Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erstellen Sie ein Flow-Protokoll, das in Logs veröffentlicht wird CloudWatch Sie können Flow-Protokolle für Ihre VPCs, Subnetze oder Netzwerkschnittstellen erstellen. Wenn Sie diese Schritte als Benutzer ausführen, der eine bestimmte IAM-Rolle verwendet, stellen Sie sicher, dass die Rolle über Berechtigungen zum Verwenden der `iam:PassRole`-Aktion verfügt. **Voraussetzung** Vergewissern Sie sich, dass der IAM-Prinzipal, den Sie für die Anfrage verwenden, über die Berechtigungen zum Aufrufen der Aktion `iam:PassRole` verfügt. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}" } ] } ``` ------ **So erstellen Sie ein Flow-Protokoll mithilfe der Konsole** 1. Führen Sie eine der folgenden Aktionen aus: + Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Wählen Sie im Navigationsbereich **Network Interfaces** aus. Aktivieren Sie das Kontrollkästchen für die Netzwerkschnittstelle. + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Your VPCs (Ihre VPCs)** aus. Aktivieren Sie das Kontrollkästchen für die VPC. + Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Wählen Sie im Navigationsbereich **Subnetze** aus. Aktivieren Sie das Kontrollkästchen für das Subnetz. 1. Klicken Sie auf **Actions (Aktionen)**, **Create flow log (Flow-Protokoll erstellen)**. 1. Geben Sie für **Filter** den Typ des zu protokollierenden Verkehrs an. Wählen Sie **All (Alle)** aus, um sämtlichen akzeptierten und abgelehnten Datenverkehr, **Reject (Ablehnen)**, um nur abgelehnten Datenverkehr, oder **Accept (Akzeptieren)**, um nur akzeptierten Datenverkehr aufzuzeichnen. 1. Wählen Sie unter **Maximum aggregation interval (Maximales Aggregationsintervall)** den maximalen Zeitraum aus, in dem ein Flow erfasst und zu einem Flow-Protokolldatensatz aggregiert wird. 1. Wählen Sie als **Ziel** die Option An ** CloudWatchProtokolle senden** aus. 1. Wählen Sie für **Zielprotokollgruppe** den Namen einer vorhandenen Protokollgruppe aus oder geben Sie den Namen einer neuen Protokollgruppe ein. Wenn Sie einen Namen eingeben, erstellen wir die Protokollgruppe, wenn Datenverkehr protokolliert werden muss. 1. Wählen Sie für **den Dienstzugriff** eine bestehende [IAM-Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) aus, die berechtigt ist, Logs in CloudWatch Logs zu veröffentlichen, oder erstellen Sie eine neue Servicerolle. 1. Für **Log record format (Datensatzformat protokollieren)** wählen Sie das Format für den Flow-Protokolldatensatz aus. + Wenn Sie das Standardformat verwenden möchten, wählen Sie **AWS default format** (-Standardformat) aus. + Um ein benutzerdefiniertes Format zu verwenden, wählen Sie **Custom format (Benutzerdefiniertes Format)** und dann Felder aus **Log format (Format protokollieren)** aus. 1. Wählen Sie unter **Zusätzliche Metadaten** aus, ob Sie Metadaten von Amazon ECS in das Protokollformat einbeziehen möchten. 1. (Optional) Wählen Sie **Add new tag (Neuen Tag hinzufügen)** aus, um Tags auf das Flow-Protokoll anzuwenden. 1. Wählen Sie **Create flow log (Flussprotokoll erstellen)** aus. **So erstellen Sie ein Flow-Protokoll mit der Befehlszeile** Verwenden Sie einen der folgenden Befehle. + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) Im folgenden AWS CLI Beispiel wird ein Flow-Protokoll erstellt, das den gesamten akzeptierten Datenverkehr für das angegebene Subnetz erfasst. Die Flow-Protokolle werden an die angegebene Protokollgruppe übermittelt. Der `--deliver-logs-permission-arn` Parameter gibt die IAM-Rolle an, die für die Veröffentlichung in Logs erforderlich ist. CloudWatch ``` aws ec2 create-flow-logs --resource-type {{Subnet}} --resource-ids {{subnet-1a2b3c4d}} --traffic-type ACCEPT --log-group-name {{my-flow-logs}} --deliver-logs-permission-arn arn:aws:iam::{{123456789101}}:role/{{publishFlowLogs}} ```