# Criar um log de fluxo que publique no CloudWatch Logs É possível criar logs de fluxos para suas VPCs, sub-redes ou interfaces de rede. Caso execute essas etapas como um usuário usando um perfil do IAM específico, verifique se o perfil tem permissões para usar a ação `iam:PassRole`. **Pré-requisito** Verifique se a entidade principal do IAM que você está usando para fazer a solicitação tem permissões para chamar a ação `iam:PassRole`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}" } ] } ``` ------ **Para criar um log de fluxo usando o console** 1. Execute um destes procedimentos: + Abra o console do Amazon EC2 em [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). No painel de navegação, selecione **Network Interfaces**. Marque a caixa de seleção para a interface de rede. + Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). No painel de navegação, escolha **Your VPCs (Suas VPCs)**. Marque a caixa de seleção da VPC. + Abra o console da Amazon VPC, em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). No painel de navegação, escolha **Sub-redes**. Marque a caixa de seleção da sub-rede. 1. Selecione **Ações**, **Criar log de fluxo**. 1. Em **Filter (Filtrar)**, especifique o tipo de tráfego a ser registrado em log. Selecione **All (Todos)** para registrar em log o tráfego aceito e rejeitado, **Rejected (Rejeitado)** para registrar somente o tráfego rejeitado ou **Accepted (Aceito)** para registrar somente o tráfego aceito. 1. Em **Maximum aggregation interval (Intervalo máximo de agregação)**, escolha o período máximo durante o qual um fluxo é capturado e agregado em um registro de log de fluxo. 1. Para **Destination** (Destino), escolha **Send to CloudWatch Logs** (Enviar para o CloudWatch Logs). 1. Em **Grupo de logs de destino**, escolha o nome de um grupo de logs existente ou insira o nome de um novo grupo de logs. Se você inserir um nome, criaremos o grupo de registros quando houver tráfego para registrar em log. 1. Para o **Acesso ao serviço**, escolha um [perfil de serviço do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) existente que tenha permissões para publicar logs no CloudWatch Logs ou escolha criar um novo perfil de serviço. 1. Em **Formato de registro do log** , selecione o formato para o registro de log de fluxo. + Para usar o formato padrão, escolha **AWS Formato padrão**. + Para usar um formato personalizado, escolha **Formato personalizado** e, em seguida, selecione os campos de **Formato de log**. 1. Para **Metadados adicionais**, escolha se quer incluir metadados do Amazon ECS no formato de log. 1. (Opcional) Selecione **Adicionar nova tag** para aplicar tags ao log de fluxo. 1. Selecione **Criar log de fluxo**. **Como criar um log de fluxo usando a linha de comando** Use um dos seguintes comandos. + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) O exemplo de AWS CLI a seguir cria um log de fluxo que captura todo o tráfego aceito para a sub-rede especificada. Os logs de fluxo são entregues ao grupo de logs especificado. O parâmetro `--deliver-logs-permission-arn` especifica o perfil do IAM necessário para publicar no CloudWatch Logs. ``` aws ec2 create-flow-logs --resource-type {{Subnet}} --resource-ids {{subnet-1a2b3c4d}} --traffic-type ACCEPT --log-group-name {{my-flow-logs}} --deliver-logs-permission-arn arn:aws:iam::{{123456789101}}:role/{{publishFlowLogs}} ```