Pubblica i log di flusso su Amazon Data Firehose

I log di flusso possono pubblicare i dati dei log di flusso direttamente su Amazon Data Firehose.

Quando si pubblica su Amazon Data Firehose, i dati del log di flusso vengono pubblicati in un flusso di distribuzione di Amazon Data Firehose, in formato testo semplice.

Prezzi

Si applicano le spese standard di acquisizione e consegna. Per ulteriori informazioni, apri Amazon CloudWatch Pricing, seleziona Logs e trova Vending Logs.

Ruoli IAM per la consegna tra account

Quando pubblichi su Amazon Data Firehose, puoi scegliere un flusso di distribuzione nello stesso account della risorsa da monitorare (l'account di origine) o in un altro account (l'account di destinazione). Per consentire la consegna dei log di flusso su più account ad Amazon Data Firehose, devi creare un ruolo IAM nell'account di origine e un ruolo IAM nell'account di destinazione.

Roles

• Ruolo dell'account di origine
• Ruolo dell'account di destinazione

Ruolo dell'account di origine

Nell'account di origine, crea un ruolo che conceda le seguenti autorizzazioni. In questo esempio, il nome del ruolo è mySourceRole ma è possibile scegliere un nome diverso. L'ultima istruzione consente al ruolo nell'account di destinazione di assumere questo ruolo. Le istruzioni sulle condizioni assicurano che questo ruolo venga passato solo al servizio di consegna dei log e solo durante il monitoraggio della risorsa specificata. Quando si crea la propria policy, specifica i VPC, le interfacce di rete o le sottoreti che si stanno monitorando con la chiave di condizione iam:AssociatedResourceARN.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::source-account:role/mySourceRole",
      "Condition": {
          "StringEquals": {
              "iam:PassedToService": "delivery.logs.amazonaws.com"
          },
          "StringLike": {
              "iam:AssociatedResourceARN": [
                  "arn:aws:ec2:region:source-account:vpc/vpc-00112233344556677"
              ]
          }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
          "logs:CreateLogDelivery",
          "logs:DeleteLogDelivery",
          "logs:ListLogDeliveries",
          "logs:GetLogDelivery"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole"      
    }
  ]
}

Verifica che questo ruolo abbia la seguente policy di attendibilità che consente al servizio di consegna dei log di assumere il ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

Dall'account di origine, utilizza la seguente procedura per creare il ruolo.

Creazione del ruolo dell'account di origine

1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, selezionare Policies (Policy).

3. Scegli Create Policy (Crea policy).

4. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:

   1. Scegli JSON.

   2. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.

   3. Seleziona Successivo.

   4. Inserisci un nome per la tua policy e una descrizione e tag opzionali, quindi scegli Crea policy.

5. Nel pannello di navigazione, seleziona Roles (Ruoli).

6. Selezionare Create role (Crea ruolo).

7. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci "Principal": {}, con quanto segue, che specifica il servizio di consegna dei log. Seleziona Successivo.

   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },

8. Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).

9. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.

10. Seleziona Create role (Crea ruolo).

Ruolo dell'account di destinazione

Nell'account di destinazione, crea un ruolo con un nome che inizia con AWSLogDeliveryFirehoseCrossAccountRole. Questo ruolo deve concedere le autorizzazioni riportate di seguito.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}

Assicurarsi che questo ruolo abbia la seguente policy di attendibilità, che consenta al ruolo creato nell'account di origine di assumere questo ruolo.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
          "AWS": "arn:aws:iam::source-account:role/mySourceRole"
      },
      "Action": "sts:AssumeRole"
    }
  ]
} 

Dall'account di destinazione, utilizza la seguente procedura per creare il ruolo.

Creazione del ruolo dell'account di destinazione

1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. Nel pannello di navigazione, selezionare Policies (Policy).

3. Scegli Create Policy (Crea policy).

4. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:

   1. Scegli JSON.

   2. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.

   3. Seleziona Successivo.

   4. Inserisci un nome per la tua politica che inizia con AWSLogDeliveryFirehoseCrossAccountRole, quindi scegli Crea politica.

5. Nel pannello di navigazione, seleziona Roles (Ruoli).

6. Selezionare Create role (Crea ruolo).

7. Per Trusted entity type (Tipo di entità attendibile), scegli Custom trust policy (Policy di attendibilità personalizzata). Per Custom trust policy (Policy di attendibilità personalizzata), sostituisci "Principal": {}, con quanto segue, che specifica il ruolo dell'account di origine. Seleziona Successivo.

   "Principal": {
      "AWS": "arn:aws:iam::source-account:role/mySourceRole"
   },

8. Sulla pagina Add permissions (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli Next (Successivo).

9. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.

10. Seleziona Create role (Crea ruolo).

Crea un log di flusso da pubblicare su Amazon Data Firehose

È possibile creare log di flusso per VPC, sottoreti o interfacce di rete.

Prerequisiti

• Crea il flusso di distribuzione Amazon Data Firehose di destinazione. Utilizza Direct Put (PUT diretto) come origine. Per ulteriori informazioni, consulta Creazione di un flusso di distribuzione Amazon Data Firehose.

• Se stai pubblicando i log del flusso su un account diverso, crea i ruoli IAM richiesti come descritto in Ruoli IAM per la consegna tra account.

Per creare un log di flusso da pubblicare su Amazon Data Firehose

1. Esegui una di queste operazioni:

   • Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/. Nel riquadro di navigazione, selezionare Network Interfaces (Interfacce di rete). Seleziona la casella di controllo relativa all'interfaccia di rete.

   • Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/. Nel pannello di navigazione scegliere Your VPCs (I tuoi VPC). Selezionare la casella di controllo relativa al VPC.

   • Accedi alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/. Nel riquadro di navigazione, scegliere Subnets (Sottoreti). Seleziona la casella di controllo della sottorete.

2. Scegli Actions (Operazioni), Create flow log (Crea flusso di log).

3. Per Filtra, specifica il tipo di traffico di cui eseguire il log.

   • Accept (Accetta): esegui il log solo del traffico accettato.

   • Reject (Rifiuta): esegui il log solo del traffico rifiutato.

   • All (Tutto): esegui il log sia del traffico accettato che di quello rifiutato.

4. Per Maximum aggregation interval (Intervallo di aggregazione massimo), scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso.

5. In Destination (Destinazione) scegli una delle seguenti opzioni:

   • Invia ad Amazon Data Firehose con lo stesso account: il flusso di distribuzione e la risorsa da monitorare si trovano nello stesso account.

   • Invia ad Amazon Data Firehose con un account diverso: il flusso di distribuzione e la risorsa da monitorare si trovano in account diversi.

6. Per il nome dello stream Amazon Data Firehose, scegli il flusso di distribuzione che hai creato.

7. [Solo consegna tra account] Per IAM roles (Ruoli IAM), specifica i ruoli richiesti (consulta Ruoli IAM per la consegna tra account).

8. Per Log record format (Formato registro di log), seleziona il formato per il registro del flusso di log.

   • Per utilizzare il formato di record di log di flusso predefinito, seleziona Formato predefinito AWS .

   • Per creare un formato personalizzato, scegliere Custom format (Formato personalizzato). Per Log format (Formato log), scegliere i campi da includere nel record di log di flusso.

9. Per Metadati aggiuntivi, seleziona se desideri includere i metadati di Amazon ECS nel formato di registro.

10. (Facoltativo) Scegli Aggiungi tag per applicare i tag al log di flusso.

11. Selezionare Create flow log (Crea log di flusso).

Per creare un log di flusso da pubblicare su Amazon Data Firehose utilizzando uno strumento da riga di comando

Utilizzare uno dei seguenti comandi:

• create-flow-logs (AWS CLI)

• New-EC2FlowLogs (AWS Tools for Windows PowerShell)

L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e invia i log di flusso al flusso di distribuzione Amazon Data Firehose specificato nello stesso account.

aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream

L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico per il VPC specificato e invia i log di flusso al flusso di distribuzione Amazon Data Firehose specificato in un account diverso.

aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
  --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \ 
  --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole

Record di log del flusso di processo in Amazon Data Firehose

È possibile ottenere i dati del log del flusso dalla destinazione configurata per il flusso di consegna.