创建发布到 Amazon Data Firehose 的流日志 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建发布到 Amazon Data Firehose 的流日志

您可以为 VPC、子网或网络接口创建流日志。

先决条件

  • 创建目的地 Amazon Data Firehose 传输流。使用 Direct Put 作为来源。有关更多信息,请参阅创建 Amazon Data Firehose 传输流

  • 创建流日志的账户使用的 IAM 角色必须授予下列权限,以将流日志发布到 Amazon Data Firehose。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "iam:CreateServiceLinkedRole",
                "firehose:TagDeliveryStream"
            ],
            "Resource": "*"
        }
    ]
}

  • 要将流日志发布到不同账户,请创建所需的 IAM 角色,如 用于跨账户传输的 IAM 角色 中所述。

创建发布到 Amazon Data Firehose 的流日志

  1. 请执行以下操作之一:

  2. 选择 Actions(操作)、Create flow log(创建流日志)。

  3. 对于Filter(筛选条件),指定要记录的流量的类型。

    • Accepted(已接受)– 仅记录接受的流量

    • Rejected(已拒绝)– 仅记录拒绝的流量

    • All(所有流量)– 记录接受和拒绝的流量

  4. 对于 Maximum aggregation interval(最大聚合时间间隔),选择捕获流并聚合到一个流日志记录中的最大时间段。

  5. 对于 Destination(目的地),请选择下列选项之一:

    • 发送到同一个账户中的 Amazon Data Firehose – 传输流和要监控的资源位于同一账户中。

    • 发送到不同账户中的 Amazon Data Firehose – 传输流和要监控的资源位于不同账户中。

  6. 对于 Amazon Data Firehose 流名称,选择您创建的传输流。

  7. [仅限跨账户传输] 对于服务访问,请选择具有发布日志权限的现有 IAM 服务角色进行跨账户传输,或者选择设置权限以打开 IAM 控制台并创建服务角色。

  8. 对于 Log record format(日志记录格式),选定流日志记录的格式。

    • 要使用默认流日志记录格式,请选择 Amazon default format(亚马逊云科技默认格式)

    • 要创建自定义格式,请选择Custom format(自定义格式)。对于Log format(日志行格式),选择要包括在流日志记录中的字段。

  9. 对于其他元数据,选择是否要以日志格式包含来自 Amazon ECS 的元数据。

  10. (可选)选择添加标签以将标签应用于流日志。

  11. 选择 Create flow log(创建流日志)

使用命令行创建发布到 Amazon Data Firehose 的流日志

使用以下命令之一:

以下 Amazon CLI 示例将创建流日志,用于捕获指定 VPC 的所有流量,并将流日志传输到同一账户中的指定 Amazon Data Firehose 传输流。

aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream

以下 Amazon CLI 示例将创建流日志,用于捕获指定 VPC 的所有流量,并将流日志传输到不同账户中的指定 Amazon Data Firehose 传输流。

aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
  --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \ 
  --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole

由于创建了流日志,您可以从为传输流配置的目标获取流日志数据。