Creazione di un log di flusso che viene pubblicato in CloudWatch Logs

È possibile creare log di flusso per VPC, sottoreti o interfacce di rete. Se esegui questa procedura come utente che utilizza un particolare ruolo IAM, assicurati che il ruolo disponga delle autorizzazioni per utilizzare l’operazione iam:PassRole.

Prerequisito

Verifica che il principale IAM che stai utilizzando per effettuare la richiesta disponga delle autorizzazioni per richiamare l’operazione iam:PassRole.

Creazione di un flusso di log tramite la console

Esegui una di queste operazioni:
- Aprire la console Amazon EC2 all’indirizzo https://console.aws.amazon.com/ec2/. Nel riquadro di navigazione, selezionare Network Interfaces (Interfacce di rete). Seleziona la casella di controllo relativa all’interfaccia di rete.
- Apri alla console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/. Nel pannello di navigazione scegliere Your VPCs (I tuoi VPC). Selezionare la casella di controllo relativa al VPC.
- Accedi alla console Amazon VPC all’indirizzo https://console.aws.amazon.com/vpc/. Nel riquadro di navigazione, scegliere Subnets (Sottoreti). Seleziona la casella di controllo della sottorete.
Scegli Actions (Operazioni), Create flow log (Crea flusso di log).
Per Filtra, specifica il tipo di traffico di cui eseguire il log. Seleziona All (Tutti) per registrare il traffico accettato e rifiutato, Reject (Rifiutato) per eseguire il log solo del traffico rifiutato oppure Accept (Accettato) per eseguirlo solo sul traffico accettato.
Per Maximum aggregation interval (Intervallo di aggregazione massimo), scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso.
Per Destination (Destinazione), scegliere Send to CloudWatch Logs (Invia a CloudWatch Logs).
Per Gruppo di log di destinazione, scegli il nome di un gruppo di log esistente o inserisci il nome di un nuovo gruppo di log. Se inserisci un nome, creiamo il gruppo di log quando è presente traffico da registrare.
Per l’Accesso al servizio, scegli un ruolo di servizio IAM esistente con le autorizzazioni per pubblicare i log su CloudWatch Logs o scegli di crearne uno nuovo.
Per Formato record di log, seleziona il formato per il record del log di flusso.
- Per utilizzare il formato del record di log di flusso predefinito, seleziona Formato predefinito AWS.
- Per utilizzare un formato personalizzato, scegli Formato personalizzato, quindi seleziona i campi da Formato di log .
Per Metadati aggiuntivi, seleziona se desideri includere i metadati di Amazon ECS nel formato di log.
(Facoltativo) Seleziona Aggiungi tag per applicare i tag al log di flusso.
Selezionare Create flow log (Crea log di flusso).

Per creare un log di flusso utilizzando la riga di comando

Utilizzare uno dei seguenti comandi.

create-flow-logs (AWS CLI)
New-EC2FlowLog (AWS Tools for Windows PowerShell)

Il seguente esempio di AWS CLI crea un log di flusso che acquisisce tutto il traffico accettato per la sottorete specificata. I log di flusso vengono consegnati al gruppo di log specificato. Il parametro --deliver-logs-permission-arn specifica il ruolo IAM richiesto per la pubblicazione su File di log CloudWatch.


aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ruolo IAM per la pubblicazione di log di flusso in File di log CloudWatch

Visualizzazione dei record del log di flusso in CloudWatch Logs