# CloudWatch Logs에 게시하는 흐름 로그 생성 VPC, 서브넷 또는 네트워크 인터페이스에 대한 흐름 로그를 생성할 수 있습니다. 특정 IAM 역할을 사용하는 사용자로 이러한 단계를 수행하는 경우 `iam:PassRole` 작업을 사용할 수 있는 권한이 있는지 확인하세요. **사전 조건** 요청을 수행하는 데 사용 중인 IAM 보안 주체에 `iam:PassRole` 작업을 직접적으로 호출할 수 있는 권한이 있는지 확인하세요. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name" } ] } ``` ------ **콘솔을 사용하여 흐름 로그를 생성하는 방법** 1. 다음 중 하나를 수행하세요. + [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)에서 Amazon EC2 콘솔을 엽니다. 탐색 창에서 **Network Interfaces**를 선택합니다. 네트워크 인터페이스의 확인란을 선택합니다. + [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 탐색 창에서 **Your VPCs**를 선택합니다. VPC에 대한 확인란을 선택합니다. + [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 탐색 창에서 **Subnets**를 선택합니다. 서브넷의 확인란을 선택합니다. 1. **작업**, **흐름 로그 생성**을 선택합니다. 1. **필터(Filter)**에 기록할 트래픽 유형을 지정합니다. **모두(All)**를 선택하여 수락된 트래픽 및 거부된 트래픽을 기록하거나, **거부(Reject)**를 선택하여 거부된 트래픽만 기록하거나, **수락(Accept)**을 선택해 수락된 트래픽만 기록합니다. 1. **Maximum aggregation interval(최대 집계 간격)**에서 흐름이 캡처되어 흐름 로그 레코드로 집계되는 최대 기간을 선택합니다. 1. **Destination(대상)**에서 **Send to CloudWatch Logs(CloudWatch Logs로 전송)**를 선택합니다. 1. **대상 로그 그룹**에서 기존 로그 그룹의 이름을 선택하거나 새 흐름 로그의 이름을 입력합니다. 이름을 입력하면 로깅할 트래픽이 있을 때 로그 그룹이 생성됩니다. 1. **서비스 액세스**에서 CloudWatch Logs에 로그를 게시할 권한이 있는 기존 [IAM 서비스 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)을 선택하거나 새 서비스 역할을 생성하도록 선택합니다. 1. **로그 레코드 형식**에서 흐름 로그 레코드의 형식을 선택합니다. + 기본 형식을 사용하려면 **AWS 기본 형식**을 선택하세요. + 사용자 지정 형식을 사용하려면 **사용자 지정 형식**을 선택하고 **로그 형식**에서 필드를 선택합니다. 1. **추가 메타데이터**에서 Amazon ECS의 메타데이터를 로그 형식으로 포함할지 선택합니다. 1. (선택 사항) **새 태그 추가**를 선택하여 흐름 로그에 태그를 적용합니다. 1. **흐름 로그 생성**을 선택합니다. **명령줄을 사용하여 흐름 로그를 만들려면 다음을 수행합니다.** 다음 명령 중 하나를 사용합니다. + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)(AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html)(AWS Tools for Windows PowerShell) 다음 AWS CLI 예시에서는 지정된 서브넷에 대해 수락된 모든 트래픽을 캡처하는 흐름 로그를 생성합니다. 흐름 로그가 지정된 로그 그룹에 전송됩니다. `--deliver-logs-permission-arn` 파라미터에서는 CloudWatch Logs에 게시하는 데 필요한 IAM 역할을 지정합니다. ``` aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs ```