# Crear un registro de flujo que se publique en CloudWatch Logs Puede crear registros de flujo para sus VPC, subredes o interfaces de red. Si sigue estos pasos como usuario empleando un determinado rol de IAM, asegúrese de que el rol tenga permisos para utilizar la acción `iam:PassRole`. **Requisito previo** Compruebe que la entidad principal de IAM que está utilizando para realizar la solicitud tenga los permisos para llamar la acción de `iam:PassRole`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name" } ] } ``` ------ **Para crear un registro de flujo mediante la consola** 1. Realice una de las siguientes acciones: + Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). En el panel de navegación, elija **Network Interfaces**. Seleccione la casilla de verificación de la interfaz de red. + Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Your VPCs** (Sus VPC). Seleccione la casilla de verificación de la VPC. + Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Subnets (Subredes)**. Seleccione la casilla de verificación de la subred. 1. Seleccione **Actions** (Acciones) y, a continuación, **Create flow log** (Crear registro de flujo). 1. Para **Filter (Filtro)**, especifique el tipo de tráfico que desea registrar. Elija **All (Todos)** para registrar el tráfico aceptado y rechazado, **Reject (Rechazar)** a fin de registrar sólo el tráfico rechazado o **Accept (Aceptar)** con el objetivo de registrar sólo el tráfico aceptado. 1. En **Maximum aggregation interval (Intervalo máximo de agregación)**, elija el período de tiempo máximo durante el que se va a capturar el flujo y se va a agregar a un registro de flujo. 1. En **Destination (Destino)**, elija **Send to CloudWatch Logs (Enviar a CloudWatch Logs)**. 1. Para el **grupo de registro de destino**, elija el nombre de un grupo de registro existente o ingrese el nombre de un grupo de registro nuevo. Si ingresa un nombre, crearemos el grupo de registro cuando haya tráfico para registrar. 1. En **Acceso al servicio**, seleccione un [rol de servicio de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) existente que tenga permisos para publicar registros en Registros de CloudWatch, o bien seleccione la opción para crear un nuevo rol de servicio. 1. Para **Log record format (Formato de registro de registro)**, seleccione el formato para el registro de flujo. + Para utilizar el formato predeterminado, elija **Formato predeterminado de AWS**. + Para utilizar un formato personalizado, elija **Custom format** (Formato personalizado) y, a continuación, seleccione campos de **Log format** (Formato de registro). 1. En **Metadatos adicionales**, seleccione si desea incluir los metadatos de Amazon ECS en el formato de registro. 1. (Opcional) Elija **Add new tag** (Agregar etiqueta nueva) para aplicar etiquetas al registro de flujo. 1. Elija **Create flow log (Crear registro de flujo)**. **Para crear un registro de flujo mediante la línea de comandos** Utilice uno de los siguientes comandos. + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) El siguiente ejemplo de la AWS CLI crea un registro de flujo que captura todo el tráfico aceptado para la subred especificada. Los registros de flujo se entregan al grupo de registros especificado. El parámetro `--deliver-logs-permission-arn` especifica el rol de IAM necesario para publicar en CloudWatch Logs. ``` aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs ```