Amazon Virtual Private Cloud
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用流日志

您可以通过 Amazon EC2、Amazon VPC、CloudWatch 和 Amazon S3 控制台来使用流日志。

控制流日志的使用

默认情况下,IAM 用户无权使用流日志。您可以创建一个 IAM 用户策略,该策略向用户授予创建、描述和删除流日志的权限。有关更多信息,请参阅 Amazon EC2 API Reference 中的向 IAM 用户授予 Amazon EC2 资源必需的权限

下面是一个示例策略,该策略向用户授予创建、描述和删除流日志的完全权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }

需要某些额外的 IAM 角色和权限配置,具体取决于您是发布到 CloudWatch Logs 还是 Amazon S3。有关更多信息,请参阅 将流日志发布到 CloudWatch Logs将流日志发布到 Amazon S3

创建流日志

您可以在 Amazon VPC 控制台中从 VPC子网页面创建流日志,或者从 Amazon EC2 控制台中的网络接口页面创建。

创建网络接口的流日志

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Network Interfaces

  3. 选择网络接口,然后选择 Flow Logs (流日志)Create Flow Log (创建流日志)

  4. 对于 Filter (筛选条件),指定要记录的 IP 流量数据的类型。选择 All (全部) 将记录接受和拒绝的流量,选择 Rejected (已拒绝) 将仅记录被拒绝的流量,选择 Accepted (已接受) 将仅记录接受的流量。

  5. 指定要将流日志数据发布到的目标。流日志数据可以发布到 CloudWatch Logs 和 Amazon S3。

    1. 要将流日志数据发布到 CloudWatch Logs,请执行以下操作:

      1. 选择 Send to CloudWatch Logs (发送到 CloudWatch Logs)

      2. 对于 Destination log group (目标日志组),输入 CloudWatch Logs 中日志组的名称,流日志将发布到该日志组。您可以使用现有日志组或输入新日志组的名称。如果您指定了不存在的日志组的名称,我们将尝试为您创建日志组。

      3. 对于 IAM role (IAM 角色),指定有权将日志发布到 CloudWatch Logs 的角色的名称。

    2. 要将流日志数据发布到 Amazon S3,请执行以下操作:

      1. 确保要向其发布流日志的 Amazon S3 存储桶已存在。如果不存在,创建一个新的 Amazon S3 存储桶。有关更多信息,请参阅创建存储桶

      2. 选择 Send to an Amazon S3 bucket (发送到 Amazon S3 存储桶)

      3. 对于 S3 bucket ARN (S3 存储桶 ARN),指定要将流日志数据发布到的现有 Amazon S3 存储桶的 Amazon 资源名称 (ARN)。

        您还可以指定存储桶中的子文件夹。要指定存储桶中的子文件夹,请使用以下 ARN 格式:bucket_ARN/subfolder_name/。例如,要指定名为 my-bucket 的存储桶中名为 my-logs 的子文件夹,请使用以下 ARN:arn:aws:s3:::my-bucket/my-logs/

      注意

      我们会自动创建资源策略并将它附加到指定的 Amazon S3 存储桶。有关更多信息,请参阅 针对流日志的 Amazon S3 存储桶权限

  6. 选择 Create Flow Log (创建流日志)

为 VPC 或子网创建流日志

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Your VPCs (您的 VPC)Subnets (子网)

  3. 选择您的 VPC 或子网,然后选择 Flow Logs (流日志)Create Flow Log (创建流日志)

    注意

    要为多个 VPC 创建流日志,请选择 VPC,然后选择 Actions (操作)Create Flow Log (创建流日志)。要为多个子网创建流日志,请选择子网,然后选择 Subnet Actions (子网操作)Create Flow Log (创建流日志)

  4. 对于 Filter (筛选条件),指定要记录的 IP 流量数据的类型。选择 All (全部) 将记录接受和拒绝的流量,选择 Rejected (已拒绝) 将仅记录被拒绝的流量,选择 Accepted (已接受) 将仅记录接受的流量。

  5. 指定要将流日志数据发布到的目标。流日志数据可以发布到 CloudWatch Logs 和 Amazon S3。

    1. 要将流日志数据发布到 CloudWatch Logs,请执行以下操作:

      1. 选择 Send to CloudWatch Logs (发送到 CloudWatch Logs)

      2. 对于 Destination log group (目标日志组),输入 CloudWatch Logs 中日志组的名称,流日志将发布到该日志组。您可以使用现有日志组,也可以输入新日志组的名称。如果您指定了不存在的日志组的名称,我们将尝试为您创建日志组。

      3. 对于 IAM role (IAM 角色),指定有权将日志发布到 CloudWatch Logs 的 IAM 角色的名称。

      注意

      IAM Role ARN (IAM 角色 ARN) 标签旁边指明了选定 IAM 角色的 Amazon 资源名称 (ARN)。

    2. 要将流日志数据发布到 Amazon S3,请执行以下操作:

      1. 确保要向其发布流日志的 Amazon S3 存储桶已存在。如果不存在,创建一个新的 Amazon S3 存储桶。有关更多信息,请参阅创建存储桶

      2. 选择 Send to an Amazon S3 bucket (发送到 Amazon S3 存储桶)

      3. 对于 S3 bucket ARN (S3 存储桶 ARN),指定要将流日志数据发布到的现有 Amazon S3 存储桶的 ARN。

        您还可以指定存储桶中的子文件夹。要指定存储桶中的子文件夹,请使用以下 ARN 格式:bucket_ARN/subfolder_name/。例如,要指定名为 my-bucket 的存储桶中名为 my-logs 的子文件夹,请使用以下 ARN:arn:aws:s3:::my-bucket/my-logs/

      注意

      我们会自动创建资源策略并将它附加到指定的 Amazon S3 存储桶。有关更多信息,请参阅 针对流日志的 Amazon S3 存储桶权限

  6. 选择 Create Flow Log (创建流日志)

查看流日志

您可以在 Amazon EC2 和 Amazon VPC 控制台中,通过查看特定资源的 Flow Logs 选项卡来查看有关流日志的信息。当您选择资源时,将列出该资源的所有流日志。显示的信息包括流日志的 ID、流日志配置以及有关流日志的状态的信息。

查看您的网络接口的流日志的相关信息

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择 Network Interfaces

  3. 选择网络接口,然后选择 Flow Logs (流日志)。此时有关流日志的信息将显示在选项卡上。Destination type (目标类型) 列指示要将流日志发布到的目标。

查看您的 VPC 或子网的流日志的相关信息

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Your VPCs (您的 VPC)Subnets (子网)

  3. 选择您的 VPC 或子网,然后选择 Flow Logs (流日志)。此时有关流日志的信息将显示在选项卡上。Destination type (目标类型) 列指示要将流日志发布到的目标。

查看流日志记录

您可以使用 CloudWatch Logs 控制台或 Amazon S3 控制台查看您的流日志记录,具体取决于所选的目标类型。在您创建流日志之后,可能需要几分钟才能显示在控制台中。

查看发布到 CloudWatch Logs 的流日志记录

  1. 通过以下网址打开 CloudWatch 控制台:https://console.amazonaws.cn/cloudwatch/

  2. 在导航窗格中,选择 Logs (日志),然后选择包含您的流日志的日志组。此时将显示每个网络接口的日志流的列表。

  3. 选择包含要查看其流日志记录的网络接口 ID 的日志流。有关更多信息,请参阅 流日志记录

查看发布到 Amazon S3 的流日志记录

  1. 通过以下网址打开 Amazon S3 控制台:https://console.amazonaws.cn/s3/

  2. 对于 Bucket name (存储桶名称),选择流日志发布到的存储桶。

  3. 对于 Name (名称),选中日志文件旁边的复选框。在对象概述面板上,选择 Download (下载)

删除流日志

您可以使用 Amazon EC2 和 Amazon VPC 控制台删除流日志。

注意

使用这些过程可以禁用资源的流日志服务。删除流日志时,不会从 CloudWatch Logs 中删除现有日志流以及从 Amazon S3 中删除日志文件。必须使用相应服务的控制台来删除现有流日志数据。此外,删除发布到 Amazon S3 的流日志时,不会删除存储桶策略和日志文件访问控制列表 (ACL)。

删除网络接口的流日志

  1. 打开 Amazon EC2 控制台 https://console.amazonaws.cn/ec2/

  2. 在导航窗格中,选择网络接口,然后选择网络接口。

  3. 选择 Flow Logs (流日志),然后选择流日志的删除按钮 (叉号) 来删除该流日志。

  4. 在确认对话框中,选择 Yes, Delete

删除 VPC 或子网的流日志

  1. 打开 Amazon VPC 控制台 https://console.amazonaws.cn/vpc/

  2. 在导航窗格中,选择 Your VPCs (您的 VPC)Subnets (子网),然后选择资源。

  3. 选择 Flow Logs (流日志),然后选择流日志的删除按钮 (叉号) 来删除该流日志。

  4. 在确认对话框中,选择 Yes, Delete

API 和 CLI 概述

您可以使用命令行或 API 执行此页面上介绍的任务。有关命令行接口的更多信息以及可用 API 操作的列表,请参阅访问 Amazon VPC

创建流日志

描述您的流日志

查看您的流日志记录 (日志事件)

删除流日志