使用流日志
您可以通过 Amazon EC2、Amazon VPC、CloudWatch 和 Amazon S3 控制台来使用流日志。
控制流日志的使用
默认情况下,IAM 用户无权使用流日志。您可以创建一个 IAM 用户策略,该策略向用户授予创建、描述和删除流日志的权限。有关更多信息,请参阅 Amazon EC2 API Reference 中的向 IAM 用户授予 Amazon EC2 资源必需的权限。
下面是一个示例策略,该策略向用户授予创建、描述和删除流日志的完全权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }
需要某些额外的 IAM 角色和权限配置,具体取决于您是发布到 CloudWatch Logs 还是 Amazon S3。有关更多信息,请参阅 将流日志发布到 CloudWatch Logs 和 将流日志发布到 Amazon S3。
创建流日志
您可以在 Amazon VPC 控制台中从 VPC 和子网页面创建流日志,或者从 Amazon EC2 控制台中的网络接口页面创建。
创建网络接口的流日志
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格中,选择 Network Interfaces。
-
选择网络接口,然后选择 Flow Logs (流日志)、Create Flow Log (创建流日志)。
-
对于 Filter (筛选条件),指定要记录的 IP 流量数据的类型。选择 All (全部) 将记录接受和拒绝的流量,选择 Rejected (已拒绝) 将仅记录被拒绝的流量,选择 Accepted (已接受) 将仅记录接受的流量。
-
指定要将流日志数据发布到的目标。流日志数据可以发布到 CloudWatch Logs 和 Amazon S3。
-
要将流日志数据发布到 CloudWatch Logs,请执行以下操作:
-
选择 Send to CloudWatch Logs (发送到 CloudWatch Logs)。
-
对于 Destination log group (目标日志组),输入 CloudWatch Logs 中日志组的名称,流日志将发布到该日志组。您可以使用现有日志组或输入新日志组的名称。如果您指定了不存在的日志组的名称,我们将尝试为您创建日志组。
-
对于 IAM role (IAM 角色),指定有权将日志发布到 CloudWatch Logs 的角色的名称。
-
-
要将流日志数据发布到 Amazon S3,请执行以下操作:
-
确保要向其发布流日志的 Amazon S3 存储桶已存在。如果不存在,创建一个新的 Amazon S3 存储桶。有关更多信息,请参阅创建存储桶。
-
选择 Send to an Amazon S3 bucket (发送到 Amazon S3 存储桶)。
-
对于 S3 bucket ARN (S3 存储桶 ARN),指定要将流日志数据发布到的现有 Amazon S3 存储桶的 Amazon 资源名称 (ARN)。
您还可以指定存储桶中的子文件夹。要指定存储桶中的子文件夹,请使用以下 ARN 格式:
bucket_ARN/subfolder_name/my-bucket的存储桶中名为my-logs的子文件夹,请使用以下 ARN:arn:aws:s3:::my-bucket/my-logs/。
注意
我们会自动创建资源策略并将它附加到指定的 Amazon S3 存储桶。有关更多信息,请参阅 针对流日志的 Amazon S3 存储桶权限。
-
-
-
选择 Create Flow Log (创建流日志)。
为 VPC 或子网创建流日志
-
打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/。
-
在导航窗格中,选择 Your VPCs (您的 VPC) 或 Subnets (子网)。
-
选择您的 VPC 或子网,然后选择 Flow Logs (流日志)、Create Flow Log (创建流日志)。
注意
要为多个 VPC 创建流日志,请选择 VPC,然后选择 Actions (操作)、Create Flow Log (创建流日志)。要为多个子网创建流日志,请选择子网,然后选择 Subnet Actions (子网操作)、Create Flow Log (创建流日志)。
-
对于 Filter (筛选条件),指定要记录的 IP 流量数据的类型。选择 All (全部) 将记录接受和拒绝的流量,选择 Rejected (已拒绝) 将仅记录被拒绝的流量,选择 Accepted (已接受) 将仅记录接受的流量。
-
指定要将流日志数据发布到的目标。流日志数据可以发布到 CloudWatch Logs 和 Amazon S3。
-
要将流日志数据发布到 CloudWatch Logs,请执行以下操作:
-
选择 Send to CloudWatch Logs (发送到 CloudWatch Logs)。
-
对于 Destination log group (目标日志组),输入 CloudWatch Logs 中日志组的名称,流日志将发布到该日志组。您可以使用现有日志组,也可以输入新日志组的名称。如果您指定了不存在的日志组的名称,我们将尝试为您创建日志组。
-
对于 IAM role (IAM 角色),指定有权将日志发布到 CloudWatch Logs 的 IAM 角色的名称。
注意
IAM Role ARN (IAM 角色 ARN) 标签旁边指明了选定 IAM 角色的 Amazon 资源名称 (ARN)。
-
-
要将流日志数据发布到 Amazon S3,请执行以下操作:
-
确保要向其发布流日志的 Amazon S3 存储桶已存在。如果不存在,创建一个新的 Amazon S3 存储桶。有关更多信息,请参阅创建存储桶。
-
选择 Send to an Amazon S3 bucket (发送到 Amazon S3 存储桶)。
-
对于 S3 bucket ARN (S3 存储桶 ARN),指定要将流日志数据发布到的现有 Amazon S3 存储桶的 ARN。
您还可以指定存储桶中的子文件夹。要指定存储桶中的子文件夹,请使用以下 ARN 格式:
bucket_ARN/subfolder_name/my-bucket的存储桶中名为my-logs的子文件夹,请使用以下 ARN:arn:aws:s3:::my-bucket/my-logs/。
注意
我们会自动创建资源策略并将它附加到指定的 Amazon S3 存储桶。有关更多信息,请参阅 针对流日志的 Amazon S3 存储桶权限。
-
-
-
选择 Create Flow Log (创建流日志)。
查看流日志
您可以在 Amazon EC2 和 Amazon VPC 控制台中,通过查看特定资源的 Flow Logs 选项卡来查看有关流日志的信息。当您选择资源时,将列出该资源的所有流日志。显示的信息包括流日志的 ID、流日志配置以及有关流日志的状态的信息。
查看您的网络接口的流日志的相关信息
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格中,选择 Network Interfaces。
-
选择网络接口,然后选择 Flow Logs (流日志)。此时有关流日志的信息将显示在选项卡上。Destination type (目标类型) 列指示要将流日志发布到的目标。
查看您的 VPC 或子网的流日志的相关信息
-
打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/。
-
在导航窗格中,选择 Your VPCs (您的 VPC) 或 Subnets (子网)。
-
选择您的 VPC 或子网,然后选择 Flow Logs (流日志)。此时有关流日志的信息将显示在选项卡上。Destination type (目标类型) 列指示要将流日志发布到的目标。
查看流日志记录
您可以使用 CloudWatch Logs 控制台或 Amazon S3 控制台查看您的流日志记录,具体取决于所选的目标类型。在您创建流日志之后,可能需要几分钟才能显示在控制台中。
查看发布到 CloudWatch Logs 的流日志记录
-
通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/。
-
在导航窗格中,选择 Logs (日志),然后选择包含您的流日志的日志组。此时将显示每个网络接口的日志流的列表。
-
选择包含要查看其流日志记录的网络接口 ID 的日志流。有关更多信息,请参阅 流日志记录。
查看发布到 Amazon S3 的流日志记录
-
通过以下网址打开 Amazon S3 控制台:https://console.amazonaws.cn/s3/。
-
对于 Bucket name (存储桶名称),选择流日志发布到的存储桶。
-
对于 Name (名称),选中日志文件旁边的复选框。在对象概述面板上,选择 Download (下载)。
删除流日志
您可以使用 Amazon EC2 和 Amazon VPC 控制台删除流日志。
注意
使用这些过程可以禁用资源的流日志服务。删除流日志时,不会从 CloudWatch Logs 中删除现有日志流以及从 Amazon S3 中删除日志文件。必须使用相应服务的控制台来删除现有流日志数据。此外,删除发布到 Amazon S3 的流日志时,不会删除存储桶策略和日志文件访问控制列表 (ACL)。
删除网络接口的流日志
-
打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/。
-
在导航窗格中,选择网络接口,然后选择网络接口。
-
选择 Flow Logs (流日志),然后选择流日志的删除按钮 (叉号) 来删除该流日志。
-
在确认对话框中,选择 Yes, Delete。
删除 VPC 或子网的流日志
-
打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/。
-
在导航窗格中,选择 Your VPCs (您的 VPC) 或 Subnets (子网),然后选择资源。
-
选择 Flow Logs (流日志),然后选择流日志的删除按钮 (叉号) 来删除该流日志。
-
在确认对话框中,选择 Yes, Delete。
API 和 CLI 概述
您可以使用命令行或 API 执行此页面上介绍的任务。有关命令行接口的更多信息以及可用 API 操作的列表,请参阅访问 Amazon VPC。
创建流日志
-
create-flow-logs (AWS CLI)
-
New-EC2FlowLogs (适用于 Windows PowerShell 的 AWS 工具)
-
CreateFlowLogs (Amazon EC2 查询 API)
描述您的流日志
-
describe-flow-logs (AWS CLI)
-
Get-EC2FlowLogs (适用于 Windows PowerShell 的 AWS 工具)
-
DescribeFlowLogs (Amazon EC2 查询 API)
查看您的流日志记录 (日志事件)
-
get-log-events (AWS CLI)
-
Get-CWLLogEvents (适用于 Windows PowerShell 的 AWS 工具)
-
GetLogEvents (CloudWatch API)
删除流日志
-
delete-flow-logs (AWS CLI)
-
Remove-EC2FlowLogs (适用于 Windows PowerShell 的 AWS 工具)
-
DeleteFlowLogs (Amazon EC2 查询 API)