Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Transit Gateway Gateway-Flow-Protokolle
Transit Gateway Flow Logs ist eine Funktion von AWS Transit Gateway, mit der Sie Informationen über den IP-Verkehr zu und von Ihren Transit-Gateways erfassen können. Flow-Protokolldaten können in Amazon CloudWatch Logs, Amazon S3 oder Firehose veröffentlicht werden. Nachdem Sie ein Flow-Protokoll erstellt haben, können Sie die darin enthaltenen Daten abrufen und an dem gewählten Ziel anzeigen. Flow-Potokolldaten werden außerhalb des Pfades des Netzwerkdatenverkehrs erfasst und wirken sich daher nicht auf den Netzwerkdurchsatz oder die Latenz aus. Sie können Flow-Protokolle erstellen oder löschen, ohne dass die Netzwerkleistung beeinträchtigt wird. Flow-Protokolle für Transit-Gateway erfassen Informationen, die sich ausschließlich auf Transit-Gateways beziehen, die in [Flow-Protokolldatensätze für Transit-Gateway](#flow-log-records) beschrieben sind. Wenn Sie Informationen über den IP-Verkehr zu und von Netzwerkschnittstellen in Ihrem erfassen möchten VPCs, verwenden Sie VPC Flow Logs. Weitere Informationen finden Sie unter [Protokollieren von IP-Datenverkehr mit VPC-Flow-Protokollen](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) im *Amazon-VPC-Benutzerhandbuch*.
**Anmerkung**
Um ein Transit-Gateway-Flow-Log zu erstellen, müssen Sie der Besitzer des Transit-Gateways sein. Wenn Sie nicht der Besitzer sind, muss Ihnen der Eigentümer des Transit-Gateways die Erlaubnis geben.
Flow-Protokolldaten für ein überwachtes Transit-Gateway werden als *Flow-Protokolldatensätze* aufgezeichnet. Hierbei handelt es sich um Protokollereignisse bestehend aus Feldern, die den Datenverkehrfluss beschreiben. Weitere Informationen finden Sie unter [Flow-Protokolldatensätze für Transit-Gateway](#flow-log-records).
Für die Erstellung eines Flow-Protokolls geben Sie Folgendes an:
+ Die Ressource, für die das Flow-Protokoll erstellt werden soll
+ Die Ziele, an die die Flow-Protokolldaten veröffentlicht werden sollen.
Nach dem Erstellen eines Flow-Protokolls kann es einige Minuten dauern, bis Daten erfasst und an den gewünschten Zielen veröffentlicht werden. Flow-Protokolle erfassen keine Echtzeitprotokollstreams für Ihre Transit-Gateways.
Sie können auf Ihre Flow-Protokolle Tags anwenden. Jeder Tag besteht aus einem Schlüssel und einem optionalen Wert, beides können Sie bestimmen. Tags können Ihnen dabei helfen, Ihre Flow-Protokolle zu organisieren, z. B. nach Zweck oder Besitzer.
Wenn Sie ein Flow-Protokoll nicht mehr benötigen, können Sie es löschen. Durch das Löschen eines Flow-Protokolls wird der Flow-Log-Service für die Ressource deaktiviert, und es werden keine neuen Flow-Protokolldatensätze erstellt oder in CloudWatch Logs oder Amazon S3 veröffentlicht. Durch das Löschen des Flow-Protokolls werden keine vorhandenen Flow-Protokolldatensätze oder Protokollstreams (für CloudWatch Logs) oder Protokolldateiobjekte (für Amazon S3) für ein Transit-Gateway gelöscht. Um einen vorhandenen Protokollstream zu löschen, verwenden Sie die CloudWatch Logs-Konsole. Vorhandene Protokolldateiobjekte können auf der Amazon S3-Konsole gelöscht werden. Nach dem Löschen eines Flow-Protokolls kann es einige Minuten dauern, bis keine Daten mehr erfasst werden. Weitere Informationen finden Sie unter [Löschen Sie einen AWS Transit Gateway Flow Logs-Datensatz](delete-flow-log.md).
Sie können Flow-Protokolle für Ihre Transit-Gateways erstellen, die Daten in CloudWatch Logs, Amazon S3 oder Amazon Data Firehose veröffentlichen können. Weitere Informationen finden Sie hier:
+ [Erstellen Sie ein Flow-Protokoll, das in CloudWatch Logs veröffentlicht wird ](flow-logs-cwl-create-flow-log.md)
+ [Erstellen Sie ein Flow-Protokoll, das auf Amazon S3 veröffentlicht wird](flowlog-s3-create.md)
+ [Erstellen Sie ein Flow-Protokoll, das in Firehose veröffentlicht wird](flow-logs-kinesis-create.md)
## Einschränkungen
Die folgenden Einschränkungen gelten für Transit Gateway Flow Logs:
+ Multicast-Verkehr wird nicht unterstützt.
+ Connect-Anlagen werden nicht unterstützt. Alle Connect-Flow-Protokolle werden unter dem Transportanhang angezeigt und müssen daher auf dem Transit-Gateway oder dem Connect-Transportanhang aktiviert sein.
## Flow-Protokolldatensätze für Transit-Gateway
Ein Flow-Protokolldatensatz repräsentiert einen Netzwerk-Flow in Ihrem Transit-Gateway. Jeder Datensatz ist ein String mit durch Leerzeichen getrennten Feldern. Der Datensatz enthält Werte für die verschiedenen Komponenten des Datenverkehrsflusses, zum Beispiel Quelle, Ziel und Protokoll.
Wenn Sie ein Flow-Protokoll erstellen, können Sie das Standardformat für den Flow-Protokolldatensatz verwenden oder ein benutzerdefiniertes Format angeben.
**Topics**
+ [Standardformat](#flow-logs-default)
+ [Benutzerdefiniertes Format](#flow-logs-custom)
+ [Verfügbare Felder](#flow-logs-fields)
### Standardformat
Mit dem Standardformat enthalten die Flow-Protokolldatensätze alle Felder der Versionen 2 bis 6 in der Reihenfolge, die in der Tabelle [Verfügbare Felder](#flow-logs-fields) angezeigt wird. Das Standardformat kann nicht angepasst oder geändert werden. Um zusätzliche Felder oder eine unterschiedliche Teilmenge an Feldern zu erfassen, müssen Sie stattdessen ein benutzerdefiniertes Format angeben.
### Benutzerdefiniertes Format
Mit einem benutzerdefinierten Format geben Sie an, welche Felder in den Flow-Protokolldatensätzen in welcher Reihenfolge enthalten sind. Auf diese Weise können Sie spezifische Flow-Protokolle für Ihre Anforderungen erstellen und Felder auslassen, die nicht relevant sind. Ein benutzerdefiniertes Format kann dazu beitragen, dass weniger separate Prozesse erforderlich sind, um spezifische Informationen aus veröffentlichten Flow-Protokollen zu extrahieren. Sie können eine beliebige Anzahl an verfügbaren Flow-Protokollfeldern angeben, Sie müssen jedoch mindestens eins angeben.
### Verfügbare Felder
Die folgende Tabelle beschreibt alle verfügbaren Felder für einen Flow-Protokolldatensatz für Transit-Gateway. In der Spalte **Version** wird die Version angegeben, in der das Feld eingeführt wurde.
Beim Veröffentlichen von Flow-Protokoll-Daten in Amazon S3 hängt der Datentyp für die Felder vom Flow-Protokoll-Format ab. Wenn das Format reiner Text ist, sind alle Felder vom Typ STRING. Wenn das Format Parquet ist, lesen Sie die Tabelle für die Felddatentypen.
Wenn ein Feld für einen bestimmten Datensatz nicht anwendbar ist oder nicht verarbeitet werden konnte, wird für diesen Eintrag „-“ angezeigt. Metadatenfelder, die nicht direkt aus dem Paket-Header stammen, sind Best-Effort-Annäherungen, und ihre Werte können fehlen oder ungenau sein.
| Feld | Beschreibung | Version |
| --- | --- | --- |
| version | Gibt die Version an, in der das Feld eingeführt wurde. Das Standardformat enthält alle Felder der Version 2 in der Reihenfolge, in der sie in der Tabelle angezeigt werden. **Parquet-Datentyp: ** INT\$132 | 2 |
| resource-type | Der Ressourcentyp, für den das Abonnement erstellt wird. Für Transit Gateway Flow Logs wird dies der Fall seinTransitGateway.Parquet-Datentyp: STRING | 6 |
| account-id | Die AWS-Konto ID des Besitzers des Quell-Transit-Gateways. **Parquet-Datentyp: ** STRING | 2 |
| tgw-id | ID des Transit-Gateways, für das der Datenverkehr aufgezeichnet wird.**Parquet-Datentyp: ** STRING | 6 |
| tgw-attachment-id | ID des Transit-Gateway-Anhangs, für den der Datenverkehr aufgezeichnet wird.**Parquet-Datentyp: ** STRING | 6 |
| tgw-src-vpc-account-id | Die AWS-Konto ID für den Quell-VPC-Verkehr. **Parquet-Datentyp: ** STRING | 6 |
| tgw-dst-vpc-account-id | Die AWS-Konto ID für den Ziel-VPC-Verkehr. **Parquet-Datentyp: ** STRING | 6 |
| tgw-src-vpc-id | Die ID der Quell-VPC für das Transit-Gateway **Parquet-Datentyp: ** STRING | 6 |
| tgw-dst-vpc-id | Die ID der Ziel-VPC für das Transit-Gateway. **Parquet-Datentyp: ** STRING | 6 |
| tgw-src-subnet-id | Die ID des Subnetzes für den Transit-Gateway-Quelldatenverkehr. **Parquet-Datentyp: ** STRING | 6 |
| tgw-dst-subnet-id | Die ID des Subnetzes für den Transit-Gateway-Zieldatenverkehr. **Parquet-Datentyp: ** STRING | 6 |
| tgw-src-eni | Die ID der Anhang-ENI des Quell-Transit-Gateways für den Flow. **Parquet-Datentyp: ** STRING | 6 |
| tgw-dst-eni | Die ID der Anhang-ENI des Ziel-Transit-Gateways für den Flow.**Parquet-Datentyp: ** STRING | 6 |
| tgw-src-az-id | Die ID der Availability Zone, die den Quell-Transit-Gateway enthält, für die der Datenverkehr aufgezeichnet wird. Wenn der Datenverkehr von einem untergeordneten Standort stammt, zeigt der Datensatz das Symbol „-“ für dieses Feld an. **Parquet-Datentyp: ** STRING | 6 |
| tgw-dst-az-id | Die ID der Availability Zone, die das Ziel-Transit-Gateway enthält, für das der Datenverkehr aufgezeichnet wird. **Parquet-Datentyp: ** STRING | 6 |
| tgw-pair-attachment-id | Abhängig von der Flow-Richtung ist dies entweder die Egress- oder die Ingress-Anhangs-ID des Flows. **Parquet-Datentyp: ** STRING | 6 |
| srcaddr | Die Quelladresse für eingehenden Datenverkehr. **Parquet-Datentyp: ** STRING | 2 |
| dstaddr | Die Zieladresse für ausgehenden Datenverkehr. **Parquet-Datentyp: ** STRING | 2 |
| srcport | Der Quellport des Datenverkehrs **Parquet-Datentyp:** INT\$132 | 2 |
| dstport | Der Zielport des Datenverkehrs **Parquet-Datentyp: ** INT\$132 | 2 |
| protocol | Die IANA-Protokollnummer des Datenverkehrs. Weitere Informationen finden Sie unter [Zugewiesene IP-Nummern](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Parquet-Datentyp: ** INT\$132 | 2 |
| packets | Die Anzahl der Pakete, die während des Flows übertragen wurden **Parquet-Datentyp:** INT\$164 | 2 |
| bytes | Die Anzahl der Bytes, die während des Flows übertragen wurden **Parquet-Datentyp: ** INT\$164 | 2 |
| start | Die Zeit, in Unix-Sekunden, in der das erste Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf dem Transit-Gateway übertragen oder empfangen wurde. **Parquet-Datentyp: ** INT\$164 | 2 |
| end | Die Zeit, in Unix-Sekunden, in der das letzte Paket des Flows innerhalb des Aggregationsintervalls empfangen wurde. Dies kann bis zu 60 Sekunden dauern, nachdem das Paket auf dem Transit-Gateway übertragen oder empfangen wurde. **Parquet-Datentyp: ** INT\$164 | 2 |
| log-status | Der Status des Flow-Protokolls: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/tgw-flow-logs.html) **Parquet-Datentyp: ** STRING | 2 |
| type | Der Typ des Datenverkehrs. Mögliche Werte sind IPv4 \$1 IPv6 \$1 EFA. Weitere Informationen finden Sie unter [Elastic Fabric Adapter](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html) im *Amazon EC2 EC2-Benutzerhandbuch*. **Parquet-Datentyp:** STRING | 3 |
| packets-lost-no-route | Die Pakete gingen verloren, weil keine Route angegeben wurde. **Parquet-Datentyp: ** INT\$164 | 6 |
| packets-lost-blackhole | Die Pakete gingen aufgrund eines schwarzen Lochs verloren. **Parquet-Datentyp: ** INT\$164 | 6 |
| packets-lost-mtu-exceeded | Die Pakete gingen aufgrund der Größe verloren, welche die MTU überschreitet. **Parquet-Datentyp: ** INT\$164 | 6 |
| packets-lost-ttl-expired | Die Pakete gingen aufgrund des Ablaufs von time-to-live verloren. **Parquet-Datentyp: ** INT\$164 | 6 |
| tcp-flags | Der Bitmasken-Wert für die folgenden TCP-Flags: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/vpc/latest/tgw/tgw-flow-logs.html) Wenn ein Flow-Protokolleintrag nur aus ACK-Paketen besteht, ist der Flag-Wert 0, nicht 16. Allgemeine Informationen zu TCP-Flags (z. B. die Bedeutung von Flags wie FIN, SYN und ACK) finden Sie unter [TCP-Segmentstruktur](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) auf Wikipedia. TCP-Flags können während des Aggregationsintervalls ODER-verknüpft werden. Für kurze Verbindungen können die Flags in derselben Zeile im Flow-Protokolldatensatz festgelegt werden, wie beispielsweise 19 für SYN-ACK und FIN und 3 für SYN und FIN. **Parquet-Datentyp:** INT\$132 | 3 |
| region | Die Region, die das Transit-Gateway enthält, in der der Datenverkehr aufgezeichnet wird. **Parquet-Datentyp:** SCHNUR | 4 |
| flow-direction | Die Richtung des Flusses in Bezug auf die Schnittstelle, an der der Verkehr erfasst wird. Die möglichen Werte sind: ingress \$1 egress. **Parquet-Datentyp:** SCHNUR | 5 |
| pkt-src-aws-service | Der Name der Teilmenge von [IP-Adressbereichen](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) für den Fall, srcaddr ob die Quell-IP-Adresse für einen AWS Dienst bestimmt ist. Die möglichen Werte sind: AMAZON \$1 AMAZON\$1APPFLOW \$1 AMAZON\$1CONNECT \$1 API\$1GATEWAY \$1 CHIME\$1MEETINGS \$1 CHIME\$1VOICECONNECTOR \$1 CLOUD9 \$1 CLOUDFRONT \$1 CODEBUILD \$1 DYNAMODB \$1 EBS \$1 EC2 \$1 EC2\$1INSTANCE\$1CONNECT \$1 GLOBALACCELERATOR \$1 KINESIS\$1VIDEO\$1STREAMS \$1 ROUTE53 \$1 ROUTE53\$1HEALTHCHECKS \$1 ROUTE53\$1HEALTHCHECKS\$1PUBLISHING \$1 ROUTE53\$1RESOLVER \$1 S3 \$1 WORKSPACES\$1GATEWAYS. **Parquet-Datentyp:** SCHNUR | 5 |
| pkt-dst-aws-service | Der Name der Teilmenge der IP-Adressbereiche für das dstaddr Feld, wenn die Ziel-IP-Adresse für einen AWS Dienst bestimmt ist. Eine Liste möglicher Werte finden Sie im Feld pkt-src-aws-service.Parquet-Datentyp: SCHNUR | 5 |
## Kontrollieren der Nutzung von Flow-Protokollen
Standardmäßig haben -Benutzer keine Berechtigungen zum Arbeiten mit Flow-Protokollen. Sie können eine Benutzerrichtlinie erstellen, über die Benutzer die Berechtigungen zum Erstellen, Ändern, Beschreiben und Löschen von Flow-Protokollen erhalten. Weitere Informationen finden Sie unter [IAM-Benutzern die für Amazon EC2-Ressourcen benötigten Berechtigungen erteilen](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html) in der *Amazon EC2-API-Referenz*.
Nachfolgend finden Sie eine Beispielrichtlinie, die Benutzern uneingeschränkte Berechtigungen erteilt, um Flow-Protokolle zu erstellen, zu beschreiben und zu löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
Je nachdem, ob Sie in CloudWatch Logs oder Amazon S3 veröffentlichen, sind zusätzliche IAM-Rollen- und Berechtigungskonfigurationen erforderlich. Weitere Informationen erhalten Sie unter [AWS Transit Gateway Flow Logs-Aufzeichnungen in Amazon CloudWatch Logs](flow-logs-cwl.md) und [AWS Transit Gateway Flow Logs-Datensätze in Amazon S3](flow-logs-s3.md).
## Flow-Protokolle für Transit-Gateway – Preise
Es fallen Datenerfassungs- und Speichergebühren für Verkaufsprotokolle an, wenn Sie Transit-Gateway-Flow-Protokolle veröffentlichen. Weitere Informationen zu den Preisen bei der Veröffentlichung von Verkaufslogs erhalten Sie, indem Sie [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/) öffnen und dann unter **Tarif „Bezahlt**“ die Option **Logs auswählen und nach **Verkaufte** Logs** suchen.
# Eine IAM-Rolle für AWS Transit Gateway Flow Logs erstellen oder aktualisieren
Sie können eine vorhandene Rolle aktualisieren oder das folgende Verfahren verwenden, um mithilfe der AWS Identity and Access Management Konsole eine neue Rolle für die Verwendung mit Flow-Protokollen zu erstellen.
**So erstellen Sie eine IAM-Rolle für Flow-Protokolle**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Roles (Rollen)** und **Create Role (Rolle erstellen)** aus.
1. Wählen Sie unter **Select type of trusted entity (Typ der vertrauenswürdigen Entität wählen)** die Option **AWS Service** aus. Wählen Sie für **Use case (Anwendungsfall)** die Option **EC2** aus. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Add permissions (Berechtigungen hinzufügen)** die Option **Next: Tags (Weiter: Tags)** sowie zusätzliche Tags aus. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite Name, Prüfung und Erstellung einen Namen für Ihre Rolle ein und geben Sie optional eine **Beschreibung** ein. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie den Namen der Rolle aus. Wählen Sie auf der Registerkarte **Add permissions** (Berechtigungen hinzufügen) die Option **Create Inline Policy** (Inline-Richtlinie erstellen) und anschließend die Registerkarte **JSON** aus.
1. Kopieren Sie die erste Richtlinie aus [IAM-Rollen für die Veröffentlichung von Flow-Logs in CloudWatch Logs](flow-logs-cwl.md#flow-logs-iam), und fügen Sie sie in das Fenster ein. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie einen Namen für Ihre Richtlinie ein und wählen Sie **Create policy (Richtlinie erstellen)**.
1. Wählen Sie den Namen der Rolle aus. Wählen Sie auf der Registerkarte **Trust Relationships (Vertrauensstellungen)** **Edit Trust Relationship (Vertrauensstellungen bearbeiten)** aus. Ändern Sie im vorhandenen Richtliniendokument den Service von `ec2.amazonaws.com` zu `vpc-flow-logs.amazonaws.com`. Wählen Sie **Update Trust Policy**.
1. Notieren Sie sich auf der Seite **Summary (Zusammenfassung)** den ARN der Rolle. Sie benötigen diesen ARN beim Erstellen des Flow-Protokolls.
# AWS Transit Gateway Flow Logs-Aufzeichnungen in Amazon CloudWatch Logs
Flow Logs können Flow-Protokolldaten direkt auf Amazon veröffentlichen CloudWatch.
Bei der Veröffentlichung in CloudWatch Logs werden die Flow-Protokolldaten in einer Protokollgruppe veröffentlicht, und jedes Transit-Gateway hat einen eigenen Protokollstream in der Protokollgruppe. Protokollstreams enthalten Flow-Protokolldatensätze. Sie können mehrere Flow-Protokolle erstellen, die Daten in derselben Protokollgruppe veröffentlichen. Wenn dasselbe Transit-Gateway in einem oder mehreren Flow-Protokollen innerhalb derselben Protokollgruppe besteht, hat es einen kombinierten Protokollstream. Wenn Sie ein Flow-Protokoll zum Erfassen von abgelehntem Datenverkehr und ein weiteres Flow-Protokoll zum Erfassen von zulässigem Datenverkehr erstellt haben, erfasst der kombinierte Protokollstream sämtlichen Datenverkehr.
Wenn Sie Flow-Protokolle in Logs veröffentlichen, fallen Gebühren für Datenaufnahme und Archivierung für verkaufte Protokolle an. CloudWatch Weitere Informationen finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).
In CloudWatch Logs entspricht das **Zeitstempelfeld** der Startzeit, die im Flow-Log-Datensatz erfasst wurde. Das Feld **ingestionTime** gibt das Datum und die Uhrzeit an, an dem der Flow-Protokolldatensatz von Logs empfangen wurde. CloudWatch Der Zeitstempel ist später als die Endzeit, die im Flow-Protokolldatensatz erfasst wird.
Weitere Informationen zu CloudWatch Logs finden Sie unter [Logs sent to CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
**Topics**
+ [IAM-Rollen für die Veröffentlichung von Flow-Logs in CloudWatch Logs](#flow-logs-iam)
+ [Berechtigungen für IAM-Benutzer zum Übergeben einer Rolle](#flow-logs-iam-user)
+ [Erstellen Sie ein Flow-Protokoll, das in CloudWatch Logs veröffentlicht wird](flow-logs-cwl-create-flow-log.md)
+ [Flow Logs-Datensätze anzeigen](view-flow-log-records.md)
+ [Prozessflussprotokolldatensätze](process-records-cwl.md)
## IAM-Rollen für die Veröffentlichung von Flow-Logs in CloudWatch Logs
Die IAM-Rolle, die Ihrem Flow-Protokoll zugeordnet ist, muss über ausreichende Berechtigungen verfügen, um Flow-Logs in der angegebenen Protokollgruppe in CloudWatch Logs zu veröffentlichen. Die IAM-Rolle muss Ihrer gehören. AWS-Konto
Die IAM-Richtlinie, die mit Ihrer IAM-Rolle verknüpft ist, muss mindestens folgende Berechtigungen enthalten:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Stellen Sie auch sicher, dass Ihre Rolle über eine Vertrauensstellung verfügt, die es dem Flow-Protokoll-Service ermöglicht, die Rolle anzunehmen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Wir empfehlen Ihnen, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zu verwenden, um sich vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen. Beispielsweise können Sie der vorherigen Vertrauensrichtlinie den folgenden Bedingungsblock hinzufügen. Das Quellkonto ist der Eigentümer des Flow-Protokolls und der Quell-ARN ist der Flow Protokoll-ARN. Wenn Sie die Flow-Protokoll-ID nicht kennen, können Sie diesen Teil des ARN durch einen Platzhalter (\$1) ersetzen und dann die Richtlinie aktualisieren, nachdem Sie das Flow-Protokoll erstellt haben.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Berechtigungen für IAM-Benutzer zum Übergeben einer Rolle
Benutzer müssen auch über die Berechtigungen verfügen, die Aktion `iam:PassRole` für die IAM-Rolle zu verwenden, die dem Flow-Protokoll zugeordnet ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
# Erstellen Sie einen AWS Transit Gateway Flow Logs-Datensatz, der veröffentlicht wird in Amazon CloudWatch Logs
Sie können Flow-Protokolle für Transit-Gateways erstellen. Wenn Sie diese Schritte als IAM-Benutzer ausführen, stellen Sie sicher, dass Sie über Berechtigungen zum Verwenden der `iam:PassRole`-Aktion verfügen. Weitere Informationen finden Sie unter [Berechtigungen für IAM-Benutzer zum Übergeben einer Rolle](flow-logs-cwl.md#flow-logs-iam-user).
Sie können ein Amazon CloudWatch Flow-Protokoll entweder mit der Amazon VPC-Konsole oder der AWS CLI erstellen.
**So erstellen Sie ein Flow-Protokoll für Transit-Gateway mit der Konsole**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**.
1. Aktivieren Sie die Kontrollkästchen für ein oder mehrere Transit-Gateways und wählen Sie **Aktionen**, Flow-Protokoll **erstellen** aus.
1. Wählen Sie als **Ziel** die Option An Protokolle **senden** aus. CloudWatch
1. Für **Ziel-Protokollgruppe**, wählen Sie den Namen einer aktuellen Ziel-Protokollgruppe aus.
**Anmerkung**
Wenn die Ziel-Protokollgruppe noch nicht existiert, wird durch Eingabe eines neuen Namens in dieses Feld eine neue Ziel-Protokollgruppe erstellt.
1. Geben Sie für die **IAM-Rolle** den Namen der Rolle an, die berechtigt ist, Logs in Logs zu CloudWatch veröffentlichen.
1. Für **Log record format (Datensatzformat protokollieren)** wählen Sie das Format für den Flow-Protokolldatensatz aus.
+ Wenn Sie das Standardformat verwenden möchten, wählen Sie **AWS default format** (-Standardformat) aus.
+ Um ein benutzerdefiniertes Format zu verwenden, wählen Sie **Custom format (Benutzerdefiniertes Format)** und dann Felder aus **Log format (Format protokollieren)** aus.
1. (Optional) Wählen Sie **Add new tag (Neuen Tag hinzufügen)** aus, um Tags auf das Flow-Protokoll anzuwenden.
1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.
**So erstellen Sie ein Flow-Protokoll mit der Befehlszeile**
Verwenden Sie einen der folgenden Befehle.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
Im folgenden AWS CLI Beispiel wird ein Flow-Protokoll erstellt, das Transit-Gateway-Informationen erfasst. Die Flow-Protokolle werden mithilfe der IAM-Rolle an eine Protokollgruppe in CloudWatch Logs mit dem Namen `my-flow-logs` 123456789101 übermittelt. `publishFlowLogs`
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# AWS Transit Gateway Flow Logs-Datensätze in Amazon anzeigen CloudWatch
Sie können Ihre Flow-Protokolldatensätze je nach ausgewähltem Zieltyp mit der CloudWatch Logs-Konsole oder der Amazon S3 S3-Konsole anzeigen. Es kann nach dem Erstellen eines Flow-Protokolls einige Minuten dauern, bis das Protokoll in der Konsole angezeigt wird.
**Um die in Logs veröffentlichten Flow-Log-Datensätze einzusehen CloudWatch**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Logs (Protokolle)** und danach die Protokollgruppe mit Ihrem Flow-Protokoll. Es wird eine Liste der Protokollstreams für die einzelnen Transit-Gateways angezeigt.
1. Wählen Sie den Protokollstream aus, der die ID des Transit-Gateways enthält, für das Sie die Flow-Protokolldatensätze anzeigen möchten. Weitere Informationen finden Sie unter [Flow-Protokolldatensätze für Transit-Gateway](tgw-flow-logs.md#flow-log-records).
# AWS Transit Gateway Flow Logs-Datensätze in Amazon CloudWatch Logs verarbeiten
Sie können mit Flow-Protokolldatensätzen genauso arbeiten wie mit allen anderen Protokollereignissen, die von CloudWatch Logs erfasst werden. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## Beispiel: Erstellen Sie einen CloudWatch metrischen Filter und einen Alarm für ein Flow-Protokoll
In diesem Beispiel haben Sie ein Flow-Protokoll für `tgw-123abc456bca`. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.
**So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.
1. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann **Aktionen**, **Metrikfilter erstellen** aus.
1. Geben Sie für **Filter Pattern (Filtermuster)** folgende Informationen ein.
```
[version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Wählen Sie für **Select Log Data to Test** (Die zu testenden Protokolldaten auswählen) den Protokollstream Ihres Transit-Gateways aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie **Test Pattern (Testmuster)**. Wählen Sie danach **Next (Weiter)** aus.
1. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf **1** fest. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** und dann **Create metric filter (Metrikfilter erstellen)** aus.
1. Wählen Sie im Navigationsbereich **Alarms (Alarme)** und **All alarms (Alle Alarme)** aus.
1. Wählen Sie **Create alarm** (Alarm erstellen) aus.
1. Wählen Sie den Namespace für den Metrikfilter aus, den Sie erstellt haben.
Es kann einige Minuten dauern, bis neu erstellte Metriken in der Konsole angezeigt werden.
1. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf **Select metric (Metrik auswählen)**.
1. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann **Weiter**:
+ Wählen Sie für **Statistic (Statistik)** **Sum (Summe)** aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.
+ Wählen Sie als **Period (Zeitraum)** **1 Hour (1 Stunde)** aus.
+ Wählen Sie für **Whenever (Jederzeit)** **Greater/Equal (Größer/Gleich)** aus und geben Sie **10** für den Schwellenwert ein.
+ Belassen Sie für **Additional configuration** (Zusätzliche Konfiguration), **Datapoints to alarm** (Zu alarmierende Datenpunkte) den Standardwert **1**.
1. Wählen Sie für **Notification** (Benachrichtigung) ein vorhandenes SNS-Thema aus oder wählen Sie **Create new topic** (Neues Thema erstellen), um ein neues zu erstellen. Wählen Sie **Weiter** aus.
1. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie **Next (Weiter)**.
1. Wenn Sie mit der Konfiguration des Alarms fertig sind, wählen Sie **Create alarm (Alarm erstellen)**.
# AWS Transit Gateway Flow Logs-Datensätze in Amazon S3
Flow-Protokolle können Flow-Protokolldaten direkt in Amazon S3 veröffentlichen.
Beim Veröffentlichen in Amazon S3 werden Flow-Protokolldaten in einem vorhandenen Amazon S3-Bucket veröffentlicht, den Sie zuvor angegeben haben. Flow-Protokolldatensätze für alle überwachten Transit-Gateways werden in eine Reihe von Protokolldateiobjekten veröffentlicht, die im Bucket abgelegt sind.
Gebühren für Datenaufnahme und Archivierung werden von Amazon CloudWatch for vended logs erhoben, wenn Sie Flow-Logs auf Amazon S3 veröffentlichen. Weitere Informationen zu den CloudWatch Preisen für verkaufte Logs erhalten Sie, wenn Sie [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/) öffnen, **Logs** auswählen und dann nach **Vended** Logs suchen.
Informationen zum Erstellen eines Amazon-S3-Buckets für die Verwendung mit Flow-Protokollen finden Sie unter [Erstellen eines Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) im *Benutzerhandbuch zu Amazon S3*.
Weitere Informationen zur Protokollierung mehrerer Konten finden Sie unter [Zentrale Protokollierung](https://aws.amazon.com/solutions/implementations/centralized-logging/) in der AWS Solutions Library.
Weitere Informationen zu CloudWatch Logs finden Sie unter [An Amazon S3 gesendete](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) Logs im *Amazon CloudWatch Logs-Benutzerhandbuch*.
**Topics**
+ [Flow-Protokolldateien](#flow-logs-s3-path)
+ [IAM-Richtlinie für IAM-Prinzipale, die Flow-Protokolle in Amazon S3 veröffentlichen](#flow-logs-s3-iam)
+ [Amazon S3-Bucket-Berechtigungen für Flow-Protokolle](#flow-logs-s3-permissions)
+ [Erforderliche Schlüsselrichtlinie zur Verwendung mit SSE-KMS](#flow-logs-s3-cmk-policy)
+ [Amazon S3-Protokolldateiberechtigungen](#flow-logs-file-permissions)
+ [Erstellen Sie die Rolle des Quellkontos](flowlog-s3-create-source.md)
+ [Erstellen Sie ein Flow-Protokoll, das auf Amazon S3 veröffentlicht wird](flowlog-s3-create.md)
+ [Flow Logs-Datensätze anzeigen](view-flow-log-records-s3.md)
+ [Verarbeitete AWS Transit Gateway Flow Logs-Datensätze in Amazon S3](#process-records-s3)
## Flow-Protokolldateien
VPC-Flow-Protokolle sind eine Funktion, die Flow-Protokoll-Datensätze sammelt, sie in Protokolldateien konsolidiert und die Protokolldateien dann in 5-Minuten-Intervallen im Amazon-S3-Bucket veröffentlicht. Jede Protokolldatei enthält Flow-Protokolldatensätze für den in den letzten fünf Minuten aufgezeichneten IP-Verkehr.
Die maximale Dateigröße für eine Protokolldatei beträgt 75 MB. Wenn die Protokolldatei die Dateigrößenbeschränkung innerhalb des 5-Minuten-Zeitraums erreicht, fügt das Flow-Protokoll keine weiteren Flow-Protokolldatensätze hinzu. Anschließend wird das Flow-Protokoll im Amazon S3-Bucket veröffentlicht und eine neue Protokolldatei erstellt.
In Amazon S3 gibt das Feld **Last modified** (Zuletzt geändert) für die Flow-Protokolldatei Datum und Uhrzeit an, zu dem/der die Datei in den Amazon S3-Bucket hochgeladen wurde. Dieser Zeitpunkt ist später als der Zeitstempel im Dateinamen und die Differenz ist die Zeitspanne, die zum Upload der Datei in den Amazon S3-Bucket benötigt wird.
**Protokolldateiformat**
Sie können eines der folgenden Formate für die Protokolldateien festlegen. Jede Datei wird in eine einzelne Gzip-Datei komprimiert.
+ **Text** – Klartext. Dies ist das Standardformat.
+ **Parquet** – Apache Parquet ist ein spaltenförmiges Datenformat. Abfragen zu Daten im Parquet-Format sind 10 bis 100 Mal schneller im Vergleich zu Abfragen zu Daten im Klartext. Daten im Parquet-Format mit Gzip-Komprimierung benötigen 20 Prozent weniger Speicherplatz als Nur-Text bei Gzip-Komprimierung.
**Protokolldateioptionen**
Optional können Sie folgende Optionen angeben.
+ **HIVE-kompatible S3-Präfixe** – Aktivieren Sie HIVE-kompatible Präfixe, anstatt Partitionen in Ihre HIVE-kompatiblen Tools zu importieren. Bevor Sie Abfragen ausführen, verwenden Sie den **MSCK REPAIR TABLE**-Befehl.
+ **Stündliche Partitionen** – Wenn Sie über eine große Anzahl von Protokollen verfügen und Abfragen normalerweise auf eine bestimmte Stunde richten, können Sie schnellere Ergebnisse erzielen und Abfragekosten sparen, indem Sie Protokolle stündlich partitionieren.
**S3-Bucket-Struktur der Protokolldatei**
Protokolldateien werden im angegebenen Amazon-S3-Bucket mit einer Ordnerstruktur gespeichert, die auf der ID, der Region, dem Erstellungsdatum und den Zieloptionen des Flow-Protokolls basiert.
Standardmäßig werden die Dateien an den folgenden Speicherort geliefert.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Wenn Sie HIVE-kompatible S3-Präfixe aktivieren, werden die Dateien an den folgenden Speicherort geliefert.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Wenn Sie stündliche Partitionen aktivieren, werden die Dateien an den folgenden Speicherort geliefert.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Wenn Sie HIVE-kompatible Partitionen aktivieren und das Flow-Protokoll pro Stunde partitionieren, werden die Dateien an den folgenden Speicherort geliefert.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Protokolldateinamen**
Der Dateiname einer Protokolldatei basiert auf der Flow-Protokoll-ID, der Region sowie dem Erstellungsdatum und der Uhrzeit. Dateinamen verwenden das folgende Format:
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Im Folgenden sehen Sie ein Beispiel für eine Protokolldatei für ein Flow-Protokoll, das von AWS-Konto 123456789012 für eine Ressource in der us-east-1-Region am June 20, 2018 um 16:20 UTC erstellt wurde. Die Datei enthält die Flow-Protokolldatensätze mit einer Endzeit zwischen 16:20:00 und 16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
## IAM-Richtlinie für IAM-Prinzipale, die Flow-Protokolle in Amazon S3 veröffentlichen
Der IAM-Prinzipal, der das Flow-Protokoll erstellt, muss über die folgenden Berechtigungen verfügen, die für die Veröffentlichung von Flow-Protokollen im Amazon-S3-Ziel-Bucket erforderlich sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
## Amazon S3-Bucket-Berechtigungen für Flow-Protokolle
Standardmäßig sind Amazon S3-Buckets und die darin enthaltenen Objekte privat. Nur der Bucket-Besitzer kann auf den Bucket und die darin gespeicherten Objekte zugreifen. Der Bucket-Besitzer kann jedoch anderen Ressourcen und Benutzern Zugriffsberechtigungen erteilen, indem er eine Zugriffsrichtlinie schreibt.
Wenn der Benutzer, der das Flow-Protokoll erstellt, Eigentümer des Buckets ist und `PutBucketPolicy`- und `GetBucketPolicy`-Berechtigungen für den Bucket besitzt, fügen wir automatisch die folgende Richtlinie an den Bucket an. Diese neue automatisch generierte Richtlinie wird an die ursprüngliche Richtlinie angehängt.
Ansonsten muss der Bucket-Eigentümer diese Richtlinie zum Bucket hinzufügen und dabei die AWS-Konto -ID des Flow-Protokoll-Erstellers oder die Erstellung des Flow-Logs schlägt fehl. Weitere Informationen finden Sie unter [Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
Der ARN, für den Sie angeben, *my-s3-arn* hängt davon ab, ob Sie HIVE-kompatible S3-Präfixe verwenden.
+ Standardpräfixe
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ HIVE-kompatible S3-Präfixe
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Als bewährte Methode empfehlen wir, dass Sie diese Berechtigungen dem Prinzipal des Protokollzustellungsdienstes und nicht der Einzelperson gewähren. AWS-Konto ARNs Es ist auch eine bewährte Methode, die `aws:SourceAccount`- und `aws:SourceArn`-Bedingungsschlüssel zum Schutz vor dem [Problem des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu verwenden. Das Quellkonto ist der Eigentümer des Flow-Protokolls und der Quell-ARN ist der Platzhalter-AARN (\$1) des Protokolldienstes.
## Erforderliche Schlüsselrichtlinie zur Verwendung mit SSE-KMS
Sie können die Daten in Ihrem Amazon-S3-Bucket schützen, indem Sie entweder Serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder Serverseitige Verschlüsselung mit KMS-Schlüsseln (SSE-KMS) aktivieren. Weitere Informationen finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) im *Amazon S3-Entwicklerhandbuch*.
Mit SSE-KMS können Sie entweder einen AWS verwalteten Schlüssel oder einen vom Kunden verwalteten Schlüssel verwenden. Mit einem AWS verwalteten Schlüssel können Sie die kontoübergreifende Zustellung nicht verwenden. Flow-Protokolle werden vom Protokollbereitstellungskonto bereitgestellt, daher müssen Sie Zugriff für die kontoübergreifende Bereitstellung gewähren. Um kontoübergreifenden Zugriff auf Ihren S3 Bucket zu gewähren, verwenden Sie einen kundenverwalteten Schlüssel und geben den Amazon-Ressourcennamen (ARN) des vom Kunden verwalteten Schlüssel an, wenn Sie die Bucket-Verschlüsselung aktivieren. Weitere Informationen finden Sie unter [Festlegen einer serverseitigen Verschlüsselung mit AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) im *Amazon S3-Benutzerhandbuch*.
Wenn Sie SSE-KMS mit einem von Kunden verwalteten Schlüssel verwenden, müssen Sie der Schlüsselrichtlinie für Ihren Schlüssel (nicht der Bucket-Richtlinie für Ihren S3 Bucket) Folgendes hinzufügen, damit VPC-Flow-Protokolle in Ihren S3 Bucket schreiben können.
**Anmerkung**
Durch die Verwendung von S3 Bucket Keys können Sie bei AWS Key Management Service (AWS KMS) -Anforderungskosten sparen, GenerateDataKey indem Sie Ihre Anfragen auf AWS KMS Verschlüsselungs- und Entschlüsselungsvorgänge mithilfe eines Schlüssels auf Bucket-Ebene reduzieren. Standardmäßig führen nachfolgende Anfragen, die diesen Schlüssel auf Bucket-Ebene nutzen, nicht zu AWS KMS API-Anfragen und validieren den Zugriff nicht anhand der Schlüsselrichtlinie. AWS KMS
```
{
"Sid": "Allow Transit Gateway Flow Logs to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Amazon S3-Protokolldateiberechtigungen
Zusätzlich zu den erforderlichen Bucket-Richtlinien verwendet Amazon S3 Zugriffskontrolllisten (ACLs), um den Zugriff auf die von einem Flow-Protokoll erstellten Protokolldateien zu verwalten. Standardmäßig hat der Bucket-Eigentümer `FULL_CONTROL`-Berechtigungen für jede Protokolldatei. Der Protokollbereitstellungseigentümer hat keine Berechtigungen, wenn er nicht gleichzeitig der Bucket-Eigentümer ist. Das Konto für die Protokollbereitstellung hat `READ`- und `WRITE`-Berechtigungen. Weitere Informationen finden Sie unter [Übersicht über die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
# Erstellen Sie die AWS Transit Gateway Flow Logs-Quellkontorolle für Amazon S3
Erstellen Sie vom Quellkonto aus die Quellrolle in der AWS Identity and Access Management Konsole.
**So erstellen Sie die Rolle des Quellkontos**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie auf der Seite Create policy (Richtlinie erstellen) die folgenden Schritte aus:
1. Wählen Sie **JSON**.
1. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.
1. Wählen Sie **Next: Tags** (Weiter: Tags) und **Next: Review** (Weiter: Prüfen) aus.
1. Geben Sie einen Namen und eine optionale Beschreibung für Ihre Richtlinie ein und wählen Sie dann **Create Policy** (Richtlinie erstellen) aus.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Für **Trusted entity type (Vertrauenstyp der Entität)** wählen Sie **Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie)**. Für **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie `"Principal": {},` mit dem Folgenden, was den Protokollbereitstellungsdienst spezifiziert. Wählen Sie **Weiter** aus.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend **Next** (Weiter).
1. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.
1. Wählen Sie **Rolle erstellen** aus.
# Erstellen Sie einen AWS Transit Gateway Flow Logs-Datensatz, der auf Amazon S3 veröffentlicht wird
Nachdem Sie Ihren Amazon S3-Bucket erstellt und konfiguriert haben, können Sie Flow-Protokolle für Transit-Gateways erstellen. Sie können ein Amazon S3 S3-Flow-Protokoll entweder mit der Amazon VPC-Konsole oder der AWS CLI erstellen.
**So erstellen Sie ein Flow-Protokoll für Transit-Gateway, das mithilfe der Konsole in Amazon S3 veröffentlicht**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateways** oder **Transit Gateway Attachments** (Transit-Gateway-Anhänge) aus.
1. Aktivieren Sie die Kontrollkästchen für ein oder mehrere Transit-Gateways oder Transit-Gateway-Anhänge.
1. Klicken Sie auf **Actions (Aktionen)**, **Create flow log (Flow-Protokoll erstellen)**.
1. Konfigurieren Sie die Flow-Protokoll-Einstellungen. Weitere Informationen finden Sie unter [So konfigurieren Sie Flow-Protokoll-Einstellungen](#configure-flow-log).
**So konfigurieren Sie Flow-Protokolleinstellungen mithilfe der Konsole**
1. Wählen Sie für **Destination (Ziel)** die Option **Send to an Amazon S3 bucket (An einen S3 Bucket senden)**.
1. Geben Sie für **S3 bucket ARN (S3-Bucket-ARN)** den Amazon-Ressourcennamen (ARN) eines vorhandenen Amazon S3-Buckets an. Sie können optional einen Unterordner einfügen. Um beispielsweise den Unterordner `my-logs` im Bucket `my-bucket` anzugeben, verwenden Sie den folgenden ARN:
`arn:aws::s3:::my-bucket/my-logs/`
Der Bucket kann als Unterordnername nicht `AWSLogs` verwenden, da dieser Begriff reserviert ist.
Wenn Sie der Eigentümer des Buckets sind, erstellen wir automatisch eine Ressourcenrichtlinie und fügen sie dem Bucket hinzu. Weitere Informationen finden Sie unter [Amazon S3-Bucket-Berechtigungen für Flow-Protokolle](flow-logs-s3.md#flow-logs-s3-permissions).
1. Für **Log record format (Datensatzformat protokollieren)** geben Sie das Format für den Flow-Protokolldatensatz an.
+ Wenn Sie das Standardformat für Flow-Protokolldatensätze verwenden möchten, wählen Sie **AWS default format (-Standardformat)**.
+ Wenn Sie ein benutzerdefiniertes Format erstellen möchten, wählen Sie **Custom format (Benutzerdefiniertes Format)**. Wählen Sie für **Protokollformat** die Felder, die im Flow-Protokolldatensatz berücksichtigt werden sollen.
1. Geben Sie für **Log file format (Protokolldateiformat)** das Format für die Protokolldatei an.
+ **Text** – Klartext. Dies ist das Standardformat.
+ **Parquet** – Apache Parquet ist ein spaltenförmiges Datenformat. Abfragen zu Daten im Parquet-Format sind 10 bis 100 Mal schneller im Vergleich zu Abfragen zu Daten im Klartext. Daten im Parquet-Format mit Gzip-Komprimierung benötigen 20 Prozent weniger Speicherplatz als Nur-Text bei Gzip-Komprimierung.
1. (Optional) Um Hive-kompatible S3-Präfixe zu verwenden, wählen Sie **Hive-compatible S3 prefix (Hive-kompatibles S3-Präfix)**, **Enable (Aktivieren)**.
1. (Optional) Um Ihre Flow-Protokolle pro Stunde zu partitionieren, wählen Sie **Every 1 hour (60 mins) (Jede 1 Stunde (60 Minuten))**.
1. (Optional) Um dem Flow-Protokoll ein Tag hinzuzufügen, wählen Sie **Add new tag (Neues Tag hinzufügen)** und geben Sie den Tag-Schlüssel und -Wert an.
1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.
**So erstellen Sie ein Flow-Protokoll, das mithilfe eines Befehlszeilen-Tools in Amazon S3 veröffentlicht**
Verwenden Sie einen der folgenden Befehle.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
Das folgende AWS CLI Beispiel erstellt ein Flow-Protokoll, das den gesamten Transit-Gateway-Verkehr für VPC erfasst `tgw-00112233344556677` und die Flow-Logs an einen Amazon S3 S3-Bucket namens `flow-log-bucket` übermittelt. Der Parameter `--log-format` legt ein benutzerdefiniertes Format für die Flow-Protokolldatensätze fest.
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-00112233344556677 --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/'
```
# AWS Transit Gateway Flow Logs-Datensätze in Amazon S3 anzeigen
**So zeigen Sie in Amazon S3 veröffentlichte Flow-Protokolldatensätze an**
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie für **Bucket name (Bucket-Name)** den Bucket aus, in den die Flow-Protokolle veröffentlicht werden.
1. Wählen Sie für **Name** das Kontrollkästchen neben der Protokolldatei aus. Wählen Sie im Objektübersichtsfeld **Download**.
## Verarbeitete AWS Transit Gateway Flow Logs-Datensätze in Amazon S3
Die Protokolldateien werden komprimiert. Wenn Sie die Protokolldateien unter Verwendung der Amazon S3-Konsole öffnen, werden sie dekomprimiert und die Flow-Protokolldatensätze werden angezeigt. Wenn Sie die Dateien herunterladen, müssen Sie sie dekomprimieren, um die Flow-Protokolldatensätze anzuzeigen.
# AWS Transit Gateway, Flow Logs-Datensätze in Amazon Data Firehose
**Topics**
+ [IAM-Rollen für die kontoübergreifende Bereitstellung](#flow-logs-kinesis-iam)
+ [Erstellen Sie die Rolle des Quellkontos](flowlog-fh-create-source.md)
+ [Erstellen Sie die Zielkonto-Rolle](flowlog-fh-create-destination.md)
+ [Erstellen Sie ein Flow-Protokoll, das in Firehose veröffentlicht wird](flow-logs-kinesis-create.md)
Flow-Logs können Flow-Log-Daten direkt in Firehose veröffentlichen. Sie können wählen, ob Sie Flow-Protokolle für dasselbe Konto wie den Ressourcenmonitor oder für ein anderes Konto veröffentlichen möchten.
**Voraussetzungen**
Bei der Veröffentlichung in Firehose werden die Flow-Protokolldaten in einem Firehose-Lieferstream im Klartextformat veröffentlicht. Sie müssen zuerst einen Firehose-Lieferstream erstellt haben. Die Schritte zum Erstellen eines Delivery Streams finden Sie unter [Creating an Amazon Data Firehose Delivery Stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) im *Amazon Data Firehose Developer Guide*.
**Preise**
Es fallen die üblichen Kosten für Einnahme und Lieferung an. Weitere Informationen finden Sie unter [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), wählen Sie **Logs** aus und suchen Sie nach **Vending Logs**.
## IAM-Rollen für die kontoübergreifende Bereitstellung
Wenn Sie in Kinesis Data Firehose veröffentlichen, können Sie einen Bereitstellungsstream auswählen, der sich in demselben Konto wie die zu überwachende Ressource (das Quellkonto) oder in einem anderen Konto (dem Zielkonto) befindet. Um die kontoübergreifende Übermittlung von Flow-Protokollen an Firehose zu ermöglichen, müssen Sie eine IAM-Rolle im Quellkonto und eine IAM-Rolle im Zielkonto erstellen.
**Topics**
+ [Rolle des Quellkontos](#flow-logs-kinesis-iam-role-source)
+ [Rolle des Zielkontos](#flow-logs-kinesis-iam-role-destination)
### Rolle des Quellkontos
Erstellen Sie im Quellkonto eine Rolle, die die folgenden Berechtigungen gewährt. In diesem Beispiel lautet der Name der Rolle `mySourceRole`, allerdings können Sie einen anderen Namen für diese Rolle wählen. Die letzte Anweisung ermöglicht es der Rolle im Zielkonto, diese Rolle zu übernehmen. Die Bedingungsanweisungen stellen sicher, dass diese Rolle nur an den Protokollbereitstellungsservice und nur beim Überwachen der angegebenen Ressource übergeben wird. Wenn Sie Ihre Richtlinie erstellen, geben Sie die VPCs Netzwerkschnittstellen oder Subnetze, die Sie überwachen, mit dem Bedingungsschlüssel `iam:AssociatedResourceARN` an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Stellen Sie sicher, dass Ihre Rolle die folgende Vertrauensrichtlinie hat, die es dem Protokollservice erlaubt, die Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Rolle des Zielkontos
Erstellen Sie im Zielkonto eine Rolle mit einem Namen, der mit beginnt **AWSLogDeliveryFirehoseCrossAccountRole**. Die Rolle muss die folgenden Berechtigungen enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Stellen Sie sicher, dass diese Rolle über die folgende Vertrauensrichtlinie verfügt, mit der die Rolle, die Sie im Quellkonto erstellt haben, diese Rolle übernehmen kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Erstellen Sie die AWS Transit Gateway Flow Logs-Quellkontorolle für Amazon Data Firehose
Erstellen Sie vom Quellkonto aus die Quellrolle in der AWS Identity and Access Management Konsole.
**So erstellen Sie die Rolle des Quellkontos**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie auf der Seite Create policy (Richtlinie erstellen) die folgenden Schritte aus:
1. Wählen Sie **JSON**.
1. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.
1. Wählen Sie **Next: Tags** (Weiter: Tags) und **Next: Review** (Weiter: Prüfen) aus.
1. Geben Sie einen Namen und eine optionale Beschreibung für Ihre Richtlinie ein und wählen Sie dann **Create Policy** (Richtlinie erstellen) aus.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Für **Trusted entity type (Vertrauenstyp der Entität)** wählen Sie **Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie)**. Für **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie `"Principal": {},` mit dem Folgenden, was den Protokollbereitstellungsdienst spezifiziert. Wählen Sie **Weiter** aus.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend **Next** (Weiter).
1. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.
1. Wählen Sie **Rolle erstellen** aus.
# Erstellen Sie die AWS Transit Gateway Flow Logs-Zielkontorolle für Amazon Data Firehose
Erstellen Sie vom Zielkonto aus die Zielrolle in der AWS Identity and Access Management Konsole.
**So erstellen Sie die Rolle des Zielkontos**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Führen Sie auf der Seite Create policy (Richtlinie erstellen) die folgenden Schritte aus:
1. Wählen Sie **JSON**.
1. Ersetzen Sie den Inhalt dieses Fensters durch die Berechtigungsrichtlinie am Anfang dieses Abschnitts.
1. Wählen Sie **Next: Tags** (Weiter: Tags) und **Next: Review** (Weiter: Prüfen) aus.
1. Geben Sie einen Namen für Ihre Richtlinie ein, der mit beginnt **AWSLogDeliveryFirehoseCrossAccountRole**, und wählen Sie dann **Richtlinie erstellen** aus.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Für **Trusted entity type (Vertrauenstyp der Entität)** wählen Sie **Custom trust policy (Benutzerdefinierte Vertrauensrichtlinie)**. Für **Custom trust policy** (Benutzerdefinierte Vertrauensrichtlinie), ersetzen Sie `"Principal": {},` mit dem Folgenden, was den Protokollbereitstellungsdienst spezifiziert. Wählen Sie **Weiter** aus.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die zuvor in diesem Verfahren erstellte Richtlinie und anschließend **Next** (Weiter).
1. Geben Sie einen Namen für die Rolle sowie optional eine Beschreibung ein.
1. Wählen Sie **Rolle erstellen** aus.
# Erstellen Sie einen AWS Transit Gateway Flow Logs-Datensatz, der in Amazon Data Firehose veröffentlicht wird
Erstellen Sie ein Transit Gateway Flow Log, das in Amazon Data Firehose veröffentlicht wird. Bevor Sie das Flow-Protokoll erstellen können, stellen Sie sicher, dass Sie die Quell- und Ziel-IAM-Kontorollen für die kontoübergreifende Zustellung eingerichtet haben und dass Sie den Firehose-Lieferstream erstellt haben. Weitere Informationen finden Sie unter [Datenflussprotokolle von Amazon Data Firehose](flow-logs-kinesis.md). Sie können ein Firehose-Flow-Protokoll entweder mit der Amazon VPC-Konsole oder der AWS CLI erstellen.
**So erstellen Sie ein Transit-Gateway-Flow-Protokoll, das mithilfe der Konsole in Firehose veröffentlicht wird**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateways** oder **Transit Gateway Attachments** (Transit-Gateway-Anhänge) aus.
1. Aktivieren Sie die Kontrollkästchen für ein oder mehrere Transit-Gateways oder Transit-Gateway-Anhänge.
1. Klicken Sie auf **Actions (Aktionen)**, **Create flow log (Flow-Protokoll erstellen)**.
1. Wählen Sie als **Destination (Ziel)** die Option **Send to a Firehose Delivery System (An ein Firehose Delivery System senden)** aus.
1. Wählen Sie für den **Firehose Delivery Stream ARN (Firehose-Bereitstellungs-Stream-ARN** den ARN eines von Ihnen erstellten Bereitstellungs-Streams aus, in dem das Flow-Protokoll veröffentlicht werden soll.
1. Für **Log record format (Datensatzformat protokollieren)** geben Sie das Format für den Flow-Protokolldatensatz an.
+ Wenn Sie das Standardformat für Flow-Protokolldatensätze verwenden möchten, wählen Sie **AWS default format (-Standardformat)**.
+ Wenn Sie ein benutzerdefiniertes Format erstellen möchten, wählen Sie **Custom format (Benutzerdefiniertes Format)**. Wählen Sie für **Protokollformat** die Felder, die im Flow-Protokolldatensatz berücksichtigt werden sollen.
1. (Optional) Um dem Flow-Protokoll ein Tag hinzuzufügen, wählen Sie **Add new tag (Neues Tag hinzufügen)** und geben Sie den Tag-Schlüssel und -Wert an.
1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus.
**Um ein Flow-Protokoll zu erstellen, das mit dem Befehlszeilentool in Firehose veröffentlicht wird**
Verwenden Sie einen der folgenden Befehle:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (CLI)AWS
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
Das folgende AWS CLI-Beispiel erstellt ein Flow-Protokoll, das Transit-Gateway-Informationen erfasst und das Flow-Protokoll an den angegebenen Firehose-Lieferstream übermittelt.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids tgw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream
```
Das folgende AWS CLI-Beispiel erstellt ein Flow-Protokoll, das Transit-Gateway-Informationen erfasst und das Flow-Protokoll an einen anderen Firehose-Lieferstream als das Quellkonto übermittelt.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids gw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
# AWS Transit Gateway Flow Logs mit APIs oder der CLI erstellen und verwalten
Sie können die auf dieser Seite beschriebenen Aufgaben über die Befehlszeile ausführen.
Bei der Verwendung des [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)Befehls gelten die folgenden Einschränkungen:
+ `--resource-ids` hat eine maximale Beschränkung von 25 `TransitGateway` oder `TransitGatewayAttachment` Ressourcentypen.
+ `--traffic-type` ist standardmäßig kein erforderliches Feld. Ein Fehler wird zurückgegeben, wenn Sie dies für Transit-Gateway-Ressourcentypen angeben. Dieses Limit gilt nur für Transit-Gateway-Ressourcentypen.
+ `--max-aggregation-interval` besitzt den `60`-Standardwert und ist der einzige akzeptierte Wert für Transit-Gateway-Ressourcentypen. Wenn Sie versuchen, einen anderen Wert zu übergeben, wird ein Fehler zurückgegeben. Dieses Limit gilt nur für Transit-Gateway-Ressourcentypen.
+ `--resource-type` unterstützt zwei neue Ressourcentypen: `TransitGateway` und `TransitGatewayAttachment`.
+ `--log-format` schließt alle Protokollfelder für Transit-Gateway-Ressourcentypen ein, wenn Sie nicht festlegen, welche Felder Sie einbeziehen möchten. Dies gilt nur für Transit-Gateway-Ressourcentypen.
**Erstellen eines Flow-Protokolls**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Beschreibung Ihrer Flow-Protokolle**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Anzeigen Ihrer Flow-Protokolldatensätze (Protokollereignisse)**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [CWLLogGet-Event](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)
**Löschen eines Flow-Protokolls**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# AWS Transit Gateway Flow Logs-Datensätze anzeigen
Zeigen Sie Informationen zu Ihren Transit-Gateway-Flow-Logs über die Amazon VPC an. Wenn Sie eine Ressource auswählen, werden alle Flow-Logs für diese Ressource aufgelistet. Es werden folgende Informationen angezeigt: die ID des Flow-Protokolls, die Flow-Protokollkonfiguration sowie Informationen zum Status des Flow-Protokolls.
**So zeigen Sie Informationen zu Flow-Protokollen für Transit-Gateways an**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateways** oder **Transit Gateway Attachments** (Transit-Gateway-Anhänge) aus.
1. Wählen Sie ein Transit-Gateway oder Transit-Gateway-Anhang aus und wählen Sie **Flow Logs** (Flow-Protokolle) aus. Die Informationen zu den Flow-Protokollen werden auf der Registerkarte angezeigt. Die Spalte **Destination type (Zieltyp)** zeigt das Ziel an, in dem die Flow-Protokolle veröffentlicht werden.
# AWS Transit Gateway Flow Logs-Tags verwalten
Sie können Tags für ein Flow-Protokoll in den Konsolen von Amazon EC2 und Amazon VPC hinzufügen oder entfernen.
**So fügen Sie Tags für ein Flow-Protokoll für Transit-Gateway hinzu oder entfernen sie**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Transit Gateways** oder **Transit Gateway Attachments** (Transit-Gateway-Anhänge) aus.
1. Wählen Sie ein Transit-Gateway oder einen Transit-Gateway-Anhang
1. Wählen Sie **Manage tags (Tags verwalten)** für das jeweilige Flow-Protokoll.
1. Um ein neues Tag hinzuzufügen, wählen Sie **Create Tag**. Zum Entfernen eines Tags wählen Sie die „Löschen“-Schaltfläche (x) aus.
1. Wählen Sie **Speichern**.
# AWS Transit Gateway Flow Logs-Datensätze durchsuchen
Sie können Ihre Flow-Protokolleinträge, die in Logs veröffentlicht wurden, mithilfe der CloudWatch CloudWatch Logs-Konsole durchsuchen. Sie können [Metrikfilter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) verwenden, um Flow-Protokolldatensätze zu filtern. Flow-Protokolldatensätze sind durch Leerzeichen getrennt.
**So suchen Sie mit der CloudWatch Logs-Konsole nach Flow-Log-Datensätzen**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Log groups** (Protokollgruppen) aus.
1. Wählen Sie die Protokollgruppe mit Ihrem Flow-Protokoll. Es wird eine Liste der Protokollstreams für die einzelnen Transit-Gateways angezeigt.
1. Wählen Sie den einzelnen Protokollstream aus, wenn Sie den Transit-Gateway kennen, nach dem Sie suchen. Alternativ können Sie **Search Log Group (Log-Gruppe durchsuchen)** wählen, um die gesamte Protokollgruppe zu durchsuchen. Dies kann einige Zeit in Anspruch nehmen, wenn sich viele Transit-Gateways in Ihrer Protokollgruppe befinden oder je nach ausgewähltem Zeitbereich.
1. Geben Sie für **Filter events (Filterereignisse)** die folgende Zeichenfolge ein. Hierbei wird davon ausgegangen, dass der Flow-Protokolldatensatz das [Standardformat](tgw-flow-logs.md#flow-logs-default) verwendet.
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Ändern Sie den Filter nach Bedarf, indem Sie Werte für die Felder angeben. In den folgenden Beispielen wird nach bestimmten Quell-IP-Adressen gefiltert.
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
Das folgende Beispiel filtert nach Transit-Gateway-ID tgw-123abc456bca, Zielport und Anzahl der Bytes.
```
[version, resource_type, account_id,tgw_id=tgw-123abc456bca, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 500,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
# Löschen Sie einen AWS Transit Gateway Flow Logs-Datensatz
Sie können ein Flow-Protokoll für Transit-Gateway über die Amazon VPC-Konsole löschen.
Mithilfe dieser Verfahren wird der Flow-Protokoll-Service für eine Ressource deaktiviert. Durch das Löschen eines Flow-Protokolls werden die vorhandenen Protokollstreams aus CloudWatch Protokollen oder Protokolldateien aus Amazon S3 nicht gelöscht. Vorhandene Flow-Protokolldaten müssen über die Konsole des jeweiligen Service gelöscht werden. Darüber hinaus werden beim Löschen eines Flow-Protokolls, das in Amazon S3 veröffentlicht wird, die Bucket-Richtlinien und die Zugriffskontrolllisten für Protokolldateien (ACLs) nicht entfernt.
**So löschen Sie ein Flow-Protokoll für Transit-Gateway**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Klicken Sie im Navigationsbereich auf **Transit Gateways**.
1. Wählen Sie eine **Transit-Gateway-ID** aus.
1. Wählen Sie im Abschnitt „Flow-Protokolle“ die Flow-Protokolle aus, die Sie löschen möchten.
1. Wählen Sie **Actions** (Aktionen) und dann **Delete flow logs group** (Flow-Protokolle löschen) aus.
1. Bestätigen Sie, dass Sie den Flow löschen möchten, indem Sie **Delete** (Löschen) auswählen.