本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon CloudWatch Logs 中的傳輸閘道流程日誌記錄
流量日誌可以將流量日誌資料直接發佈到 Amazon CloudWatch。
發佈至 CloudWatch Logs 時,流量日誌資料會發佈至日誌群組,該日誌群組中每個傳輸閘道具有唯一日誌串流。日誌串流包含流量日誌記錄。您可以建立多個流量日誌,將資料發佈至相同的日誌群組。若相同日誌群組中的一或多個流量日誌內存在相同的傳輸閘道,它便會擁有一個合併日誌串流。若您指定其中一個流量日誌應擷取拒絕流量,並且指定其他流量日誌應擷取接受流量,則合併日誌串流便會擷取所有流量。
當您將流量日誌發佈到 CloudWatch Logs 時,會套用付費日誌的資料擷取和存檔費用。如需詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
在 CloudWatch Logs 中,**timestamp** 欄位對應到流量日誌記錄中擷取的開始時間。**ingestionTime** 欄位提供 CloudWatch Logs 收到流量日誌記錄的日期和時間。該時間戳記晚於流量日誌記錄中擷取的結束時間。
如需 CloudWatch Logs 的詳細資訊,請參閱*《Amazon CloudWatch Logs 使用者指南》*中的[傳送至 CloudWatch Logs 的日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL)。
**Topics**
+ [用於將流量日誌發佈至 CloudWatch Logs 的 IAM 角色](#flow-logs-iam)
+ [IAM 使用者傳遞角色的許可](#flow-logs-iam-user)
+ [建立發佈至 CloudWatch Logs 的流程日誌](flow-logs-cwl-create-flow-log.md)
+ [檢視流程日誌記錄](view-flow-log-records.md)
+ [處理流程日誌記錄](process-records-cwl.md)
## 用於將流量日誌發佈至 CloudWatch Logs 的 IAM 角色
與您流量日誌關聯的 IAM 角色必須具有足夠的許可,將流量日誌發佈到 CloudWatch Logs 中指定的日誌群組。IAM 角色必須屬於您的 AWS 帳戶。
與您 IAM 角色連線的 IAM 政策必須包含至少下列任一許可:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
同時確認您的角色具有允許流量日誌服務擔任角色的信任關係。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
建議您使用 `aws:SourceAccount` 和 `aws:SourceArn` 條件金鑰,保護自己免受[混淆代理人問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)的困擾。例如,您可以將下列條件區塊新增至先前的信任政策。來源帳戶是流量日誌的擁有者,且來源 ARN 是流量日誌 ARN。如果您不清楚流量日誌 ID,您可以使用萬用字元 (\*) 取代該部分的 ARN,然後在建立流量日誌之後更新政策。
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{account_id}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:{{region}}:{{account_id}}:vpc-flow-log/{{flow-log-id}}"
}
}
```
## IAM 使用者傳遞角色的許可
使用者也必須具備許可,能使用與此流量日誌相關聯之 IAM 角色的 `iam:PassRole` 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}"
}
]
}
```
------