本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Transit Gateway 流量记录亚马逊 CloudWatch 日志中的记录
流日志可以将流日志数据直接发布到 Amazon CloudWatch。
发布到 CloudWatch 日志后,流日志数据将发布到日志组,并且每个传输网关在日志组中都有唯一的日志流。日志流包含流日志记录。您可以创建将数据发布到相同日志组的多个流日志。如果同一中转网关存在于同一日志组中的一个或多个流日志中,则它具有一个组合日志流。如果您指定了一个流日志应该捕获已拒绝流量,而另一个流日志应该捕获已接受流量,则组合日志流会捕获所有流量。
当您将流日志发布到 Logs 时,会收取已售日志的数据摄取和存档费用。 CloudWatch 有关更多信息,请参阅 [Amazon CloudWatch 定价](https://www.amazonaws.cn/cloudwatch/pricing/)。
在 CloudWatch 日志中,**时间戳**字段对应于流日志记录中捕获的开始时间。**Ingesti** onTime 字段提供日志收到流日志记录的日期和时间。 CloudWatch 此时间戳晚于在流日志记录中捕获的结束时间。
有关 CloudWatch 日志的更多信息,请参阅 *Amazon [ CloudWatch 日志用户指南中的发送到](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) CloudWatch 日志*的日志。
**Topics**
+ [用于将流日志发布到 CloudWatch 日志的 IAM 角色](#flow-logs-iam)
+ [IAM 用户传递角色的权限](#flow-logs-iam-user)
+ [创建发布到日志的流 CloudWatch 日志](flow-logs-cwl-create-flow-log.md)
+ [查看流日志记录](view-flow-log-records.md)
+ [处理流日志记录](process-records-cwl.md)
## 用于将流日志发布到 CloudWatch 日志的 IAM 角色
与您的流日志关联的 IAM 角色必须具有足够的权限才能将流日志发布到日志中的指定 CloudWatch 日志组。IAM 角色必须属于您的 Amazon Web Services 账户。
附加到您的 IAM 角色的 IAM policy 必须至少包括以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
另请确保您的角色具有信任关系,以允许流日志服务代入该角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
建议您使用 `aws:SourceAccount` 和 `aws:SourceArn` 条件键来防止出现[混淆代理人问题](https://docs.amazonaws.cn/IAM/latest/UserGuide/confused-deputy.html)。例如,您可以将以下条件块添加到以前的信任策略。源账户是流日志的所有者,并且源 ARN 是流日志 ARN。如果您不知道流日志 ID,则可以用通配符(\*)替换 ARN 的该部分,然后在创建流日志后更新策略。
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "{{account_id}}"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:{{region}}:{{account_id}}:vpc-flow-log/{{flow-log-id}}"
}
}
```
## IAM 用户传递角色的权限
用户还必须有权对与流日志关联的 IAM 角色使用 `iam:PassRole` 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}"
}
]
}
```
------