Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Publikasikan log alur ke Amazon Data Firehose
<a name="flow-logs-firehose"></a>

Log aliran dapat mempublikasikan data log aliran langsung ke Amazon Data Firehose. Amazon Data Firehose adalah layanan terkelola penuh yang mengumpulkan, mengubah, dan mengirimkan aliran data real-time ke berbagai AWS penyimpanan data dan layanan analitik. Ini menangani konsumsi data atas nama Anda.

Ketika datang ke log aliran VPC, Firehose dapat berguna. Log aliran VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di VPC Anda. Data ini dapat menjadi penting untuk pemantauan keamanan, analisis kinerja, dan kepatuhan terhadap peraturan. Namun, mengelola penyimpanan dan pemrosesan aliran data log yang berkelanjutan ini dapat menjadi tugas yang kompleks dan intensif sumber daya.

Dengan mengintegrasikan Firehose dengan log aliran VPC, Anda dapat mengirimkan data ini ke tujuan pilihan Anda, seperti Amazon S3 atau Amazon Redshift. Firehose akan menskalakan untuk menangani konsumsi, transformasi, dan pengiriman log aliran VPC Anda, sehingga membebaskan Anda dari beban operasional. Ini memungkinkan Anda untuk fokus menganalisis log dan memperoleh wawasan, daripada mengkhawatirkan infrastruktur yang mendasarinya.

Selain itu, Firehose menawarkan fitur-fitur seperti transformasi data, kompresi, dan enkripsi, yang dapat meningkatkan efisiensi dan keamanan pipeline pemrosesan log aliran VPC Anda. Menggunakan Firehose untuk log aliran VPC dapat menyederhanakan manajemen data Anda dan memungkinkan Anda memperoleh wawasan dari data lalu lintas jaringan Anda. 

Saat memublikasikan ke Amazon Data Firehose, data log aliran dipublikasikan ke aliran pengiriman Amazon Data Firehose, dalam format teks biasa.

**Harga**  
Biaya konsumsi dan pengiriman standar berlaku. Untuk informasi selengkapnya, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log** dan temukan **Log Terjual**.

**Topics**
+ [Peran IAM untuk pengiriman lintas akun](firehose-cross-account-delivery.md)
+ [Membuat log alur yang dipublikasikan ke Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)

# Peran IAM untuk pengiriman lintas akun
<a name="firehose-cross-account-delivery"></a>

Saat memublikasikan ke Amazon Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log alur ke Amazon Data Firehose, Anda harus membuat peran IAM di akun sumber dan peran IAM di akun tujuan.

**Topics**
+ [Peran akun sumber](#firehose-source-account-role)
+ [Peran akun tujuan](#firehose-destination-account-role)

## Peran akun sumber
<a name="firehose-source-account-role"></a>

Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalah`mySourceRole`, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat membuat kebijakan, tentukan, antarmuka jaringan VPCs, atau subnet yang Anda pantau dengan kunci kondisi. `iam:AssociatedResourceARN`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/mySourceRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "delivery.logs.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-00112233344556677"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:GetLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
        }
    ]
}
```

------

Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Dari akun sumber, gunakan prosedur berikut untuk membuat peran.

**Untuk membuat peran akun sumber**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan**.

1. Pada halaman **Buat kebijakan**, lakukan hal berikut:

   1. Pilih**JSON**.

   1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.

   1. Pilih **Berikutnya**.

   1. Masukkan nama untuk kebijakan Anda serta deskripsi dan tag opsional, lalu pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Peran**.

1. Pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.

   ```
   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },
   ```

1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**

1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.

1. Pilih **Buat peran**.

## Peran akun tujuan
<a name="firehose-destination-account-role"></a>

Di akun tujuan, buat peran dengan nama yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**. Peran ini harus memberikan izin berikut.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/mySourceRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

Dari akun tujuan, gunakan prosedur berikut untuk membuat peran.

**Untuk membuat peran akun tujuan**

1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan**.

1. Pada halaman **Buat kebijakan**, lakukan hal berikut:

   1. Pilih**JSON**.

   1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.

   1. Pilih **Berikutnya**.

   1. Masukkan nama untuk kebijakan Anda yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**, lalu pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Peran**.

1. Pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan khusus**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan peran akun sumber. Pilih **Berikutnya**.

   ```
   "Principal": {
      "AWS": "arn:aws:iam::source-account:role/mySourceRole"
   },
   ```

1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**

1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.

1. Pilih **Buat peran**.

# Membuat log alur yang dipublikasikan ke Amazon Data Firehose
<a name="flow-logs-firehose-create-flow-log"></a>

Anda dapat membuat log aliran untuk VPCs, subnet, atau antarmuka jaringan Anda.

**Prasyarat**
+ Buat aliran pengiriman Amazon Data Firehose tujuan. Gunakan **Direct Put** sebagai sumbernya. Untuk informasi selengkapnya, lihat [Membuat aliran pengiriman Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ Akun yang membuat log alur harus menggunakan peran IAM yang memberikan izin berikut untuk mempublikasikan log aliran ke Amazon Data Firehose. 

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogDelivery",
                  "logs:DeleteLogDelivery",
                  "iam:CreateServiceLinkedRole",
                  "firehose:TagDeliveryStream"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Jika Anda memublikasikan log alur ke akun lain, buat peran IAM yang diperlukan, seperti yang dijelaskan dalam[Peran IAM untuk pengiriman lintas akun](firehose-cross-account-delivery.md).

**Untuk membuat log alur yang diterbitkan ke Amazon Data Firehose**

1. Lakukan salah satu tindakan berikut:
   + Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Di panel navigasi, pilih **Antarmuka Jaringan**. Pilih kotak centang untuk antarmuka jaringan.
   + Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Your VPCs**. Pilih kotak centang untuk VPC.
   + Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Pengguna**. Pilih kotak centang untuk subnet.

1. Pilih **Tindakan**, **Buat log alur**.

1. Untuk **Filter**, tentukan jenis lalu lintas ke log.
   + **Terima** - Log hanya lalu lintas yang diterima
   + **Tolak** - Log hanya lalu lintas yang ditolak
   + **Semua** — Log diterima dan ditolak lalu lintas

1. Untuk **Interval agregasi maksimum**, pilih periode waktu maksimum selama aliran ditangkap dan dikumpulkan ke dalam satu catatan log alur.

1. Untuk **Tujuan**, pilih salah satu opsi berikut:
   + **Kirim ke Amazon Data Firehose di akun yang sama** — Aliran pengiriman dan sumber daya untuk dipantau berada di akun yang sama.
   + **Kirim ke Amazon Data Firehose di akun yang berbeda** — Aliran pengiriman dan sumber daya untuk dipantau berada di akun yang berbeda.

1. Untuk nama aliran **Amazon Data Firehose**, pilih aliran pengiriman yang Anda buat.

1. [Hanya pengiriman lintas akun] Untuk **akses Layanan**, pilih [peran layanan IAM yang ada untuk pengiriman lintas akun](firehose-cross-account-delivery.md) yang memiliki izin untuk menerbitkan log atau pilih **Siapkan izin** untuk membuka konsol IAM dan membuat peran layanan.

1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
   + Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
   + Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.

1. Untuk **metadata tambahan**, pilih jika Anda ingin menyertakan metadata dari Amazon ECS dalam format log.

1. (Opsional) Pilih **Tambahkan tag** untuk menerapkan tag ke log aliran.

1. Pilih **Buat log alur**.

**Untuk membuat log alur yang diterbitkan ke Amazon Data Firehose menggunakan baris perintah**

Gunakan salah satu perintah berikut:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

 AWS CLI Contoh berikut membuat log alur yang menangkap semua lalu lintas untuk VPC yang ditentukan dan mengirimkan log aliran ke aliran pengiriman Amazon Data Firehose yang ditentukan di akun yang sama.

```
aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
```

 AWS CLI Contoh berikut membuat log alur yang menangkap semua lalu lintas untuk VPC yang ditentukan dan mengirimkan log aliran ke aliran pengiriman Amazon Data Firehose yang ditentukan di akun yang berbeda.

```
aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
  --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \ 
  --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```

Sebagai hasil dari membuat log aliran, Anda bisa mendapatkan data log aliran dari tujuan yang Anda konfigurasikan untuk aliran pengiriman.