 Instances mit dem meisten aufgezeichneten Traffic.
+ **VpcFlowLogsTopTalkingSubnets**— Das IDs der 50 Subnetze mit dem meisten aufgezeichneten Verkehr.
+ **VpcFlowLogsTopTCPTraffic**— Der gesamte TCP-Verkehr, der für eine Quell-IP-Adresse aufgezeichnet wurde.
+ **VpcFlowLogsTotalBytesTransferred**— Die 50 Paare von Quell- und Ziel-IP-Adressen mit den meisten aufgezeichneten Byte.
+ **VpcFlowLogsTotalBytesTransferredPacketLevel**— Die 50 Paare von Quell- und Ziel-IP-Adressen auf Paketebene mit den meisten aufgezeichneten Byte.
+ **VpcFlowLogsTrafficFrmSrcAddr**— Der für eine bestimmte Quell-IP-Adresse aufgezeichnete Verkehr.
+ **VpcFlowLogsTrafficToDstAddr**— Der für eine bestimmte Ziel-IP-Adresse aufgezeichnete Verkehr.

# Fehlerbehebung bei VPC Flow Logs
<a name="flow-logs-troubleshooting"></a>

Im Folgenden finden Sie mögliche Probleme, die auftreten können, wenn Sie mit Flow-Protokollen arbeiten.

**Topics**
+ [Unvollständige Flow-Protokolldatensätze](#flow-logs-troubleshooting-incomplete-records)
+ [Flow-Protokoll ist aktiv, aber keine Flow-Protokolldatensätze oder Protokollgruppen vorhanden](#flow-logs-troubleshooting-no-log-group)
+ [Fehler LogDestinationNotFoundException '' oder 'Zugriff verweigert für LogDestination '](#flow-logs-troubleshooting-not-found)
+ [Überschreiten des Amazon S3-Bucket-Richtlinienlimits](#flow-logs-troubleshooting-policy-limit)
+ [LogDestination nicht zustellbar](#flow-logs-troubleshooting-kms-id)
+ [Die Datengröße der Flow-Protokolle stimmt nicht mit den Abrechnungsdaten überein](#flow-logs-data-size-mismatch)

## Unvollständige Flow-Protokolldatensätze
<a name="flow-logs-troubleshooting-incomplete-records"></a>

**Problem**  
Ihre Flow-Protokolldatensätze sind unvollständig oder werden nicht mehr veröffentlicht.

**Ursache**  
Möglicherweise liegt ein Problem bei der Übermittlung der Flow-Protokolle an die Protokollgruppe CloudWatch Logs vor, oder [es sind SkipData Einträge vorhanden](flow-logs-records-examples.md#flow-log-example-no-data).

**Lösung**  
Überprüfen Sie die Registerkarte **Flow-Protokolle** für die VPC, das Subnetz oder die Netzwerkschnittstelle. Beachten Sie, dass Sie keine Flow-Protokolle für eine VPC oder ein Subnetz beschreiben können, das mit Ihnen geteilt wurde, aber Sie können Flow-Protokolle für eine Netzwerkschnittstelle beschreiben, die Sie in einer VPC oder einem Subnetz erstellen, das mit Ihnen geteilt wurde. Sofern Fehler auftreten, werden sie in der Spalte **Status** angezeigt. Verwenden Sie alternativ den [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)Befehl und überprüfen Sie den Wert, der in dem `DeliverLogsErrorMessage` Feld zurückgegeben wird.

Die folgenden Werte sind mögliche Fehlerwerte für den Status:
+ `Rate limited`: Dieser Fehler kann auftreten, wenn die CloudWatch Protokolldrosselung angewendet wurde — wenn die Anzahl der Flow-Log-Datensätze für eine Netzwerkschnittstelle höher ist als die maximale Anzahl von Datensätzen, die innerhalb eines bestimmten Zeitraums veröffentlicht werden können. Dieser Fehler kann auch auftreten, wenn Sie das Kontingent für die Anzahl der CloudWatch Logs-Protokollgruppen, die Sie erstellen können, erreicht haben. Weitere Informationen finden Sie unter [CloudWatchServicekontingenten](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) im * CloudWatch Amazon-Benutzerhandbuch*.
+ `Access error`: Dieser Fehler kann aus folgenden Gründen auftreten:
  + Die IAM-Rolle für Ihr Flow-Protokoll verfügt nicht über ausreichende Berechtigungen, um Flow-Protokolldatensätze in der CloudWatch Protokollgruppe zu veröffentlichen
  + Die IAM-Rolle hat keine Vertrauensbeziehung zum Flow-Protokoll-Service.
  + Die Vertrauensbeziehung legt den Flow-Protokoll-Service nicht als Prinzipal fest.

  Weitere Informationen finden Sie unter [IAM-Rolle für die Veröffentlichung von Flow-Protokollen in Logs CloudWatch](flow-logs-iam-role.md).
+ `Unknown error`: Es ist ein interner Fehler im Flow-Protokoll-Service aufgetreten. 

## Flow-Protokoll ist aktiv, aber keine Flow-Protokolldatensätze oder Protokollgruppen vorhanden
<a name="flow-logs-troubleshooting-no-log-group"></a>

**Problem**  
Sie haben ein Flow-Protokoll erstellt und in der Amazon VPC- bzw. Amazon EC2-Konsole wird das Flow-Protokoll als `Active` angezeigt. Sie können jedoch keine Protokollstreams in CloudWatch Protokollen oder Protokolldateien in Ihrem Amazon S3 S3-Bucket sehen.

**Mögliche Ursachen**
+ Das Flow-Protokoll wird noch erstellt. Es kann unter Umständen zehn Minuten oder länger dauern, bis nach dem Erstellen des Flow-Protokolls die Protokollgruppe erstellt bzw. Daten angezeigt werden.
+ Es wurde noch kein Datenverkehr für Ihre Netzwerkschnittstellen erfasst. Die Protokollgruppe in CloudWatch Logs wird nur erstellt, wenn Datenverkehr aufgezeichnet wird.

**Lösung**  
Warten Sie ein paar Minuten, bis die Protokollgruppe erstellt oder der Datenverkehr aufgezeichnet wird.

## Fehler LogDestinationNotFoundException '' oder 'Zugriff verweigert für LogDestination '
<a name="flow-logs-troubleshooting-not-found"></a>

**Problem**  
Sie erhalten, wenn Sie ein Flow-Protokoll erstellen einen `Access Denied for LogDestination`- oder einen `LogDestinationNotFoundException`-Fehler.

**Mögliche Ursachen**
+ Wenn Sie ein Flow-Protokoll erstellen, das Daten in einem Amazon-S3-Bucket veröffentlicht, weist dieser Fehler darauf hin, dass der angegebene S3-Bucket nicht gefunden wurde oder dass die Bucket-Richtlinie die Zustellung von Protokollen nicht zulässt.
+ Bei der Erstellung eines Flow-Protokolls, das Daten in Amazon CloudWatch Logs veröffentlicht, weist dieser Fehler darauf hin, dass die IAM-Rolle die Übermittlung von Protokollen an die Protokollgruppe nicht zulässt.

**Lösung**
+ Stellen Sie beim Veröffentlichen in Amazon S3 sicher, dass Sie den ARN für einen vorhandenen S3-Bucket angegeben haben und dass der ARN das richtige Format hat. Wenn Sie nicht Eigentümer des S3-Buckets sind, überprüfen Sie, ob die [Bucket-Richtlinie](flow-logs-s3-permissions.md) über die erforderlichen Berechtigungen verfügt und die richtige Konto-ID und den richtigen Bucket-Namen im ARN verwendet.
+ Stellen Sie beim Veröffentlichen in CloudWatch Logs sicher, dass die [IAM-Rolle](flow-logs-iam-role.md) über die erforderlichen Berechtigungen verfügt.

## Überschreiten des Amazon S3-Bucket-Richtlinienlimits
<a name="flow-logs-troubleshooting-policy-limit"></a>

**Problem**  
Wenn Sie versuchen, ein Flow-Protokoll zu erstellen, wird die folgende Fehlermeldung angezeig: `LogDestinationPermissionIssueException`.

**Mögliche Ursachen**  
Amazon S3 Bucket-Richtlinien sind auf eine Größe von 20 KB beschränkt.

Jedes Mal, wenn Sie ein Flow-Protokoll erstellen, das in einem Amazon S3-Bucket veröffentlicht, fügen wir den angegebenen Bucket-ARN, der den Ordnerpfad enthält, automatisch zum `Resource`-Element in der Richtlinie des Buckets hinzu.

Wenn mehrere Flow-Protokolle erstellt werden, die in den gleichen Bucket veröffentlichen, kann dies zu einer Überschreitung des Bucket-Richtlinienlimits führen.

**Lösung**
+ Bereinigen Sie die Richtlinie des Buckets, indem Sie nicht mehr benötigte Flow-Protokolleinträge entfernen.
+ Erteilen Sie Berechtigungen für den gesamten Bucket, indem Sie die einzelnen Protokolleinträge folgendermaßen ersetzen:

  ```
  arn:aws:s3:::bucket_name/*
  ```

  Wenn Sie Berechtigungen für den gesamten Bucket erteilen, fügen neue Flow-Protokollabonnements keine neuen Berechtigungen zur Bucket-Richtlinie hinzu.

## LogDestination nicht zustellbar
<a name="flow-logs-troubleshooting-kms-id"></a>

**Problem**  
Wenn Sie versuchen, ein Flow-Protokoll zu erstellen, wird die folgende Fehlermeldung angezeig: `LogDestination <bucket name> is undeliverable`.

**Mögliche Ursachen**  
Der Amazon S3 S3-Ziel-Bucket wird mit serverseitiger Verschlüsselung mit AWS KMS (SSE-KMS) verschlüsselt, und die Standardverschlüsselung des Buckets ist eine KMS-Schlüssel-ID.

**Lösung**  
Der Wert muss ein KMS-Schlüssel-ARN sein. Ändern Sie den standardmäßigen S3-Verschlüsselungstyp von KMS-Schlüssel-ID zu KMS-Schlüssel-ARN. Weitere Informationen finden Sie unter [Standardverschlüsselung konfigurieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) im *Benutzerhandbuch für Amazon Simple Storage Service*.

## Die Datengröße der Flow-Protokolle stimmt nicht mit den Abrechnungsdaten überein
<a name="flow-logs-data-size-mismatch"></a>

**Problem**  
Die Gesamtdatengröße Ihrer Flow-Protokolle entspricht nicht der in den Abrechnungsdaten angegebenen Größe.

**Mögliche Ursachen**  
In Ihren Flow-Protokollen befinden sich ggf. SKIPDATA-Einträge. Eine Erläuterung der SKIPDATA-Einträge finden Sie unter [Keine Daten und übersprungene Datensätze](flow-logs-records-examples.md#flow-log-example-no-data).

**Lösung**  
Vergewissern Sie sich, ob SKIPDATA-Einträge in Ihren Protokolleinträgen vorhanden sind, indem Sie Ihre Protokolle nach verschiedenen Einträgen im Protokollstatusfeld abfragen.

Beispielabfragen zur Prüfung nach SKIPDATA:

CW Insights:

```
fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus
```

Athena:

```
SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id
```