本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Transit Gateway 流量记录亚马逊 CloudWatch 日志中的记录
流日志可以将流日志数据直接发布到 Amazon CloudWatch。
发布到 Lo CloudWatch gs 后,流日志数据将发布到日志组,并且每个传输网关在日志组中都有唯一的日志流。日志流包含流日志记录。您可以创建将数据发布到相同日志组的多个流日志。如果同一中转网关存在于同一日志组中的一个或多个流日志中,则它具有一个组合日志流。如果您指定了一个流日志应该捕获已拒绝流量,而另一个流日志应该捕获已接受流量,则组合日志流会捕获所有流量。
当您将流日志发布到 Logs 时,会收取已售日志的数据摄取和存档费用。 CloudWatch 有关更多信息,请参阅 Amazon CloudWatch 定价
在 CloudWatch 日志中,时间戳字段对应于流日志记录中捕获的开始时间。该ingestionTime字段提供日志收到流日志记录的日期和时间。 CloudWatch 此时间戳晚于在流日志记录中捕获的结束时间。
有关 CloudWatch 日志的更多信息,请参阅 Amazon Logs 用户指南中的发送到 CloudWatch CloudWatch 日志的日志。
IAM用于将流日志发布到 CloudWatch 日志的角色
与您的流日志关联的IAM角色必须具有足够的权限才能将流日志发布到日志中的指定 CloudWatch 日志组。该IAM角色必须属于你的 Amazon Web Services 账户。
附加到您的IAM角色的IAM策略必须至少包含以下权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }
另请确保您的角色具有信任关系,以允许流日志服务代入该角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
建议您使用 aws:SourceAccount
和 aws:SourceArn
条件键来防止出现混淆代理人问题。例如,您可以将以下条件块添加到以前的信任策略。源账户是流日志的所有者,源账户ARN是流日志ARN。如果您不知道流日志 ID,则可以将该部分替换为通配符 (*),然后在创建流日志之后更新策略。ARN
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id
"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region
:account_id
:vpc-flow-log/flow-log-id
"
}
}
IAM用户传递角色的权限
用户还必须有权使用与流日志关联的IAM角色的iam:PassRole
操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::
account-id
:role/flow-log-role-name
" } ] }