Bekerja dengan log alur - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan log alur

Anda dapat bekerja dengan log alur menggunakan Amazon EC2, Amazon VPC, CloudWatch, dan konsol Amazon S3.

Mengontrol penggunaan log alur

Secara default, pengguna IAM tidak memiliki izin untuk bekerja dengan log alur. Anda dapat membuat kebijakan pengguna IAM yang memberikan izin kepada pengguna untuk membuat, menjelaskan, dan menghapus log alur. Untuk informasi selengkapnya, lihat Pemberian Izin Pengguna IAM yang Diperlukan untuk Sumber Daya Amazon EC2 dalam Referensi API Amazon EC2.

Berikut ini adalah contoh kebijakan yang memberikan izin penuh kepada pengguna untuk membuat, menjelaskan, dan menghapus log alur.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteFlowLogs", "ec2:CreateFlowLogs", "ec2:DescribeFlowLogs" ], "Resource": "*" } ] }

Beberapa konfigurasi IAM role dan izin diperlukan, tergantung pada apakah Anda menerbitkannya CloudWatch Log atau Amazon S3. Untuk informasi selengkapnya, lihat Penerbitan log alur ke CloudWatch Beberapa catatan dan Terbitkan log alur ke Amazon S3.

Membuat log alur

Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan. Log alur dapat menerbitkan data ke CloudWatch Log atau Amazon S3.

Untuk informasi selengkapnya, lihat Membuat log alur yang menerbitkan CloudWatch Beberapa catatan dan Membuat log alur yang menerbitkan ke Amazon S3.

Melihat log alur

Anda dapat melihat informasi tentang log alur Anda di konsol Amazon EC2 dan Amazon VPC dengan menampilkan tab Log Alur untuk sumber daya tertentu. Bila Anda memilih sumber daya, semua log alur untuk sumber daya tersebut terdaftar. Informasi yang ditampilkan termasuk ID log alur, konfigurasi log alur, dan informasi tentang status log alur.

Untuk melihat informasi tentang log alur untuk antarmuka jaringan Anda

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Antarmuka Jaringan.

  3. Pilih antarmuka jaringan, dan pilih Log Alur. Informasi tentang log alur ditampilkan pada tab. Kolom Jenis tujuan menunjukkan tempat tujuan penerbitan log.

Melihat informasi tentang log alur untuk VPC Anda atau subnet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih VPC Anda atau Subnet.

  3. Pilih VPC Anda atau subnet, dan pilih Log Alur. Informasi tentang log alur ditampilkan pada tab. Parameter kolom Jenis tujuan menunjukkan tujuan tempat penerbitan log alur.

Menambahkan atau menghapus tag untuk log alur

Anda dapat menambahkan atau menghapus tag untuk log alur di konsol Amazon EC2 dan Amazon VPC.

Untuk menambah atau menghapus tag untuk log alur untuk antarmuka jaringan

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Antarmuka Jaringan.

  3. Pilih antarmuka jaringan, dan pilih Log Alur.

  4. Pilih Kelola Tag untuk log alur yang diperlukan.

  5. Untuk menambahkan tag baru, pilih Buat Tag. Untuk menghapus sebuah tag, pilih tombol hapus (x).

  6. Pilih Save (Simpan).

Untuk menambah atau menghapus tag untuk log alur untuk VPC atau subnet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih VPC Anda atau Subnet.

  3. Pilih VPC atau subnet Anda, dan pilih Log Alur.

  4. Pilih log alur, dan pilih Tindakan, Tambahkan/Edit Tag.

  5. Untuk menambahkan tag baru, pilih Buat Tag. Untuk menghapus sebuah tag, pilih tombol hapus (x).

  6. Pilih Save (Simpan).

Melihat catatan log alur

Anda dapat melihat catatan log alur menggunakan CloudWatch Konsol log atau konsol Amazon S3, tergantung pada jenis tujuan yang dipilih. Mungkin diperlukan beberapa menit setelah Anda membuat log alur agar dapat terlihat di konsol.

Untuk melihat catatan log alur yang diterbitkan CloudWatch Beberapa catatan

  1. Buka CloudWatch konsol dihttps://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih Log, dan pilih grup log yang berisi log alur Anda. Daftar pengaliran log untuk setiap antarmuka jaringan ditampilkan.

  3. Pilih pengaliran log yang berisi ID antarmuka jaringan untuk melihat catatan log alur. Untuk informasi selengkapnya, lihat Catatan log alur.

Untuk melihat catatan log alur yang diterbitkan ke Amazon S3

  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Untuk Nama bucket, pilih bucket tempat tujuan penerbitan log alur.

  3. Untuk Nama, pilih kotak centang di samping file berkas log. Di halaman gambaran umum, pilih Unduh.

Cari catatan log alur

Anda dapat mencari catatan log alur yang dipublikasikan ke CloudWatch Log dengan menggunakan CloudWatch Log konsol. Anda dapat menggunakan filter metrik untuk menyaring catatan log alur. Catatan log alur adalah ruang yang dibatasi.

Untuk mencari catatan log alur menggunakan CloudWatch Konsol log

  1. Buka CloudWatch konsol dihttps://console.aws.amazon.com/cloudwatch/.

  2. Di panel navigasi, pilih Grup log, dan pilih grup log yang berisi log alur Anda. Daftar pengaliran log untuk setiap antarmuka jaringan ditampilkan.

  3. Pilih pengaliran log individu jika Anda tahu antarmuka jaringan yang Anda cari. Atau, pilih Cari Grup Log untuk mencari seluruh grup log. Tindakan ini mungkin membutuhkan waktu lama jika ada banyak antarmuka jaringan di grup log Anda, atau tergantung pada rentang waktu yang Anda pilih.

  4. Untuk Filter peristiwa, masukkan string berikut. Ini mengasumsikan bahwa catatan log alur menggunakan format default.

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
  5. Ubah filter sesuai kebutuhan dengan menentukan nilai untuk bidang. Contoh berikut adalah filter berdasarkan alamat IP sumber tertentu.

    [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

    Contoh berikut adalah filter berdasarkan port tujuan, jumlah byte, dan apakah lalu lintas ditolak.

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]

Menghapus log alur

Anda dapat menghapus log alur menggunakan konsol Amazon EC2 dan Amazon VPC.

Prosedur ini menonaktifkan layanan log alur untuk sumber daya. Menghapus log alur tidak menghapus pengaliran log yang ada dari CloudWatch Log dan berkas log dari Amazon S3. Data log alur yang ada harus dihapus menggunakan konsol layanan masing-masing. Selain itu, penghapusan log alur yang menerbitkan ke Amazon S3 tidak menghapus kebijakan bucket dan daftar kontrol akses (ACL) file berkas log.

Untuk menghapus log alur untuk antarmuka jaringan

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Antarmuka Jaringan, lalu pilih antarmuka jaringan.

  3. Pilih Log Alur, dan kemudian pilih tombol hapus (tanda silang) untuk menghapus log alur.

  4. Di kotak dialog konfirmasi, pilih Ya, Hapus.

Untuk menghapus log alur untuk VPC atau subnet

  1. Buka konsol Amazon VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih VPC Anda atau Subnets, lalu pilih sumber daya.

  3. Pilih Log Alur, dan kemudian pilih tombol hapus (tanda silang) untuk menghapus log alur.

  4. Di kotak dialog konfirmasi, pilih Ya, Hapus.

Ringkasan API dan CLI

Anda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah atau API. Untuk informasi selengkapnya tentang antarmuka baris perintah dan daftar API yang tersedia, lihat Bekerja dengan Amazon VPC.

Membuat log alur

Deskripsikan log alur

Melihat catatan log alur Anda (log acara)

Menghapus log alur