什么是VPC FlowLog?

• VPC FlowLog是aws的一项功能，可捕获有关进出VPC中网络接口的IP流量的信息。
• 可以使用Amazon CloudWatchLogs或Amazon S3存储桶来存储Amazon FlowLog数据。
• 创建FlowLog之后，您可以查看和检索Amazon CloudWatch Logs中的数据。
• 简而言之，我们可以说VPC FlowLog是一种存储在VPC中传输的流量的方法。
• FlowLogs有多种用途：
  • 解决“为什么特定流量无法到达实例”的问题。
  • VPC FlowLog也可以用作安全工具来监视到达您的实例的流量。

VPC FlowLog的局限性：

• 除非已与同一帐户中的VPC对等，否则您将无法启用与该VPC对等的VPC的流日志。
• 创建流日志时，无法标记流日志。
• 一旦创建了流日志，就无法更改其配置。例如，如果将IAM角色与流日志相关联，则无法更改IAM角色。在这种情况下，您需要删除流日志并使用所需的配置创建新的流日志。

VPC FlowLog级别

VPC FlowLogs可以分为三个级别：

• VPC
• 子网路
• 网络接口级别

如何创建VPC FlowLog

• 登录到AWS管理控制台。
• 转到VPC服务，我们可以从下面的屏幕中看到已经创建了名称为javatpointvpc的VPC。

• 单击自定义VPC，然后单击“操作”下拉菜单。单击创建FlowLog。

• 填写以下详细信息以创建流日志。

哪里，

过滤器：确定要记录的流量类型。过滤器分为三种：全部，接受和拒绝。 “全部”用于记录接受和拒绝的流量。 “接受”用于仅记录接受的流量，而“拒绝”仅记录拒绝的流量。

目标：目标确定您要将流量发送到的位置。提供两种类型的目的地：发送到CloudWatch Logs和发送到S3存储桶。我选择“发送到CloudWatch Logs”作为目的地。

目标日志组：它确定目标的名称。到目前为止，我们还没有创建CloudWatch Log。首先，我们创建CloudWatch Log，然后将Log的名称添加到此Log组。

• 单击CloudWatch。

• 单击出现在控制台左侧的日志。

• 单击“开始使用”按钮。

• 单击创建日志组按钮。

• 输入日志组名称。

• 最后，创建CloudWatch日志。在FlowLog控制台中输入日志名称。

从上面的屏幕中，我们观察到“未选择IAM角色”。要选择IAM角色，我们需要首先创建一个IAM角色。单击设置权限。

• 要创建IAM角色，请输入角色名称，然后单击“允许”按钮。

• 创建IAM角色后，在FlowLog控制台中输入IAM角色。

• 下面的屏幕显示已创建流程日志。