Utilizzare CreateFlowLogs con una CLI - Esempi di codice per SDK AWS

Sono disponibili altri esempi per SDK AWS nel repository GitHub della documentazione degli esempi per SDK AWS.

Utilizzare CreateFlowLogs con una CLI

Gli esempi di codice seguenti mostrano come utilizzare CreateFlowLogs.

CLI
AWS CLI

Esempio 1: come creare un log di flusso.

L’esempio create-flow-logs seguente crea un log di flusso che acquisisce tutto il traffico rifiutato per l’interfaccia di rete specificata. I log di flusso vengono distribuiti a un gruppo di log in CloudWatch Logs utilizzando le autorizzazioni del ruolo IAM specificato.

aws ec2 create-flow-logs \
    --resource-type NetworkInterface \
    --resource-ids eni-11223344556677889 \
    --traffic-type REJECT \
    --log-group-name my-flow-logs \
    --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Output:

{
    "ClientToken": "so0eNA2uSHUNlHI0S2cJ305GuIX1CezaRdGtexample",
    "FlowLogIds": [
        "fl-12345678901234567"
    ],
    "Unsuccessful": []
}

Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l’utente di Amazon VPC.

Esempio 2: come creare un log di flusso con un formato personalizzato.

L’esempio create-flow-logs seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e consegna i log di flusso a un bucket Amazon S3. Il parametro --log-format specifica un formato personalizzato per i record di log di flusso. Per eseguire questo comando in Windows, modifica le virgolette singole (‘’) in virgolette doppie (“”).

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l’utente di Amazon VPC.

Esempio 3: come creare un log di flusso con un intervallo di aggregazione massimo di un minuto.

L’esempio create-flow-logs seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e consegna i log di flusso a un bucket Amazon S3. Il parametro --max-aggregation-interval specifica un intervallo di aggregazione massimo di 60 secondi (1 minuto).

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --max-aggregation-interval 60

Per ulteriori informazioni, consulta Log di flusso VPC nella Guida per l’utente di Amazon VPC.

  • Per informazioni dettagliate sull’API, consulta CreateFlowLogs in AWS CLI Command Reference.

PowerShell
Strumenti per PowerShell V4

Esempio 1: questo esempio crea un log di flusso EC2 per la sottorete subnet-1d234567 nel log cloud-watch-log denominato “subnet1-log” per tutto il traffico “REJECT” utilizzando le autorizzazioni del ruolo “Admin”.

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

Output:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

  • Per informazioni dettagliate sull’API, consulta CreateFlowLogs nella documentazione di riferimento dei cmdlet di AWS Strumenti per PowerShell (V4).

Strumenti per PowerShell V5

Esempio 1: questo esempio crea un log di flusso EC2 per la sottorete subnet-1d234567 nel log cloud-watch-log denominato “subnet1-log” per tutto il traffico “REJECT” utilizzando le autorizzazioni del ruolo “Admin”.

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

Output:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

  • Per informazioni dettagliate sull’API, consulta CreateFlowLogs nella documentazione di riferimento dei cmdlet di AWS Strumenti per PowerShell (V5).