将 CreateFlowLogs 与 CLI 配合使用 - Amazon Elastic Compute Cloud

CreateFlowLogs 与 CLI 配合使用

以下代码示例演示如何使用 CreateFlowLogs

CLI
AWS CLI

示例 1:创建流日志

以下 create-flow-logs 示例将创建流日志,该日志将捕获指定网络接口的所有已拒绝流量。使用指定 IAM 角色中的权限将流日志传送到 CloudWatch Logs 中的日志组。

aws ec2 create-flow-logs \
    --resource-type NetworkInterface \
    --resource-ids eni-11223344556677889 \
    --traffic-type REJECT \
    --log-group-name my-flow-logs \
    --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

输出:

{
    "ClientToken": "so0eNA2uSHUNlHI0S2cJ305GuIX1CezaRdGtexample",
    "FlowLogIds": [
        "fl-12345678901234567"
    ],
    "Unsuccessful": []
}

有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 流日志

示例 2:使用自定义格式创建流日志

以下 create-flow-logs 示例将创建流日志,以捕获指定 VPC 的所有流量并将流日志传输到 Amazon S3 存储桶。--log-format 参数指定流日志记录的自定义格式。要在 Windows 上运行此命令,请将单引号(')更改为双引号(")。

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 流日志

示例 3:创建最大聚合间隔为一分钟的流日志

以下 create-flow-logs 示例将创建流日志,以捕获指定 VPC 的所有流量并将流日志传输到 Amazon S3 存储桶。--max-aggregation-interval 参数指定的最大聚合间隔为 60 秒(1 分钟)。

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --max-aggregation-interval 60

有关更多信息,请参阅《Amazon VPC 用户指南》中的 VPC 流日志

  • 有关 API 详细信息,请参阅《AWS CLI 命令参考》中的 CreateFlowLogs

PowerShell
Tools for PowerShell V4

示例 1:此示例使用“管理员”角色的权限,创建子网 subnet-1d234567 的 EC2 流日志,并将其放入针对所有“REJECT”流量的名为“subnet1-log”的 cloud-watch-log 中

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

输出:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

  • 有关 API 详细信息,请参阅《AWS Tools for PowerShell Cmdlet 参考(V4)》中的 CreateFlowLogs

Tools for PowerShell V5

示例 1:此示例使用“管理员”角色的权限,创建子网 subnet-1d234567 的 EC2 流日志,并将其放入针对所有“REJECT”流量的名为“subnet1-log”的 cloud-watch-log 中

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

输出:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

  • 有关 API 详细信息,请参阅《AWS Tools for PowerShell Cmdlet 参考(V5)》中的 CreateFlowLogs

有关 AWS SDK 开发人员指南和代码示例的完整列表,请参阅 使用 AWS SDK 创建 Amazon EC2 资源。本主题还包括有关入门的信息以及有关先前的 SDK 版本的详细信息。