本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立發布至 Amazon Data Firehose 的流量日誌 您可以建立 VPC、子網或網路介面的流量日誌。 **先決條件** + 建立目的地 Amazon Data Firehose 交付串流。使用 **Direct Put** 作為來源。如需詳細資訊,請參閱[建立 Amazon Data Firehose 交付串流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。 + 建立流程日誌的帳戶必須使用授予下列許可的 IAM 角色,才能將流程日誌發佈至 Amazon Data Firehose。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:DeleteLogDelivery", "iam:CreateServiceLinkedRole", "firehose:TagDeliveryStream" ], "Resource": "*" } ] } ``` ------ + 如果您要將流程日誌發佈至其他帳戶,請如 [跨帳戶交付的 IAM 角色](firehose-cross-account-delivery.md) 所述建立所需的 IAM 角色。 **建立發佈至 Amazon Data Firehose 的流量日誌** 1. 執行以下任意一項: + 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。在導覽窗格中,選擇 **Network Interfaces (網路介面)**。選取網路介面的核取方塊。 + 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。在導覽窗格中,選擇 **Your VPCs** (您的 VPC)。選取 VPC 的核取方塊。 + 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。在導覽窗格中,選擇 **Subnets** (子網)。選取子網路的核取方塊。 1. 選擇 **Actions** (動作)、**Create flow log** (建立流量日誌)。 1. 對於 **Filter** (篩選條件),請指定要記錄的流量類型。 + **Accept** (接受) – 僅記錄接受的流量 + **Reject** (拒絕) – 僅記錄拒絕的流量 + **All** (全部) – 記錄已接受和已拒絕的流量 1. 針對 **Maximum aggregation interval** (最大彙總時間間隔),選擇擷取流量並彙總至一個流量日誌記錄的最長期間。 1. 針對 **Destination** (目的地),選擇下列其中一個選項: + **在同一帳戶中傳送至 Amazon Data Firehose** – 交付串流和要監控的資源在同一帳戶中。 + **在不同帳戶中傳送至 Amazon Data Firehose** – 交付串流和要監控的資源在不同帳戶中。 1. 在 **Amazon Data Firehose** 串流名稱中,選擇您建立的交付串流。 1. [僅限跨帳戶交付] 在**服務存取**欄位中,選擇現有的 [IAM 服務角色進行跨帳戶交付](firehose-cross-account-delivery.md),該角色需具備發布日誌的許可;也可以選擇**設定許可**,開啟 IAM 主控台來建立服務角色。 1. 對於 **Log record format** (日誌記錄格式),請指定流量日誌記錄的格式。 + 若要使用預設的流量日誌紀錄格式,請選擇 **AWS default format ( 預設格式)**。 + 若要建立自訂格式,請選擇 **Custom format** (自訂格式)。針對 **Log format** (日誌格式),請選擇要包含在流量日誌記錄中的欄位。 1. 如果您想要包含 Amazon ECS 的日誌格式中繼資料,請選取**其他中繼資料**。 1. (可選) 選擇 **標籤** 將標籤套用至流量日誌。 1. 選擇 **Create flow log** (建立流量日誌)。 **透過命令列建立可發布至 Amazon Data Firehose 的流量日誌** 請使用以下其中一個命令: + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [新的 EC2 流量日誌](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) 下列 AWS CLI 範例會建立流程日誌,擷取指定 VPC 的所有流量,並將流程日誌交付至相同帳戶中指定的 Amazon Data Firehose 交付串流。 ``` aws ec2 create-flow-logs --traffic-type ALL \ --resource-type {{VPC}} \ --resource-ids {{vpc-00112233344556677}} \ --log-destination-type {{kinesis-data-firehose}} \ --log-destination arn:aws:firehose:{{us-east-1}}:{{123456789012}}:deliverystream/{{flowlogs_stream}} ``` 下列 AWS CLI 範例會建立流程日誌,擷取指定 VPC 的所有流量,並將流程日誌交付至不同帳戶中指定的 Amazon Data Firehose 交付串流。 ``` aws ec2 create-flow-logs --traffic-type ALL \ --resource-type {{VPC}} \ --resource-ids {{vpc-00112233344556677}} \ --log-destination-type {{kinesis-data-firehose}} \ --log-destination arn:aws:firehose:{{us-east-1}}:{{123456789012}}:deliverystream/{{flowlogs_stream}} \ --deliver-logs-permission-arn arn:aws:iam::{{source-account}}:role/{{mySourceRole}} \ --deliver-cross-account-role arn:aws:iam::{{destination-account}}:role/AWSLogDeliveryFirehoseCrossAccountRole ``` 由於您已建立流量日至,您可以從為交付串流設定的目的地取得流量日誌資料。