Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Transit Gateway Flow Logs-Aufzeichnungen in Amazon CloudWatch Logs
<a name="flow-logs-cwl"></a>

Flow Logs können Flow-Protokolldaten direkt auf Amazon veröffentlichen CloudWatch.

Bei der Veröffentlichung in CloudWatch Logs werden die Flow-Protokolldaten in einer Protokollgruppe veröffentlicht, und jedes Transit-Gateway hat einen eigenen Protokollstream in der Protokollgruppe. Protokollstreams enthalten Flow-Protokolldatensätze. Sie können mehrere Flow-Protokolle erstellen, die Daten in derselben Protokollgruppe veröffentlichen. Wenn dasselbe Transit-Gateway in einem oder mehreren Flow-Protokollen innerhalb derselben Protokollgruppe besteht, hat es einen kombinierten Protokollstream. Wenn Sie ein Flow-Protokoll zum Erfassen von abgelehntem Datenverkehr und ein weiteres Flow-Protokoll zum Erfassen von zulässigem Datenverkehr erstellt haben, erfasst der kombinierte Protokollstream sämtlichen Datenverkehr.

Wenn Sie Flow-Protokolle in Logs veröffentlichen, fallen Gebühren für Datenaufnahme und Archivierung für verkaufte Protokolle an. CloudWatch Weitere Informationen finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

In CloudWatch Logs entspricht das **Zeitstempelfeld** der Startzeit, die im Flow-Log-Datensatz erfasst wurde. Das Feld **ingestionTime** gibt das Datum und die Uhrzeit an, an dem der Flow-Protokolldatensatz von Logs empfangen wurde. CloudWatch Der Zeitstempel ist später als die Endzeit, die im Flow-Protokolldatensatz erfasst wird.

Weitere Informationen zu CloudWatch Logs finden Sie unter [Logs sent to CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

**Topics**
+ [IAM-Rollen für die Veröffentlichung von Flow-Logs in CloudWatch Logs](#flow-logs-iam)
+ [Berechtigungen für IAM-Benutzer zum Übergeben einer Rolle](#flow-logs-iam-user)
+ [Erstellen Sie ein Flow-Protokoll, das in CloudWatch Logs veröffentlicht wird](flow-logs-cwl-create-flow-log.md)
+ [Flow Logs-Datensätze anzeigen](view-flow-log-records.md)
+ [Prozessflussprotokolldatensätze](process-records-cwl.md)

## IAM-Rollen für die Veröffentlichung von Flow-Logs in CloudWatch Logs
<a name="flow-logs-iam"></a>

Die IAM-Rolle, die Ihrem Flow-Protokoll zugeordnet ist, muss über ausreichende Berechtigungen verfügen, um Flow-Logs in der angegebenen Protokollgruppe in CloudWatch Logs zu veröffentlichen. Die IAM-Rolle muss Ihrer gehören. AWS-Konto

Die IAM-Richtlinie, die mit Ihrer IAM-Rolle verknüpft ist, muss mindestens folgende Berechtigungen enthalten:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Stellen Sie auch sicher, dass Ihre Rolle über eine Vertrauensstellung verfügt, die es dem Flow-Protokoll-Service ermöglicht, die Rolle anzunehmen:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Wir empfehlen Ihnen, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zu verwenden, um sich vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Eigentümer des Flow-Protokolls und der Quell-ARN ist der Flow Protokoll-ARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (\$1) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben.

```
"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}
```

## Berechtigungen für IAM-Benutzer zum Übergeben einer Rolle
<a name="flow-logs-iam-user"></a>

Benutzer müssen auch über die Berechtigungen verfügen, die Aktion `iam:PassRole` für die IAM-Rolle zu verwenden, die dem Flow-Protokoll zugeordnet ist.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
        }
    ]
}
```

------

# Erstellen Sie einen AWS Transit Gateway Flow Logs-Datensatz, der veröffentlicht wird in Amazon CloudWatch Logs
<a name="flow-logs-cwl-create-flow-log"></a>

Sie können Flow-Protokolle für Transit-Gateways erstellen. Wenn Sie diese Schritte als IAM-Benutzer ausführen, stellen Sie sicher, dass Sie über Berechtigungen zum Verwenden der `iam:PassRole`-Aktion verfügen. Weitere Informationen finden Sie unter [Berechtigungen für IAM-Benutzer zum Übergeben einer Rolle](flow-logs-cwl.md#flow-logs-iam-user).

Sie können ein Amazon CloudWatch Flow-Protokoll entweder mit der Amazon VPC-Konsole oder der AWS CLI erstellen.

**So erstellen Sie ein Flow-Protokoll für Transit-Gateway mit der Konsole**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Klicken Sie im Navigationsbereich auf **Transit Gateways**. 

1. Aktivieren Sie die Kontrollkästchen für ein oder mehrere Transit-Gateways und wählen Sie **Aktionen**, Flow-Protokoll **erstellen** aus.

1. Wählen Sie als **Ziel** die Option An Protokolle **senden** aus. CloudWatch

1. Für **Ziel-Protokollgruppe**, wählen Sie den Namen einer aktuellen Ziel-Protokollgruppe aus.
**Anmerkung**  
Wenn die Ziel-Protokollgruppe noch nicht existiert, wird durch Eingabe eines neuen Namens in dieses Feld eine neue Ziel-Protokollgruppe erstellt.

1. Geben Sie für die **IAM-Rolle** den Namen der Rolle an, die berechtigt ist, Logs in Logs zu CloudWatch veröffentlichen.

1. Für **Log record format (Datensatzformat protokollieren)** wählen Sie das Format für den Flow-Protokolldatensatz aus.
   + Wenn Sie das Standardformat verwenden möchten, wählen Sie **AWS default format** (-Standardformat) aus.
   + Um ein benutzerdefiniertes Format zu verwenden, wählen Sie **Custom format (Benutzerdefiniertes Format)** und dann Felder aus **Log format (Format protokollieren)** aus.

1. (Optional) Wählen Sie **Add new tag (Neuen Tag hinzufügen)** aus, um Tags auf das Flow-Protokoll anzuwenden.

1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.

**So erstellen Sie ein Flow-Protokoll mit der Befehlszeile**

Verwenden Sie einen der folgenden Befehle.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

Im folgenden AWS CLI Beispiel wird ein Flow-Protokoll erstellt, das Transit-Gateway-Informationen erfasst. Die Flow-Protokolle werden mithilfe der IAM-Rolle an eine Protokollgruppe in CloudWatch Logs mit dem Namen `my-flow-logs` 123456789101 übermittelt. `publishFlowLogs`

```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs 
```

# AWS Transit Gateway Flow Logs-Datensätze in Amazon anzeigen CloudWatch
<a name="view-flow-log-records"></a>

Sie können Ihre Flow-Protokolldatensätze je nach ausgewähltem Zieltyp mit der CloudWatch Logs-Konsole oder der Amazon S3 S3-Konsole anzeigen. Es kann nach dem Erstellen eines Flow-Protokolls einige Minuten dauern, bis das Protokoll in der Konsole angezeigt wird.

**Um die in Logs veröffentlichten Flow-Log-Datensätze einzusehen CloudWatch**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs (Protokolle)** und danach die Protokollgruppe mit Ihrem Flow-Protokoll. Es wird eine Liste der Protokollstreams für die einzelnen Transit-Gateways angezeigt.

1.  Wählen Sie den Protokollstream aus, der die ID des Transit-Gateways enthält, für das Sie die Flow-Protokolldatensätze anzeigen möchten. Weitere Informationen finden Sie unter [Flow-Protokolldatensätze für Transit-Gateway](tgw-flow-logs.md#flow-log-records).

# AWS Transit Gateway Flow Logs-Datensätze in Amazon CloudWatch Logs verarbeiten
<a name="process-records-cwl"></a>

Sie können mit Flow-Protokolldatensätzen genauso arbeiten wie mit allen anderen Protokollereignissen, die von CloudWatch Logs erfasst werden. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## Beispiel: Erstellen Sie einen CloudWatch metrischen Filter und einen Alarm für ein Flow-Protokoll
<a name="flow-logs-cw-alarm-example"></a>

In diesem Beispiel haben Sie ein Flow-Protokoll für `tgw-123abc456bca`. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.

**So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.

1. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann **Aktionen**, **Metrikfilter erstellen** aus.

1. Geben Sie für **Filter Pattern (Filtermuster)** folgende Informationen ein.

   ```
   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
   ```

1. Wählen Sie für **Select Log Data to Test** (Die zu testenden Protokolldaten auswählen) den Protokollstream Ihres Transit-Gateways aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie **Test Pattern (Testmuster)**. Wählen Sie danach **Next (Weiter)** aus.

1. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf **1** fest. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** und dann **Create metric filter (Metrikfilter erstellen)** aus.

1. Wählen Sie im Navigationsbereich **Alarms (Alarme)** und **All alarms (Alle Alarme)** aus.

1. Wählen Sie **Create alarm** (Alarm erstellen) aus.

1. Wählen Sie den Namespace für den Metrikfilter aus, den Sie erstellt haben.

   Es kann einige Minuten dauern, bis neu erstellte Metriken in der Konsole angezeigt werden.

1. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf **Select metric (Metrik auswählen)**.

1. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann **Weiter**:
   + Wählen Sie für **Statistic (Statistik)** **Sum (Summe)** aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.
   + Wählen Sie als **Period (Zeitraum)** **1 Hour (1 Stunde)** aus.
   + Wählen Sie für **Whenever (Jederzeit)** **Greater/Equal (Größer/Gleich)** aus und geben Sie **10** für den Schwellenwert ein.
   + Belassen Sie für **Additional configuration** (Zusätzliche Konfiguration), **Datapoints to alarm** (Zu alarmierende Datenpunkte) den Standardwert **1**.

1. Wählen Sie für **Notification** (Benachrichtigung) ein vorhandenes SNS-Thema aus oder wählen Sie **Create new topic** (Neues Thema erstellen), um ein neues zu erstellen. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie **Next (Weiter)**.

1. Wenn Sie mit der Konfiguration des Alarms fertig sind, wählen Sie **Create alarm (Alarm erstellen)**.