Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione del traffico IP utilizzando log di flusso VPC
Log di flusso VPC è una funzionalità che consente di catturare le informazioni sul traffico IP da e per le interfacce di rete nel VPC. I dati dei log di flusso possono essere pubblicati nelle seguenti posizioni: Amazon CloudWatch Logs, Amazon S3 o Amazon Data Firehose. *Il percorso di consegna configurato e le autorizzazioni che consentono l'invio dei registri del traffico di rete a una destinazione come CloudWatch Logs o S3 sono denominati abbonamenti.* Dopo aver creato un log di flusso, è possibile recuperare e visualizzarne i record nel gruppo di log, nel bucket o nel flusso di consegna configurato.
I log di flusso possono essere utili per diverse attività, ad esempio:
+ Diagnosi di regole del gruppo di sicurezza eccessivamente restrittive
+ Monitoraggio del traffico che raggiunge l’istanza
+ Identificazione della direzione del traffico da e verso le interfacce di rete
I dati di log del flusso vengono raccolti al di fuori del percorso del traffico di rete e pertanto non influiscono sulla velocità effettiva o sulla latenza della rete. È possibile creare o eliminare i log di flusso senza alcun rischio di impatto sulle prestazioni della rete.
**Nota**
Questa sezione parla solo dei log di flusso per. VPCs Per informazioni sui log di flusso per i gateway di transito introdotti nella versione 6, consulta [Registrazione del traffico di rete utilizzando i log di flusso di Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) nella *Guida per l’utente di Amazon VPC Transit Gateway*.
**Topics**
+ [Nozioni di base sui log di flusso](flow-logs-basics.md)
+ [Record di log di flusso](flow-log-records.md)
+ [Esempi di record di log di flusso](flow-logs-records-examples.md)
+ [Limitazioni del log di flusso](flow-logs-limitations.md)
+ [Prezzi](#flow-logs-pricing)
+ [Utilizzo dei log di flusso](working-with-flow-logs.md)
+ [Pubblica i log di flusso su Logs CloudWatch](flow-logs-cwl.md)
+ [Pubblicazione di log di flusso su Amazon S3](flow-logs-s3.md)
+ [Pubblicazione dei log di flusso in Amazon Data Firehose](flow-logs-firehose.md)
+ [Eseguire una query dei flussi di log tramite Amazon Athena](flow-logs-athena.md)
+ [Risoluzione dei problemi relativi ai log di flusso VPC](flow-logs-troubleshooting.md)
# Nozioni di base sui log di flusso
Puoi creare un log di flusso per un VPC, una sottorete o un’interfaccia di rete. Se crei un log di flusso per una sottorete o un VPC, viene monitorata ogni interfaccia di rete nella sottorete o nel VPC.
I dati del log di flusso per un’interfaccia di rete monitorata vengono registrati come *record del log di flusso*, che sono eventi di log costituiti da campi che descrivono il flusso di traffico. Per ulteriori informazioni, consulta [Record di log di flusso](flow-log-records.md).
Per creare un log di flusso, occorre specificare:
+ La risorsa per cui creare il log di flusso
+ Il tipo di traffico da acquisire (traffico accettato, traffico rifiutato o tutto il traffico)
+ Le destinazioni in cui pubblicare i dati del log di flusso
Nell’esempio seguente, viene creato un log di flusso che acquisisce il traffico accettato per l’interfaccia di rete per una delle istanze EC2 in una sottorete privata e pubblica i record del log di flusso in un bucket Amazon S3.
![\[Log di flusso per un’istanza\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/flow-logs-diagram-s3.png)
Nell'esempio seguente, un log di flusso acquisisce tutto il traffico per una sottorete e pubblica i record del log di flusso su Amazon Logs. CloudWatch Il log di flusso cattura il traffico per tutte le interfacce di rete nella sottorete.
![\[Log di flusso per una sottorete\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/flow-logs-diagram-cw.png)
Dopo aver creato un flusso di log, potrebbero essere necessari diversi minuti prima di iniziare a raccogliere dati e pubblicarli nelle destinazioni scelte. I log di flusso non acquisiscono flussi di log in tempo reale per le interfacce di rete. Per ulteriori informazioni, consulta [2. Creazione di un log di flusso](working-with-flow-logs.md#create-flow-log).
Se avvii un'istanza nella sottorete dopo aver creato un log di flusso per la sottorete o il VPC, creiamo un flusso di log (per CloudWatch Logs) o un oggetto file di log (per Amazon S3) per la nuova interfaccia di rete non appena c'è traffico di rete per l'interfaccia di rete.
È possibile creare log di flusso per interfacce di rete che vengono create da altri servizi AWS , ad esempio:
+ Elastic Load Balancing
+ Amazon RDS
+ Amazon ElastiCache
+ Amazon Redshift
+ Amazon WorkSpaces
+ Gateway NAT
+ Gateway di transito
Indipendentemente dal tipo di interfaccia di rete, è necessario usare la console Amazon EC2 o l’API Amazon EC2 per creare un log di flusso per un’interfaccia di rete.
È possibile applicare tag ai log di flusso. Ogni tag è composto da una chiave e da un valore opzionale, entrambi personalizzabili. I tag consentono di organizzare i log di flusso, ad esempio per scopo o proprietario.
Se un log di flusso non è più necessario, puoi eliminarlo. L’eliminazione di un log di flusso disabilita il servizio del log di flusso per la risorsa in modo che nessun nuovo record del log di flusso viene creato o pubblicato. L’eliminazione di un log di flusso non elimina alcun dato del log di flusso esistente. Dopo aver eliminato un log di flusso, puoi eliminare i dati del log di flusso direttamente dalla destinazione quando hai finito di utilizzarla. Per ulteriori informazioni, consulta [4. Eliminazione di un log di flusso](working-with-flow-logs.md#delete-flow-log).
# Record di log di flusso
Un record di log di flusso rappresenta un flusso di rete nel VPC. Per impostazione predefinita, ogni record acquisisce un flusso di traffico IP (Network Internet Protocol) (caratterizzato da 5 tuple in base all’interfaccia di rete) che si verifica all’interno di un *intervallo di aggregazione*, denominato anche *finestra di acquisizione*.
Ogni record è una stringa con campi separati da spazi. Un record include valori per i vari componenti del flusso IP, tra cui origine, destinazione e protocollo.
Quando crei un log di flusso, puoi utilizzare il formato predefinito oppure specificare un formato personalizzato.
**Topics**
+ [Intervallo di aggregazione](#flow-logs-aggregration-interval)
+ [Formato predefinito](#flow-logs-default)
+ [Formato personalizzato](#flow-logs-custom)
+ [Campi disponibili](#flow-logs-fields)
## Intervallo di aggregazione
L’intervallo di aggregazione è il periodo di tempo durante il quale un particolare flusso viene acquisito e aggregato in un record di log di flusso. Per impostazione predefinita, l’intervallo di aggregazione massimo è di 10 minuti. Quando crei un log di flusso, puoi specificare facoltativamente un intervallo di aggregazione massimo di 1 minuto. I log di flusso con un intervallo di aggregazione massimo di 1 minuto producono un volume maggiore di record del log di flusso rispetto ai log di flusso con un intervallo di aggregazione massimo di 10 minuti.
Quando un’interfaccia di rete viene collegata a un’[istanza basata su Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), l’intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall’intervallo di aggregazione massimo specificato.
Dopo l'acquisizione dei dati entro un intervallo di aggregazione, è necessario più tempo per elaborare e pubblicare i dati su CloudWatch Logs o Amazon S3. Il servizio di log di flusso in genere consegna i CloudWatch log a Logs in circa 5 minuti e ad Amazon S3 in circa 10 minuti. Tuttavia, la consegna dei log avviene nel miglior modo possibile e i registri potrebbero essere ritardati oltre i tempi di consegna tipici.
## Formato predefinito
Con il formato predefinito, i record del log di flusso includono i campi versione 2, nell’ordine mostrato nella tabella [campi disponibili](#flow-logs-fields) . Non è possibile personalizzare o modificare il formato predefinito. Per acquisire i campi aggiuntivi o un diverso sottoinsieme di campi, specifica un formato personalizzato.
## Formato personalizzato
Con un formato personalizzato, è possibile specificare quali campi sono inclusi nei record del log di flusso e il relativo ordine. In questo modo è possibile creare log di flusso specifici per le proprie esigenze e omettere i campi non pertinenti. L’uso di un formato personalizzato può anche ridurre la necessità di processi separati per estrarre informazioni specifiche dai log di flusso pubblicati. Puoi specificare un numero qualsiasi di campi del log di flusso disponibili, ma devi specificarne almeno uno.
## Campi disponibili
Nella tabella seguente sono descritti tutti i campi disponibili per un record di log di flusso. La colonna **Versione** indica la versione dei log di flusso VPC in cui è stato introdotto il campo. Il formato predefinito include tutti i campi della versione 2 nello stesso ordine in cui sono riportati nella tabella.
Quando si pubblicano i dati del flusso di log su Amazon S3, il tipo di dati per i campi dipende dal formato del flusso di log. Se il formato è di testo normale, tutti i campi sono di tipo STRING. Se il formato è Parquet, vedere la tabella per i tipi di dati di campo.
Se un campo non è applicabile o non può essere calcolato per un record specifico, il record visualizza un simbolo "-" per tale voce. I campi dei metadati che non provengono direttamente dall’intestazione del pacchetto sono approssimazioni ottimali e i loro valori potrebbero essere mancanti o imprecisi.
| Campo | Descrizione | Versione |
| --- | --- | --- |
| version | La versione dei log di flusso del VPC. Se usi il formato predefinito, la versione è 2. Se usi un formato personalizzato, la versione è quella più alta tra i campi specificati. Ad esempio, se specifichi solo i campi della versione 2, la versione sarà 2. Se specifichi una combinazione di campi dalle versioni 2, 3 e 4, la versione sarà 4. **Tipo di dati parquet:** INT\$132 | 2 |
| account-id | L'ID dell' AWS account del proprietario dell'interfaccia di rete di origine per cui viene registrato il traffico. Se l'interfaccia di rete viene creata da un AWS servizio, ad esempio quando si crea un endpoint VPC o un Network Load Balancer, il record potrebbe essere unknown visualizzato per questo campo. **Tipo di dati Parquet: ** STRING | 2 |
| interface-id | L’ID dell’interfaccia di rete per la quale il traffico viene registrato. Restituisce un simbolo '-' per i flussi associati a un gateway NAT regionale. **Tipo di dati Parquet: ** STRING | 2 |
| srcaddr | Per il traffico in entrata, questo è l’indirizzo IP di origine del traffico. Per il traffico in uscita, questo è l' IPv4 indirizzo privato o l' IPv6 indirizzo dell'interfaccia di rete che invia il traffico. Per il traffico in uscita dal gateway NAT regionale, si tratta dello stesso indirizzo IP di origine a livello di pacchetto utilizzato in. pkt-srcaddr Consulta anche pkt-srcaddr. **Tipo di dati parquet:** STRING | 2 |
| dstaddr | L'indirizzo di destinazione per il traffico in uscita o l' IPv6 indirizzo IPv4 o dell'interfaccia di rete per il traffico in entrata sull'interfaccia di rete. L' IPv4 indirizzo dell'interfaccia di rete è sempre il suo indirizzo privato IPv4 . Per il traffico in entrata verso il gateway NAT regionale, si tratta dello stesso indirizzo IP di destinazione a livello di pacchetto utilizzato in. pkt-dstaddr Consulta anche pkt-dstaddr. **Tipo di dati parquet:** STRING | 2 |
| srcport | La porta di origine del traffico. **Tipo di dati parquet:** INT\$132 | 2 |
| dstport | La porta di destinazione del traffico. **Tipo di dati Parquet: ** INT\$132 | 2 |
| protocol | Il numero di protocollo IANA del traffico. Per ulteriori informazioni, consulta la sezione relativa ai [ numeri di protocollo Internet assegnati](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Tipo di dati parquet:** INT\$132 | 2 |
| packets | Il numero di pacchetti trasferiti durante il flusso. **Tipo di dati parquet:** INT\$164 | 2 |
| bytes | Il numero di byte trasferiti durante il flusso. **Tipo di dati Parquet: ** INT\$164 | 2 |
| start | L’ora, in secondi Unix, di ricezione del primo pacchetto del flusso all’interno dell’intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull’interfaccia di rete. **Tipo di dati parquet:** INT\$164 | 2 |
| end | L’ora, in secondi Unix, in cui l’ultimo pacchetto del flusso è stato ricevuto entro l’intervallo di aggregazione. Potrebbe essere fino a 60 secondi dopo che il pacchetto è stato trasmesso o ricevuto sull’interfaccia di rete. **Tipo di dati parquet:** INT\$164 | 2 |
| action | L’operazione associata al traffico: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/flow-log-records.html) **Tipo di dati Parquet: ** STRING | 2 |
| log-status | Lo stato di registrazione del log di flusso: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/flow-log-records.html) **Tipo di dati Parquet: ** STRING | 2 |
| vpc-id | L’ID del VPC che contiene l’interfaccia di rete per cui viene registrato il traffico. **Tipo di dati parquet:** STRING | 3 |
| subnet-id | L’ID della subnet che contiene l’interfaccia di rete per cui viene registrato il traffico. Restituisce un simbolo «-» per i flussi associati al gateway NAT regionale. **Tipo di dati parquet:** STRING | 3 |
| instance-id | L’ID dell’istanza associata all’interfaccia di rete per cui viene registrato il traffico, se l’istanza appartiene a te. Restituisce un simbolo ’-’ per un’[interfaccia di rete gestita dal richiedente](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html), ad esempio l’interfaccia di rete per un gateway NAT. **Tipo di dati parquet:** STRING | 3 |
| tcp-flags | Il valore bitmask per i seguenti flag TCP:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/flow-log-records.html)Se non viene registrato alcun flag supportato, il valore del flag TCP è 0. Ad esempio, siccome tcp-flags non supporta la registrazione di log dei flag ACK o PSH, i record per il traffico con questi flag non supportati restituiranno un valore tcp-flags 0. Tuttavia, se un flag non supportato è accompagnato da un flag supportato, riporteremo il valore del flag supportato. Ad esempio, se ACK fa parte di SYN-ACK, riporta 18. Inoltre, se esiste un record come SYN\$1ECE, siccome SYN è un flag supportato ed ECE no, il valore del flag TCP è 2. Se per un motivo qualunque la combinazione di flag non è valida e il valore non può essere calcolato, il valore è “-”. Se non viene inviato alcun flag, il valore del flag TCP è 0.I flag TCP sono introdotti da un operatore OR durante l’intervallo di aggregazione. Per le connessioni brevi, i flag possono essere impostati sulla stessa riga nel record del log di flusso, ad esempio 19 per SYN-ACK e FIN e 3 per SYN e FIN. Per un esempio, consulta [Sequenza di flag TCP](flow-logs-records-examples.md#flow-log-example-tcp-flag).Per informazioni generali sui flag TCP (come il significato di flag come FIN, SYN e ACK), consulta [Struttura del segmento TCP](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) su Wikipedia.**Tipo di dati parquet:** INT\$132 | 3 |
| type | Il tipo di traffico. I valori possibili sono: IPv4 \$1 IPv6 \$1 EFA. Per ulteriori informazioni, consulta [Elastic Fabric Adapter (EFA)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html). **Tipo di dati parquet:** STRING | 3 |
| pkt-srcaddr | L’indirizzo IP di origine a livello di pacchetto (originale) del traffico. Usa questo campo con il campo srcaddr per distinguere l’indirizzo IP di un livello intermedio su cui fluisce il traffico e l’indirizzo IP di origine originale del traffico. Ad esempio, quando il traffico passa attraverso un’[interfaccia di rete per un gateway NAT](flow-logs-records-examples.md#flow-log-example-nat) o quando l’indirizzo IP di un pod in Amazon EKS è diverso dall’indirizzo IP dell’interfaccia di rete del nodo dell’istanza in cui il pod è in esecuzione (per la comunicazione all’interno di un VPC). **Tipo di dati parquet:** STRING | 3 |
| pkt-dstaddr | L’indirizzo IP di destinazione a livello di pacchetto (originale) per il traffico. Usa questo campo con il campo dstaddr per distinguere l’indirizzo IP di un livello intermedio su cui fluisce il traffico e l’indirizzo IP di destinazione finale del traffico. Ad esempio, quando il traffico passa attraverso un’[interfaccia di rete per un gateway NAT](flow-logs-records-examples.md#flow-log-example-nat) o quando l’indirizzo IP di un pod in Amazon EKS è diverso dall’indirizzo IP dell’interfaccia di rete del nodo dell’istanza in cui il pod è in esecuzione (per la comunicazione all’interno di un VPC). **Tipo di dati parquet:** STRING | 3 |
| region | Regione che contiene l’interfaccia di rete per la quale viene registrato il traffico. **Tipo di dati parquet:** STRING | 4 |
| az-id | ID della zona di disponibilità che contiene l’interfaccia di rete per la quale viene registrato il traffico. Se il traffico proviene da una posizione secondaria, il record visualizza un simbolo ’-’ per questo campo. **Tipo di dati parquet:** STRING | 4 |
| sublocation-type | Il tipo di posizione secondaria restituito nel campo sublocation-id. I valori possibili sono: [wavelength](https://aws.amazon.com/wavelength/) \$1 [outpost](https://docs.aws.amazon.com/outposts/latest/userguide/) \$1 [localzone](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones). Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo ’-’ per questo campo. **Tipo di dati parquet:** STRING | 4 |
| sublocation-id | L’ID della sottorete che contiene l’interfaccia di rete per cui viene registrato il traffico. Se il traffico non proviene da una posizione secondaria, il record visualizza un simbolo ’-’ per questo campo. **Tipo di dati parquet:** STRING | 4 |
| pkt-src-aws-service | Il nome del sottoinsieme di [Intervalli di indirizzi IP](aws-ip-ranges.md) per il campo pkt-srcaddr, se l’indirizzo IP di origine è per un servizio AWS . Se l'indirizzo IP di origine appartiene a un [intervallo sovrapposto](aws-ip-syntax.md#aws-ip-range-overlaps), pkt-src-aws-service mostra solo uno dei codici di servizio. AWS I valori possibili sono: `AMAZON` \$1 `AMAZON_APPFLOW` \$1 `AMAZON_CONNECT` \$1 `API_GATEWAY` \$1 `AURORA_DSQL` \$1 `CHIME_MEETINGS` \$1 `CHIME_VOICECONNECTOR` \$1 `CLOUD9` \$1 `CLOUDFRONT` \$1 `CLOUDFRONT_ORIGIN_FACING` \$1 `CODEBUILD` \$1 `DYNAMODB` \$1 `EBS` \$1 `EC2` \$1 `EC2_INSTANCE_CONNECT` \$1 `GLOBALACCELERATOR` \$1 `IVS_LOW_LATENCY` \$1 `IVS_REALTIME` \$1 `KINESIS_VIDEO_STREAMS` \$1 `MEDIA_PACKAGE_V2` \$1 `ROUTE53` \$1 `ROUTE53_HEALTHCHECKS` \$1 `ROUTE53_HEALTHCHECKS_PUBLISHING` `ROUTE53_RESOLVER` \$1`S3`. `WORKSPACES_GATEWAYS` **Tipo di dati parquet:** STRING | 5 |
| pkt-dst-aws-service | Il nome del sottoinsieme di intervalli di indirizzi IP per il pkt-dstaddr campo, se l'indirizzo IP di destinazione è per un AWS servizio. Per un elenco di possibili valori, consulta il campo pkt-src-aws-service. **Tipo di dati parquet:** STRING | 5 |
| flow-direction | La direzione del flusso rispetto all’interfaccia in cui viene catturato il traffico. I valori possibili sono: ingress \$1 egress. **Tipo di dati parquet:** STRING | 5 |
| traffic-path | Il percorso che porta il traffico in uscita verso la destinazione. Per determinare se il traffico è in uscita, controlla il campo flow-direction. I valori possibili sono quelli riportati di seguito. Se nessuno dei valori viene applicato, il campo è impostato su -. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/flow-log-records.html) **Tipo di dati parquet:** INT\$132 | 5 |
| ecs-cluster-arn | AWS Nome risorsa (ARN) del cluster ECS se il traffico proviene da un'attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs:. ListClustersTipo di dati Parquet: STRING | 7 |
| ecs-cluster-name | Nome del cluster ECS se il traffico proviene da un’attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs:. ListClustersTipo di dati Parquet: STRING | 7 |
| ecs-container-instance-arn | ARN dell’istanza di container ECS se il traffico proviene da un’attività ECS in esecuzione su un’istanza EC2. Se il fornitore di capacità è AWS Fargate, questo campo sarà “-”. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListContainerInstances Tipo di dati Parquet: STRING | 7 |
| ecs-container-instance-id | ID dell’istanza di container ECS se il traffico proviene da un’attività ECS in esecuzione su un’istanza EC2. Se il fornitore di capacità è AWS Fargate, questo campo sarà “-”. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListContainerInstances Tipo di dati Parquet: STRING | 7 |
| ecs-container-id | ID di runtime Docker del container se il traffico proviene da un’attività ECS in esecuzione. Se nell’attività ECS sono presenti uno o più container, questo sarà l’ID di runtime Docker del primo container. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs:. ListClusters Tipo di dati Parquet: STRING | 7 |
| ecs-second-container-id | ID di runtime Docker del container se il traffico proviene da un’attività ECS in esecuzione. Se nell’attività ECS sono presenti più container, questo sarà l’ID di runtime Docker del secondo container. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs:. ListClusters Tipo di dati Parquet: STRING | 7 |
| ecs-service-name | Nome del servizio ECS se il traffico proviene da un’attività ECS in esecuzione e quest’ultima viene avviata da un servizio ECS. Se l’attività ECS non viene avviata da un servizio ECS, questo campo sarà “-”. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListServices Tipo di dati Parquet: STRING | 7 |
| ecs-task-definition-arn | ARN della definizione dell’attività ECS se il traffico proviene da un’attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ed ecs: ListClusters ListTaskDefinitions Tipo di dati Parquet: STRING | 7 |
| ecs-task-arn | ARN dell’attività ECS se il traffico proviene da un’attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, devi essere autorizzato a chiamare ecs: ListClusters ed ecs:. ListTasks Tipo di dati Parquet: STRING | 7 |
| ecs-task-id | ID dell’attività ECS se il traffico proviene da un’attività ECS in esecuzione. Per includere questo campo nel tuo abbonamento, hai bisogno del permesso di chiamare ecs: ListClusters ed ecs:. ListTasks Tipo di dati Parquet: STRING | 7 |
| reject-reason | Motivo per cui il traffico è stato respinto. Valori possibili: BPA, EC. Restituisce un “-” per qualsiasi altro motivo di rifiuto. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/flow-log-records.html) **Tipo di dati Parquet: ** STRING | 8 |
| resource-id | L'ID del gateway NAT regionale che contiene l'interfaccia di rete per la quale viene registrato il traffico. Restituisce un simbolo '-' per i flussi di traffico non associati a un gateway NAT regionale. Per ulteriori informazioni sui gateway NAT regionali, vedere. [Gateway NAT regionali per l'espansione automatica Multi-AZ](nat-gateways-regional.md) **Tipo di dati Parquet: ** STRING | 9 |
| stato di crittografia | stato di crittografia del flusso. Per ulteriori informazioni sui controlli di crittografia VPC, vedere. [Applica la crittografia VPC in transito](vpc-encryption-controls.md) I valori possibili sono: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/flow-log-records.html) Il valore è '-' se i controlli di crittografia VPC non sono abilitati o se FlowLog non è possibile ottenere lo stato. \$1 Per quanto riguarda gli endpoint di interfaccia e gateway, per determinare lo stato della crittografia AWS non vengono esaminati i dati a pacchetto, ma ci affidiamo alla porta utilizzata per assumere lo stato di crittografia. \$1\$1 Per endpoint AWS gestiti specifici, AWS determina lo stato della crittografia in base al requisito di TLS nella configurazione del servizio. **Tipo di dati Parquet: ** INT\$132 | 10 |
# Esempi di record di log di flusso
Di seguito sono riportati alcuni esempi di record di log di flusso che acquisiscono specifici flussi di traffico.
Per informazioni sul formato dei record di log di flusso, vedere [Record di log di flusso](flow-log-records.md). Per informazioni sulla creazione di log di flusso, consulta [Utilizzo dei log di flusso](working-with-flow-logs.md).
**Topics**
+ [Traffico accettato e rifiutato](#flow-log-example-accepted-rejected)
+ [Nessun dato e record ignorati](#flow-log-example-no-data)
+ [Regole del gruppo di sicurezza e della lista di controllo accessi di rete](#flow-log-example-security-groups)
+ [IPv6 traffico](#flow-log-example-ipv6)
+ [Sequenza di flag TCP](#flow-log-example-tcp-flag)
+ [Traffico attraverso un gateway NAT zonale](#flow-log-example-nat)
+ [Traffico attraverso un gateway NAT regionale](#flow-log-example-regional-nat)
+ [Traffico tramite un gateway di transito](#flow-log-example-tgw)
+ [Nome del servizio, percorso di traffico e direzione del flusso](#flow-log-example-traffic-path)
## Traffico accettato e rifiutato
Di seguito sono riportati esempi di record di log di flusso predefiniti.
In questo esempio, il traffico SSH (porta di destinazione 22, protocollo TCP) dall’indirizzo IP 172.31.16.139 all’interfaccia di rete con indirizzo IP privato 172.31.16.21 e ID eni-1235b8ca123456789 nell’account 123456789010 è stato consentito.
```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
```
In questo esempio, il traffico RDP (porta di destinazione 3389, protocollo TCP) all’interfaccia di rete eni-1235b8ca123456789 nell’account 123456789010 è stato rifiutato.
```
2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
```
## Nessun dato e record ignorati
Di seguito sono riportati esempi di record di log di flusso predefiniti.
In questo esempio non è stato registrato alcun dato durante l’intervallo di aggregazione.
```
2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA
```
VPC Flow Logs salta i record quando non è in grado di acquisire i dati del flusso di log durante un intervallo di aggregazione perché supera la capacità interna. Un singolo registro ignorato può rappresentare flussi multipli che non sono stati acquisiti per l’interfaccia di rete durante l’intervallo di aggregazione.
```
2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA
```
**Nota**
Alcuni record del log di flusso sono stati ignorati durante l’intervallo di aggregazione (consulta *log-status* in [Campi disponibili](flow-log-records.md#flow-logs-fields)). Ciò può essere causato da un vincolo di AWS capacità interno o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di flusso VPC e alcuni log di flusso vengono ignorati durante l'intervallo di aggregazione dei log di flusso, il numero di log di flusso riportato AWS Cost Explorer sarà superiore al numero di log di flusso pubblicati da Amazon VPC.
## Regole del gruppo di sicurezza e della lista di controllo accessi di rete
Se stai utilizzando log di flusso per diagnosticare regole del gruppo di sicurezza o della lista di controllo accessi di rete troppo restrittive o permissive, considera che le risorse sono stateless. I gruppi di sicurezza sono stateful: ovvero le risposte a traffico consentito sono consentite, anche se le regole nel gruppo di sicurezza non lo permettono. Al contrario, le reti ACLs sono prive di stato, pertanto le risposte al traffico consentito sono soggette alle regole ACL di rete.
Ad esempio, il comando **ping** viene utilizzato dal computer di casa (con indirizzo IP 203.0.113.12) all’istanza (con indirizzo IP privato dell’interfaccia di rete 172.31.16.139). Il traffico ICMP è consentito dalle regole in ingresso del gruppo di sicurezza, ma non dalle regole in uscita. Dato che i gruppi di sicurezza sono stateful, il ping di risposta dall’istanza è consentito. La lista di controllo accessi di rete permette traffico ICMP in entrata ma non traffico ICMP in uscita. Poiché ACLs le reti sono prive di stato, il ping di risposta viene interrotto e non raggiunge il computer di casa. In un log di flusso predefinito, questo viene visualizzato come due record di log di flusso:
+ Un record ACCEPT per il ping originario è stato consentito dalla lista di controllo accessi di rete E dal gruppo di sicurezza, pertanto può raggiungere l’istanza.
+ Un record REJECT per il ping di risposta rifiutato dalla lista di controllo accessi di rete.
```
2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
```
```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
```
Se la lista di controllo accessi di rete permette traffico ICMP in uscita, il log di flusso visualizza due record ACCEPT (uno per il ping originario e uno per il ping di risposta). Se il gruppo di sicurezza nega il traffico ICMP in entrata, il log di flusso visualizza un singolo record REJECT, perché il traffico non può raggiungere l’istanza.
## IPv6 traffico
Di seguito è riportato un esempio di record del log di flusso predefinito. Nell'esempio, era consentito il traffico SSH (porta 22) dall' IPv6 indirizzo 2001:db 8:1234:a 100:8 d6e:3477:df66:f105 all'interfaccia di rete eni-1235b8ca123456789 nell'account 123456789010.
```
2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK
```
## Sequenza di flag TCP
Questa sezione contiene esempi di log di flusso personalizzati che acquisiscono i campi seguenti nell’ordine riportato di seguito.
```
version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status
```
tcp-flagsIl campo negli esempi second-to-last di questa sezione è rappresentato dal valore nel log di flusso. I flag TCP possono essere utili per identificare la direzione del traffico, ad esempio per sapere quale server ha inizializzato la connessione.
**Nota**
Per ulteriori informazioni sull’opzione tcp-flags e per la spiegazione di ciascuno dei flag TCP, consulta [Campi disponibili](flow-log-records.md#flow-logs-fields).
Nei record seguenti (avvio alle 7:47:55 PM e fine alle 7:48:53 PM), sono state avviate due connessioni da un client a un server in esecuzione sulla porta 5001. Il server ha ricevuto due flag SYN (2) dal client da diverse porte di origine sul client (43416 e 43418). Per ogni SYN, è stato inviato un SYN-ACK dal server al client (18) sulla porta corrispondente.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK
```
Nel secondo intervallo di aggregazione, una delle connessioni stabilite nel flusso precedente viene chiusa. Il server ha inviato un flag FIN (1) al client per la connessione sulla porta 43418. Il client ha risposto con un FIN al server sulla porta 43418.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK
```
Per le connessioni brevi (ad esempio di alcuni secondi) che vengono aperte e chiuse entro un unico intervallo di aggregazione, i flag potrebbero essere impostati sulla stessa riga nel record di log di flusso per il flusso di traffico nella stessa direzione. Nell’esempio seguente, la connessione viene stabilita e terminata all’interno dello stesso intervallo di aggregazione. Nella prima riga, il valore del flag TCP è 3, che indica la presenza di un SYN e di un messaggio FIN inviato dal client al server. Nella seconda riga, il valore del flag TCP è 19, che indica la presenza di un SYN-ACK e di un messaggio FIN inviato dal server al client.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK
```
## Traffico attraverso un gateway NAT zonale
In questo esempio, un'istanza in una sottorete privata accede a Internet tramite un gateway NAT zonale che si trova in una sottorete pubblica.
![\[Accesso a Internet tramite un gateway NAT zonale\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/flow-log-nat-gateway.png)
Il seguente registro di flusso personalizzato per l'interfaccia di rete del gateway NAT zonale acquisisce i seguenti campi nell'ordine seguente.
```
instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```
Il log di flusso mostra il flusso di traffico dall'indirizzo IP dell'istanza (10.0.1.5) attraverso l'interfaccia di rete gateway NAT zonale verso un host su Internet (203.0.113.5). L'interfaccia di rete del gateway NAT zonale è un'interfaccia di rete gestita dal richiedente, pertanto il record del log di flusso visualizza un simbolo «-» per il campo. instance-id La riga seguente mostra il traffico dall'istanza di origine all'interfaccia di rete del gateway NAT zonale. I valori per i campi dstaddr e pkt-dstaddr sono diversi. Il dstaddr campo mostra l'indirizzo IP privato dell'interfaccia di rete del gateway NAT zonale e l'pkt-dstaddrindirizzo IP di destinazione finale dell'host su Internet.
```
- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5
```
Le due righe successive mostrano il traffico dall'interfaccia di rete del gateway NAT zonale all'host di destinazione su Internet e il traffico di risposta dall'host all'interfaccia di rete del gateway NAT.
```
- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5
- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220
```
La riga seguente mostra il traffico di risposta dall'interfaccia di rete del gateway NAT zonale all'istanza di origine. I valori per i campi srcaddr e pkt-srcaddr sono diversi. Il srcaddr campo mostra l'indirizzo IP privato dell'interfaccia di rete del gateway NAT zonale e l'pkt-srcaddrindirizzo IP dell'host su Internet.
```
- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5
```
Per creare un altro log di flusso personalizzato, puoi usare lo stesso set di campi riportato sopra. Puoi creare il log di flusso per l’interfaccia di rete per l’istanza nella sottorete privata. In questo caso, il campo instance-id restituisce l’ID dell’istanza associata all’interfaccia di rete e non c’è differenza tra i campi dstaddr e pkt-dstaddr e i campi srcaddr e pkt-srcaddr. A differenza dell'interfaccia di rete per il gateway NAT zonale, questa interfaccia di rete non è un'interfaccia di rete intermedia per il traffico.
```
i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```
## Traffico attraverso un gateway NAT regionale
Un gateway NAT regionale può connettersi a più sottoreti in diverse zone di disponibilità. In questo esempio, due istanze in sottoreti private provenienti da due diverse zone di disponibilità accedono a Internet tramite lo stesso gateway NAT regionale. I seguenti log di flusso mostrano il traffico proveniente da una delle istanze verso Internet attraverso il gateway NAT regionale.
![\[Accesso a Internet tramite un gateway NAT regionale\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/flow-log-regional-nat-gateway.png)
Il seguente log di flusso personalizzato per il gateway NAT regionale acquisisce i seguenti campi nell'ordine seguente.
```
resource-id instance-id interface-id subnet-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```
Il log di flusso mostra il flusso di traffico dall'indirizzo IP dell'istanza (10.0.1.5) attraverso il gateway NAT regionale verso un host su Internet (203.0.113.5). instance-idinterface-id, e subnet-id non si applicano al gateway NAT regionale. Pertanto, il record del log di flusso visualizza un simbolo «-» per questi campi. Al contrario, il resource-id campo mostra l'ID del gateway NAT regionale. I pkt-dstaddr campi dstaddr and visualizzano l'indirizzo IP di destinazione finale dell'host su Internet.
```
nat-1234567890abcdef - - - 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5
```
Le due righe successive mostrano il traffico dal gateway NAT regionale (indirizzo IP pubblico 107.22.182.139) all'host di destinazione su Internet e il traffico di risposta dall'host al gateway NAT regionale.
```
nat-1234567890abcdef - - - 107.22.182.139 203.0.113.5 107.22.182.139 203.0.113.5
nat-1234567890abcdef - - - 203.0.113.5 107.22.182.139 203.0.113.5 107.22.182.139
```
La riga seguente mostra il traffico di risposta dal gateway NAT regionale all'istanza di origine. I pkt-srcaddr campi srcaddr e visualizzano l'indirizzo IP dell'host su Internet.
```
nat-1234567890abcdef - - - 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5
```
Per creare un altro log di flusso personalizzato, puoi usare lo stesso set di campi riportato sopra. Puoi creare il log di flusso per l’interfaccia di rete per l’istanza nella sottorete privata. In questo caso, il instance-id campo restituisce l'ID dell'istanza associata all'interfaccia di rete ed resource-id è '-'. Non c'è differenza tra i pkt-dstaddr campi dstaddr and e e. srcaddr pkt-srcaddr
```
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```
## Traffico tramite un gateway di transito
In questo esempio, un client in VPC A si connette a un server Web in VPC B tramite un gateway di transito. Il client e il server sono in diverse zone di disponibilità. Il traffico arriva al server nel VPC B utilizzando un ID dell’interfaccia di rete elastica (in questo esempio, supponiamo che l’ID sia eni-11111111111111111) e lascia il VPC B usandone un altro (ad esempio, eni-22222222222222222).
![\[Traffico tramite un gateway di transito\]](http://docs.aws.amazon.com/it_it/vpc/latest/userguide/images/flow-log-tgw.png)
Puoi creare un log di flusso personalizzato per VPC B con il formato seguente.
```
version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status
```
Le seguenti righe dei record di file di log dimostrano il flusso del traffico sull’interfaccia di rete per il server Web. La prima riga è il traffico di richiesta dal client e l’ultima riga è il traffico di risposta dal server Web.
```
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
...
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```
La riga seguente è il traffico di richiesta su eni-11111111111111111, un’interfaccia di rete gestita dal richiedente per il gateway di transito nella sottorete subnet-11111111aaaaaaaaa. Nel record del log di flusso, pertanto, è presente un simbolo ’-’ per il campo instance-id. Il campo srcaddr visualizza l’indirizzo IP privato dell’interfaccia di rete del gateway di transito e il campo pkt-srcaddr visualizza l’indirizzo IP di origine del client nel VPC A.
```
3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
```
La riga seguente è il traffico di risposta su eni-22222222222222222, un’interfaccia di rete gestita dal richiedente per il gateway di transito nella sottorete subnet-22222222bbbbbbbbb. Il campo dstaddr visualizza l’indirizzo IP privato dell’interfaccia di rete del gateway di transito e il campo pkt-dstaddr visualizza l’indirizzo IP del client nel VPC A.
```
3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```
## Nome del servizio, percorso di traffico e direzione del flusso
Di seguito è riportato un esempio dei campi per un record di log di flusso personalizzato.
```
version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status
```
Nell’esempio seguente, la versione è 5 perché i record includono campi della versione 5. Un’istanza EC2 chiama il servizio Amazon S3. I log di flusso vengono acquisiti sull’interfaccia di rete per l’istanza. Il primo record ha una direzione di flusso pari a ingress mentre il secondo record ha una direzione di flusso pari a egress. Per il record egress, traffic-path è 8 e indica che il traffico passa attraverso un gateway Internet. Il campo traffic-path non è supportato per il traffico ingress. Quando pkt-srcaddr o pkt-dstaddr è un indirizzo IP pubblico, viene visualizzato il nome del servizio.
```
5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK
5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK
```
# Limitazioni del log di flusso
Per utilizzare i log di flusso, occorre considerare le seguenti limitazioni:
+ Dopo aver creato un log di flusso, i dati del log di flusso non verranno visualizzati finché non vi sarà traffico attivo per l’interfaccia di rete, la sottorete o il VPC selezionato.
+ Non puoi abilitare i log di flusso per quelli VPCs che vengono peerizzati con il tuo VPC a meno che il VPC peer non sia nel tuo account.
+ Dopo aver creato un log di flusso, non è possibile modificarne la configurazione o cambiarne il formato del record. Ad esempio, non è possibile associare un ruolo IAM diverso al log di flusso o aggiungere o rimuovere campi nel record del log di flusso. Invece, è possibile eliminare il log di flusso e crearne uno nuovo con la configurazione richiesta.
+ Se l'interfaccia di rete ha più IPv4 indirizzi e il traffico viene inviato a un IPv4 indirizzo privato secondario, il log di flusso visualizza l'indirizzo privato IPv4 principale nel campo. `dstaddr` Per acquisire l’indirizzo IP di destinazione originale, crea un log di flusso con il campo `pkt-dstaddr`.
+ Se il traffico viene inviato a un'interfaccia di rete e la destinazione non è uno degli indirizzi IP dell'interfaccia di rete, il log di flusso visualizza l' IPv4 indirizzo privato principale nel `dstaddr` campo. Per acquisire l’indirizzo IP di destinazione originale, crea un log di flusso con il campo `pkt-dstaddr`.
+ Se il traffico viene inviato da un'interfaccia di rete e l'origine non è uno degli indirizzi IP dell'interfaccia di rete, quando il record di registro riguarda un flusso in uscita, il log di flusso visualizza l' IPv4 indirizzo privato principale nel `srcaddr` campo. Per acquisire l’indirizzo IP di origine originale, crea un log di flusso con il campo `pkt-srcaddr`. Se il record del log riguarda un flusso di ingresso nell’interfaccia di rete, l’IP privato primario dell’interfaccia di rete non verrà visualizzato nel campo `srcaddr`.
+ Quando l’interfaccia di rete viene collegata a un’[istanza basata su Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), l’intervallo di aggregazione è sempre pari o inferiore a 1 minuto, a prescindere dall’intervallo di aggregazione massimo specificato.
+ Per i campi `pkt-srcaddr` e `pkt-dstaddr`, se la conservazione dell’indirizzo IP del client è abilitata per il livello intermedio, questo campo può mostrare l’IP del client conservato anziché l’indirizzo IP del livello intermedio.
+ Per il campo `traffic-path`, il valore è lo stesso di quello per i flussi che attraversano le risorse nello stesso VPC e i flussi che attraversano un gateway locale Outpost.
+ Alcuni record del log di flusso sono stati ignorati durante l’intervallo di aggregazione (consulta *log-status* in [Campi disponibili](flow-log-records.md#flow-logs-fields)). Ciò può essere causato da un vincolo di AWS capacità interno o da un errore interno. Se utilizzi AWS Cost Explorer per visualizzare i costi dei log di flusso VPC e alcuni log di flusso vengono ignorati durante l'intervallo di aggregazione dei log di flusso, il numero di log di flusso riportato AWS Cost Explorer sarà superiore al numero di log di flusso pubblicati da Amazon VPC.
+ Se utilizzi [Blocco dell’accesso pubblico (BPA) VPC](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl):
+ I log di flusso per BPA VPC non includono i [record ignorati](flow-logs-records-examples.md#flow-log-example-no-data).
+ I log di flusso per BPA VPC non includono [`bytes`](flow-log-records.md#flow-logs-fields) anche se includi il campo `bytes` nel log di flusso.
+ VPC Flow Logs supporta un massimo di 250 abbonamenti per risorsa per account. Per creare abbonamenti aggiuntivi su una risorsa che ha raggiunto questo limite, devi prima eliminare gli abbonamenti esistenti.
I log di flusso non acquisiscono tutto il traffico IP. I seguenti tipi di traffico non vengono registrati:
+ Traffico generato da istanze quando contattano il server Amazon DNS. Se si utilizza il proprio server DNS, tutto il traffico al server DNS viene registrato.
+ Traffico generato da un’istanza Windows per attivazione licenza Windows Amazon.
+ Traffico da e per `169.254.169.254` per metadati istanza.
+ Traffico da e per `169.254.169.123` per Amazon Time Sync Service.
+ Traffico DHCP.
+ Traffico di origine [con mirroring](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-how-it-works.html). Verrà visualizzato solo il traffico di destinazione con mirroring.
+ Traffico all’indirizzo IP riservato per il router VPC predefinito.
+ Traffico tra un’interfaccia di rete endpoint e un’interfaccia di rete Network Load Balancer.
+ Traffico ARP (Address Resolution Protocol).
+ Traffico su un gateway NAT regionale di breve durata, che viene eliminato pochi minuti dopo la creazione.
Limitazioni specifiche dei campi ECS disponibili nella versione 7:
+ I campi ECS non vengono calcolati se le attività ECS sottostanti non appartengono al proprietario dell’abbonamento al log di flusso. Ad esempio, se condividi una sottorete (`SubnetA`) con un altro account (`AccountB`) e poi crei un abbonamento al log di flusso per `SubnetA`, se `AccountB` avvia attività ECS nella sottorete condivisa, l’abbonamento riceverà i log del traffico dalle attività ECS avviate da `AccountB`, ma i campi ECS per questi log non verranno calcolati a causa di problemi di sicurezza.
+ Se crei abbonamenti ai log di flusso con campi ECS a livello di VPC/Subnet risorsa, tutto il traffico generato per interfacce di rete non ECS verrà distribuito anche agli abbonamenti. I valori per i campi ECS saranno “-” per il traffico IP non ECS. Ad esempio, disponi di una sottorete (`subnet-000000`) e crei un abbonamento al log di flusso per questa sottorete con campi ECS (`fl-00000000`). In `subnet-000000`, avvii un’istanza EC2 (`i-0000000`) connessa a Internet e che genera attivamente traffico IP. Puoi anche avviare un’attività ECS (`ECS-Task-1`) in esecuzione nella stessa sottorete. Poiché sia `i-0000000` che `ECS-Task-1` generano traffico IP, l’abbonamento al log di flusso `fl-00000000` fornirà i log di traffico per entrambe le entità. Tuttavia, solo `ECS-Task-1` disporrà dei metadati ECS effettivi per i campi ECS che hai incluso in logFormat. Per il traffico correlato a `i-0000000`, questi campi avranno il valore di “-”.
+ `ecs-container-id` e `ecs-second-container-id` vengono ordinati quando il servizio Log di flusso VPC li riceve dal flusso di eventi ECS. Non è garantito che siano nello stesso ordine in cui vengono visualizzati sulla console ECS o nella chiamata API. DescribeTask Se un container entra nello stato STOPPED mentre l’attività è ancora in esecuzione, potrebbe continuare a essere visualizzato nel log.
+ I metadati ECS e i log del traffico IP provengono da due origini diverse. Iniziamo a calcolare il traffico ECS non appena otteniamo tutte le informazioni richieste dalle dipendenze upstream. Dopo aver avviato una nuova attività, iniziamo a calcolare i campi ECS 1) quando riceviamo il traffico IP per l’interfaccia di rete sottostante e 2) quando riceviamo l’evento ECS che contiene i metadati dell’attività ECS per indicare che l’attività è ora in esecuzione. Dopo aver interrotto un’attività, arrestiamo il calcolo dei campi ECS 1) quando non riceviamo più il traffico IP per l’interfaccia di rete sottostante o riceviamo il traffico IP con un ritardo di più di un giorno e 2) quando riceviamo l’evento ECS che contiene i metadati dell’attività ECS per indicare che l’attività non è più in esecuzione.
+ Sono supportate solo le attività ECS avviate in [modalità di rete](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) `awsvpc`.
Limitazioni specifiche del `encryption-status` campo:
+ Lo stato di crittografia può essere «-» (non disponibile) in alcuni flussi, a causa della limitazione di alcuni dispositivi di rete a segnalare lo stato della crittografia. Gli utenti possono ignorare questi flussi nell'analisi.
+ La visualizzazione come crittografata in modalità di monitoraggio non significa che il flusso sarà consentito in modalità di applicazione. Viceversa.
+ Se un flusso è crittografato in modalità di monitoraggio, potrebbe non essere conforme in modalità enforce:
+ Se il flusso riguarda un ENI creato da un AWS servizio, il servizio deve supportare Encryption Controls.
+ Se il flusso passa attraverso il peering VPC, il VPC peer potrebbe non forzare i controlli di crittografia.
+ Se un flusso non è crittografato in modalità di monitoraggio, potrebbe comunque essere conforme in modalità Enforce, dato che il servizio relativo al flusso viene aggiunto come esclusione.
## Prezzi
Gli addebiti per l’importazione dei dati e l’archiviazione per i log distribuiti vengono applicati quando si pubblicano i log di flusso. **Per ulteriori informazioni sui prezzi per la pubblicazione dei registri di vendita, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), seleziona **Log e trova Vended Logs.****
Per tenere traccia degli addebiti derivanti dalla pubblicazione dei log di flusso, puoi applicare tag di allocazione dei costi alla risorsa di destinazione. Successivamente, il rapporto sull'allocazione AWS dei costi include l'utilizzo e i costi aggregati in base a questi tag. Puoi applicare i tag che rappresentano categorie di business (come centri di costo, nomi di applicazioni o proprietari) per organizzare i costi. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Uso dei tag per l’allocazione dei costi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) nella *Guida per l’utente di AWS Billing *.
+ [Contrassegna i gruppi di log in Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#log-group-tagging) nella *Amazon CloudWatch Logs* User Guide
+ [Utilizzo dei tag dei bucket S3 per l’allocazione dei costi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) nella *Guida per l’utente di Amazon Simple Storage Service*
+ [Tagging dei flussi di distribuzione](https://docs.aws.amazon.com/firehose/latest/dev/firehose-tagging.html) nella *Guida per gli sviluppatori di Amazon Data Firehose*
# Utilizzo dei log di flusso
Puoi lavorare con i log di flusso utilizzando le console di Amazon EC2 e Amazon VPC.
**Topics**
+ [1. Controllo dell’utilizzo dei log di flusso con IAM](#controlling-use-of-flow-logs)
+ [2. Creazione di un log di flusso](#create-flow-log)
+ [3. Tagging di un log di flusso](#modify-tags-flow-logs)
+ [4. Eliminazione di un log di flusso](#delete-flow-log)
+ [Panoramica della riga di comando](#flow-logs-api-cli)
## 1. Controllo dell’utilizzo dei log di flusso con IAM
Per impostazione predefinita, gli utenti non dispongono dell’autorizzazione per utilizzare log di flusso. Puoi creare un ruolo IAM con una policy collegata che concede agli utenti le autorizzazioni per creare, descrivere ed eliminare log di flusso.
Di seguito è riportata una policy di esempio che concede agli utenti autorizzazioni complete per creare, descrivere ed eliminare log di flusso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
Per ulteriori informazioni, consulta [Come funziona Amazon VPC con IAM](security_iam_service-with-iam.md).
## 2. Creazione di un log di flusso
È possibile creare registri di flusso per le proprie VPCs sottoreti o interfacce di rete. Quando si crea un log di flusso, è necessario specificare una destinazione per il log. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Crea un log di flusso da pubblicare su Logs CloudWatch](flow-logs-cwl-create-flow-log.md)
+ [Creazione di un log di flusso che pubblica in Amazon S3](flow-logs-s3-create-flow-log.md)
+ [Creazione di un log di flusso che viene pubblicato in Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)
## 3. Tagging di un log di flusso
Puoi aggiungere o rimuovere tag per un log di flusso in qualsiasi momento.
**Gestione dei tag per un log di flusso**
1. Esegui una delle seguenti operazioni:
+ Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Nel riquadro di navigazione, selezionare **Network Interfaces (Interfacce di rete)**. Seleziona la casella di controllo relativa all'interfaccia di rete.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). **Nel riquadro di navigazione, scegli Your. VPCs** Selezionare la casella di controllo relativa al VPC.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, seleziona **Sottoreti**. Seleziona la casella di controllo della sottorete.
1. Scegli **Flow Logs** (Log di flusso).
1. Scegliere **Actions (Operazioni)**, **Manage tags (Gestisci tag)**.
1. Per aggiungere un nuovo tag, scegli **Add new tag** (Aggiungi nuovo tag), quindi specifica la chiave e il valore. Per rimuovere un tag, scegli **Remove** (Rimuovi).
1. Al termine dell’aggiunta o della rimozione dei tag, scegli **Save** (Salva).
## 4. Eliminazione di un log di flusso
Puoi eliminare un log di flusso in qualsiasi momento. Dopo aver eliminato un log di flusso, potrebbero essere necessari diversi minuti per interrompere la raccolta dei dati.
L’eliminazione di un log di flusso non comporta l’eliminazione dei dati del log dalla destinazione né modifica la risorsa di destinazione. È necessario eliminare i dati del log di flusso esistenti direttamente dalla destinazione e pulire la risorsa di destinazione, utilizzando la console per il servizio di destinazione.
**Eliminazione di un log di flusso**
1. Esegui una delle seguenti operazioni:
+ Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Nel riquadro di navigazione, selezionare **Network Interfaces (Interfacce di rete)**. Seleziona la casella di controllo relativa all'interfaccia di rete.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, scegli **Tuo VPCs**. Selezionare la casella di controllo relativa al VPC.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, seleziona **Sottoreti**. Seleziona la casella di controllo della sottorete.
1. Scegli **Flow Logs** (Log di flusso).
1. Scegli **Actions** (Operazioni), **Delete flow logs** (Elimina log di flusso).
1. Quando viene richiesta la conferma, digitare **delete** e quindi scegliere **Delete** (Elimina).
## Panoramica della riga di comando
Puoi eseguire le attività descritte in questa pagina tramite la riga di comando.
**Creazione di un log di flusso**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Descrizione di un log di flusso**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Tagging di un log di flusso**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) e [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) e [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html) (AWS Tools for Windows PowerShell)
**Eliminazione di un log di flusso**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# Pubblica i log di flusso su Logs CloudWatch
I log di flusso possono pubblicare i dati dei log di flusso direttamente su Amazon CloudWatch. Amazon CloudWatch è un servizio completo di monitoraggio e osservabilità. Raccoglie e tiene traccia di metriche, registri e dati sugli eventi da varie AWS risorse, nonché dalle tue applicazioni e servizi. CloudWatch offre visibilità sull'utilizzo delle risorse, sulle prestazioni delle applicazioni e sullo stato operativo, consentendovi di rilevare e rispondere ai cambiamenti delle prestazioni a livello di sistema e ai potenziali problemi. Con CloudWatch, puoi impostare allarmi, visualizzare log e metriche e reagire automaticamente per raccogliere e ottimizzare le tue risorse cloud. È uno strumento essenziale per garantire l’affidabilità, la disponibilità e le prestazioni dell’infrastruttura e delle applicazioni basate sul cloud.
Quando si pubblica su CloudWatch Logs, i dati del log di flusso vengono pubblicati in un gruppo di log e ogni interfaccia di rete ha un flusso di log unico nel gruppo di log. I flussi di log contengono record del log di flusso. Puoi creare più log di flusso che pubblicano dati nello stesso gruppo di log. Se la stessa interfaccia di rete è presente in uno o più log di flusso nello stesso gruppo di log, dispone di un flusso di log combinato. Se è stato specificato che un log di flusso deve acquisire traffico rifiutato e l’altro log di flusso deve acquisire traffico accettato, il flusso di log combinato acquisisce tutto il traffico.
In CloudWatch Logs, il campo **timestamp** corrisponde all'ora di inizio acquisita nel record del log di flusso. Il campo **IngestionTime** indica la data e l'ora in cui il record del log di flusso è stato ricevuto da Logs. CloudWatch Questo timestamp è successivo all’ora di fine acquisita nel record di log di flusso.
Per ulteriori informazioni sui CloudWatch log, consulta Logs [sent to Logs nella *Amazon CloudWatch CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) User Guide.
**Prezzi**
I costi di ingestione e archiviazione dei dati per i log venduti si applicano quando pubblichi i log di flusso su Logs. CloudWatch Per ulteriori informazioni, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), seleziona **Logs** e trova **Vending Logs.**
**Topics**
+ [Ruolo IAM per la pubblicazione dei log di flusso su Logs CloudWatch](flow-logs-iam-role.md)
+ [Crea un log di flusso da pubblicare su Logs CloudWatch](flow-logs-cwl-create-flow-log.md)
+ [Visualizza i record dei log di flusso con Logs CloudWatch](view-flow-log-records-cwl.md)
+ [Ricerca dei record dei log di flusso](search-flow-log-records-cwl.md)
+ [Elaborare i record dei log di flusso in CloudWatch Logs](process-records-cwl.md)
# Ruolo IAM per la pubblicazione dei log di flusso su Logs CloudWatch
Il ruolo IAM associato al log di flusso deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel gruppo di log specificato in Logs. CloudWatch Il ruolo IAM deve appartenere al tuo account. AWS
La policy IAM collegata al ruolo IAM deve includere almeno le autorizzazioni seguenti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Verificare che il ruolo abbia la seguente policy di attendibilità che consente al servizio dei log di flusso di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Si consiglia di utilizzare il le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. L’account di origine è il proprietario del flusso di log e l’ARN di origine è l’ARN del flusso di log. Se non si conosce l’ID del flusso di log, è possibile sostituire quella parte dell’ARN con un carattere jolly (\$1) e quindi aggiornare la policy dopo aver creato il flusso di log.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Creazione di un ruolo IAM per i log di flusso
È possibile aggiornare un ruolo esistente come descritto in precedenza. In alternativa, puoi utilizzare la seguente procedura per creare un nuovo ruolo per l’utilizzo con log di flusso. Questo ruolo dovrà essere specificato quando crei il log del flusso.
**Per creare un ruolo IAM per i log di flusso**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella pagina **Create policy (Crea policy)**, eseguire le operazioni seguenti:
1. Scegli **JSON**.
1. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all’inizio di questa sezione.
1. Scegli **Next (Successivo)**.
1. Immetti un nome per la policy, una descrizione facoltativa e i tag, quindi scegli **Crea policy**.
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Custom trust policy** (Policy di attendibilità personalizzata). Per **Custom trust policy** (Policy di attendibilità personalizzata), sostituisci `"Principal": {},` con quanto segue, quindi seleziona **Next** (Successivo).
```
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
```
1. Sulla pagina **Add permissions** (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli **Next** (Successivo).
1. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
1. Seleziona **Create role** (Crea ruolo).
# Crea un log di flusso da pubblicare su Logs CloudWatch
Puoi creare log di flusso per le tue sottoreti o le VPCs interfacce di rete. Se esegui questa procedura come utente che utilizza un particolare ruolo IAM, assicurati che il ruolo disponga delle autorizzazioni per utilizzare l’operazione `iam:PassRole`.
**Prerequisito**
Verifica che il principale IAM che stai utilizzando per effettuare la richiesta disponga delle autorizzazioni per richiamare l’operazione `iam:PassRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
**Creazione di un flusso di log tramite la console**
1. Esegui una delle seguenti operazioni:
+ Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Nel riquadro di navigazione, selezionare **Network Interfaces (Interfacce di rete)**. Seleziona la casella di controllo relativa all'interfaccia di rete.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). **Nel riquadro di navigazione, scegli Your. VPCs** Selezionare la casella di controllo relativa al VPC.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, seleziona **Sottoreti**. Seleziona la casella di controllo della sottorete.
1. Scegli **Actions (Operazioni)**, **Create flow log (Crea flusso di log)**.
1. Per **Filtra**, specifica il tipo di traffico di cui eseguire il log. Seleziona **All (Tutti)** per registrare il traffico accettato e rifiutato, **Reject (Rifiutato)** per eseguire il log solo del traffico rifiutato oppure **Accept (Accettato)** per eseguirlo solo sul traffico accettato.
1. Per **Maximum aggregation interval (Intervallo di aggregazione massimo)**, scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso.
1. Per **Destinazione**, scegli **Invia ai CloudWatch registri.**
1. Per **Gruppo di log di destinazione**, scegli il nome di un gruppo di log esistente o inserisci il nome di un nuovo gruppo di log. Se inserisci un nome, creiamo il gruppo di log quando è presente traffico da registrare.
1. Per **l'accesso al servizio**, scegli un [ruolo di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) esistente con le autorizzazioni per pubblicare i log nei CloudWatch registri o scegli di creare un nuovo ruolo di servizio.
1. Per **Formato record di log**, seleziona il formato per il record del log di flusso.
+ Per utilizzare il formato del record di log di flusso predefinito, seleziona **Formato predefinito AWS **.
+ Per utilizzare un formato personalizzato, scegli **Formato personalizzato**, quindi seleziona i campi da **Formato di log** .
1. Per **Metadati aggiuntivi**, seleziona se desideri includere i metadati di Amazon ECS nel formato di log.
1. (Facoltativo) Seleziona **Aggiungi tag** per applicare i tag al log di flusso.
1. Selezionare **Create flow log (Crea log di flusso)**.
**Per creare un log di flusso utilizzando la riga di comando**
Utilizzare uno dei seguenti comandi.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico accettato per la sottorete specificata. I log di flusso vengono consegnati al gruppo di log specificato. Il `--deliver-logs-permission-arn` parametro specifica il ruolo IAM richiesto per la pubblicazione su Logs. CloudWatch
```
aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# Visualizza i record dei log di flusso con Logs CloudWatch
È possibile visualizzare i record del log di flusso utilizzando la console CloudWatch Logs. Dopo che il flusso di log è stato creato, potrebbero essere necessari alcuni minuti prima che sia visibile nella console.
**Per visualizzare i record del log di flusso pubblicati su CloudWatch Logs utilizzando la console**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Log**, **Gruppi di log**.
1. Seleziona il nome del gruppo di log contenente i log di flusso per aprirne la pagina dei dettagli.
1. Seleziona il nome del flusso di log contenente i record del log di flusso. Per ulteriori informazioni, consulta [Record di log di flusso](flow-log-records.md).
**Per visualizzare i record del log di flusso pubblicati su CloudWatch Logs utilizzando la riga di comando**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [Get- CWLLog Event](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) ()AWS Tools for Windows PowerShell
# Ricerca dei record dei log di flusso
È possibile cercare i record del log di flusso pubblicati su CloudWatch Logs utilizzando la console CloudWatch Logs. È possibile utilizzare [filtri metrici](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) per filtrare i record del log di flusso. I record del log di flusso sono delimitati da spazio.
**Per cercare i record del log di flusso utilizzando la CloudWatch console Logs**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Log**, **Gruppi di log**.
1. Seleziona il gruppo di log contenente il log di flusso, quindi seleziona il flusso di log, se conosci l’interfaccia di rete che stai cercando. In alternativa, scegli **Search log group** (Cerca nel gruppo di log). Questo potrebbe richiedere del tempo se nel gruppo di log sono presenti molte interfacce di rete o in base all’intervallo di tempo selezionato.
1. In **Filtra eventi**, inserisci la stringa seguente. Ciò presuppone che il record del log di flusso utilizzi il [formato predefinito](flow-log-records.md#flow-logs-default).
```
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
```
1. Modificare il filtro in base alle esigenze specificando i valori per i campi. Negli esempi seguenti il filtro viene applicato in base a specifici indirizzi IP di origine.
```
[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
```
Negli esempi seguenti il filtro viene applicato in base alla porta di destinazione, al numero di byte e all’eventuale rifiuto del traffico.
```
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
```
# Elaborare i record dei log di flusso in CloudWatch Logs
È possibile elaborare i record del log di flusso come si farebbe con qualsiasi altro evento di registro raccolto da CloudWatch Logs. Per ulteriori informazioni sul monitoraggio dei dati di log e dei filtri delle metriche, consulta [Creazione di metriche dagli eventi di log utilizzando il filtro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) nella *Amazon CloudWatch Logs* User Guide.
## Esempio: crea un filtro CloudWatch metrico e un allarme per un log di flusso
In questo esempio, si dispone di un log di flusso per `eni-1a2b3c4d`. Si desidera creare un allarme che avvisa se si sono verificati almeno 10 tentativi di connessione all’istanza sulla porta TCP 22 (SSH) entro un periodo di tempo di 1 ora. Innanzitutto, crea un filtro parametri che corrisponde al modello di traffico per il quale creare l’allarme. Quindi, puoi creare un allarme per il filtro parametri.
**Per creare il filtro parametri per traffico SSH rifiutato e creare un allarme per il filtro**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Logs (Registri)**, **Log groups (Gruppi di registri)**.
1. Seleziona la casella di controllo per il gruppo di log e scegli **Actions (Operazioni)**, poi **Create metric filter (Crea filtri parametri)**.
1. Per **Filter pattern** (Modello di filtro), immetti la seguente stringa.
```
[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
```
1. Per **Select Log Data to Test (Seleziona i dati di log per il test)**, seleziona il flusso di log per l’interfaccia di rete. (Facoltativo) Per visualizzare le righe di dati di log che corrispondono al modello di filtro, scegli **Test Pattern (Modello di test)**.
1. Al termine, scegli **Next (Successivo)**.
1. Inserisci un nome per il filtro, uno spazio dei nomi dei parametri e il nome del parametro. Imposta il valore del parametro su 1. Al termine, scegli **Next (Successivo)** e in seguito **Create metric filter (Crea filtri parametri)**.
1. Nel pannello di navigazione, seleziona **Alarms (Allarmi)**, **All alarms (Tutti gli allarmi)**.
1. Scegli **Crea allarme**.
1. Seleziona il nome del parametro creato e scegli **Seleziona parametro**.
1. Configura l’allarme come segue, quindi scegli **Next (Successivo)**:
+ Per **Statistic (Statistica)**, scegliere **Sum (Somma)**. Ciò ti garantisce di acquisire il numero totale di punti di dati per il periodo di tempo specificato.
+ Per **Period (Periodo)**, scegli **1 Hour (1 ora)**.
+ Perché ** TimeSinceLastActive Whenever is...** , scegli **Maggiore/Uguale** e inserisci 10 per la soglia.
+ In **Additional configuration (Configurazione aggiuntiva)**, **Datapoints to alarm (Punti dati ad allarme)** lascia il valore di default 1.
1. Scegli **Next (Successivo)**.
1. Per **Notification (Notifica)** scegli un argomento SNS esistente oppure **Create new topic (Crea nuovo argomento)**, per crearne uno nuovo. Scegli **Next (Successivo)**.
1. Inserisci un nome e una descrizione per l’allarme, quindi scegli **Next (Successivo)**.
1. Una volta terminata l’anteprima dell’allarme, scegli **Crea allarme**.
# Pubblicazione di log di flusso su Amazon S3
I log di flusso possono pubblicare dati di log di flusso in Amazon S3. Amazon S3 (Simple Storage Service) è un servizio di archiviazione di oggetti altamente scalabile e durevole. È stato progettato per archiviare e recuperare qualsiasi quantità di dati, ovunque sul Web. S3 offre durabilità e disponibilità leader del settore, con funzionalità integrate per il controllo delle versioni dei dati, la crittografia e il controllo degli accessi.
Durante la pubblicazione in Amazon S3, i dati del log di flusso vengono pubblicati in un bucket Amazon S3 esistente specificato. I record di log di flusso per tutte le interfacce di rete monitorate vengono pubblicati in una serie di oggetti file di log che sono archiviati nel bucket. Se il log di flusso acquisisce dati per un VPC, pubblica i record di log di flusso per tutte le interfacce di rete nel VPC selezionato.
Per creare un bucket Amazon S3 da utilizzare con i flussi di log, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) nella *Guida per l’utente di Amazon S3*.
Per ulteriori informazioni su come semplificare l'inserimento dei log di flusso in VPC, l'elaborazione dei log di flusso e la visualizzazione dei log di flusso, [consulta Registrazione centralizzata](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) con nella libreria delle soluzioni. OpenSearch AWS
Per ulteriori informazioni sui CloudWatch log, consulta [Logs sent to Amazon S3 nella Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) Logs User *Guide CloudWatch *.
**Prezzi**
Gli addebiti per l’inserimento e l’archiviazione dei dati per i log forniti vengono applicati quando si pubblicano i log di flusso in Amazon S3. Per ulteriori informazioni, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), seleziona **Logs** e trova **Vending Logs.**
**Topics**
+ [File di log di flusso](flow-logs-s3-path.md)
+ [Autorizzazioni dei bucket Amazon S3 per log di flusso](flow-logs-s3-permissions.md)
+ [Policy di chiave richiesta per l’uso con SSE-KMS](flow-logs-s3-cmk-policy.md)
+ [Autorizzazioni del file di log Amazon S3](flow-logs-file-permissions.md)
+ [Creazione di un log di flusso che pubblica in Amazon S3](flow-logs-s3-create-flow-log.md)
+ [Visualizzazione dei record dei log di flusso con Amazon S3](view-flow-log-records-s3.md)
# File di log di flusso
I log di flusso VPC raccolgono dati sul traffico IP in entrata e in uscita dal VPC in record di log, aggregano questi record in file di log e pubblicano questi ultimi nel bucket Amazon S3 a intervalli di cinque minuti. È possibile pubblicare più file e ogni file di log può contenere alcuni o tutti i record dei log di flusso per il traffico IP registrato nei cinque minuti precedenti.
In Amazon S3, il campo **Last modified (Ultima modifica)** per il file di log di flusso indica la data e l’ora in cui il file è stato caricato nel bucket Amazon S3. Questa è successiva al timestamp nel nome del file e differisce per il tempo impiegato per caricare il file nel bucket Amazon S3.
**Formato dei file di log**
Per i file di log, puoi specificare uno dei seguenti formati. Ciascun file viene compresso in un singolo file Gzip.
+ **Text**: Testo normale. Questo è il formato predefinito.
+ **Parquet**: Apache Parquet è un formato dati colonnare. Le query sui dati in formato Parquet sono da 10 a 100 volte più veloci, rispetto alle query sui dati in testo normale. I dati in formato Parquet con compressione Gzip occupano il 20% di spazio di archiviazione in meno, rispetto al testo normale con compressione Gzip.
**Nota**
Se i dati in formato Parquet con compressione Gzip sono inferiori a 100 KB per periodo di aggregazione, l’archiviazione dei dati in formato Parquet può occupare più spazio rispetto al testo normale con compressione Gzip a causa dei requisiti di memoria dei file Parquet.
**Opzioni di file di log**
È inoltre possibile specificare le seguenti opzioni.
+ **Hive-compatible S3 prefixes (Prefissi S3 compatibili con Hive)**: Abilita i prefissi compatibili con Hive invece di importare partizioni negli strumenti compatibili. Prima di eseguire query, utilizza il comando **MSCK REPAIR TABLE**.
+ **Hourly partitions (Partizioni orarie)**: se disponi di un grande volume di registri e di solito indirizzi le query a un’ora specifica, partizionando i log su base oraria puoi ottenere risultati più rapidi e risparmiare sui costi delle query.
**Struttura del bucket S3 dei file di log**
I file di log vengono salvati nel bucket Amazon S3; utilizzando una struttura di cartelle determinata dall’ID del flusso di log, dalla Regione e dalla loro data di creazione.
Per impostazione predefinita, i file vengono recapitati alla seguente posizione.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Se abiliti i prefissi S3 compatibili con Hive, i file vengono recapitati nella seguente posizione.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Se abiliti le partizioni orarie, i file vengono recapitati nella seguente posizione.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Se abiliti le partizioni compatibili con Hive e partizioni il flusso di log per ora, i file vengono recapitati nella posizione seguente.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nome del file di log**
Il nome di un file di log si basa sull’ID del flusso di log, sulla Regione e sulla data e ora di creazione. I nomi file utilizzano il formato seguente.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Ad esempio, di seguito viene mostrata la struttura di cartelle e il nome di un file di log per un flusso di log creato dall’account AWS 123456789012, per una risorsa nella Regione us-east-1 su June 20, 2018 in 16:20 UTC. Il file contiene i registri dei flussi di log con un’ora di fine tra 16:20:00 e 16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
# Autorizzazioni dei bucket Amazon S3 per log di flusso
Per impostazione predefinita, i bucket Amazon S3 e gli oggetti che contengono sono privati. Solo il proprietario del bucket può accedere al bucket e agli oggetti in esso archiviati. Il proprietario del bucket, tuttavia, può concedere l’accesso ad altre risorse e ad altri utenti scrivendo una policy di accesso.
Se l’utente che crea il flusso di log è il proprietario del bucket e ha le autorizzazioni `PutBucketPolicy` e `GetBucketPolicy` per il bucket, verrà automaticamente allegata la seguente policy al bucket. Questa policy sovrascrive qualsiasi policy esistente collegata al bucket.
In caso contrario, il proprietario del bucket deve aggiungere tale policy al bucket, specificando l’ID dell’account AWS del creatore del flusso di log o la creazione del flusso di log fallirà. Per maggiori informazioni, consulta [Utilizzo delle policy di bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) nella *Guida per l’utente di Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
L'ARN specificato *my-s3-arn* dipende dall'utilizzo o meno di prefissi S3 compatibili con Hive.
+ Prefissi di default
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Prefissi S3 compatibili con Hive
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
È consigliabile concedere queste autorizzazioni al responsabile del servizio di consegna dei log anziché al singolo. Account AWS ARNs Una best practice è anche usare le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). L’account di origine è il proprietario del flusso di log e l’ARN di origine è l’ARN jolly (\$1) del servizio log.
Tieni presente che il servizio di consegna dei log fa eseguire all’API Amazon S3 `HeadBucket` l’azione per verificare la presenza e la posizione del bucket S3. Non devi concedere al servizio di consegna dei log l’autorizzazione per eseguire questa azione; fornirà comunque i log di flusso VPC anche se non potrà confermare l’esistenza del bucket S3 e la sua posizione. Tuttavia, nei CloudTrail registri verrà `AccessDenied` visualizzato un errore relativo alla chiamata `HeadBucket` a.
# Policy di chiave richiesta per l’uso con SSE-KMS
Puoi proteggere i dati nel tuo bucket Amazon S3 abilitando la crittografia lato server con Amazon S3 Managed Keys (SSE-S3) o la crittografia lato server con chiavi archiviate in KMS (SSE-KMS) sul tuo bucket S3. Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) nella *Guida per l’utente di Amazon S3*.
Se si sceglie SSE-S3, non è richiesta alcuna configurazione aggiuntiva. Amazon S3 gestisce la chiave di crittografia.
Se scegli SSE-KMS, devi utilizzare l’ARN di una chiave gestita dal cliente. Se utilizzi un ID chiave, è possibile che si verifichi un errore [LogDestination non consegnabile](flow-logs-troubleshooting.md#flow-logs-troubleshooting-kms-id) durante la creazione di un log di flusso. Inoltre, devi aggiornare la policy della chiave gestita dal cliente in modo che l’account di distribuzione dei log possa scrivere nel bucket S3. *Per ulteriori informazioni sulla politica delle chiavi richiesta per l'uso con SSE-KMS, consulta la [crittografia lato server con bucket Amazon S3 nella Amazon Logs User Guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3). CloudWatch *
# Autorizzazioni del file di log Amazon S3
Oltre alle policy dei bucket richieste, Amazon S3 utilizza le liste di controllo degli accessi ACLs () per gestire l'accesso ai file di registro creati da un log di flusso. Per impostazione predefinita, il proprietario del bucket dispone di autorizzazioni `FULL_CONTROL` su ogni file di log. Il proprietario della distribuzione dei log, se diverso dal proprietario del bucket, non dispone di autorizzazioni. L’account di distribuzione dei log dispone delle autorizzazioni `READ` e `WRITE`. Per ulteriori informazioni, consulta [Access control list (ACL) overview](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l’utente di Amazon S3*.
# Creazione di un log di flusso che pubblica in Amazon S3
Dopo aver creato e configurato il bucket Amazon S3, puoi creare log di flusso per interfacce di rete, sottoreti e. VPCs
**Prerequisito**
Il principale IAM che crea il log di flusso deve utilizzare un ruolo IAM con le seguenti autorizzazioni, necessarie per pubblicare log di flusso nel bucket Amazon S3 di destinazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
**Creazione di un flusso di log tramite la console**
1. Esegui una delle seguenti operazioni:
+ Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Nel riquadro di navigazione, selezionare **Network Interfaces (Interfacce di rete)**. Seleziona la casella di controllo relativa all'interfaccia di rete.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). **Nel pannello di navigazione, scegli Your. VPCs** Selezionare la casella di controllo relativa al VPC.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, seleziona **Sottoreti**. Seleziona la casella di controllo della sottorete.
1. Scegli **Actions (Operazioni)**, **Create flow log (Crea flusso di log)**.
1. Per **Filter (Filtro)**, specificare il tipo di dati di traffico IP di cui eseguire il log.
+ **Accetta**: registra solo il traffico accettato.
+ **Rifiuta**: registra solo il traffico rifiutato.
+ **All (Tutto)**: esegui il log sia del traffico accettato che di quello rifiutato.
1. Per **Maximum aggregation interval (Intervallo di aggregazione massimo)**, scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso.
1. Per **Destinazione**, scegli **Invia a un bucket Amazon S3**.
1. Per **S3 bucket ARN (ARN bucket S3)**, specificare il nome della risorsa Amazon (ARN) di un bucket Amazon S3 esistente. Puoi anche includere una sottocartella. Ad esempio, per specificare una sottocartella denominata `my-logs` in un bucket denominato `my-bucket`, utilizzare il seguente ARN:
`arn:aws:s3:::my-bucket/my-logs/`
Il bucket non può utilizzare `AWSLogs` come nome di sottocartella, in quanto si tratta di un termine riservato.
Se si è il proprietario del bucket, noi creiamo automaticamente una policy delle risorse e la colleghiamo al bucket. Per ulteriori informazioni, consulta [Autorizzazioni dei bucket Amazon S3 per log di flusso](flow-logs-s3-permissions.md).
1. Per **Log record format (Formato registro di log)**, seleziona il formato per il registro del flusso di log.
+ Per utilizzare il formato di record di log di flusso predefinito, seleziona **Formato predefinito AWS **.
+ Per creare un formato personalizzato, scegliere **Custom format (Formato personalizzato)**. Per **Log format (Formato log)**, scegliere i campi da includere nel record di log di flusso.
1. Per **Metadati aggiuntivi**, seleziona se desideri includere i metadati di Amazon ECS nel formato di log.
1. Per **Log file format (Formato dei file di log)**, specifica il formato per il file di log.
+ **Text**: Testo normale. Questo è il formato predefinito.
+ **Parquet**: Apache Parquet è un formato dati colonnare. Le query sui dati in formato Parquet sono da 10 a 100 volte più veloci, rispetto alle query sui dati in testo normale. I dati in formato Parquet con compressione Gzip occupano il 20% di spazio di archiviazione in meno, rispetto al testo normale con compressione Gzip.
1. (Facoltativo) Per utilizzare prefissi S3 compatibili con Hive, scegli **Hive-compatible S3 prefix (Prefisso S3 compatibile con Hive)**,**Enable (Abilita)**.
1. (Facoltativo) Per partizionare i flussi di log per ora, scegli **Every 1 hour (60 mins) Ogni ora (60 minuti)**.
1. (Facoltativo) Per aggiungere un tag al flusso di log, scegli **Add new tag (Aggiungi nuovo tag)** e specifica la chiave e il valore del tag.
1. Selezionare **Create flow log (Crea log di flusso)**.
**Per creare un log di flusso che pubblica in Amazon S3 utilizzando una riga di comando**
Utilizzare uno dei seguenti comandi:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e consegna i log di flusso al bucket Amazon S3 specificato. Il parametro `--log-format` specifica un formato personalizzato per i record di log di flusso.
```
aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'
```
# Visualizzazione dei record dei log di flusso con Amazon S3
È possibile visualizzare i record del log di flusso utilizzando la console Amazon S3. Dopo che il flusso di log è stato creato, potrebbero essere necessari alcuni minuti prima che sia visibile nella console.
I file di log sono compressi. Se si aprono i file di log utilizzando la console Amazon S3, vengono decompressi e i record del log di flusso visualizzati. Se i file vengono scaricati, devono essere decompressi per visualizzare i record del log di flusso.
**Per visualizzare i record del log di flusso pubblicati in Amazon S3**
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Seleziona il nome del bucket per aprirne la pagina dei dettagli.
1. Passa alla cartella con i file di log. Ad esempio,*prefix*/AWSLogs*account\$1id*/vpcflowlogs///*region*/. *year* *month* *day*
1. Seleziona la casella di controllo accanto al nome del file, quindi scegli **Download** (Scarica).
Puoi anche eseguire query sui record del log di flusso nei file di log utilizzando Amazon Athena. Amazon Athena è un servizio di query interattivo che semplifica l’analisi dei dati in Amazon S3 con SQL standard. Per ulteriori informazioni, consulta la sezione relativa all’[Esecuzione di query su log di flusso Amazon VPC](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) nella *Guida per l’utente di Amazon Athena*.
# Pubblicazione dei log di flusso in Amazon Data Firehose
I log di flusso possono pubblicare i loro dati direttamente in Amazon Data Firehose. Amazon Data Firehose è un servizio completamente gestito che raccoglie, trasforma e fornisce flussi di dati in tempo reale in vari AWS archivi di dati e servizi di analisi. Gestisce l’importazione dei dati per conto tuo.
Quando si tratta di log di flusso VPC, Firehose può essere utile. I log di flusso VPC acquisiscono informazioni sul traffico IP verso e dalle interfacce di rete nel VPC. Questi dati possono essere fondamentali per il monitoraggio della sicurezza, l’analisi delle prestazioni e la conformità normativa. Tuttavia, la gestione dell’archiviazione e dell’elaborazione di questo flusso continuo di dati di log può essere un’attività complessa e dispendiosa in termini di risorse.
Integrando Firehose con i log di flusso VPC, puoi distribuire questi dati alla tua destinazione preferita, come Amazon S3 o Amazon Redshift. Firehose scalerà per gestire l’importazione, la trasformazione e la distribuzione dei log di flusso VPC, alleggerendo l’onere operativo. Ciò ti consente di concentrarti sull’analisi dei log e sulla raccolta di informazioni dettagliate, anziché preoccuparti dell’infrastruttura sottostante.
Inoltre, Firehose offre funzionalità come la trasformazione, la compressione e la crittografia dei dati, che possono migliorare l’efficienza e la sicurezza della pipeline di elaborazione dei log di flusso VPC. L’utilizzo di Firehose per i log di flusso VPC può semplificare la gestione dei dati e consentire di ottenere informazioni dettagliate dai dati sul traffico di rete.
Quando si pubblica in Amazon Data Firehose, i dati del log di flusso vengono pubblicati in un flusso di distribuzione Amazon Data Firehose in formato di testo semplice.
**Prezzi**
Si applicano le spese standard di acquisizione e consegna. Per ulteriori informazioni, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), seleziona **Logs** e trova **Vending Logs.**
**Topics**
+ [Ruoli IAM per la consegna tra account](firehose-cross-account-delivery.md)
+ [Creazione di un log di flusso che viene pubblicato in Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)
# Ruoli IAM per la consegna tra account
Quando si pubblica in Amazon Data Firehose, è possibile scegliere un flusso di distribuzione che si trova nello stesso account della risorsa da monitorare (l’account di origine) o in un altro account (l’account di destinazione). Per abilitare la distribuzione tra account dei log di flusso ad Amazon Data Firehose, è necessario creare un ruolo IAM nell’account di origine e uno nell’account di destinazione.
**Topics**
+ [Ruolo dell’account di origine](#firehose-source-account-role)
+ [Ruolo dell’account di destinazione](#firehose-destination-account-role)
## Ruolo dell’account di origine
Nell’account di origine, crea un ruolo che conceda le seguenti autorizzazioni. In questo esempio, il nome del ruolo è `mySourceRole` ma è possibile scegliere un nome diverso. L’ultima istruzione consente al ruolo nell’account di destinazione di assumere questo ruolo. Le istruzioni sulle condizioni assicurano che questo ruolo venga passato solo al servizio di consegna dei log e solo durante il monitoraggio della risorsa specificata. Quando crei la tua politica, specifica le VPCs interfacce di rete o le sottoreti che stai monitorando con la chiave di condizione. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:123456789012:vpc/vpc-00112233344556677"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Verifica che questo ruolo abbia la seguente policy di attendibilità che consente al servizio di consegna dei log di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dall’account di origine, utilizza la seguente procedura per creare il ruolo.
**Creazione del ruolo dell’account di origine**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella pagina **Create policy (Crea policy)**, eseguire le operazioni seguenti:
1. Scegli **JSON**.
1. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all’inizio di questa sezione.
1. Scegli **Next (Successivo)**.
1. Immetti un nome per la policy, una descrizione facoltativa e i tag, quindi scegli **Crea policy**.
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Custom trust policy** (Policy di attendibilità personalizzata). Per **Custom trust policy** (Policy di attendibilità personalizzata), sostituisci `"Principal": {},` con quanto segue, che specifica il servizio di consegna dei log. Scegli **Next (Successivo)**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Sulla pagina **Add permissions** (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli **Next** (Successivo).
1. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
1. Seleziona **Create role** (Crea ruolo).
## Ruolo dell’account di destinazione
Nell'account di destinazione, crea un ruolo con un nome che inizia con. **AWSLogDeliveryFirehoseCrossAccountRole** Questo ruolo deve concedere le autorizzazioni riportate di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Assicurarsi che questo ruolo abbia la seguente policy di attendibilità, che consenta al ruolo creato nell’account di origine di assumere questo ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dall’account di destinazione, utilizza la seguente procedura per creare il ruolo.
**Creazione del ruolo dell’account di destinazione**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella pagina **Create policy (Crea policy)**, eseguire le operazioni seguenti:
1. Scegli **JSON**.
1. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all’inizio di questa sezione.
1. Scegli **Next (Successivo)**.
1. Inserisci un nome per la tua politica che inizia con **AWSLogDeliveryFirehoseCrossAccountRole**, quindi scegli **Crea politica**.
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Custom trust policy** (Policy di attendibilità personalizzata). Per **Custom trust policy** (Policy di attendibilità personalizzata), sostituisci `"Principal": {},` con quanto segue, che specifica il ruolo dell’account di origine. Scegli **Next (Successivo)**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. Sulla pagina **Add permissions** (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli **Next** (Successivo).
1. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
1. Seleziona **Create role** (Crea ruolo).
# Creazione di un log di flusso che viene pubblicato in Amazon Data Firehose
Puoi creare log di flusso per le tue VPCs sottoreti o le interfacce di rete.
**Prerequisiti**
+ Crea il flusso di distribuzione di Amazon Data Firehose di destinazione. Utilizza **Direct Put** (PUT diretto) come origine. Per ulteriori informazioni, consulta [Creazione di un flusso di distribuzione Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ L'account che crea il log di flusso deve utilizzare un ruolo IAM che conceda le seguenti autorizzazioni per pubblicare i log di flusso su Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
+ Se stai pubblicando i log del flusso su un account diverso, crea i ruoli IAM richiesti come descritto in [Ruoli IAM per la consegna tra account](firehose-cross-account-delivery.md).
**Per creare un log di flusso che viene pubblicato in Amazon Data Firehose**
1. Esegui una delle seguenti operazioni:
+ Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Nel riquadro di navigazione, selezionare **Network Interfaces (Interfacce di rete)**. Seleziona la casella di controllo relativa all'interfaccia di rete.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). **Nel pannello di navigazione, scegli Your. VPCs** Selezionare la casella di controllo relativa al VPC.
+ Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, seleziona **Sottoreti**. Seleziona la casella di controllo della sottorete.
1. Scegli **Actions (Operazioni)**, **Create flow log (Crea flusso di log)**.
1. Per **Filtra**, specifica il tipo di traffico di cui eseguire il log.
+ **Accept** (Accetta): esegui il log solo del traffico accettato.
+ **Reject** (Rifiuta): esegui il log solo del traffico rifiutato.
+ **All** (Tutto): esegui il log sia del traffico accettato che di quello rifiutato.
1. Per **Maximum aggregation interval (Intervallo di aggregazione massimo)**, scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso.
1. In **Destination** (Destinazione) scegli una delle seguenti opzioni:
+ **Invia ad Amazon Data Firehose nello stesso account**: il flusso di distribuzione e la risorsa da monitorare si trovano nello stesso account.
+ **Invia ad Amazon Data Firehose in un account diverso**: il flusso di distribuzione e la risorsa da monitorare si trovano in account diversi.
1. Per il nome del flusso **Amazon Data Firehose**, seleziona il flusso di distribuzione che hai creato.
1. [Solo distribuzione tra account] Per l’**Accesso al servizio**, scegli un [ruolo di servizio IAM esistente per la distribuzione tra account](firehose-cross-account-delivery.md) che disponga delle autorizzazioni per pubblicare i log oppure scegli **Configura le autorizzazioni** per aprire la console IAM e creare un ruolo di servizio.
1. Per **Log record format (Formato registro di log)**, seleziona il formato per il registro del flusso di log.
+ Per utilizzare il formato di record di log di flusso predefinito, seleziona **Formato predefinito AWS **.
+ Per creare un formato personalizzato, scegliere **Custom format (Formato personalizzato)**. Per **Log format (Formato log)**, scegliere i campi da includere nel record di log di flusso.
1. Per **Metadati aggiuntivi**, seleziona se desideri includere i metadati di Amazon ECS nel formato di log.
1. (Facoltativo) Scegli **Aggiungi tag** per applicare i tag al log di flusso.
1. Selezionare **Create flow log (Crea log di flusso)**.
**Per creare un log di flusso che viene pubblicato in Amazon Data Firehose tramite la riga di comando**
Utilizzare uno dei seguenti comandi:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e invia i log di flusso al flusso di distribuzione Amazon Data Firehose specificato nello stesso account.
```
aws ec2 create-flow-logs --traffic-type ALL \
--resource-type VPC \
--resource-ids vpc-00112233344556677 \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
```
L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e invia i log di flusso al flusso di distribuzione Amazon Data Firehose specificato in un account diverso.
```
aws ec2 create-flow-logs --traffic-type ALL \
--resource-type VPC \
--resource-ids vpc-00112233344556677 \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
Come risultato della creazione del log di flusso, è possibile ottenere i dati del log dalla destinazione configurata per il flusso di distribuzione.
# Eseguire una query dei flussi di log tramite Amazon Athena
Amazon Athena è un servizio di query interattivo che consente di analizzare i dati in Amazon S3, come i log di flusso, utilizzando SQL standard. È possibile utilizzare Athena con i log di flusso del VPC in modo da ottenere rapidamente informazioni utili sul traffico che scorre attraverso il VPC. Ad esempio, puoi identificare quali risorse nei tuoi cloud privati virtuali (VPCs) sono le migliori a parlare o identificare gli indirizzi IP con le connessioni TCP più rifiutate.
**Opzioni**
+ Puoi semplificare e automatizzare l'integrazione dei log di flusso VPC con Athena generando un CloudFormation modello che crea AWS le risorse necessarie e le query predefinite che puoi eseguire per ottenere informazioni sul traffico che scorre attraverso il tuo VPC.
+ Se si desidera, si possono creare query utilizzando Athena. Per ulteriori informazioni, consulta la sezione relativa all’[Esecuzione di query su flussi di log utilizzando Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) nella *Guida per l’utente di Amazon Athena*.
**Prezzi**
Si applicano [i costi standard di Amazon Athena](https://aws.amazon.com/athena/pricing/) per l’esecuzione di query. Si applicano i [costi standard di AWS Lambda](https://aws.amazon.com/lambda/pricing/) per la funzione Lambda che carica nuove partizioni con una pianificazione ricorrente (quando si specifica una frequenza di caricamento della partizione ma non si specifica una data di inizio e di fine).
**Topics**
+ [Genera il modello utilizzando la console CloudFormation](flow-logs-generate-template-console.md)
+ [CloudFormation Genera il modello utilizzando il AWS CLI](flow-logs-generate-template-cli.md)
+ [Esecuzione di una query predefinita](flow-logs-run-athena-query.md)
# Genera il modello utilizzando la console CloudFormation
Dopo aver inviato i primi log di flusso al tuo bucket S3, puoi integrarti con Athena generando un CloudFormation modello e utilizzandolo per creare uno stack.
**Requisiti**
+ La regione selezionata deve supportare Amazon Athena AWS Lambda e Amazon Athena.
+ I bucket Amazon S3 devono trovarsi nella regione selezionata.
+ Il formato del record del log per il log di flusso deve includere i campi utilizzati dalle query predefinite specifiche che desideri eseguire.
**Per generare il modello utilizzando la console**
1. Scegliere una delle seguenti operazioni:
+ Aprire la console Amazon VPC. Nel riquadro di navigazione, scegli **Your**, VPCs quindi seleziona il tuo VPC.
+ Apri la console Amazon VPC. Nel riquadro di navigazione, scegliere **Sottoreti** e selezionare la sottorete desiderata.
+ Apri la console di Amazon EC2. Nel riquadro di navigazione, scegliere **Interfacce di rete** e selezionare quindi l’interfaccia di rete.
1. Nella scheda **Log di flusso**, selezionare un log di flusso che viene pubblicato su Amazon S3, quindi scegliere **Azioni**, **Genera integrazione Athena**.
1. Specificare la frequenza di caricamento della partizione. Se si sceglie **Nessuna**, sarà necessario specificare la data di inizio e di fine della partizione utilizzando date del passato. Se si sceglie **Giornaliero**, **Settimanale**o **Mensile**, le date di inizio e di fine della partizione sono facoltative. Se non si specificano le date di inizio e fine, il CloudFormation modello crea una funzione Lambda che carica nuove partizioni in base a una pianificazione ricorrente.
1. Selezionare o creare un bucket S3 per il modello generato e un bucket S3 per i risultati della query.
1. Scegliere **Genera integrazione Athena**.
1. (Facoltativo) Nel messaggio di successo, scegliete il link per accedere al bucket specificato per il modello e personalizzate il CloudFormation modello.
1. Nel messaggio di successo, scegli **Crea CloudFormation stack** per aprire la procedura guidata **Create Stack** nella console. CloudFormation **L'URL per il CloudFormation modello generato è specificato nella sezione Modello.** Completare la procedura guidata per creare le risorse specificate nel modello.
**Risorse create dal CloudFormation modello**
+ Un database di Athena. Il nome del database è *flow-logs-subscription-id*vpcflowlogsathenadatabase< >.
+ Un gruppo di lavoro Athena. **Il nome del gruppo di lavoro è < >< >< data di inizio >< data di fine >gruppo di lavoro *flow-log-subscription-id*partition-load-frequency****
+ Una tabella Athena partizionata che corrisponde ai record del log di flusso. **Il nome della tabella è < >< >< data di inizio >< data di fine >. *flow-log-subscription-id*partition-load-frequency****
+ Un insieme di query denominate Athena. Per ulteriori informazioni, consulta [Query predefinite](flow-logs-run-athena-query.md#predefined-queries).
+ Una funzione Lambda che carica nuove partizioni nella tabella in base alla pianificazione specificata (giornaliera, settimanale o mensile).
+ Un ruolo IAM che concede l’autorizzazione per eseguire le funzioni Lambda.
# CloudFormation Genera il modello utilizzando il AWS CLI
Dopo aver inviato i primi log di flusso al tuo bucket S3, puoi generare e utilizzare un CloudFormation modello per l'integrazione con Athena.
Usa il seguente comando [get-flow-logs-integration-template per generare il modello](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-flow-logs-integration-template.html). CloudFormation
```
aws ec2 get-flow-logs-integration-template --cli-input-json file://config.json
```
Di seguito è riportato un esempio del file `config.json`.
```
{
"FlowLogId": "fl-12345678901234567",
"ConfigDeliveryS3DestinationArn": "arn:aws:s3:::my-flow-logs-athena-integration/templates/",
"IntegrateServices": {
"AthenaIntegrations": [
{
"IntegrationResultS3DestinationArn": "arn:aws:s3:::my-flow-logs-analysis/athena-query-results/",
"PartitionLoadFrequency": "monthly",
"PartitionStartDate": "2021-01-01T00:00:00",
"PartitionEndDate": "2021-12-31T00:00:00"
}
]
}
}
```
Usa il seguente comando [create-stack](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) per creare uno stack utilizzando il modello generato. CloudFormation
```
aws cloudformation create-stack --stack-name my-vpc-flow-logs --template-body file://my-cloudformation-template.json
```
# Esecuzione di una query predefinita
Il CloudFormation modello generato fornisce una serie di query predefinite che è possibile eseguire per ottenere rapidamente informazioni significative sul traffico della rete. AWS Dopo aver creato lo stack e verificato che tutte le risorse siano state create correttamente, sarà possibile eseguire una delle query predefinite.
**Per eseguire una query predefinita utilizzando la console**
1. Aprire la console Athena.
1. Nel riquadro di navigazione, scegli **Query editor** (Editor della query). In **Gruppo di lavoro, seleziona il gruppo** di lavoro creato dal modello. CloudFormation
1. Seleziona **Saved queries** (Query salvate), modifica i parametri come necessario ed esegui la query. Per un elenco delle query predefinite disponibili, consulta [Query predefinite](#predefined-queries).
1. In **Query results** (Risultati della query), visualizza i risultati della query.
## Query predefinite
Di seguito è riportato l’elenco completo delle query denominate Athena. Le query predefinite fornite quando si genera il modello dipendono dai campi che fanno parte del formato record del log per il log di flusso. Pertanto, il modello potrebbe non contenere tutte queste query predefinite.
+ **VpcFlowLogsAcceptedTraffic**— Le connessioni TCP consentite in base ai gruppi di sicurezza e alla rete. ACLs
+ **VpcFlowLogsAdminPortTraffic**— I primi 10 indirizzi IP con il maggior traffico, registrati dalle applicazioni che rispondono alle richieste sulle porte amministrative.
+ **VpcFlowLogsIPv4Traffico**: i byte totali di IPv4 traffico registrati.
+ **VpcFlowLogsIPv6Traffico**: i byte totali di IPv6 traffico registrati.
+ **VpcFlowLogsRejectedTCPTraffic**— Le connessioni TCP che sono state rifiutate in base ai gruppi di sicurezza o alla rete. ACLs
+ **VpcFlowLogsRejectedTraffic**— Il traffico che è stato rifiutato in base ai gruppi di sicurezza o alla rete ACLs.
+ **VpcFlowLogsSshRdpTraffic**— Il traffico SSH e RDP.
+ **VpcFlowLogsTopTalkers**— I 50 indirizzi IP con il maggior traffico registrato.
+ **VpcFlowLogsTopTalkersPacketLevel**— I 50 indirizzi IP a livello di pacchetto con il maggior traffico registrato.
+ **VpcFlowLogsTopTalkingInstances**— Le IDs 50 istanze con il maggior traffico registrato.
+ **VpcFlowLogsTopTalkingSubnets**— La IDs delle 50 sottoreti con il maggior traffico registrato.
+ **VpcFlowLogsTopTCPTraffic**— Tutto il traffico TCP registrato per un indirizzo IP di origine.
+ **VpcFlowLogsTotalBytesTransferred**— Le 50 coppie di indirizzi IP di origine e destinazione con il maggior numero di byte registrati.
+ **VpcFlowLogsTotalBytesTransferredPacketLevel**— Le 50 coppie di indirizzi IP di origine e destinazione a livello di pacchetto con il maggior numero di byte registrati.
+ **VpcFlowLogsTrafficFrmSrcAddr**— Il traffico registrato per uno specifico indirizzo IP di origine.
+ **VpcFlowLogsTrafficToDstAddr**— Il traffico registrato per uno specifico indirizzo IP di destinazione.
# Risoluzione dei problemi relativi ai log di flusso VPC
Di seguito sono elencati i problemi che si potrebbero riscontrare durante l’utilizzo di log di flusso.
**Topics**
+ [Record del log di flusso incompleti](#flow-logs-troubleshooting-incomplete-records)
+ [Log di flusso attivo, ma nessun record di log di flusso o gruppo di log](#flow-logs-troubleshooting-no-log-group)
+ ['LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'errore](#flow-logs-troubleshooting-not-found)
+ [Superamento del limite di policy del bucket Amazon S3](#flow-logs-troubleshooting-policy-limit)
+ [LogDestination non consegnabile](#flow-logs-troubleshooting-kms-id)
+ [Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione](#flow-logs-data-size-mismatch)
## Record del log di flusso incompleti
**Problema**
I record dei log di flusso sono incompleti o non vengono più pubblicati.
**Causa**
Potrebbe esserci un problema nel recapitare i log di flusso al gruppo CloudWatch Logs log o [potrebbero essere SkipData presenti delle voci](flow-logs-records-examples.md#flow-log-example-no-data).
**Soluzione**
Controlla la scheda **Log di flusso** per l’interfaccia di VPC, sottorete o rete. Tieni presente che non puoi descrivere i log di flusso per un VPC o una sottorete che è stata condivisa con te, ma puoi descrivere i log di flusso per un’interfaccia di rete che crei in un VPC o in una sottorete che è stata condivisa con te. Gli eventuali errori appaiono nella colonna **Stato**. In alternativa, utilizzate il [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)comando e controllate il valore restituito nel `DeliverLogsErrorMessage` campo.
Di seguito sono riportati i valori possibili per lo stato:
+ `Rate limited`: Questo errore può verificarsi se è stata applicata la limitazione dei CloudWatch log, ovvero quando il numero di record del log di flusso per un'interfaccia di rete è superiore al numero massimo di record che possono essere pubblicati entro un periodo di tempo specifico. Questo errore può verificarsi anche se è stata raggiunta la quota per il numero di gruppi di log dei CloudWatch log che è possibile creare. Per ulteriori informazioni, consulta le [quote CloudWatch di servizio](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) nella *Amazon CloudWatch User Guide*.
+ `Access error`: questo errore può verificarsi per uno dei seguenti motivi:
+ Il ruolo IAM per il log di flusso non dispone di autorizzazioni sufficienti per pubblicare i record del log di flusso nel CloudWatch gruppo di log
+ Il ruolo IAM non ha una relazione di trust con il servizio dei log di flusso.
+ La relazione di trust non specifica il servizio di log di flusso come entità principale.
Per ulteriori informazioni, consulta [Ruolo IAM per la pubblicazione dei log di flusso su Logs CloudWatch](flow-logs-iam-role.md).
+ `Unknown error`: si è verificato un errore interno nel servizio log di flusso.
## Log di flusso attivo, ma nessun record di log di flusso o gruppo di log
**Problema**
Hai creato un flusso di log e la console Amazon VPC o Amazon EC2; visualizza il log di flusso come `Active`. Tuttavia, non è possibile visualizzare alcun flusso di log in CloudWatch Logs o file di log nel bucket Amazon S3.
**Possibili cause**
+ Il flusso di log è ancora in corso di creazione. In alcuni casi, dopo che il flusso di log è stato creato possono essere richiesti fino a 10 minuti o più per creare il gruppo di log e per visualizzare i dati.
+ Non è ancora stato registrato alcun traffico per le interfacce di rete. Il gruppo di log in CloudWatch Logs viene creato solo quando viene registrato il traffico.
**Soluzione**
Attendi alcuni minuti per la creazione del gruppo di log o per la registrazione del traffico.
## 'LogDestinationNotFoundException' o 'Accesso negato per LogDestination 'errore
**Problema**
Viene visualizzato un errore `Access Denied for LogDestination` o `LogDestinationNotFoundException` quando si tenta di creare un flusso di log.
**Possibili cause**
+ Quando si crea un flusso di log che pubblica i dati in un bucket Amazon S3, questo errore indica che non è stato possibile trovare il bucket S3 specificato o che la policy del bucket non permette di inviare i log al bucket.
+ Quando si crea un log di flusso che pubblica dati su Amazon CloudWatch Logs, questo errore indica che il ruolo IAM non consente la consegna dei log al gruppo di log.
**Soluzione**
+ Quando si pubblica in Amazon S3, verifica di aver specificato l’ARN di un bucket S3 esistente e che l’ARN sia nel formato corretto. Se non si possiede il bucket S3, verifica che la [policy del bucket](flow-logs-s3-permissions.md) disponga delle autorizzazioni richieste e utilizzi l’ID account e il nome del bucket corretti nell’ARN.
+ Durante la pubblicazione su CloudWatch Logs, verifica che il [ruolo IAM disponga delle autorizzazioni](flow-logs-iam-role.md) richieste.
## Superamento del limite di policy del bucket Amazon S3
**Problema**
Ricevi il seguente errore quando provi a creare un log di flusso: `LogDestinationPermissionIssueException`.
**Possibili cause**
Le dimensioni delle policy dei bucket Amazon S3 sono limitate a 20 KB.
Ogni volta che viene creato un log di flusso che pubblica in un bucket Amazon S3, l’ARN del bucket specificato, che include il percorso della cartella, viene aggiunto automaticamente all’elemento `Resource` nella policy di bucket.
Creare log di flusso multipli che pubblicano nello stesso bucket potrebbe causare il superamento dei limiti della policy di bucket.
**Soluzione**
+ Ripulisci la policy del bucket rimuovendo le voci del flusso di log non più necessarie.
+ Concedere autorizzazioni all’intero bucket sostituendo le singole voci del log di flusso con quanto segue.
```
arn:aws:s3:::bucket_name/*
```
Se si concedono autorizzazioni all’intero bucket, nuove sottoscrizioni al log di flusso non aggiungono nuove autorizzazioni alla policy di bucket.
## LogDestination non consegnabile
**Problema**
Ricevi il seguente errore quando provi a creare un log di flusso: `LogDestination is undeliverable`.
**Possibili cause**
Il bucket Amazon S3 di destinazione è crittografato utilizzando la crittografia lato server con AWS KMS (SSE-KMS) e la crittografia predefinita del bucket è un ID chiave KMS.
**Soluzione**
Il valore deve essere l’ARN di una chiave KMS. Cambia il tipo di crittografia S3 predefinita dall’ID chiave KMS ad ARN della chiave KMS. Per ulteriori informazioni, consulta [Configurazione della crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) nella *Guida per l’utente di Amazon Simple Storage Service*.
## Mancata corrispondenza delle dimensioni dei dati dei log di flusso con i dati di fatturazione
**Problema**
La dimensione totale dei dati dei log di flusso non corrisponde alla dimensione riportata dai dati di fatturazione.
**Possibili cause**
È possibile che nei log di flusso siano presenti delle voci SKIPDATA. Consulta [Nessun dato e record ignorati](flow-logs-records-examples.md#flow-log-example-no-data) per una spiegazione in merito alle voci SKIPDATA.
**Soluzione**
Conferma che le voci SKIPDATA siano presenti nelle voci di log eseguendo query nei log per individuare voci diverse nel campo log-status.
Esempi di query per verificare la presenza di SKIPDATA:
Informazioni dettagliate di CW:
```
fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus
```
Athena:
```
SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id
```