Verwendung von CreateFlowLogs mit einer CLI - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von CreateFlowLogs mit einer CLI

Die folgenden Code-Beispiele zeigen, wie CreateFlowLogs verwendet wird.

CLI
AWS CLI

Beispiel 1: So erstellen Sie ein Flow-Protokoll

Im folgenden Beispiel für create-flow-logs wird ein Flow-Protokoll erstellt, das den gesamten abgelehnten Datenverkehr für die angegebene Netzwerkschnittstelle erfasst. Die Flow-Logs werden mithilfe der Berechtigungen in der angegebenen IAM-Rolle an eine Protokollgruppe in CloudWatch Logs übermittelt.

aws ec2 create-flow-logs \
    --resource-type NetworkInterface \
    --resource-ids eni-11223344556677889 \
    --traffic-type REJECT \
    --log-group-name my-flow-logs \
    --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs

Ausgabe:

{
    "ClientToken": "so0eNA2uSHUNlHI0S2cJ305GuIX1CezaRdGtexample",
    "FlowLogIds": [
        "fl-12345678901234567"
    ],
    "Unsuccessful": []
}

Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Benutzerhandbuch für Amazon VPC.

Beispiel 2: So erstellen Sie ein Flow-Protokoll mit einem benutzerdefinierten Format

Im folgenden Beispiel für create-flow-logs wird ein Flow-Protokoll erstellt, das den gesamten Datenverkehr für die genannte VPC erfasst und Flow-Protokolle an einen Amazon-S3-Bucket sendet. Der Parameter --log-format legt ein benutzerdefiniertes Format für die Flow-Protokolldatensätze fest. Zum Ausführen dieses Befehls unter Windows ändern Sie die einfachen Anführungszeichen (') in doppelte Anführungszeichen (").

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'

Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Benutzerhandbuch für Amazon VPC.

Beispiel 3: So erstellen Sie ein Flow-Protokoll mit einem maximalen Aggregationsintervall von einer Minute

Im folgenden Beispiel für create-flow-logs wird ein Flow-Protokoll erstellt, das den gesamten Datenverkehr für die genannte VPC erfasst und Flow-Protokolle an einen Amazon-S3-Bucket sendet. Der Parameter --max-aggregation-interval gibt ein maximales Aggregationsintervall von 60 Sekunden (1 Minute) an.

aws ec2 create-flow-logs \
    --resource-type VPC \
    --resource-ids vpc-00112233344556677 \
    --traffic-type ALL \
    --log-destination-type s3 \
    --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/ \
    --max-aggregation-interval 60

Weitere Informationen finden Sie unter VPC-Flow-Protokolle im Benutzerhandbuch für Amazon VPC.

PowerShell
Tools für PowerShell V4

Beispiel 1: In diesem Beispiel wird ein EC2 Flowlog für das Subnetz Subnetz-1d234567 zum cloud-watch-log benannten Subnet1-Log für den gesamten REJECT-Traffic mit den Berechtigungen der Rolle „Admin“ erstellt

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

Ausgabe:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}
Tools für V5 PowerShell

Beispiel 1: In diesem Beispiel wird ein EC2 Flowlog für das Subnetz Subnetz-1d234567 zum cloud-watch-log benannten Subnet1-Log für den gesamten REJECT-Traffic mit den Berechtigungen der Rolle „Admin“ erstellt

New-EC2FlowLog -ResourceId "subnet-1d234567" -LogDestinationType cloud-watch-logs -LogGroupName subnet1-log -TrafficType "REJECT" -ResourceType Subnet -DeliverLogsPermissionArn "arn:aws:iam::98765432109:role/Admin"

Ausgabe:

ClientToken                                  FlowLogIds             Unsuccessful
-----------                                  ----------             ------------
m1VN2cxP3iB4qo//VUKl5EU6cF7gQLOxcqNefvjeTGw= {fl-012fc34eed5678c9d} {}

Eine vollständige Liste der AWS SDK-Entwicklerhandbücher und Codebeispiele finden Sie unter. EC2 Amazon-Ressourcen mithilfe eines AWS SDK erstellen Dieses Thema enthält auch Informationen zu den ersten Schritten und Details zu früheren SDK-Versionen.