Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Créez un journal de flux qui publie dans CloudWatch Logs Vous pouvez créer des journaux de flux pour votre VPCs, vos sous-réseaux ou vos interfaces réseau. Si vous effectuez ces étapes en tant qu'utilisateur utilisant un rôle IAM particulier, assurez-vous que ce rôle dispose des autorisations nécessaires pour utiliser l'action `iam:PassRole`. **Prérequis** Vérifiez que le principal IAM que vous utilisez pour effectuer la demande disposent des autorisations pour appeler l’action `iam:PassRole`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name" } ] } ``` ------ **Pour créer un journal de flux à l'aide de la console** 1. Effectuez l’une des actions suivantes : + Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Dans le volet de navigation, choisissez **Network Interfaces**. Cochez la case correspondant à l’interface réseau. + Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Dans le volet de navigation, sélectionnez **Votre VPCs**. Cochez la case correspondant au VPC. + Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Dans le panneau de navigation, choisissez **Subnets** (Sous-réseaux). Cochez la case correspondant au sous-réseau. 1. Choisissez **Actions**, **Create flow log** (Créer le journal de flux). 1. Pour **Filter** (Filtre), spécifiez le type de trafic à journaliser. Sélectionnez **All** (Tout) pour journaliser le trafic accepté et refusé, **Reject** (Rejeter) pour enregistrer uniquement le trafic refusé ou **Accept** (Accepter) pour enregistrer uniquement le trafic accepté. 1. Pour **Maximum aggregation interval** (Intervalle d'agrégation maximal), choisissez la période maximale pendant laquelle un flux est capturé et agrégé dans un enregistrement de journal de flux. 1. Pour **Destination**, choisissez **Envoyer vers CloudWatch les journaux**. 1. Dans **Groupe de journaux de destination**, sélectionnez le nom d’un groupe de journaux existant ou entrez le nom d’un nouveau groupe de journaux. Si vous saisissez un nom, nous créons le groupe de journaux lorsqu’il y a du trafic à journaliser. 1. Pour **l'accès au service**, choisissez un [rôle de service IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) existant autorisé à publier des journaux dans CloudWatch Logs ou créez un nouveau rôle de service. 1. Pour **Log record format** (Format d'enregistrement du journal), sélectionnez le format de l'enregistrement du journal de flux. + Pour utiliser le format par défaut, choisissez **AWS default format** (Format par défaut). + Pour utiliser un format personnalisé, choisissez **Custom format** (Format personnalisé), puis sélectionnez des champs dans **Log format** (Format du journal). 1. Pour **Métadonnées supplémentaires**, indiquez si vous souhaitez inclure les métadonnées d’Amazon ECS dans le format du journal. 1. (Facultatif) Sélectionnez **Add new tag** (Ajouter une nouvelle balise) pour appliquer des identifications au journal de flux. 1. Choisissez **Créer le journal de flux**. **Pour créer un journal de flux à l'aide de la ligne de commande** Utilisez l’une des commandes suivantes. + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) L' AWS CLI exemple suivant crée un journal de flux qui capture tout le trafic accepté pour le sous-réseau spécifié. Les journaux de flux sont transmis au groupe de journaux spécifié. Le `--deliver-logs-permission-arn` paramètre spécifie le rôle IAM requis pour publier dans CloudWatch Logs. ``` aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs ```