将AWS VPC Flow日志配置到CloudWatch Log组


您可以通过以下链接以PDF格式下载本文来支持我们。

以PDF格式下载指南










在这个简短的教程中,我们将讨论如何在您的AWS账户中启用VPC流日志。VPC流日志是一项AWS功能,可以捕获穿越VPC网络接口的IP通信信息。收集到Amazon CloudWatch Logs组的数据,但S3也可以用作目的地,因为流日志数据是在网络流量路径之外收集的,因此不会影响网络吞吐量或延迟。

通过访问VPC流日志,您可以:

  • 监控到达您实例的流量
  • 确定往返网络接口的流量方向
  • 诊断过于严格的安全组规则

可以在不影响网络性能的情况下创建或删除流日志,这可以在VPC,子网或网络接口上进行,在VPC或子网级别启用后,将监视该子网或VPC中的每个网络接口。

将AWS VPC Flow日志配置到CloudWatch Log组

开始之前,您需要安装和配置AWS CLI。请参阅下面的文章,以获取完整的文章说明。

在Linux上安装和使用AWS CLI – Ubuntu / Debian / CentOS

通过获取身份来确认您的AWS CLI正在运行。

aws sts get-caller-identity

您还需要AWS账户中的管理特权才能完成本教程,访问AWS Console对于数据可视化也很重要。

步骤1:创建IAM策略和角色

第一步是创建一个IAM角色,该角色将使服务能够代表我们进行日志转发。此操作可以在AWS控制台上或通过CLI进行;这是一个IAM角色,用于将流日志发布到CloudWatch日志组。

在创建角色之前,您需要可以在以下位置创建的IAM策略 IAM>策略>创建策略 > JSON。在数据下方粘贴。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

为策略命名并完成创建。

要创建IAM角色,请转到 身份和访问管理(IAM) > 的角色 > 创建角色。对于受信任的实体类型,选择“AWS服务“和 “ EC2”

将AWS VPC Flow日志配置到CloudWatch Log组

点击“下一步”附加权限。在“附加权限政策”页面,选择您之前创建的策略。

将AWS VPC Flow日志配置到CloudWatch Log组

为角色命名,以完成创建工作。我将命名为我 IAM-发布流程日志,与政策同名。

将AWS VPC Flow日志配置到CloudWatch Log组

复制 角色ARN 并将其保存在某处。

步骤2:编辑信任关系

您还需要启用信任关系,以便IAM角色可以访问CloudWatch Log组。转至AWS Roles并单击您在步骤1中创建的角色。

点击“编辑信任政策”以更新政策。

将AWS VPC Flow日志配置到CloudWatch Log组

添加以下内容:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
         "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

点击“更新信任政策”按钮以更新关系。

步骤3:建立CloudWatch Log群组

CloudWatch日志组定义了记录日志流的位置。 服务> CloudWatch>日志>操作>创建日志组..

将AWS VPC Flow日志配置到CloudWatch Log组

点击创建按钮进行操作。

步骤4:启用AWS VPC流日志

要启用流日志,请选择 服务 > VPC > 您的VPC > YourVPCName>创建流日志

将AWS VPC Flow日志配置到CloudWatch Log组

填写所有必填信息:

  • 给流日志命名
  • 选择流量过滤器类型
  • 聚合间隔
  • 目标–可以是CloudWatch Logs或Amazon S3存储桶
  • CloudWatch中的目标日志组
  • IAM角色具有发布到选定日志组的权限
  • 日志格式

我的设置如下图所示。

将AWS VPC Flow日志配置到CloudWatch Log组

点击创建流日志按钮完成设置,您可以通过列出可用的流日志来确认创建是否成功。

将AWS VPC Flow日志配置到CloudWatch Log组

单击“目标名称”链接将带您到“日志”组,您可以在其中过滤日志流,也可以从CLI启用:

aws ec2 create-flow-logs --resource-type VPC --resource-ids  --traffic-type ALL --log-group-name  --deliver-logs-permission-arn 

有关AWS的更多文章:

使用EKS轻松在AWS上设置Kubernetes集群

使用AWS CLI创建AWS IAM用户和组

如何在AWS上重命名IAM用户名

学习资料:


AWS认证解决方案架构师-2020年助理

AWS认证解决方案架构师-2020年助理

★★★★★
(189232)

$ 15.46

$ 154.58

有现货

立即购买

将AWS VPC Flow日志配置到CloudWatch Log组Udemy.com


最终AWS认证解决方案架构师2020年助理

最终AWS认证解决方案架构师2020年助理

★★★★★
(42835)

$ 15.46

$ 154.58

有现货

立即购买

将AWS VPC Flow日志配置到CloudWatch Log组Udemy.com


AWS认证开发人员-协会2020

AWS认证开发人员-协会2020

★★★★☆
(37528)

$ 20.22

$ 178.37

有现货

立即购买

将AWS VPC Flow日志配置到CloudWatch Log组Udemy.com


最终2020年AWS认证开发人员助理-新!

最终2020年AWS认证开发人员助理-新!

★★★★★
(25975)

$ 26.16

$ 237.83

有现货

立即购买

将AWS VPC Flow日志配置到CloudWatch Log组Udemy.com


亚马逊网络服务(AWS)认证-4认证!

亚马逊网络服务(AWS)认证-4认证!

★★★★☆
(16244)

$ 15.46

$ 154.58

有现货

立即购买

将AWS VPC Flow日志配置到CloudWatch Log组Udemy.com


您可以通过以下链接以PDF格式下载本文来支持我们。

以PDF格式下载指南










Sidebar