# CloudWatch Logs に発行するフローログの作成 VPCs、サブネット、またはネットワークインターフェイスのフローログを作成できます。これらのステップを IAM ロールを使用するユーザーとして実行する場合は、そのロールが `iam:PassRole` アクションを使用するアクセス許可があることを確認してください。 **前提条件** リクエストを作成するために使用している IAM プリンシパルに `iam:PassRole` を呼び出すアクセス許可があることを確認してください。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}" } ] } ``` ------ **コンソールを使用してフローログを作成するには** 1. 次のいずれかを行います。 + Amazon EC2 コンソールの [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) を開いてください。ナビゲーションペインで、[**Network Interfaces**] を選択してください。ネットワークインターフェイスのチェックボックスをオンにします。 + Amazon VPC コンソール ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) を開きます。ナビゲーションペインで、[**Your VPCs(お使いの VPC)**] を選択します。VPC のチェックボックスをオンにします。 + Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。ナビゲーションペインで、[**サブネット**] を選択してください。サブネットのチェックボックスをオンにします。 1. **[アクション]**、**[フローログの作成]** を選択します。 1. [**Filter**] (フィルター) で、ログに記録するトラフィックの種類を指定します。承認および拒否されたトラフィックを記録するには [**All**] (すべて)、拒否されたトラフィックだけをログ記録するには [**Reject**] (拒否)、承認されたトラフィックだけをログ記録するには [**Accept**] (承認) を選択します。 1. [**Maximum aggregation interval**] で、フローがキャプチャされ、1 つのフローログレコードに集約される最大期間を選択します。 1. [**送信先**] で、[**Send to CloudWatch Logs (CloudWatch ログへの送信)**] を選択します。 1. **[送信先ロググループ]** には、既存のロググループの名前を選択するか、新しいロググループの名前を入力します。名前を入力すると、記録するトラフィックがある場合にロググループが作成されます。 1. **[サービスアクセス]**では、CloudWatch Logs にログを発行する権限を持つ既存の [IAM サービスロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)を選択するか、新しいサービスロールを作成することを選択します。 1. **[Lログレコードの形式]** で、フローログレコードの形式を選択します。 + デフォルトの形式を使用するには、**[AWS のデフォルト形式]** を選択します。 + カスタム形式を使用するには、**[カスタム形式] **を選択し、**[ログ形式]** からフィールドを選択します。 1. **[追加のメタデータ]**で、Amazon ECS からのメタデータをログ形式に含めるかどうかを選択します。 1. (オプション) フローログにタグを適用するには、**[新規タグを追加]** を選択します。 1. **[フローログの作成] **を選択します。 **コマンドラインを使用してフローログを作成するには** 以下のいずれかのコマンドを使用します。 + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) 次の AWS CLI の例では、指定したサブネットの許可されたすべてのトラフィックをキャプチャするフローログが作成されます。フローログは、指定されたロググループに配信されます。`--deliver-logs-permission-arn` パラメータは、CloudWatch Logs への発行に必要な IAM ロールを指定します。 ``` aws ec2 create-flow-logs --resource-type {{Subnet}} --resource-ids {{subnet-1a2b3c4d}} --traffic-type ACCEPT --log-group-name {{my-flow-logs}} --deliver-logs-permission-arn arn:aws:iam::{{123456789101}}:role/{{publishFlowLogs}} ```