作为日常运维监控的重要一环,记录network in和out的日志非常重要。aws cloudwatch会提供一些流量的监控,但是没有精确到每个请求的精度。这个时候就需要vpc流日志来监控和分析。
VPC流日志可以通过VPC、子网或者网络接口的维度来输出。笔者建议直接vpc维度来管理比较好,这样可以做到360度无死角。日志可以输出到cloudwatch也可以到s3,如果没有分析需求的话,建议直接放到cloudwatch就可以。
IAM 角色准备
为流日志创建 IAM 角色
- 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
- 在导航窗格中,选择Roles(角色)和 Create role(创建角色)。
- 对于选择受信任实体的类型,选择 AWS 服务。对于 Use case (使用案例),选择 EC2。选择下一步: 权限。
- 在Attach permissions policies (附加权限策略) 页上,选择 Next: Tags (下一步: 标签),还可以选择性地添加标签。选择 Next: Review (下一步: 审核)。
- 输入您的角色的名称,并且可以选择提供描述。选择创建角色。
- 选择角色的名称。对于Permissions (权限),依次选择 Add inline policy (添加内联策略)、JSON。
- 将下文其粘贴到窗口中。选择查看策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
} - 为您的策略输入名称,然后选择Create policy (创建策略)。
- 选择角色的名称。对于Trust relationships (信任关系),选择 Edit trust relationship (编辑信任关系)。在现有策略文档中,将服务从
ec2.amazonaws.com 更改为 vpc-flow-logs.amazonaws.com。选择 Update Trust Policy。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}创建发布到 CloudWatch Logs 的流日志
创建流日志
流日志设置
注1:如果当前没有日志组,可以到Cloudwatch菜单去创建一个专门的日志组。
注2:IAM角色选择刚刚创建的角色。
注3:日志格式后续可以自定义。
创建后查看状态
注:需要查看状态是否为【活动】,如果不是就无法在cloudwatch查看日志,很大概率是角色的权限问题。
Cloudwatch-日志组查看日志
参考文档
https://docs.aws.amazon.com/zh_cn/vpc/latest/userguide/flow-logs.html
