Créer un journal de flux publiant vers CloudWatch Logs

Vous pouvez créer des journaux de flux pour vos VPC, sous-réseaux ou interfaces réseau. Si vous effectuez ces étapes en tant qu'utilisateur utilisant un rôle IAM particulier, assurez-vous que ce rôle dispose des autorisations nécessaires pour utiliser l'action iam:PassRole.

Prérequis

Vérifiez que le principal IAM que vous utilisez pour effectuer la demande disposent des autorisations pour appeler l’action iam:PassRole.

Pour créer un journal de flux à l'aide de la console

Effectuez l’une des actions suivantes :
- Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/. Dans le volet de navigation, choisissez Network Interfaces. Cochez la case correspondant à l’interface réseau.
- Ouvrez la console VPC d’Amazon sur https://console.aws.amazon.com/vpc/. Dans le panneau de navigation, sélectionnez Vos VPC. Cochez la case correspondant au VPC.
- Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/. Dans le panneau de navigation, choisissez Subnets (Sous-réseaux). Cochez la case correspondant au sous-réseau.
Choisissez Actions, Create flow log (Créer le journal de flux).
Pour Filter (Filtre), spécifiez le type de trafic à journaliser. Sélectionnez All (Tout) pour journaliser le trafic accepté et refusé, Reject (Rejeter) pour enregistrer uniquement le trafic refusé ou Accept (Accepter) pour enregistrer uniquement le trafic accepté.
Pour Maximum aggregation interval (Intervalle d'agrégation maximal), choisissez la période maximale pendant laquelle un flux est capturé et agrégé dans un enregistrement de journal de flux.
Pour Destination, choisissez Send to CloudWatch Logs. (Envoyer à CloudWatch Logs).
Dans Groupe de journaux de destination, sélectionnez le nom d’un groupe de journaux existant ou entrez le nom d’un nouveau groupe de journaux. Si vous saisissez un nom, nous créons le groupe de journaux lorsqu’il y a du trafic à journaliser.
Dans Accès au service, choisissez un rôle de service IAM existant autorisé à publier des journaux sur CloudWatch Logs ou créez un rôle de service.
Pour Log record format (Format d'enregistrement du journal), sélectionnez le format de l'enregistrement du journal de flux.
- Pour utiliser le format par défaut, choisissez AWS default format (Format par défaut).
- Pour utiliser un format personnalisé, choisissez Custom format (Format personnalisé), puis sélectionnez des champs dans Log format (Format du journal).
Pour Métadonnées supplémentaires, indiquez si vous souhaitez inclure les métadonnées d’Amazon ECS dans le format du journal.
(Facultatif) Sélectionnez Add new tag (Ajouter une nouvelle balise) pour appliquer des identifications au journal de flux.
Choisissez Créer le journal de flux.

Pour créer un journal de flux à l'aide de la ligne de commande

Utilisez l'une des commandes suivantes.

create-flow-logs (AWS CLI)
New-EC2FlowLog (AWS Tools for Windows PowerShell)

L'exemple suivant AWS CLI crée un journal de flux qui capture tout le trafic accepté pour le sous-réseau spécifié. Les journaux de flux sont transmis au groupe de journaux spécifié. Le paramètre --deliver-logs-permission-arn spécifie le rôle IAM requis pour la publication dans CloudWatch Logs.


aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Rôle IAM pour la publication des journaux de flux vers CloudWatch Logs

Afficher les enregistrements du journal de flux avec CloudWatch Logs