0
点赞
收藏
分享

微信扫一扫

aws-使用 VPC 流日志记录 IP 流量

作为日常运维监控的重要一环,记录network in和out的日志非常重要。aws cloudwatch会提供一些流量的监控,但是没有精确到每个请求的精度。这个时候就需要vpc流日志来监控和分析。

VPC流日志可以通过VPC、子网或者网络接口的维度来输出。笔者建议直接vpc维度来管理比较好,这样可以做到360度无死角。日志可以输出到cloudwatch也可以到s3,如果没有分析需求的话,建议直接放到cloudwatch就可以。


IAM 角色准备

为流日志创建 IAM 角色

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
  • 在导航窗格中,选择Roles(角色)和 Create role(创建角色)。
  • 对于选择受信任实体的类型,选择 AWS 服务。对于 Use case (使用案例),选择 EC2。选择下一步: 权限
  • Attach permissions policies (附加权限策略) 页上,选择 Next: Tags (下一步: 标签),还可以选择性地添加标签。选择 Next: Review (下一步: 审核)
  • 输入您的角色的名称,并且可以选择提供描述。选择创建角色
  • 选择角色的名称。对于Permissions (权限),依次选择 Add inline policy (添加内联策略)JSON
  • 将下文其粘贴到窗口中。选择查看策略

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}

  • 为您的策略输入名称,然后选择Create policy (创建策略)
  • 选择角色的名称。对于Trust relationships (信任关系),选择 Edit trust relationship (编辑信任关系)。在现有策略文档中,将服务从 ​​ec2.amazonaws.com​​​ 更改为 ​​vpc-flow-logs.amazonaws.com​​。选择 Update Trust Policy

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}

创建发布到 CloudWatch Logs 的流日志

创建流日志

aws-使用 VPC 流日志记录 IP 流量_运维监控

流日志设置

注1:如果当前没有日志组,可以到Cloudwatch菜单去创建一个专门的日志组。

注2:IAM角色选择刚刚创建的角色。

注3:日志格式后续可以自定义。

aws-使用 VPC 流日志记录 IP 流量_自定义_02

aws-使用 VPC 流日志记录 IP 流量_自定义_03

创建后查看状态

注:需要查看状态是否为【活动】,如果不是就无法在cloudwatch查看日志,很大概率是角色的权限问题。

aws-使用 VPC 流日志记录 IP 流量_html_04

aws-使用 VPC 流日志记录 IP 流量_html_05

Cloudwatch-日志组查看日志


参考文档

​​https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/flow-logs.html​​

举报

相关推荐

0 条评论