📅  最后修改于: 2020-11-07 03:45:59             🧑  作者: Mango
什么是VPC FlowLog?
- VPC FlowLog是aws的一项功能,可捕获有关进出VPC中网络接口的IP流量的信息。
- 可以使用Amazon CloudWatchLogs或Amazon S3存储桶来存储Amazon FlowLog数据。
- 创建FlowLog之后,您可以查看和检索Amazon CloudWatch Logs中的数据。
- 简而言之,我们可以说VPC FlowLog是一种存储在VPC中传输的流量的方法。
- FlowLogs有多种用途:
- 解决“为什么特定流量无法到达实例”的问题。
- VPC FlowLog也可以用作安全工具来监视到达您的实例的流量。
VPC FlowLog的局限性:
- 除非已与同一帐户中的VPC对等,否则您将无法启用与该VPC对等的VPC的流日志。
- 创建流日志时,无法标记流日志。
- 一旦创建了流日志,就无法更改其配置。例如,如果将IAM角色与流日志相关联,则无法更改IAM角色。在这种情况下,您需要删除流日志并使用所需的配置创建新的流日志。
VPC FlowLog级别
VPC FlowLogs可以分为三个级别:
如何创建VPC FlowLog
- 登录到AWS管理控制台。
- 转到VPC服务,我们可以从下面的屏幕中看到已经创建了名称为javatpointvpc的VPC。
- 单击自定义VPC,然后单击“操作”下拉菜单。单击创建FlowLog。
哪里,
过滤器:确定要记录的流量类型。过滤器分为三种:全部,接受和拒绝。 “全部”用于记录接受和拒绝的流量。 “接受”用于仅记录接受的流量,而“拒绝”仅记录拒绝的流量。
目标:目标确定您要将流量发送到的位置。提供两种类型的目的地:发送到CloudWatch Logs和发送到S3存储桶。我选择“发送到CloudWatch Logs”作为目的地。
目标日志组:它确定目标的名称。到目前为止,我们还没有创建CloudWatch Log。首先,我们创建CloudWatch Log,然后将Log的名称添加到此Log组。
- 最后,创建CloudWatch日志。在FlowLog控制台中输入日志名称。
从上面的屏幕中,我们观察到“未选择IAM角色”。要选择IAM角色,我们需要首先创建一个IAM角色。单击设置权限。
- 要创建IAM角色,请输入角色名称,然后单击“允许”按钮。
- 创建IAM角色后,在FlowLog控制台中输入IAM角色。