Usar CreateFlowLogs com uma CLI - Exemplos de código do AWS SDK

Há mais exemplos do AWS SDK disponíveis no repositório do GitHub Documento de Exemplos do AWS SDK.

Usar CreateFlowLogs com uma CLI

Os exemplos de código a seguir mostram como usar o CreateFlowLogs.

CLI
AWS CLI

Exemplo 1: criar um log de fluxo

O exemplo create-flow-logs a seguir cria um log de fluxo que captura todo o tráfego rejeitado para a interface de rede especificada. Os logs de fluxo são entregues a um grupo de logs no CloudWatch Logs usando as permissões no perfil do IAM especificado.

aws ec2 create-flow-logs \
    --resource-type NetworkInterface \
    --resource-ids eni-11223344556677889 \
    --traffic-type REJECT \
    --log-group-name my-flow-logs \
    --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Saída:

{
    "ClientToken": "so0eNA2uSHUNlHI0S2cJ305GuIX1CezaRdGtexample",
    "FlowLogIds": [
        "fl-12345678901234567"
    ],
    "Unsuccessful": []
}

Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário do Amazon Virtual Private Cloud.

Exemplo 2: criar um log de fluxo com um formato personalizado

O exemplo create-flow-logs a seguir cria um log de fluxo que captura todo o tráfego da VPC especificada e fornece os logs de fluxo a um bucket do Amazon S3. O parâmetro --log-format especifica um formato personalizado para os registros de log de fluxo. Para executar esse comando no Windows, altere as aspas simples (') para aspas duplas (").

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário do Amazon Virtual Private Cloud.

Exemplo 3: criar um log de fluxo com um intervalo máximo de agregação de um minuto

O exemplo create-flow-logs a seguir cria um log de fluxo que captura todo o tráfego da VPC especificada e fornece os logs de fluxo a um bucket do Amazon S3. O parâmetro --max-aggregation-interval especifica um intervalo de agregação máximo de 60 segundos (um minuto).

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --max-aggregation-interval 60

Para obter mais informações, consulte Logs de fluxo da VPC no Guia do usuário do Amazon Virtual Private Cloud.

  • Para ver detalhes da API, consulte CreateFlowLogs na Referência de comandos da AWS CLI.

PowerShell
Ferramentas para PowerShell V4

Exemplo 1: esse exemplo cria um log de fluxo do EC2 para a sub-rede subnet-1d234567 para o cloud-watch-log chamado “subnet1-log” para todo o tráfego “REJECT” usando as permissões do perfil “Admin”

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

Saída:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

  • Consulte detalhes da API em CreateFlowLogs na Referência de cmdlet do Ferramentas da AWS para PowerShell (V4).

Ferramentas para PowerShell V5

Exemplo 1: esse exemplo cria um log de fluxo do EC2 para a sub-rede subnet-1d234567 para o cloud-watch-log chamado “subnet1-log” para todo o tráfego “REJECT” usando as permissões do perfil “Admin”

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

Saída:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

  • Consulte detalhes da API em CreateFlowLogs na Referência de cmdlet do Ferramentas da AWS para PowerShell (V5).