Trabajar con registros de flujo - Amazon Virtual Private Cloud

Trabajar con registros de flujo

Puede trabajar con registros de flujo con las consolas de Amazon EC2, Amazon VPC, CloudWatch y Amazon S3.

Controlar el uso de los registros de flujo

De forma predeterminada, los usuarios de IAM no tienen permiso para trabajar con registros de flujo. Puede crear una política de usuarios de IAM que conceda permisos a los usuarios para crear, describir y eliminar registros de flujo. Para obtener más información, consulte Concesión a los usuarios de IAM de los permisos necesarios para los recursos de Amazon EC2 en la Referencia de la API de Amazon EC2.

A continuación se muestra una política de ejemplo que concede a los usuarios permisos completos para crear, describir y eliminar logs de flujo.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }

Se requiere alguna configuración adicional de permisos y roles de IAM, en función de si se publica en CloudWatch Logs o Amazon S3. Para obtener más información, consulte Publicar registros de flujo en CloudWatch Logs y Publicar registros de flujo en Amazon S3.

Crear un log de flujo

Puede crear registros de flujo para sus VPC, subredes o interfaces de red. Los registros de flujo pueden publicar datos en CloudWatch Logs o Amazon S3.

Para obtener más información, consulte Crear un registro de flujo que se publique en CloudWatch Logs y Crear un registro de flujo que se publique en Amazon S3.

Ver los registros de flujo

Puede consultar información acerca de los registros de flujo en las consolas de Amazon EC2 y Amazon VPC en la pestaña Flow Logs (Registros de flujo) para un recurso específico. Al seleccionar el recurso, se mostrarán todos los logs de flujo de ese recurso. La información mostrada incluye el ID del log de flujo, la configuración del log de flujo y la información acerca del estado del log de flujo.

Para ver información acerca de los registros de flujo para sus interfaces de red

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Network Interfaces.

  3. Seleccione una interfaz de red y elija Flow Logs (Logs de flujo). Se mostrará información acerca de los logs de flujo en la pestaña. La columna Destination type (Tipo de destino) indica el destino en el que se publican los logs de flujo.

Para ver información acerca de los registros de flujo para sus VPC o subredes

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).

  3. Seleccione su VPC o subred y elija Flow Logs (Logs de flujo). Se mostrará información acerca de los logs de flujo en la pestaña. La columna Destination type (Tipo de destino) indica el destino en el que se publican los logs de flujo.

Agregar o quitar etiquetas para los registros de flujo

Puede agregar o quitar etiquetas para un registro de flujo en las consolas de Amazon EC2 y Amazon VPC.

Para agregar o quitar etiquetas en un registro de flujo para una interfaz de red

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Network Interfaces.

  3. Seleccione una interfaz de red y elija Flow Logs (Logs de flujo).

  4. Elija Manage tags (Administrar etiquetas) para el registro de flujo requerido.

  5. Para agregar una etiqueta nueva, elija Create Tag. Para quitar una etiqueta, elija el icono de eliminación (x).

  6. Seleccione Save.

Para agregar o quitar etiquetas en un registro de flujo para una VPC o una subred

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes).

  3. Seleccione su VPC o subred y elija Flow Logs (Logs de flujo).

  4. Seleccione el registro de flujo y elija Actions (Acciones), Add/Edit Tags (Agregar o editar etiquetas).

  5. Para agregar una etiqueta nueva, elija Create Tag. Para quitar una etiqueta, elija el icono de eliminación (x).

  6. Seleccione Save.

Ver entradas de registros de flujo

Puede consultar las entradas de registro de flujo mediante la consola de CloudWatch Logs o la consola de Amazon S3, en función del tipo de destino elegido. Puede que, después de crear su log de flujo, se necesiten unos minutos para que esté visible en la consola.

Para consultar las entradas de registro de flujo publicados en CloudWatch Logs

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Logs y seleccione el grupo de logs que contiene el log de flujo. Aparecerá una lista de flujos de log para cada interfaz de red.

  3. Seleccione el flujo de logs que contiene el ID de la interfaz de red para la que desea ver los registros de logs de flujo. Para obtener más información, consulte Registros de log de flujo.

Para consultar las entradas de registro de flujo publicadas en Amazon S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. En Bucket name (Nombre del bucket), seleccione el bucket en el que se van a publicar los logs de flujo.

  3. En Name (Nombre), active la casilla de verificación situada junto al archivo log. En el panel de información general del objeto, elija Download (Descargar).

Buscar entradas de registros de flujo

Puede buscar las entradas de registro de flujo que se publican en CloudWatch Logs mediante la consola de CloudWatch Logs. Puede utilizar filtros de métricas para filtrar entradas de registro de flujo. Los registros de log de flujo están delimitados por espacios.

Para buscar entradas de registro de flujo mediante la consola de CloudWatch Logs

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Grupos de registros y seleccione el grupo de registros que contiene el registro de flujo. Aparecerá una lista de flujos de log para cada interfaz de red.

  3. Seleccione la secuencia de registro individual si conoce la interfaz de red que está buscando. Otra opción, elija Buscar en el grupo de registros para buscar en todo el grupo de registros. Esto puede tardar algún tiempo si hay muchas interfaces de red en el grupo de registro o en función del intervalo de tiempo que seleccione.

  4. En Filtrar los eventos, escriba la siguiente cadena. Esto supone que el registro de log de flujo utiliza el formato predeterminado.

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
  5. Modifique el filtro según sea necesario especificando valores para los campos. En los siguientes ejemplos se filtra por direcciones IP de origen específicas.

    [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

    En los siguientes ejemplos se filtra por puerto de destino, el número de bytes y si se ha rechazado el tráfico.

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

Eliminación de un log de flujo

Puede eliminar un registro de flujo mediante las consolas de Amazon EC2 y Amazon VPC.

Estos procedimientos deshabilitan el servicio de logs de flujo para un recurso. La eliminación de un registro de flujo no elimina las secuencias de registro existentes de CloudWatch Logs y los archivos de registro de Amazon S3. Los datos de los logs de flujo existentes deben eliminarse con la consola del servicio correspondiente. Además, la eliminación de un registro de flujo que publica en Amazon S3 no quita las políticas de bucket ni las listas de control de acceso (ACL) de los archivos de registro.

Para eliminar un log de flujo para una interfaz de red

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Network Interfaces y seleccione la interfaz de red.

  3. Elija Flow Logs (Logs de flujo) y, a continuación, elija el botón de eliminación (una cruz) para el log de flujo que desea eliminar.

  4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Para eliminar un log de flujo para una VPC o subred

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Your VPCs (Sus VPC) o Subnets (Subredes) y, a continuación, seleccione el recurso.

  3. Elija Flow Logs (Logs de flujo) y, a continuación, elija el botón de eliminación (una cruz) para el log de flujo que desea eliminar.

  4. En el cuadro de diálogo de confirmación, elija Yes, Delete.

Información general de la API y de la CLI

Puede realizar las tareas descritas en esta página utilizando la línea de comandos o al API. Para obtener más información acerca de las interfaces de la línea de comando, junto con una lista de las acciones de API disponibles, consulte Acceder a Amazon VPC.

Crear un log de flujo

Descripción de sus logs de flujo

Visualización de sus registros de logs de flujo (eventos de log)

Eliminación de un log de flujo