本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立發佈至 CloudWatch Logs 的流量日誌
<a name="flow-logs-cwl-create-flow-log"></a>

您可以建立 VPC、子網或網路介面的流量日誌。如果您以使用者身分使用特定 IAM 角色執行這些步驟，請確定此角色擁有使用 `iam:PassRole` 動作的許可。

**先決條件**  
確認您用來發出請求的 IAM 主體擁有呼叫 `iam:PassRole` 動作的許可。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
        }
    ]
}
```

------

**使用主控台建立流程日誌**

1. 執行以下任意一項：
   + 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。在導覽窗格中，選擇 **Network Interfaces (網路介面)**。選取網路介面的核取方塊。
   + 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。在導覽窗格中，選擇 **Your VPCs** (您的 VPC)。選取 VPC 的核取方塊。
   + 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。在導覽窗格中，選擇 **Subnets** (子網)。選取子網路的核取方塊。

1. 選擇 **Actions** (動作)、**Create flow log** (建立流量日誌)。

1. 對於 **Filter** (篩選條件)，請指定要記錄的流量類型。選擇 **All** (全部) 以記錄已接受和已拒絕的流量，選擇 **Reject** (拒絕) 以記錄僅拒絕的流量，或選擇 **Accept** (接受) 以記錄僅接受的流量。

1. 針對 **Maximum aggregation interval** (最大彙總時間間隔)，選擇擷取流量並彙總至一個流量日誌記錄的最長期間。

1. 針對 **Destination** (目標)，選擇 **Send to CloudWatch Logs** (傳送至 CloudWatch Logs)。

1. 對於 **目的地日誌群組**，請選擇現有日誌群組的名稱，或輸入新日誌群組名稱。如果您輸入名稱，我們會在需要記錄流量時建立日誌群組。

1. 在**服務存取**欄位中，選擇一個具備將日誌發布至 CloudWatch Logs 之許可的現有 [IAM 服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)，或選擇建立一個新的服務角色。

1. 對於 **Log record format** (日誌記錄格式)，請選取流量日誌記錄的格式。
   + 若要使用預設格式，請選擇 **AWS default format** ( 預設格式)。
   + 若要使用自訂格式，請選擇 **Custom format** (自訂格式)，然後從 **Log format** (日誌格式) 選取欄位。

1. 如果您想要包含 Amazon ECS 的日誌格式中繼資料，請選取**其他中繼資料**。

1. (選用) 選擇 **Add new tag** (新增標籤) 將標籤套用至流量日誌。

1. 選擇 **Create flow log** (建立流量日誌)。

**使用命令列建立流量日誌**

請使用下列其中一個命令。
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [新的 EC2 流量日誌](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

下列 AWS CLI 範例會建立流程日誌，擷取指定子網路的所有已接受流量。流程日誌會交付至指定的日誌群組。`--deliver-logs-permission-arn` 參數指定發佈至 CloudWatch Logs 所需的 IAM 角色。

```
aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```