Transit Gateway 流量记录亚马逊 CloudWatch 日志中的记录 - Amazon VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Transit Gateway 流量记录亚马逊 CloudWatch 日志中的记录

流日志可以将流日志数据直接发布到 Amazon CloudWatch。

发布到 Lo CloudWatch gs 后,流日志数据将发布到日志组,并且每个传输网关在日志组中都有唯一的日志流。日志流包含流日志记录。您可以创建将数据发布到相同日志组的多个流日志。如果同一中转网关存在于同一日志组中的一个或多个流日志中,则它具有一个组合日志流。如果您指定了一个流日志应该捕获已拒绝流量,而另一个流日志应该捕获已接受流量,则组合日志流会捕获所有流量。

当您将流日志发布到 Logs 时,会收取已售日志的数据摄取和存档费用。 CloudWatch 有关更多信息,请参阅 Amazon CloudWatch 定价

在 CloudWatch 日志中,时间戳字段对应于流日志记录中捕获的开始时间。该ingestionTime字段提供日志收到流日志记录的日期和时间。 CloudWatch 此时间戳晚于在流日志记录中捕获的结束时间。

有关 CloudWatch 日志的更多信息,请参阅 Amazon Logs 用户指南中的发送到 CloudWatch CloudWatch 日志的日志。

IAM用于将流日志发布到 CloudWatch 日志的角色

与您的流日志关联的IAM角色必须具有足够的权限才能将流日志发布到日志中的指定 CloudWatch 日志组。该IAM角色必须属于你的 Amazon Web Services 账户。

附加到您的IAM角色的IAM策略必须至少包含以下权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }

另请确保您的角色具有信任关系,以允许流日志服务代入该角色。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

建议您使用 aws:SourceAccountaws:SourceArn 条件键来防止出现混淆代理人问题。例如,您可以将以下条件块添加到以前的信任策略。源账户是流日志的所有者,源账户ARN是流日志ARN。如果您不知道流日志 ID,则可以将该部分替换为通配符 (*),然后在创建流日志之后更新策略。ARN

"Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id" } }

IAM用户传递角色的权限

用户还必须有权使用与流日志关联的IAM角色的iam:PassRole操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }