Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS Transit Gateway Flow registra registros en Amazon CloudWatch Logs
<a name="flow-logs-cwl"></a>

Los registros de flujo pueden publicar los datos del registro de flujo directamente en Amazon CloudWatch.

Cuando se publican en CloudWatch Logs, los datos del registro de flujo se publican en un grupo de registros y cada pasarela de tránsito tiene un flujo de registro único en el grupo de registros. Los flujos de registro contienen registros de flujo. Puede crear varios registros de flujo que publiquen datos en el mismo grupo de registro. Si la misma puerta de enlace de tránsito está presente en uno o varios registros de flujo en el mismo grupo de registro, tendrá un flujo de registro combinado. Si ha especificado que un registro de flujo debe capturar el tráfico rechazado y otro registro de flujo debe capturar el tráfico aceptado, el flujo de registros combinado capturará todo el tráfico.

Al publicar los registros de flujo en Logs, se cobran cargos por la ingesta y el archivado de datos por los registros vendidos. CloudWatch Para obtener más información, consulta los [ CloudWatch precios de Amazon](https://aws.amazon.com/cloudwatch/pricing/).

En CloudWatch los registros, el campo **de fecha y** hora corresponde a la hora de inicio que se captura en el registro del flujo. El campo **IngestionTime** proporciona la fecha y la hora en que Logs recibió el registro del registro de flujo. CloudWatch La marca de tiempo es posterior a la hora de finalización capturada en la entrada de registro de flujo.

Para obtener más información sobre CloudWatch los registros, consulte [Logs sent to CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) en la *Guía del usuario de Amazon CloudWatch Logs*.

**Topics**
+ [Funciones de IAM para publicar los registros de flujo en Logs CloudWatch](#flow-logs-iam)
+ [Permisos para que los usuarios de IAM pasen un rol](#flow-logs-iam-user)
+ [Cree un registro de flujo que se publique en CloudWatch Logs](flow-logs-cwl-create-flow-log.md)
+ [Consultar los informes de registros de flujo](view-flow-log-records.md)
+ [Procesamiento de informes de registro de flujo](process-records-cwl.md)

## Funciones de IAM para publicar los registros de flujo en Logs CloudWatch
<a name="flow-logs-iam"></a>

La función de IAM asociada al registro de flujo debe tener permisos suficientes para publicar los registros de flujo en el grupo de registros especificado en CloudWatch Logs. El rol de IAM debe pertenecerle. Cuenta de AWS

La política de IAM asociada al rol de IAM debe incluir al menos los siguientes permisos.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Asegúrese también de que el rol tiene una relación de confianza que permite al servicio de registros de flujo asumir ese rol.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "vpc-flow-logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Le recomendamos que utilice las claves de condición `aws:SourceAccount` y `aws:SourceArn` para protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior. La cuenta fuente es la propietaria del registro de flujo y el ARN fuente es el ARN del registro de flujo. Si no conoce el ID del registro de flujo, puede reemplazar esa parte del ARN por un comodín (\$1) y, a continuación, actualizar la política después de crear el registro de flujo.

```
"Condition": {
    "StringEquals": {
        "aws:SourceAccount": "account_id"
    },
    "ArnLike": {
        "aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
    }
}
```

## Permisos para que los usuarios de IAM pasen un rol
<a name="flow-logs-iam-user"></a>

Los usuarios también deben tener permisos para utilizar la acción `iam:PassRole` para el rol de IAM que está asociado con registro de flujo.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
        }
    ]
}
```

------

# Cree un registro de registros de flujo de AWS Transit Gateway que se publique en Amazon CloudWatch Logs
<a name="flow-logs-cwl-create-flow-log"></a>

Puede crear entradas de registro de flujo para las puertas de enlace de tránsito. Si realiza estos pasos como usuario de IAM, asegúrese de que tiene permisos para usar la acción `iam:PassRole`. Para obtener más información, consulte [Permisos para que los usuarios de IAM pasen un rol](flow-logs-cwl.md#flow-logs-iam-user).

Puede crear un registro de CloudWatch flujo de Amazon mediante la consola de Amazon VPC o la CLI AWS .

**Para crear un registro de flujo de la puerta de enlace de tránsito mediante la consola**

1. Inicie sesión en la consola de Amazon VPC Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. En el panel de navegación, seleccione **Transit gateways** (Puertas de enlace de tránsito). 

1. Seleccione las casillas de verificación de una o más puertas de enlace de tránsito y elija **Acciones**, **Crear registro de flujo**.

1. En **Destino**, selecciona **Enviar a CloudWatch registros**.

1. Para **Grupo de registro de destino**, elija el nombre del grupo de registro de destino que ha creado.
**nota**  
Si el grupo de registro de destino aún no existe, si introduce un nombre nuevo en este campo, se creará un nuevo grupo de registro de destino.

1. Para el **rol de IAM**, especifique el nombre del rol que tiene permisos para publicar registros en CloudWatch Logs.

1. Para **Log record format (Formato de registro de registro)**, seleccione el formato para el registro de flujo.
   + Para utilizar el formato predeterminado, elija **Formato predeterminado de AWS **.
   + Para utilizar un formato personalizado, elija **Custom format** (Formato personalizado) y, a continuación, seleccione campos de **Log format** (Formato de registro).

1. (Opcional) Elija **Add new tag** (Agregar etiqueta nueva) para aplicar etiquetas al registro de flujo.

1. Elija **Create flow log (Crear registro de flujo)**.

**Para crear un registro de flujo mediante la línea de comandos**

Utilice uno de los siguientes comandos.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

En el siguiente AWS CLI ejemplo, se crea un registro de flujo que captura la información de la pasarela de tránsito. Los registros de flujo se envían a un grupo de CloudWatch registros en los registros denominados`my-flow-logs`, en la cuenta 123456789101, con la función de IAM. `publishFlowLogs`

```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs 
```

# Ver los registros de flujos de AWS Transit Gateway en Amazon CloudWatch
<a name="view-flow-log-records"></a>

Puede ver los registros de registro de flujo mediante la consola CloudWatch Logs o la consola Amazon S3, según el tipo de destino elegido. Es posible que, después de crear su registro de flujo, se necesiten unos minutos para que se encuentre visible en la consola.

**Para ver los registros de registro de flujo publicados en CloudWatch Logs**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Logs** (Registros) y seleccione el grupo de registro que contiene el registro de flujo. Aparecerá una lista de flujos de registros para cada puerta de enlace de tránsito.

1.  Seleccione el flujo de registro que contiene el ID de la puerta de enlace de tránsito para la que desea ver los registros de log de flujo. Para obtener más información, consulte [Registros de flujo de Transit Gateway](tgw-flow-logs.md#flow-log-records).

# Procesa los registros de flujos de AWS Transit Gateway en Amazon CloudWatch Logs
<a name="process-records-cwl"></a>

Puede trabajar con los registros de flujo del mismo modo que lo haría con cualquier otro evento de registro recopilado por CloudWatch Logs. Para obtener más información sobre la supervisión de los filtros de métricas y datos de registro, consulte [Creación de métricas a partir de eventos de registro mediante filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) en la *Guía del CloudWatch usuario de Amazon*.

## Ejemplo: crear un filtro CloudWatch métrico y una alarma para un registro de flujo
<a name="flow-logs-cw-alarm-example"></a>

En este ejemplo, tiene un log de flujo para `tgw-123abc456bca`. Desea crear una alarma que le avise si ha habido 10 o más intentos rechazados para conectar con su instancia a través del puerto TCP 22 (SSH) en un periodo de 1 hora. En primer lugar, debe crear un filtro de métrica que coincida con el patrón de tráfico para el que va a crear la alarma. A continuación, puede crear una alarma para el filtro de métrica.

**Para crear un filtro de métrico para el tráfico SSH rechazado y una alarma para el filtro**

1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registro).

1. Marque la casilla de verificación del grupo de registro y, a continuación, seleccione **Acciones**, **Crear filtro de métricas**.

1. En **Filter Pattern** (Patrón de filtro), escriba lo siguiente.

   ```
   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
   ```

1. En **Select Log Data to Test** (Seleccionar datos de registro para prueba), seleccione el flujo de registro para la puerta de enlace de tránsito. (Opcional) Para ver las líneas de los datos de registro que concuerdan con el patrón de filtro, elija **Test Pattern** (Probar patrón). Cuando esté preparado para continuar, seleccione **Next** (Siguiente).

1. Ingrese un nombre de filtro, un espacio de nombres de métrica y un nombre de métrica. Establezca el valor de la métrica en **1**. Cuando haya terminado, elija **Next** (Siguiente) y, luego, elija **Create metric filter** (Crear filtro de métricas).

1. En el panel de navegación, elija **Alarms** (Alarmas), **Create Alarm** (Crear alarma).

1. Elija **Crear alarma**.

1. Elija el espacio de nombres para el filtro de métricas que ha creado.

   Puede que la nueva métrica tarde unos minutos en mostrarse en la consola.

1. Seleccione el nombre de métrica que ha creado y elija **Next** (Siguiente).

1. Configure la alarma como se indica a continuación y, luego, elija **Next** (Siguiente):
   + En **Statistic** (Estadística), elija **Sum** (Suma). Asegura que esté capturando el número total de puntos de datos para el período especificado.
   + En **Period** (Período), seleccione **1 Hour** (1 hora).
   + En **Whenever** (Cada vez que), elija **Greater/Equal** (Mayor o igual) e ingrese **10** para el umbral.
   + En **Additional configuration** (Configuración adicional), **Datapoints to alarm** (Puntos de datos para alarma), deje el valor predeterminado **1**.

1. Para **Notification** (Notificación), seleccione un tema de SNS existente o elija **Create new topic** (Crear tema nuevo) para crear uno nuevo. Elija **Siguiente**.

1. Ingrese un nombre y una descripción para la alarma y, a continuación, elija **Next** (Siguiente).

1. Cuando haya terminado de configurar la alarma, elija **Create alarm** (Crear alarma).