Penerbitan log alur ke CloudWatch Beberapa catatan - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penerbitan log alur ke CloudWatch Beberapa catatan

Log alur dapat menerbitkan data log alur langsung ke Amazon CloudWatch.

Saat menerbitkan ke CloudWatch Log, data log alur diterbitkan ke grup log, dan setiap antarmuka jaringan memiliki pengaliran log unik di grup log. Pengaliran log berisi catatan log alur. Anda dapat membuat beberapa log alur yang menerbitkan data ke grup log yang sama. Jika antarmuka jaringan yang sama hadir dalam satu atau lebih pengaliran log dalam grup log yang sama, maka akan memiliki satu pengaliran log gabungan. Jika Anda telah menetapkan bahwa satu log alur harus menangkap lalu lintas yang ditolak, dan log alur lainnya harus menangkap lalu lintas yang diterima, maka pengaliran log gabungan menangkap semua lalu lintas.

Biaya penggunaan dan pengarsipan data untuk log penjual otomatis berlaku saat Anda menerbitkan log alur ke log alur CloudWatch Log. Untuk informasi selengkapnya, lihatAmazon CloudWatch Harga.

Masuk CloudWatch Log,timestampbidang sesuai dengan waktu mulai yang ditangkap dalam catatan log alur. ParameteringestionTimebidang menunjukkan tanggal dan waktu saat catatan log alur diterima oleh CloudWatch Log. Stempel waktu ini lebih lambat dari waktu akhir yang ditangkap dalam catatan log alur.

Untuk informasi lebih lanjut tentang CloudWatch Log, lihatLog yang dikirim ke CloudWatch Beberapa catatandi dalamAmazon CloudWatch Panduan Pengguna log.

IAM role untuk menerbitkan log alur ke CloudWatch Beberapa catatan

IAM role yang terkait dengan log alur harus memiliki izin yang memadai untuk menerbitkan log alur ke grup log tertentu di CloudWatch Log. IAM role harus menjadi milik akun AWS.

Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "logs:DescribeLogStreams" ], "Resource": "*" } ] }

Juga memastikan bahwa peran Anda memiliki hubungan kepercayaan yang memungkinkan layanan log alur untuk menjalankan peran.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "vpc-flow-logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Sebaiknya Anda menggunakanaws:SourceAccountdanaws:SourceArnkunci kondisi untuk melindungi diri darimasalah confused deputy. Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumber ARN adalah log aliran ARN. Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian ARN tersebut dengan wildcard (*) dan kemudian memperbarui kebijakan setelah membuat log alur.

"Condition": { "StringEquals": { "aws:SourceAccount": "account_id" }, "ArnLike": { "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id" } }

Membuat atau memperbarui IAM role untuk log alur

Anda dapat memperbarui peran yang ada atau menggunakan prosedur berikut untuk membuat peran baru untuk digunakan dengan log alur.

Untuk membuat IAM role untuk log alur

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Dalam panel navigasi, pilih Roles (Peran), lalu Create role (Buat peran).

  3. Untuk Pilih jenis entitas tepercaya, pilih layanan AWS. Untuk Kasus penggunaan, pilih EC2. Pilih Berikutnya: Izin.

  4. PadaMelampirkan kebijakan izinhalaman, pilihSelanjutnya: Tandadan menambahkan tanda secara opsional. Pilih Berikutnya: Peninjauan.

  5. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional. Pilih Create role (Buat peran).

  6. Pilih nama peran Anda. Untuk Izin, pilih Tambahkan kebijakan selaras, JSON.

  7. Salin kebijakan pertama dari IAM role untuk menerbitkan log alur ke CloudWatch Beberapa catatan dan tempel di window. Pilih Tinjau kebijakan.

  8. Masukkan nama untuk kebijakan Anda dan pilih Buat kebijakan.

  9. Pilih nama peran Anda. Untuk Hubungan kepercayaan, pilih Edit hubungan kepercayaan. Dalam dokumen kebijakan yang ada, ubah layanan dari ec2.amazonaws.com ke vpc-flow-logs.amazonaws.com. Pilih Perbarui Kebijakan Kepercayaan.

  10. Pada halaman Ringkasan, perhatikan ARN untuk peran Anda. Anda perlu ARN ini ketika Anda membuat log alur Anda.

Izin bagi pengguna IAM untuk meneruskan peran

Pengguna juga harus memiliki izin untuk menggunakan tindakan iam:PassRole untuk IAM role yang terkait dengan log alur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:PassRole"], "Resource": "arn:aws:iam::account-id:role/flow-log-role-name" } ] }

Membuat log alur yang menerbitkan CloudWatch Beberapa catatan

Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan. Jika Anda melakukan langkah-langkah ini sebagai pengguna IAM, pastikan bahwa Anda memiliki izin untuk menggunakan Tindakan iam:PassRole. Untuk informasi selengkapnya, lihat Izin bagi pengguna IAM untuk meneruskan peran.

Prasyarat

Membuat grup log tujuan. BukaHalaman grup logdi dalam CloudWatch konsol dan pilihBuat grup log. Masukkan nama untuk grup log, lalu pilih Buat.

Untuk membuat log alur untuk antarmuka jaringan menggunakan konsol

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Antarmuka Jaringan.

  3. Pilih kotak centang untuk satu atau beberapa antarmuka jaringan dan pilih Tindakan, Buat log alur.

  4. Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.

  5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan dikumpulkan ke dalam satu catatan log alur.

  6. UntukTujuanMemiilihKirim CloudWatchBeberapa catatan.

  7. UntukGrup log tujuan, pilih nama grup log tujuan yang Anda buat.

  8. UntukPeran IAM, tentukan nama peran yang memiliki izin untuk menerbitkan log ke CloudWatch Log.

  9. Untuk Format catatan log, pilih format untuk catatan log alur.

    • Untuk menggunakan format default, pilih format default AWS.

    • Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.

  10. (Opsional) Pilih Tambahkan tag baru untuk menerapkan tag ke log alur.

  11. Pilih Buat log alur.

Untuk membuat log alur untuk VPC atau subnet menggunakan konsol

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih VPC Anda atau pilih Subnet.

  3. Pilih kotak centang untuk satu atau beberapa VPC atau subnet, lalu pilih Tindakan, Buat log alur.

  4. Untuk Filter, tentukan jenis lalu lintas ke log. Pilih Semua ke log lalu lintas diterima dan ditolak, Tolak ke log hanya lalu lintas yang ditolak, atau Terima ke log hanya lalu lintas yang diterima.

  5. Untuk Interval agregasi maksimum, pilih periode waktu maksimum selama aliran ditangkap dan dikumpulkan ke dalam satu catatan log alur.

  6. UntukTujuanMemiilihKirim CloudWatchBeberapa catatan.

  7. UntukGrup log tujuan, pilih nama grup log tujuan yang Anda buat.

  8. UntukPeran IAM, tentukan nama peran yang memiliki izin untuk menerbitkan log ke CloudWatch Log.

  9. Untuk Format catatan log, pilih format untuk catatan log alur.

    • Untuk menggunakan format default, pilih format default AWS.

    • Untuk menggunakan format kustom, pilih Format kustom dan kemudian pilih bidang dari Format log.

  10. (Opsional) Pilih Tambahkan tag baru untuk menerapkan tag ke log alur.

  11. Pilih Buat log alur.

Untuk membuat log alur menggunakan baris perintah

Gunakan salah satu perintah berikut ini.

Contoh AWS CLI berikut ini membuat log alur yang menangkap semua lalu lintas yang diterima untuk subnet subnet-1a2b3c4d. Log aliran dikirim ke grup log di CloudWatch Log disebutmy-flow-logs, di akun 123456789101, menggunakan peran IAMpublishFlowLogs.

aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Catatan log alur proses CloudWatch Beberapa catatan

Anda dapat bekerja dengan catatan log alur seperti yang Anda lakukan dengan log log lainnya yang dikumpulkan oleh CloudWatch Log. Untuk informasi selengkapnya tentang cara pemantauan data log dan filter metrik, lihatMencari dan Menyaring Data Logdi dalamAmazon CloudWatch Panduan Pengguna.

Contoh: Buat CloudWatch filter metrik dan alarm untuk log aliran

Dalam contoh ini, Anda memiliki log alur untuk eni-1a2b3c4d. Anda ingin membuat alarm yang memperingatkan Anda jika ada 10 percobaan penolakan atau lebih untuk terkoneksi ke instans Anda melalui TCP port 22 (SSH) dalam jangka waktu 1 jam. Pertama, Anda harus membuat filter metrik yang sesuai dengan pola lalu lintas yang untuknya harus membuat alarm. Setelah itu, Anda dapat membuat alarm untuk filter metrik.

Untuk membuat filter metrik untuk lalu lintas SSH yang ditolak dan membuat alarm untuk filter

  1. Buka CloudWatch konsol dihttps://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilihBeberapa catatan,Grup log.

  3. Pilih kotak centang untuk grup log, dan kemudian pilihTindakan,Buat filter metrik.

  4. Untuk Pola Filter, masukkan perintah berikut.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
  5. UntukPilih data log untuk diuji, pilih pengaliran log untuk antarmuka jaringan Anda. (Opsional) Untuk melihat baris data log yang cocok dengan pola filter, pilihPola uji. Saat Anda siap, pilihSelanjutnya.

  6. Masukkan nama filter, namespace metrik, dan nama metrik. Tetapkan nilai metrik ke 1. Setelah selesai, pilihSelanjutnyalalu pilihBuat filter metrik.

  7. Di panel navigasi, pilihAlarm,Semua alarm.

  8. Pilih Create alarm (Buat alarm).

  9. Pilih namespace untuk filter metrik yang Anda buat.

    Diperlukan waktu beberapa menit hingga metrik baru ditampilkan di konsol.

  10. Pilih nama metrik yang Anda buat, lalu pilihPilih metrik.

  11. Konfigurasikan alarm sebagai berikut, lalu pilih Next (Selanjutnya):

    • Untuk Statistik pilih Jumlah. Ini memastikan bahwa Anda menangkap jumlah total titik data untuk jangka waktu yang ditentukan.

    • UntukPeriodeMemiilih1 jam.

    • UntukKapan punMemiilihBesar/Samadan masukkan 10 untuk ambang batas.

    • UntukKonfigurasi tambahan,Datapoints ke alarm, tinggalkan default 1.

  12. UntukNotifikasi, pilih topik SNS yang ada atau pilihBuat topik baruuntuk membuat yang baru. Pilih Selanjutnya.

  13. Masukkan nama dan deskripsi untuk alarm dan pilihSelanjutnya.

  14. Setelah selesai mengonfigurasi alarm, pilihBuat alarm.