# Supervisión de la VPC
Puede utilizar las siguientes herramientas para supervisar el tráfico o el acceso a la red en la nube virtual privada (VPC).
**Logs de flujo de VPC**
Puede utilizar los registros de flujo de VPC para recopilar información detallada sobre el tráfico entrante y saliente de las interfaces de red en las VPC.
**Amazon CloudWatch Internet Monitor**
Puede usar Internet Monitor para tener visibilidad sobre cómo los problemas de Internet afectan al rendimiento y la disponibilidad entre las aplicaciones alojadas en AWS y los usuarios finales. También puede explorar, casi en tiempo real, cómo mejorar la latencia prevista de su aplicación pasando a utilizar otros servicios o redirigiendo el tráfico a su carga de trabajo a través de diferentes Regiones de AWS. Para obtener más información, consulte [Uso de Amazon CloudWatch Internet Monitor](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.html).
**Amazon VPC IP Address Manager (IPAM)**
Puede utilizar IPAM para planificar, rastrear y supervisar las direcciones IP de las cargas de trabajo. Para obtener más información, consulte [IP Address Manager](https://docs.aws.amazon.com/vpc/latest/ipam/) (Administrador de direcciones IP).
**Replicación de tráfico**
Puede utilizar esta característica para copiar el tráfico desde una interfaz de red de una instancia de Amazon EC2 y enviarlo a dispositivos de seguridad y supervisión fuera de banda para una inspección profunda de paquetes. Puede detectar anomalías de red y seguridad, obtener información operativa, aplicar controles de conformidad y seguridad, además de solucionar problemas. Para obtener más información, consulte [Replicación de tráfico](https://docs.aws.amazon.com/vpc/latest/mirroring/).
**Analizador de accesibilidad**
Puede utilizar esta herramienta para analizar y depurar la accesibilidad de la red entre dos recursos en la VPC. Después de especificar los recursos de origen y destino, Reachability Analyzer produce detalles salto a salto de la ruta virtual entre ellos cuando son accesibles e identifica el componente de bloqueo cuando son inaccesibles. Para obtener más información, consulte [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/) (Analizador de accesibilidad).
**Analizador de acceso a la red**
Puede utilizar Analizador de acceso a la red para comprobar el acceso de la red a los recursos. Esto le ayuda a identificar mejoras en la posición de seguridad de la red y a demostrar que esta cumple con los requisitos específicos de conformidad. Para obtener más información, consulte [Analizador de acceso a la red](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
**Registros de CloudTrail**
AWS CloudTrail registra las llamadas a la API de Amazon VPC, como:
+ Qué llamadas a la API se realizaron (por ejemplo, acciones como crear o modificar recursos de la VPC)
+ La dirección IP de origen de la llamada
+ Quién realizó la llamada
+ Cuándo se realizó la llamada
Se crean registros por separado para las acciones de `CreateVpc`, `DeleteVpc` y `CreateDefaultVpc`. Estos registros también incluyen los recursos predeterminados (como cualquier puerta de enlace de Internet predeterminada o grupo de seguridad predeterminado) creados y asociados con la VPC.
Para obtener más información, consulte [Registro de llamadas a la API de Amazon EC2 mediante AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) en la *Guía del usuario de Amazon EC2*.
# Registro del tráfico de IP con registros de flujo de la VPC
Los logs de flujo de VPC son una característica que permite capturar información acerca del tráfico IP que entra y sale de las interfaces de red en la VPC. Los datos del registro de flujo se pueden publicar en las siguientes ubicaciones: Registros de Amazon CloudWatch, Amazon S3 o Amazon Data Firehose. La ruta de entrega configurada y los permisos que permiten enviar los registros de tráfico de red a un destino como Registros de CloudWatch o S3 se denominan *suscripciones*. Una vez creado un registro de flujo, puede recuperarlo y ver las entradas del registro de flujo en el grupo de registro, el bucket o el flujo de entrega que configuró.
Los logs de flujo pueden ayudarlo en una serie de tareas, tales como:
+ Diagnosticar reglas de grupo de seguridad muy restrictivas
+ Supervisar el tráfico que llega a su instancia
+ Determinar la dirección del tráfico hacia y desde las interfaces de red
Los datos de registro de flujo se recopilan fuera de la ruta del tráfico de red y, por lo tanto, no afectan al rendimiento ni a la latencia de la red. Puede crear o eliminar registros de flujo sin ningún riesgo de impacto en el rendimiento de la red.
**nota**
En esta sección solo se trata de los registros de flujo para las VPC. Para obtener información sobre los registros de flujo para las puertas de enlace de tránsito introducidos en la versión 6, consulte [Registrar el tráfico de red mediante los registros de flujo de las puertas de enlace de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) en la *Guía del usuario de puertas de enlace de tránsito de Amazon VPC*.
**Topics**
+ [Conceptos básicos de logs de flujo](flow-logs-basics.md)
+ [Registros de log de flujo](flow-log-records.md)
+ [Ejemplos de registros de log de flujo](flow-logs-records-examples.md)
+ [Limitaciones de los logs de flujo](flow-logs-limitations.md)
+ [Precios](#flow-logs-pricing)
+ [Trabajo con registros de flujo](working-with-flow-logs.md)
+ [Publicar registros de flujo en CloudWatch Logs](flow-logs-cwl.md)
+ [Publicar registros de flujo en Amazon S3](flow-logs-s3.md)
+ [Publicar registros de flujo a Amazon Data Firehose](flow-logs-firehose.md)
+ [Realizar consultas en los registros de flujo mediante Amazon Athena](flow-logs-athena.md)
+ [Solucionar problemas de los registros de flujo de VPC](flow-logs-troubleshooting.md)
# Conceptos básicos de logs de flujo
Puede crear un log de flujo para una VPC, una subred o una interfaz de red. Si crea un log de flujo para una subred o VPC, se supervisará cada interfaz de red de la VPC o la subred.
Los datos de logs de flujo de una interfaz de red supervisada se registran como *registros de logs de flujo*, que son eventos de registro que constan de campos que describen el flujo de tráfico. Para obtener más información, consulte [Registros de log de flujo](flow-log-records.md).
Para crear un registro de flujo, especifique:
+ El recurso para el que desea crear el log de flujo
+ El tipo de tráfico que capturar (tráfico aceptado, tráfico rechazado o todo el tráfico)
+ Los destinos a los que desea publicar los datos de log de flujo
En el ejemplo siguiente, se crea una entrada de registro que captura el tráfico aceptado para la interfaz de red de una de las instancias EC2 en una subred privada y publica las entradas de registro de flujo en un bucket de Amazon S3.
![\[Registros de flujo de una instancia\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/flow-logs-diagram-s3.png)
En el siguiente ejemplo una entrada de registro de flujo captura todo el tráfico de la subred y publica las entradas de registro de flujo en los Registros de Amazon CloudWatch. El registro de flujo captura el tráfico de todas las interfaces de red de la subred.
![\[Registros de flujo para una subred\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/flow-logs-diagram-cw.png)
Después de crear un registro de flujo, pueden transcurrir varios minutos hasta que se empiecen a recopilar datos y a publicarse en los destinos elegidos. Los logs de flujo no capturan los flujos de logs en tiempo real de las interfaces de red. Para obtener más información, consulte [2. Crear un log de flujo](working-with-flow-logs.md#create-flow-log).
Si lanza una instancia en la subred después de haber creado un registro de flujo para la subred o la VPC, creamos un nuevo flujo de registros (para CloudWatch Logs) o un objeto de archivo de registros (para Amazon S3) para la nueva interfaz de red apenas haya tráfico de red para la interfaz de red.
Puede crear registros de flujo para interfaces de red creadas por otros servicios de AWS, tales como:
+ Elastic Load Balancing
+ Amazon RDS
+ Amazon ElastiCache
+ Amazon Redshift
+ Amazon WorkSpaces
+ Gateways NAT
+ Transit puerta de enlaces
Con independencia del tipo de interfaz de red, debe utilizar la consola de Amazon EC2 o la API de Amazon EC2 para crear un registro de flujo para una interfaz de red.
Puede aplicar etiquetas a los registros de flujo. Cada etiqueta está formada por una clave y un valor opcional, ambos definidos por el usuario. Las etiquetas pueden ayudarlo a organizar los registros de flujo, por ejemplo, por finalidad o propietario.
Si ya no necesita un log de flujo, puede eliminarlo. Al eliminar un registro de flujo, se deshabilita el servicio del registro de flujo para el recurso, de modo que no se creen ni se publiquen nuevas entradas de registros de flujo. La eliminación de un registro de flujo no elimina ningún dato de registro de flujo existente. Tras eliminar un registro de flujo, puede eliminar los datos del registro de flujo directamente desde el destino cuando haya terminado con él. Para obtener más información, consulte [4. Eliminar un registro de flujo](working-with-flow-logs.md#delete-flow-log).
# Registros de log de flujo
Un registro de log de flujo representa un flujo de red en su VPC. De forma predeterminada, cada registro captura un flujo de tráfico del protocolo de Internet (IP) de red (caracterizado por 5 tuplas para cada interfaz de red) que tiene lugar dentro de un *intervalo de agregación*, lo también se conoce como *período de captura*.
Cada registro es una cadena con campos separados por espacios. Un registro incluye valores para los distintos componentes del flujo de IP, por ejemplo, el origen, el destino y el protocolo.
Al crear un registro de flujo, puede utilizar el formato predeterminado para el registro del registro de flujo o puede especificar un formato personalizado.
**Topics**
+ [Intervalo de agregación](#flow-logs-aggregration-interval)
+ [Formato predeterminado](#flow-logs-default)
+ [Formato personalizado](#flow-logs-custom)
+ [Campos disponibles](#flow-logs-fields)
## Intervalo de agregación
El intervalo de agregación es el período de tiempo durante el que se captura un flujo determinado y se agrega a un registro de flujo. De forma predeterminada, el intervalo de agregación máximo es de 10 minutos. Cuando cree un registro de flujo, si lo desea, puede especificar un intervalo máximo de agregación de 1 minuto. Los registros de flujo con un intervalo de agregación máximo de 1 minuto producen un volumen mayor de registros que los que tienen un intervalo de agregación máximo de 10 minutos.
Cuando una interfaz de red está asociada a una [instancia basada en Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), el intervalo de agregación siempre es igual o inferior a 1 minuto, independientemente del intervalo de agregación máximo especificado.
Una vez que los datos se han capturado durante el intervalo de agregación, se necesita más tiempo para procesarlos y publicarlos en CloudWatch Logs o Amazon S3. El servicio de registros de flujo suele entregar registros a CloudWatch Logs en unos 5 minutos y a Amazon S3 en unos 10 minutos. No obstante, aunque se hace todo lo posible para realizar la entrega de los registros, puede que se produzcan retrasos y se necesite más tiempo del habitual para entregarlos.
## Formato predeterminado
Con el formato predeterminado, los registros del log de flujo incluyen los campos de la versión 2, en el orden mostrado en la tabla de [campos disponibles](#flow-logs-fields). No puede personalizar o cambiar el formato predeterminado. Para capturar los campos adicionales o un subconjunto de campos distinto, especifique un formato personalizado.
## Formato personalizado
Con un formato personalizado, especifique qué campos se incluyen en los registros del log de flujo y en qué orden. De este modo, puede crear registros de flujo específicos con arreglo a sus necesidades y omitir los campos que no resulten relevantes. El uso de un formato personalizado puede reducir la necesidad de procesos separados para extraer información específica de logs de flujo publicados. Puede especificar cualquier número de campos de log de flujo disponibles, pero debe especificar al menos uno.
## Campos disponibles
La tabla siguiente describe todos los campos disponibles para un registro de logs de flujo. La columna **Version (Versión)** indica la versión de los registros de flujo de VPC en la que se introdujo el campo. El formato predeterminado incluye todos los campos de la versión 2, en el mismo orden en que aparecen en la tabla.
Al publicar datos de registro de flujo en Amazon S3, el tipo de datos de los campos depende del formato del registro de flujo. Si el formato es texto sin formato, todos los campos son de tipo STRING. Si el formato es Parquet, consulte la tabla de los tipos de datos de campo.
Si un campo no es aplicable o no se pudo calcular para un registro específico, el registro muestra un símbolo “-” en esa entrada. Los campos de metadatos que no provienen directamente del encabezado del paquete son aproximaciones de mejor esfuerzo y sus valores pueden faltar o ser inexactos.
| Campo | Descripción | Versión |
| --- | --- | --- |
| version | La versión de los registros de flujo de VPC. Si utiliza el formato predeterminado, la versión es 2. Si utiliza un formato personalizado, la versión es la más alta entre los campos especificados. Por ejemplo, si especifica sólo campos de la versión 2, la versión es 2. Si especifica una combinación de campos de las versiones 2, 3 y 4, la versión es 4. **Tipo de datos de Parquet:** INT\$132 | 2 |
| account-id | El ID de la cuenta de AWS del propietario de la interfaz de red de origen en la que se registra el tráfico. Si un servicio de AWS crea la interfaz de red, por ejemplo, al momento de crear un punto de conexión de VPC o Network Load Balancer, el registro puede mostrar unknown para este campo. **Tipo de datos de Parquet:** STRING | 2 |
| interface-id | El ID de la interfaz de red para la que se registra el tráfico. Devuelve el símbolo “-” para los flujos asociados a una puerta de enlace NAT regional. **Tipo de datos de Parquet:** STRING | 2 |
| srcaddr | Para el tráfico entrante, esta es la dirección IP del origen del tráfico. Para tráfico saliente, esta es la dirección IPv4 privada o la dirección IPv6 de la interfaz de red que envía el tráfico. En el caso del tráfico saliente de una puerta de enlace NAT regional, es la misma dirección IP de origen del paquete que en pkt-srcaddr. Consulte también pkt-srcaddr. **Tipo de datos de Parquet:** STRING | 2 |
| dstaddr | La dirección de destino para tráfico saliente o la dirección IPv4 o IPv6 de la interfaz de red para tráfico entrante en la interfaz de red. La dirección IPv4 de la interfaz de red es siempre su dirección IPv4 privada. En el caso del tráfico entrante hacia una puerta de enlace NAT regional, la dirección IP de destino del paquete es la misma que en pkt-dstaddr. Consulte también pkt-dstaddr. **Tipo de datos de Parquet:** STRING | 2 |
| srcport | El puerto de origen del tráfico. **Tipo de datos de Parquet:** INT\$132 | 2 |
| dstport | El puerto de destino del tráfico. **Tipo de datos de Parquet:** INT\$132 | 2 |
| protocol | El número de protocolo IANA del tráfico. Para obtener más información, consulte [Números de protocolo asignados en internet](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Tipo de datos de Parquet:** INT\$132 | 2 |
| packets | El número de paquetes transferidos durante el flujo. **Tipo de datos de Parquet:** INT\$164 | 2 |
| bytes | El número de bytes transferidos durante el flujo. **Tipo de datos de Parquet:** INT\$164 | 2 |
| start | Momento, en segundos Unix, en que se recibió el primer paquete del flujo dentro del intervalo de agregación. El tiempo transcurrido puede ser como máximo de 60 segundos una vez que el paquete se ha transmitido o recibido en la interfaz de red. **Tipo de datos de Parquet:** INT\$164 | 2 |
| end | Momento, en segundos Unix, en que se recibió el último paquete del flujo dentro del intervalo de agregación. El tiempo transcurrido puede ser como máximo de 60 segundos una vez que el paquete se ha transmitido o recibido en la interfaz de red. **Tipo de datos de Parquet:** INT\$164 | 2 |
| action | La acción asociada al tráfico: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/flow-log-records.html) **Tipo de datos de Parquet:** STRING | 2 |
| log-status | El estado de registro del registro de flujo: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/flow-log-records.html) **Tipo de datos de Parquet:** STRING | 2 |
| vpc-id | El ID de la VPC que contiene la interfaz de red para la que se registra el tráfico. **Tipo de datos de Parquet:** STRING | 3 |
| subnet-id | El ID de la subred que contiene la interfaz de red para la que se registra el tráfico. Devuelve el símbolo “-” para los flujos asociados a una puerta de enlace NAT regional. **Tipo de datos de Parquet:** STRING | 3 |
| instance-id | El ID de la instancia que está asociado a la interfaz de red para la que se registra el tráfico, si la instancia es de su propiedad. Devuelve un símbolo "-" para una [interfaz de red administrada por el solicitante](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html); por ejemplo, la interfaz de red para una puerta de enlace NAT. **Tipo de datos de Parquet:** STRING | 3 |
| tcp-flags | El valor de máscara de bits de las siguientes marcas TCP:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/flow-log-records.html)Si no se registran marcadores compatibles, el valor del marcador TCP es 0. Por ejemplo, dado que tcp-flags no es compatible con el registro de marcadores ACK o PSH, los registros de tráfico con estos marcadores no compatibles darán como resultado un valor 0 de tcp-flags. Sin embargo, si un marcador no compatible va acompañado de un marcador compatible, indicaremos el valor del marcador compatible. Por ejemplo, si ACK forma parte de SYN-ACK, indicará 18. Y si hay un registro como SYN\$1ECE, dado que SYN es un marcador compatible y ECE no, el valor del marcador TCP es 2. Si por alguna razón la combinación de marcadores no es válida y el valor no se puede calcular, el valor es '-'. Si no se envían marcadores, el valor del marcador TCP es 0.Se puede aplicar OR a las marcas TCP durante el intervalo de agregación. Para conexiones breves, los marcadores se pueden establecer en la misma línea en el registro de flujo, por ejemplo 19 para SYN-ACK y FIN y 3 para SYN y FIN. Para ver un ejemplo, consulte [Secuencia de marca TCP](flow-logs-records-examples.md#flow-log-example-tcp-flag).Para obtener información general sobre marcadores TCP (como el significado de marcadores como FIN, SYN y ACK), consulte [TCP segment structure ](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) (Estructura de segmentos TCP) en Wikipedia.**Tipo de datos de Parquet:** INT\$132 | 3 |
| type | El tipo de tráfico. Los valores posibles son: IPv4 \$1 IPv6 \$1 EFA. Para obtener más información, consulte [Elastic Fabric Adapter](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html). **Tipo de datos de Parquet:** STRING | 3 |
| pkt-srcaddr | La dirección IP de origen (original) del nivel de paquete del tráfico. Utilice este campo con el campo srcaddr para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico. Por ejemplo, cuando el tráfico fluye a través de [una interfaz de red para una puerta de enlace NAT](flow-logs-records-examples.md#flow-log-example-nat) o si la dirección IP de un pod de Amazon EKS es distinta de la dirección IP de la interfaz de red del nodo de instancia en el que se ejecuta el pod (para permitir la comunicación dentro de una VPC). **Tipo de datos de Parquet:** STRING | 3 |
| pkt-dstaddr | La dirección IP de destino (original) del nivel de paquete para el tráfico. Utilice este campo con el campo dstaddr para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de destino final del tráfico. Por ejemplo, cuando el tráfico fluye a través de [una interfaz de red para una puerta de enlace NAT](flow-logs-records-examples.md#flow-log-example-nat) o si la dirección IP de un pod de Amazon EKS es distinta de la dirección IP de la interfaz de red del nodo de instancia en el que se ejecuta el pod (para permitir la comunicación dentro de una VPC). **Tipo de datos de Parquet:** STRING | 3 |
| region | La región que contiene la interfaz de red para la que se registra el tráfico. **Tipo de datos de Parquet:** STRING | 4 |
| az-id | El ID de la zona de disponibilidad que contiene la interfaz de red para la que se registra el tráfico. Si el tráfico procede de una ubicación secundaria, el registro muestra un símbolo '-' en este campo. **Tipo de datos de Parquet:** STRING | 4 |
| sublocation-type | El tipo de ubicación secundaria que se devuelve en el sublocation-id campo. Los valores posibles son: [ longitud de onda ](https://aws.amazon.com/wavelength/) \$1 [ outpost](https://docs.aws.amazon.com/outposts/latest/userguide/) \$1 [ zona local ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones). Si el tráfico no procede de una ubicación secundaria, el registro muestra un símbolo '-' en este campo. **Tipo de datos de Parquet:** STRING | 4 |
| sublocation-id | El ID de la ubicación secundaria que contiene la interfaz de red para la que se registra el tráfico. Si el tráfico no procede de una ubicación secundaria, el registro muestra un símbolo '-' en este campo. **Tipo de datos de Parquet:** STRING | 4 |
| pkt-src-aws-service | El nombre del subconjunto de [intervalos de direcciones IP](aws-ip-ranges.md) para el campo pkt-srcaddr, si la dirección IP de origen está destinada a un servicio de AWS. Si la dirección IP de origen pertenece a un [rango superpuesto](aws-ip-syntax.md#aws-ip-range-overlaps), pkt-src-aws-service muestra solo uno de los códigos de servicio de AWS. Los valores posibles son: `AMAZON` \$1 `AMAZON_APPFLOW` \$1 `AMAZON_CONNECT` \$1 `API_GATEWAY` \$1 `AURORA_DSQL` \$1 `CHIME_MEETINGS` \$1 `CHIME_VOICECONNECTOR` \$1 `CLOUD9` \$1 `CLOUDFRONT` \$1 `CLOUDFRONT_ORIGIN_FACING` \$1 `CODEBUILD` \$1 `DYNAMODB` \$1 `EBS` \$1 `EC2` \$1 `EC2_INSTANCE_CONNECT` \$1 `GLOBALACCELERATOR` \$1 `IVS_LOW_LATENCY` \$1 `IVS_REALTIME` \$1 `KINESIS_VIDEO_STREAMS` \$1 `MEDIA_PACKAGE_V2` \$1 `ROUTE53` \$1 `ROUTE53_HEALTHCHECKS` \$1 `ROUTE53_HEALTHCHECKS_PUBLISHING` \$1 `ROUTE53_RESOLVER` \$1 `S3` \$1 `WORKSPACES_GATEWAYS`. **Tipo de datos de Parquet:** STRING | 5 |
| pkt-dst-aws-service | El nombre del subconjunto de intervalos de direcciones IP para el campo pkt-dstaddr, si la dirección IP de destino está destinada a un servicio de AWS. Para obtener una lista de posibles valores, consulte el campo pkt-src-aws-service. **Tipo de datos de Parquet:** STRING | 5 |
| flow-direction | La dirección del flujo con respecto a la interfaz donde se captura el tráfico. Los valores posibles son: ingress \$1 egress. **Tipo de datos de Parquet:** STRING | 5 |
| traffic-path | La ruta que el tráfico de salida toma al destino. Para determinar si el tráfico es de salida, marque el flow-direction campo. Los valores posibles son los siguientes: Si no se aplica ninguno de los valores, el campo se establece en -. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/flow-log-records.html) **Tipo de datos de Parquet:** INT\$132 | 5 |
| ecs-cluster-arn | Nombre de recurso (ARN) de AWS del clúster de ECS si el tráfico proviene de una tarea de ECS en ejecución. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters.Tipo de datos de Parquet: STRING | 7 |
| ecs-cluster-name | Nombre del clúster de ECS si el tráfico proviene de una tarea de ECS en ejecución. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters.Tipo de datos de Parquet: STRING | 7 |
| ecs-container-instance-arn | ARN de la instancia de contenedor de ECS si el tráfico proviene de una tarea de ECS en ejecución en una instancia de EC2. Si el proveedor de capacidad lo es AWS Fargate, este campo será '-'. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters y ecs:ListContainerInstances. Tipo de datos de Parquet: STRING | 7 |
| ecs-container-instance-id | ID de la instancia de contenedor de ECS si el tráfico proviene de una tarea de ECS en ejecución en una instancia de EC2. Si el proveedor de capacidad lo es AWS Fargate, este campo será '-'. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters y ecs:ListContainerInstances. Tipo de datos de Parquet: STRING | 7 |
| ecs-container-id | ID de tiempo de ejecución de Docker del contenedor si el tráfico proviene de una tarea de ECS en ejecución. Si hay uno o más contenedores en la tarea de ECS, este será el ID de tiempo de ejecución de Docker del primer contenedor. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters. Tipo de datos de Parquet: STRING | 7 |
| ecs-second-container-id | ID de tiempo de ejecución de Docker del contenedor si el tráfico proviene de una tarea de ECS en ejecución. Si hay más de un contenedor en la tarea de ECS, este será el ID de tiempo de ejecución de Docker del segundo contenedor. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters. Tipo de datos de Parquet: STRING | 7 |
| ecs-service-name | Nombre del servicio de ECS si el tráfico proviene de una tarea de ECS en ejecución y esta tarea la inicia un servicio de ECS. Si la tarea de ECS no la inicia un servicio de ECS, este campo será '-'. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters y ecs:ListServices. Tipo de datos de Parquet: STRING | 7 |
| ecs-task-definition-arn | ARN de la definición de la tarea de ECS si el tráfico proviene de una tarea de ECS en ejecución. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters y ecs:ListTaskDefinitions. Tipo de datos de Parquet: STRING | 7 |
| ecs-task-arn | ARN de la tarea de ECS si el tráfico proviene de una tarea de ECS en ejecución. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters y ecs:ListTasks. Tipo de datos de Parquet: STRING | 7 |
| ecs-task-id | ID de la tarea de ECS si el tráfico proviene de una tarea de ECS en ejecución. Para incluir este campo en su suscripción, necesita permiso para llamar a ecs:ListClusters y ecs:ListTasks. Tipo de datos de Parquet: STRING | 7 |
| reject-reason | Motivo por el que se ha rechazado el tráfico. Valores posibles: BPA y EC. Devuelve un '-' por cualquier otro motivo de rechazo. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/flow-log-records.html) **Tipo de datos de Parquet:** STRING | 8 |
| resource-id | El ID de la puerta de enlace NAT regional que contiene la interfaz de red para la cual se registra el tráfico. Devuelve el símbolo “-” para los flujos de tráfico que no están asociados a una puerta de enlace NAT regional. Para obtener más información sobre las puertas de enlace NAT regionales, consulte [Puertas de enlace NAT regionales para la expansión automática en varias zonas de disponibilidad](nat-gateways-regional.md). **Tipo de datos de Parquet:** STRING | 9 |
| encryption-status | Estado de cifrado del flujo. Para obtener más información sobre los controles de cifrado de VPC, consulte [Aplicación del cifrado del tráfico en tránsito en VPC](vpc-encryption-controls.md). Los valores posibles son: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/flow-log-records.html) El valor es “-” si los controles de cifrado de VPC no están habilitados o si FlowLog no puede obtener el estado. \$1 En el caso de los puntos de conexión de interfaz y de puerta de enlace, AWS no examina los datos de los paquetes para determinar el estado de cifrado; en su lugar, se basa en el puerto utilizado para inferir el estado de cifrado. \$1\$1 Para los puntos de conexión administrados por AWS especificados, AWS determina el estado de cifrado en función del requisito de TLS en la configuración del servicio. **Tipo de datos de Parquet:** INT\$132 | 10 |
# Ejemplos de registros de log de flujo
A continuación se muestran ejemplos de registros de logs de flujo que capturan flujos de tráfico específicos.
Para obtener información sobre el formato de entradas de registro de flujo, consulte [Registros de log de flujo](flow-log-records.md). Para obtener información sobre cómo crear registros de flujo, consulte [Trabajo con registros de flujo](working-with-flow-logs.md).
**Topics**
+ [Tráfico aceptado y rechazado](#flow-log-example-accepted-rejected)
+ [Registros sin datos y omitidos](#flow-log-example-no-data)
+ [Reglas de grupos de seguridad y ACL de red](#flow-log-example-security-groups)
+ [Tráfico IPv6](#flow-log-example-ipv6)
+ [Secuencia de marca TCP](#flow-log-example-tcp-flag)
+ [Tráfico a través de una puerta de enlace NAT zonal](#flow-log-example-nat)
+ [Tráfico a través de una puerta de enlace NAT regional](#flow-log-example-regional-nat)
+ [Tráfico a través de una transit puerta de enlace](#flow-log-example-tgw)
+ [Nombre del servicio, ruta de tráfico y dirección del flujo](#flow-log-example-traffic-path)
## Tráfico aceptado y rechazado
Los siguientes ejemplos son registros de logs de flujo predeterminados.
En este ejemplo, se permitió el tráfico SSH (puerto de destino 22, protocolo TCP) desde la dirección IP 172.31.16.139 a la interfaz de red con la dirección IP privada 172.31.16.21 y el ID eni-1235b8ca123456789 en la cuenta 123456789010.
```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
```
En este ejemplo, se ha rechazado el tráfico RDP (puerto de destino 3389, protocolo TCP) a la interfaz de red eni-1235b8ca123456789 en la cuenta 123456789010.
```
2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
```
## Registros sin datos y omitidos
Los siguientes ejemplos son registros de logs de flujo predeterminados.
En este ejemplo, no se registraron datos durante el intervalo de agregación.
```
2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA
```
Los registros de flujo de la VPC omite registros cuando no puede capturar datos del registro de flujo durante un intervalo de integración porque supera la capacidad interna. Un único registro que se omita puede representar varios flujos que no se capturaron para la interfaz de red durante el intervalo de integración.
```
2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA
```
**nota**
Pueden omitirse algunos informes de registros de flujo durante el intervalo de agregación (consulte *log-status* en [Campos disponibles](flow-log-records.md#flow-logs-fields)). Esto puede deberse a una restricción de capacidad interna de AWS o a un error interno. Si utiliza AWS Cost Explorer para ver los cargos de los registros de flujo de la VPC y se omitieron algunos registros de flujo durante el intervalo de agregación de estos registros, el número de registros en el informe de AWS Cost Explorer será mayor que el número de registros de flujo que informe Amazon VPC.
## Reglas de grupos de seguridad y ACL de red
Si va a utilizar logs de flujo para diagnosticar reglas excesivamente restrictivas o permisivas de grupos de seguridad o ACL de red, tenga en cuenta el estado de estos recursos. Los grupos de seguridad son grupos con estado: esto significa que las respuestas al tráfico permitido también están permitidas, incluso si las reglas del grupo de seguridad no lo permiten. Por otro lado, las ACL de red son sin estado, y por lo tanto las respuestas al tráfico permitido están sujetas a las reglas de la ACL de red.
Por ejemplo, supongamos que utiliza el comando **ping** desde su equipo doméstico (la dirección IP es 203.0.113.12) hasta su instancia (la dirección IP privada de la interfaz de red es 172.31.16.139). Las reglas entrantes del grupo de seguridad permiten el tráfico ICMP, pero las reglas salientes no permiten el tráfico ICMP. Dado que los grupos de seguridad son grupos con estado, se permite el ping de respuesta de su instancia. Su ACL de red permite el tráfico ICMP entrante, pero no permite el tráfico ICMP saliente. Puesto que las ACL de red son sin estado, se descarta el ping de respuesta y no llegará a su equipo doméstico. En un log de flujo predeterminado, esto se muestra como dos registros de logs de flujo:
+ Un registro de ACCEPT para el ping de origen que han permitido tanto la ACL de red como el grupo de seguridad, y que por tanto puede llegar a su instancia.
+ Un registro de REJECT para el ping de respuesta que ha denegado la ACL de red.
```
2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
```
```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
```
Si su ACL de red permite el tráfico ICMP saliente, el log de flujo muestra dos registros ACCEPT (uno para el ping de origen y otro para el ping de respuesta). Si su grupo de seguridad deniega el tráfico ICMP entrante, el log de flujo mostrará un único recurso REJECT, ya que el tráfico no tiene permiso para llegar a su instancia.
## Tráfico IPv6
A continuación se muestra un ejemplo de un registro de log de flujo predeterminado. En el ejemplo, se permitió el tráfico SSH (puerto 22) desde la dirección IPv6 2001:db8:1234:a100:8d6e:3477:df66:f105 a la interfaz de red eni-1235b8ca123456789 en la cuenta 123456789010.
```
2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK
```
## Secuencia de marca TCP
Esta sección contiene ejemplos de registros de flujo personalizados que capturan los siguientes campos en el orden que se indica a continuación.
```
version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status
```
La tcp-flags de los ejemplos de esta sección están representados por el segundo al último valor del registro de flujo. Los marcadores TCP pueden ayudarlo a identificar la dirección del tráfico, por ejemplo, el servidor que inició la conexión.
**nota**
Para obtener más información sobre las opciones de tcp-flags y una explicación de cada uno de los marcadores TCP, consulte [Campos disponibles](flow-log-records.md#flow-logs-fields).
En los registros siguientes (empezando a las 7:47:55 PM y terminando a las 7:48:53 PM), un cliente inició dos conexiones a un servidor que se ejecuta en el puerto 5001. El servidor recibió dos marcas SYN (2) del cliente desde puertos de origen distintos en el cliente (43416 y 43418). Para cada SYN, se envió una marca SYN-ACK desde el servidor al cliente (18) en el puerto correspondiente.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK
```
En el segundo intervalo de agregación, una de las conexiones que se estableció durante el flujo anterior ahora está cerrada. El servidor envió una marca FIN (1) al cliente para la conexión en el puerto 43418. El cliente respondió con una FIN al servidor en el puerto 43418.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK
```
En las conexiones breves (de unos cuantos segundos, por ejemplo) que se abren y cierran en un mismo intervalo de agregación, las marcas podrían establecerse en la misma línea del registro del flujo de tráfico que tiene lugar en la misma dirección. En el ejemplo siguiente, la conexión se establece y termina en el mismo intervalo de agregación. En la primera línea, el valor de la marca TCP es 3, que indica que se envió SYN y un mensaje FIN desde el cliente al servidor. En la segunda línea, el valor de la marca TCP es 19, que indica que se envió SYN-ACK y un mensaje FIN desde el servidor al cliente
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK
```
## Tráfico a través de una puerta de enlace NAT zonal
En este ejemplo, una instancia en una subred privada accede a Internet a través de una puerta de enlace NAT zonal que se encuentra en una subred pública.
![\[Acceso a Internet a través de una puerta de enlace NAT zonal\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/flow-log-nat-gateway.png)
El siguiente registro de flujo personalizado de la interfaz de red de la puerta de enlace NAT zonal captura los siguientes campos en el siguiente orden.
```
instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```
El registro de flujo muestra el flujo de tráfico desde la dirección IP de la instancia (10.0.1.5), a través de la interfaz de red de la puerta de enlace NAT zonal, hasta un host en Internet (203.0.113.5). La interfaz de red de la puerta de enlace NAT zonal es una interfaz de red administrada por el solicitante; por lo tanto, el registro del flujo muestra el símbolo “-” en el campo instance-id. La siguiente línea muestra el tráfico desde la instancia de origen hacia la interfaz de red de la puerta de enlace NAT zonal. Los valores para los campos dstaddr y pkt-dstaddr son distintos. El campo dstaddr muestra la dirección IP privada de la interfaz de red de la puerta de enlace NAT zonal, y el campo pkt-dstaddr muestra la dirección IP de destino final del host en Internet.
```
- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5
```
Las dos líneas siguientes muestran el tráfico desde la interfaz de red de la puerta de enlace NAT zonal hacia el host de destino en Internet, así como el tráfico de respuesta del host hacia la interfaz de red de la puerta de enlace NAT.
```
- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5
- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220
```
La siguiente línea muestra el tráfico de respuesta desde la interfaz de red de la puerta de enlace NAT zonal hacia la instancia de origen. Los valores para los campos srcaddr y pkt-srcaddr son distintos. El campo srcaddr muestra la dirección IP privada de la interfaz de red de la puerta de enlace NAT zonal, y el campo pkt-srcaddr muestra la dirección IP del host en Internet.
```
- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5
```
Puede crear otro log de flujo personalizado utilizando el mismo conjunto de campos que con anterioridad. Puede crear el log de flujo para la interfaz de red para la instancia en la subred privada. En este caso, el campo instance-id devuelve el ID de la instancia que está asociado a la interfaz de red y no hay ninguna diferencia entre los campos dstaddr y pkt-dstaddr y los campos srcaddr y pkt-srcaddr. A diferencia de la interfaz de red de la puerta de enlace NAT zonal, esta interfaz de red no es una interfaz intermedia para el tráfico
```
i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```
## Tráfico a través de una puerta de enlace NAT regional
Una puerta de enlace NAT regional se puede conectar a varias subredes en distintas zonas de disponibilidad. En este ejemplo, dos instancias en subredes privadas de dos zonas de disponibilidad diferentes acceden a Internet a través de la misma puerta de enlace NAT regional. Los siguientes registros de flujo muestran el tráfico desde una de las instancias hacia Internet a través de la puerta de enlace NAT regional.
![\[Acceso a Internet a través de una puerta de enlace NAT regional\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/flow-log-regional-nat-gateway.png)
El siguiente registro de flujo personalizado de la puerta de enlace NAT regional captura los siguientes campos en el siguiente orden.
```
resource-id instance-id interface-id subnet-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```
El registro de flujo muestra el flujo de tráfico desde la dirección IP de la instancia (10.0.1.5), a través de la puerta de enlace NAT regional, hasta un host en Internet (203.0.113.5). Los campos instance-id, interface-id y subnet-id no se aplican a la puerta de enlace NAT regional. Por lo tanto, el registro del flujo muestra el símbolo “-” en estos campos. En su lugar, el campo resource-id muestra el ID de la puerta de enlace NAT regional. Los campos dstaddr y pkt-dstaddr muestran la dirección IP de destino final del host en Internet.
```
nat-1234567890abcdef - - - 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5
```
Las dos líneas siguientes muestran el tráfico desde la puerta de enlace NAT regional (dirección IP pública 107.22.182.139) hacia el host de destino en Internet, así como el tráfico de respuesta desde el host hacia la puerta de enlace NAT regional.
```
nat-1234567890abcdef - - - 107.22.182.139 203.0.113.5 107.22.182.139 203.0.113.5
nat-1234567890abcdef - - - 203.0.113.5 107.22.182.139 203.0.113.5 107.22.182.139
```
La siguiente línea muestra el tráfico de respuesta desde la puerta de enlace NAT regional hacia la instancia de origen. Los campos srcaddr y pkt-srcaddr muestran la dirección IP del host en Internet.
```
nat-1234567890abcdef - - - 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5
```
Puede crear otro log de flujo personalizado utilizando el mismo conjunto de campos que con anterioridad. Puede crear el log de flujo para la interfaz de red para la instancia en la subred privada. En este caso, el campo instance-id devuelve el ID de la instancia asociada a la interfaz de red, y el resource-id es “-”. No existe ninguna diferencia entre los campos dstaddr y pkt-dstaddr y los campos srcaddr y pkt-srcaddr.
```
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```
## Tráfico a través de una transit puerta de enlace
En este ejemplo, un cliente en VPC A se conecta a un servidor web en VPC B a través de una transit puerta de enlace. El cliente y el servidor están en zonas de disponibilidad distintas. El tráfico llega al servidor de la VPC B utilizando un ID de interfaz de red elástica (en este ejemplo, supongamos que el ID es eni-11111111111111111) y deja la VPC B usando otro (por ejemplo, eni-22222222222222222).
![\[Tráfico a través de una transit puerta de enlace\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/flow-log-tgw.png)
Puede crear un log de flujo personalizado para VPC B con el formato siguiente.
```
version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status
```
Las líneas siguientes de los registros de logs de flujo muestran el flujo de tráfico en la interfaz de red para el servidor web. La primera línea es el tráfico de solicitudes del cliente y la última línea es el tráfico de respuesta del servidor web.
```
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
...
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```
La línea siguiente es el tráfico de solicitudes en eni-11111111111111111, una interfaz de red administrada el por solicitante para la transit puerta de enlace en la subred subnet-11111111aaaaaaaaa. El registro de logs de flujo por tanto muestra un símbolo «-» para el campo instance-id. El campo srcaddr muestra la dirección IP privada de la interfaz de red de transit puerta de enlace y el campo pkt-srcaddr muestra la dirección IP de origen del cliente en VPC A.
```
3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
```
La línea siguiente es el tráfico de respuesta en eni-22222222222222222, una interfaz de red administrada por el solicitante para la transit puerta de enlace en la subred subnet-22222222bbbbbbbbb. El campo dstaddr muestra la dirección IP privada de la interfaz de red de transit puerta de enlace y el campo pkt-dstaddr muestra la dirección IP del cliente en VPC A.
```
3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```
## Nombre del servicio, ruta de tráfico y dirección del flujo
A continuación se presenta un ejemplo de los campos para un registro de log de flujo personalizado.
```
version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status
```
En el ejemplo siguiente, la versión es 5 porque los registros incluyen campos de la versión 5. Una instancia EC2 llama al servicio Amazon S3. Los logs de flujo se capturan en la interfaz de red de la instancia. El primer registro tiene una dirección de flujo de ingress y el segundo registro tiene una dirección de flujo de egress. Para el registro egress, traffic-path es 8, lo que indica que el tráfico pasa a través de un puerta de enlace de Internet. El campo traffic-path no es compatible con el tráfico de ingress. Cuando pkt-srcaddr o pkt-dstaddr es una dirección IP pública, se muestra el nombre del servicio.
```
5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK
5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK
```
# Limitaciones de los logs de flujo
Para utilizar los logs de flujo, debe conocer las siguientes limitaciones:
+ Después de crear un registro de flujo, no verá los datos del registro de flujo hasta que haya tráfico activo para la interfaz de red, subred o VPC que haya seleccionado.
+ No se pueden habilitar los logs de flujo para VPC interconectadas con su VPC a menos que la VPC del mismo nivel se encuentre en su cuenta.
+ Después de crear un registro de flujo, no podrá cambiar su configuración ni su formato de registro. Por ejemplo, no puede asociar un rol de IAM diferente con el registro de flujo ni agregar o quitar campos en la entrada de registro de flujo. En su lugar, puede eliminar el log de flujo y crear uno nuevo con la configuración necesaria.
+ Si su interfaz de red tiene varias direcciones IPv4 y el tráfico se envía a una dirección IPv4 privada secundaria, el log de flujo mostrará la dirección IPv4 privada principal en el campo `dstaddr`. Para capturar la dirección IP de destino original, cree un log de flujo con el campo `pkt-dstaddr`.
+ Si el tráfico se envía a una interfaz de red y el destino no es ninguna de las direcciones IP de la interfaz de red, el log de flujo muestra la dirección IPv4 privada principal en el campo `dstaddr`. Para capturar la dirección IP de destino original, cree un log de flujo con el campo `pkt-dstaddr`.
+ Si el tráfico se envía a una interfaz de red y el origen no es ninguna de sus direcciones IP, cuando el registro sea para un flujo de salida, el registro de flujos muestra la dirección IPv4 privada principal en el campo `srcaddr`. Para capturar la dirección IP de origen original, cree un log de flujo con el campo `pkt-srcaddr`. Si el registro es para un flujo de entrada a la interfaz de red, la IP privada principal de la interfaz de red no se mostrará en el campo `srcaddr`.
+ Cuando la interfaz de red está asociada a una [instancia basada en Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), el intervalo de agregación siempre es igual o menor a 1 minuto, independientemente del intervalo máximo de agregación especificado.
+ Para los campos `pkt-srcaddr` y `pkt-dstaddr`, si la capa intermedia tiene habilitada la conservación de la dirección IP del cliente, en este campo se puede mostrar la IP del cliente conservada en lugar de la dirección IP de la capa intermedia.
+ En el caso del campo `traffic-path`, el valor es el mismo para los flujos que pasan por los recursos de la misma VPC y los flujos que pasan por una puerta de enlace local de Outpost.
+ Pueden omitirse algunos informes de registros de flujo durante el intervalo de agregación (consulte *log-status* en [Campos disponibles](flow-log-records.md#flow-logs-fields)). Esto puede deberse a una restricción de capacidad interna de AWS o a un error interno. Si utiliza AWS Cost Explorer para ver los cargos de los registros de flujo de la VPC y se omitieron algunos registros de flujo durante el intervalo de agregación de estos registros, el número de registros en el informe de AWS Cost Explorer será mayor que el número de registros de flujo que informe Amazon VPC.
+ Si utiliza el [bloqueo de acceso público (BPA) de la VPC](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl):
+ Los registros de flujo del BPA de la VPC no incluyen los [registros omitidos](flow-logs-records-examples.md#flow-log-example-no-data).
+ Los registros de flujo del BPA de la VPC no incluyen [`bytes`](flow-log-records.md#flow-logs-fields) incluso si incorpora el campo `bytes` en el registro de flujo.
Los logs de flujo no capturan todo el tráfico IP. Los siguientes tipos de tráfico no se registran:
+ Tráfico generado por instancias al contactar con el servidor DNS de Amazon. Si utiliza su propio servidor DNS, sí se registrará el tráfico a ese servidor DNS.
+ Tráfico generado por una instancia de Windows para la activación de licencia de Windows para Amazon.
+ Tráfico entrante y saliente de `169.254.169.254` para metadatos de instancias.
+ Tráfico entrante y saliente de `169.254.169.123` para el Servicio de sincronización temporal de Amazon.
+ Tráfico DHCP.
+ Tráfico de origen [reflejado](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-how-it-works.html). Verá el tráfico reflejado únicamente en el tráfico de destino.
+ Tráfico a la dirección IP reservada para el router VPC predeterminado.
+ El tráfico entre una interfaz de red de punto de enlace y una interfaz de red de Network Load Balancer.
+ Tráfico del Protocolo de resolución de direcciones (ARP).
+ Tráfico en una puerta de enlace NAT regional de corta duración, que se elimina unos minutos después de su creación.
Limitaciones específicas de los campos de ECS disponibles en la versión 7:
+ Los campos de ECS no se calculan si las tareas de ECS subyacentes no son propiedad del propietario de la suscripción del registro de flujo. Por ejemplo, si comparte una subred (`SubnetA`) con otra cuenta (`AccountB`) y, a continuación, crea una suscripción de registro de flujo para `SubnetA`, si`AccountB` inicia tareas de ECS en la subred compartida, su suscripción recibirá los registros de tráfico de las tareas de ECS iniciadas por `AccountB`, pero los campos de ECS de estos registros no se calcularán por motivos de seguridad.
+ Si crea suscripciones de registro de flujo con campos de ECS en el nivel de recursos de VPC/subred, cualquier tráfico generado para las interfaces de red que no sean de ECS también se entregará a sus suscripciones. Los valores de los campos de ECS serán '-' para el tráfico IP que no sea de ECS. Por ejemplo, tiene una subred (`subnet-000000`) y crea una suscripción de registro de flujo para esta subred con campos de ECS (`fl-00000000`). En `subnet-000000`, usted inicia una instancia EC2 (`i-0000000`) que está conectada a Internet y genera tráfico IP de forma activa. También inicia una tarea de ECS en ejecución (`ECS-Task-1`) en la misma subred. Como `i-0000000` y `ECS-Task-1` generan tráfico IP, su suscripción de registros de flujo `fl-00000000` proporcionará los registros de tráfico de ambas entidades. Sin embargo, solo `ECS-Task-1` tendrá metadatos de ECS reales para los campos de ECS que haya incluido en su formato de registro. Para el tráfico relacionado de `i-0000000`, estos campos tendrán un valor de '-'.
+ `ecs-container-id` y `ecs-second-container-id` se ordenan a medida que el servicio de registros de flujo de la VPC los recibe del flujo de eventos de ECS. No se garantiza que estén en el mismo orden en que aparecen en la consola ECS o en la llamada a la API DescribetTask. Si un contenedor pasa al estado DETENIDO mientras la tarea aún se está ejecutando, es posible que siga apareciendo en su registro.
+ Los metadatos del ECS y los registros de tráfico IP provienen de dos fuentes diferentes. Empezamos a calcular su tráfico de ECS en cuanto obtenemos toda la información necesaria de las dependencias principales. Después de iniciar una nueva tarea, empezamos a calcular los campos de ECS 1) cuando recibimos el tráfico IP de la interfaz de red subyacente y 2) cuando recibimos el evento de ECS que contiene los metadatos de la tarea de ECS para indicar que esta se está ejecutando. Después de detener una tarea, empezamos a calcular los campos de ECS 1) cuando ya no recibimos el tráfico IP de la interfaz de red subyacente o recibimos tráfico de IP que tiene una demora superior a un día y 2) cuando recibimos el evento de ECS que contiene los metadatos de la tarea de ECS para indicar que esta ya no se está ejecutando.
+ Solo se admiten las tareas de ECS iniciadas en [modo de red](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) de `awsvpc`.
Limitaciones específicas del campo `encryption-status`:
+ El estado de cifrado puede ser “-” (no disponible) en algunos flujos, debido a la limitación de algunos dispositivos de red para informar el estado de cifrado. Los usuarios pueden ignorar estos flujos en el análisis.
+ Que se muestre como cifrado en el modo de supervisión no significa que el flujo se permita en el modo de aplicación. Y viceversa.
+ Si un flujo está cifrado en el modo de supervisión, es posible que no cumpla los requisitos en el modo de aplicación:
+ Si el flujo implica una ENI creada por un servicio de AWS, el servicio debe admitir los controles de cifrado.
+ Si el flujo pasa por el emparejamiento de VPC, la VPC emparejada puede no aplicar los controles de cifrado.
+ Si un flujo no está cifrado en el modo de supervisión, aun así puede cumplir los requisitos en el modo de aplicación, siempre que el servicio relacionado con el flujo se haya agregado como una exclusión.
## Precios
Se aplican costos por archivo e ingesta de datos para los registros distribuidos cuando se publican registros de flujo. Para obtener más información acerca de los precios de publicación de registros distribuidos, abra [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/), seleccione **Logs** (Registros) y busque **Vended Logs** (Registros distribuidos).
Para realizar un seguimiento de los cargos de publicación de los registros de flujo, puede aplicar etiquetas de asignación de costos al recurso de destino. A partir de entonces, el informe de asignación de costos de AWS incluirá el uso y los costos agregados por estas etiquetas. Puede aplicar etiquetas que representen categorías de negocio (por ejemplo, centros de costos, nombres de aplicación o propietarios) para organizar los costos. Para obtener más información, consulte los siguientes temas:
+ [Uso de etiquetas de asignación de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing*.
+ [Etiquetado de grupos de registro de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#log-group-tagging) en la *Guía del usuario de Amazon CloudWatch Logs*
+ [Uso de etiquetas de buckets de S3 de asignación de costos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) en la *Guía del usuario de Amazon Simple Storage Service*
+ [Etiquetado de flujos de entrega](https://docs.aws.amazon.com/firehose/latest/dev/firehose-tagging.html) en la *Guía para desarrolladores de Amazon Data Firehose*
# Trabajo con registros de flujo
Puede trabajar con registros de flujo con las consolas de Amazon EC2 y Amazon VPC.
**Topics**
+ [1. Control del uso de los registros de flujo con IAM](#controlling-use-of-flow-logs)
+ [2. Crear un log de flujo](#create-flow-log)
+ [3. Etiquetado de un registro de flujo](#modify-tags-flow-logs)
+ [4. Eliminar un registro de flujo](#delete-flow-log)
+ [Descripción general de la línea de comandos](#flow-logs-api-cli)
## 1. Control del uso de los registros de flujo con IAM
De forma predeterminada, los usuarios no tienen permiso para trabajar con registros de flujo. Puede crear un rol de IAM con una política asociada que conceda permisos a los usuarios para crear, describir y eliminar registros de flujo.
A continuación se muestra una política de ejemplo que concede a los usuarios permisos completos para crear, describir y eliminar logs de flujo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
Para obtener más información, consulte [Cómo funciona Amazon VPC con IAM](security_iam_service-with-iam.md).
## 2. Crear un log de flujo
Puede crear registros de flujo para sus VPC, subredes o interfaces de red. Al crear un registro de flujo, debe especificar un destino para el registro de flujo. Para obtener más información, consulte los siguientes temas:
+ [Crear un registro de flujo que se publique en CloudWatch Logs](flow-logs-cwl-create-flow-log.md)
+ [Crear un registro de flujo que se publique en Amazon S3](flow-logs-s3-create-flow-log.md)
+ [Crear un registro de flujo que publique en Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)
## 3. Etiquetado de un registro de flujo
Puede agregar o eliminar etiquetas de un registro de flujo en cualquier momento.
**Para administrar las etiquetas de un registro de flujo**
1. Realice una de las siguientes acciones:
+ Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). En el panel de navegación, elija **Network Interfaces**. Seleccione la casilla de verificación de la interfaz de red.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Your VPCs** (Sus VPC). Seleccione la casilla de verificación de la VPC.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Subnets (Subredes)**. Seleccione la casilla de verificación de la subred.
1. Elija **Flow Logs** (Registros de flujo).
1. Elija **Actions** (Acciones) y, a continuación, **Manage tags** (Administrar etiquetas).
1. Para agregar una etiqueta nueva, elija **Add new tag** (Agregar nueva etiqueta) y, a continuación, ingrese la clave y el valor. Para eliminar una etiqueta, elija **Eliminar**.
1. Cuando termine de agregar o quitar las etiquetas, elija **Save** (Guardar).
## 4. Eliminar un registro de flujo
Puede eliminar un registro de flujo en cualquier momento. Tras haber eliminado un registro de flujo, puede que se necesiten varios minutos para que se dejen de recopilar los datos.
La eliminación de un registro de flujo no elimina los datos del registro del destino ni modifica el recurso de destino. Debe eliminar los datos del registro de flujo existentes directamente desde el destino y borrar el recurso de destino mediante la consola del servicio de destino.
**Para eliminar un registro de flujo**
1. Realice una de las siguientes acciones:
+ Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). En el panel de navegación, elija **Network Interfaces**. Seleccione la casilla de verificación de la interfaz de red.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Your VPCs** (Sus VPC). Seleccione la casilla de verificación de la VPC.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Subnets (Subredes)**. Seleccione la casilla de verificación de la subred.
1. Elija **Flow Logs** (Registros de flujo).
1. Elija **Actions** (Acciones), **Delete flow logs** (Eliminar registros de flujo).
1. Cuando se le pida confirmación, escriba **delete** y elija **Delete** (Eliminar).
## Descripción general de la línea de comandos
Puede utilizar la línea de comandos para realizar las tareas descritas en esta página.
**Crear un registro de flujo**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Describir un registro de flujo**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Etiquetado de un registro de flujo**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) y [delete-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) y [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html) (AWS Tools for Windows PowerShell)
**Eliminar un registro de flujo**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# Publicar registros de flujo en CloudWatch Logs
Los registros de flujo pueden publicar datos de registro de flujo directamente en Amazon CloudWatch. Amazon CloudWatch es un servicio integral de supervisión y observabilidad. Recopila y rastrea métricas, registros y datos de eventos de varios recursos de AWS, como así también de las aplicaciones y los servicios propios. CloudWatch brinda información sobre la utilización de los recursos, el rendimiento de las aplicaciones y el estado operacional, lo que permite detectar y responder a los cambios y a los posibles problemas del rendimiento de todo el sistema. Con CloudWatch, puede establecer alarmas, visualizar los registros y las métricas y responder automáticamente para recopilar y optimizar sus recursos en la nube. Es una herramienta esencial para asegurar la fiabilidad, la disponibilidad y el rendimiento de sus aplicaciones e infraestructura en la nube.
Al publicar en CloudWatch Logs, los datos de registro de flujo se publican en un grupo de registros y cada interfaz de red tiene una secuencia de registro única en el grupo de registros. Los flujos de logs contienen registros de logs de flujo. Puede crear varios logs de flujo que publiquen datos en el mismo grupo de logs. Si la misma interfaz de red está presente en uno o varios logs de flujo en el mismo grupo de logs, tendrá un flujo de logs combinado. Si ha especificado que un log de flujo debe capturar el tráfico rechazado y otro log de flujo debe capturar el tráfico aceptado, el flujo de logs combinado capturará todo el tráfico.
En CloudWatch Logs, el campo **timestamp (marca temporal)** corresponde a la hora de inicio capturada en la entrada de registro de flujo. El campo **ingestionTime** indica la fecha y hora en que CloudWatch Logs recibió la entrada de registro de flujo. Esta marca de tiempo es posterior a la hora de finalización capturada en el registro de flujo.
Para obtener más información acerca de CloudWatch Logs, consulte [Registros enviados a CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) en la *Guía del usuario de Amazon CloudWatch Logs*.
**Precios**
Se aplican costos por incorporación y archivo de datos para los registros a la venta cuando se publican registros de flujo en CloudWatch Logs. Para obtener más información, abra [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/) seleccione **Logs** (Registros) y consulte **Vended Logs** (Registros distribuidos).
**Topics**
+ [Rol de IAM para publicar registros de flujo en CloudWatch Logs](flow-logs-iam-role.md)
+ [Crear un registro de flujo que se publique en CloudWatch Logs](flow-logs-cwl-create-flow-log.md)
+ [Visualización de los informes de los registros de flujo con Registros CloudWatch](view-flow-log-records-cwl.md)
+ [Buscar entradas de registros de flujo](search-flow-log-records-cwl.md)
+ [Procesar entradas de registro de flujo en CloudWatch Logs](process-records-cwl.md)
# Rol de IAM para publicar registros de flujo en CloudWatch Logs
El rol de IAM asociado con el registro de flujo debe tener permisos suficientes para publicar registros de flujo en el grupo de registro especificado en CloudWatch Logs. El rol de IAM debe pertenecer a la cuenta de AWS.
La política de IAM asociada al rol de IAM debe incluir al menos los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Asegúrese de que el rol posee la siguiente política de confianza, la cual permite al servicio de registros de flujo asumir ese rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Le recomendamos que utilice las claves de condición `aws:SourceAccount` y `aws:SourceArn` para protegerse contra el [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Por ejemplo, podría agregar el siguiente bloque de condición a la política de confianza anterior. La cuenta fuente es la propietaria del registro de flujo y el ARN fuente es el ARN del registro de flujo. Si no conoce el ID del registro de flujo, puede reemplazar esa parte del ARN por un comodín (\$1) y, a continuación, actualizar la política después de crear el registro de flujo.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Crear un rol de IAM para registros de flujo
Se puede actualizar un rol existente tal como se ha descrito anteriormente. También puede emplear el siguiente procedimiento para crear un nuevo rol y usarlo con los registros de flujo. Especificará esta función al crear el registro de flujo.
**Para crear un rol de IAM para registros de flujo**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Create Policy** (Crear política).
1. En la página **Create policy (Crear política)**, haga lo siguiente:
1. Elija **JSON**.
1. Reemplace el contenido de esta ventana por la política de permisos que aparece al principio de esta sección.
1. Elija **Siguiente**.
1. Introduzca un nombre para su política y una descripción y etiquetas opcionales y, a continuación, elija **Create policy** (Crear política).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Creación de rol**.
1. En **Trusted entity type** (Tipo de entidad de confianza), elija **Custom trust policy** (Política de confianza personalizada). En **Custom trust policy** (Política de confianza personalizada), reemplace `"Principal": {},` con lo siguiente y luego elija **Next** (Siguiente).
```
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
```
1. En la página **Add permissions** (Agregar permisos), seleccione la casilla de verificación de la política que creó anteriormente en este procedimiento y luego elija **Next** (Siguiente).
1. Ingrese un nombre para el rol y, opcionalmente, especifique una descripción.
1. Elija **Create role (Crear rol)**.
# Crear un registro de flujo que se publique en CloudWatch Logs
Puede crear registros de flujo para sus VPC, subredes o interfaces de red. Si sigue estos pasos como usuario empleando un determinado rol de IAM, asegúrese de que el rol tenga permisos para utilizar la acción `iam:PassRole`.
**Requisito previo**
Compruebe que la entidad principal de IAM que está utilizando para realizar la solicitud tenga los permisos para llamar la acción de `iam:PassRole`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
**Para crear un registro de flujo mediante la consola**
1. Realice una de las siguientes acciones:
+ Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). En el panel de navegación, elija **Network Interfaces**. Seleccione la casilla de verificación de la interfaz de red.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Your VPCs** (Sus VPC). Seleccione la casilla de verificación de la VPC.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Subnets (Subredes)**. Seleccione la casilla de verificación de la subred.
1. Seleccione **Actions** (Acciones) y, a continuación, **Create flow log** (Crear registro de flujo).
1. Para **Filter (Filtro)**, especifique el tipo de tráfico que desea registrar. Elija **All (Todos)** para registrar el tráfico aceptado y rechazado, **Reject (Rechazar)** a fin de registrar sólo el tráfico rechazado o **Accept (Aceptar)** con el objetivo de registrar sólo el tráfico aceptado.
1. En **Maximum aggregation interval (Intervalo máximo de agregación)**, elija el período de tiempo máximo durante el que se va a capturar el flujo y se va a agregar a un registro de flujo.
1. En **Destination (Destino)**, elija **Send to CloudWatch Logs (Enviar a CloudWatch Logs)**.
1. Para el **grupo de registro de destino**, elija el nombre de un grupo de registro existente o ingrese el nombre de un grupo de registro nuevo. Si ingresa un nombre, crearemos el grupo de registro cuando haya tráfico para registrar.
1. En **Acceso al servicio**, seleccione un [rol de servicio de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) existente que tenga permisos para publicar registros en Registros de CloudWatch, o bien seleccione la opción para crear un nuevo rol de servicio.
1. Para **Log record format (Formato de registro de registro)**, seleccione el formato para el registro de flujo.
+ Para utilizar el formato predeterminado, elija **Formato predeterminado de AWS**.
+ Para utilizar un formato personalizado, elija **Custom format** (Formato personalizado) y, a continuación, seleccione campos de **Log format** (Formato de registro).
1. En **Metadatos adicionales**, seleccione si desea incluir los metadatos de Amazon ECS en el formato de registro.
1. (Opcional) Elija **Add new tag** (Agregar etiqueta nueva) para aplicar etiquetas al registro de flujo.
1. Elija **Create flow log (Crear registro de flujo)**.
**Para crear un registro de flujo mediante la línea de comandos**
Utilice uno de los siguientes comandos.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
El siguiente ejemplo de la AWS CLI crea un registro de flujo que captura todo el tráfico aceptado para la subred especificada. Los registros de flujo se entregan al grupo de registros especificado. El parámetro `--deliver-logs-permission-arn` especifica el rol de IAM necesario para publicar en CloudWatch Logs.
```
aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# Visualización de los informes de los registros de flujo con Registros CloudWatch
Puede consultar las entradas de registro de flujo a través de la consola de CloudWatch Logs. Es posible que, después de crear su registro de flujo, se necesiten unos minutos para que se encuentre visible en la consola.
**Para consultar las entradas de registro de flujo publicados en CloudWatch Logs mediante la consola**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registro).
1. Seleccione el nombre del grupo de registro que contiene los registros de flujo para abrir la página de detalles.
1. Seleccione el nombre del flujo de registro que contiene las entradas de registro de flujo. Para obtener más información, consulte [Registros de log de flujo](flow-log-records.md).
**Para consultar las entradas de registro de flujo publicados en CloudWatch Logs mediante la línea de comandos**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [Get-CWLLogEvent](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)
# Buscar entradas de registros de flujo
Puede buscar las entradas de registro de flujo que se publican en CloudWatch Logs mediante la consola de CloudWatch Logs. Puede utilizar [filtros de métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) para filtrar entradas de registro de flujo. Los registros de log de flujo están delimitados por espacios.
**Para buscar entradas de registro de flujo mediante la consola de CloudWatch Logs**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registro).
1. Seleccione el grupo de registro que contiene el registro de flujo y, a continuación, seleccione el flujo de registro si conoce la interfaz de red que está buscando. De manera alternativa, elija **Search log group** (Buscar el grupo de registros). Esto puede tardar algún tiempo si hay muchas interfaces de red en el grupo de registro o en función del intervalo de tiempo que seleccione.
1. En **Filtrar eventos**, introduzca la siguiente cadena. Esto supone que el registro de log de flujo utiliza el [formato predeterminado](flow-log-records.md#flow-logs-default).
```
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
```
1. Modifique el filtro según sea necesario especificando valores para los campos. En los siguientes ejemplos se filtra por direcciones IP de origen específicas.
```
[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
```
En los siguientes ejemplos se filtra por puerto de destino, el número de bytes y si se ha rechazado el tráfico.
```
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
```
# Procesar entradas de registro de flujo en CloudWatch Logs
Puede procesar los registros de flujo de la misma forma que cualquier otro evento de registro que recopile Registros de CloudWatch. Para obtener más información sobre cómo supervisar los datos de registro y los filtros de métricas, consulte [Creación de métricas con filtros a partir de eventos de registro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) en la *Guía del usuario de Registros de Amazon CloudWatch*.
## Ejemplo: crear un filtro de métrica y una alarma de CloudWatch para un registro de flujo
En este ejemplo, tiene un log de flujo para `eni-1a2b3c4d`. Desea crear una alarma que le avise si ha habido 10 o más intentos rechazados para conectar con su instancia a través del puerto TCP 22 (SSH) en un periodo de 1 hora. En primer lugar, debe crear un filtro de métrica que coincida con el patrón de tráfico para el que va a crear la alarma. A continuación, puede crear una alarma para el filtro de métrica.
**Para crear un filtro de métrico para el tráfico SSH rechazado y una alarma para el filtro**
1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registros).
1. Seleccione la casilla de verificación para el grupo de registro y, a continuación, elija **Actions** (Acciones), **Create metric filter** (Crear filtro de métricas).
1. En **Filter Pattern** (Patrón de filtro), ingrese la siguiente cadena.
```
[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
```
1. En **Select Log Data to Test** (Seleccionar datos de registro para prueba), seleccione el flujo de registro para la interfaz de red. (Opcional) Para ver las líneas de los datos de registro que concuerdan con el patrón de filtro, elija **Test Pattern** (Probar patrón).
1. Cuando esté preparado para continuar, seleccione **Next** (Siguiente).
1. Ingrese un nombre de filtro, un espacio de nombres de métrica y un nombre de métrica. Establezca el valor de la métrica en 1. Cuando haya terminado, elija **Next** (Siguiente) y, luego, elija **Create metric filter** (Crear filtro de métricas).
1. En el panel de navegación, elija **Alarms** (Alarmas), **Create Alarm** (Crear alarma).
1. Elija **Crear alarma**.
1. Seleccione el nombre de métrica que ha creado y elija **Select metric** (Seleccionar métrica).
1. Configure la alarma como se indica a continuación y, luego, elija **Next** (Siguiente):
+ En **Statistic** (Estadística), elija **Sum** (Suma). Asegura que esté capturando el número total de puntos de datos para el período especificado.
+ En **Period** (Período), seleccione **1 Hour** (1 hora).
+ En **Whenever TimeSinceLastActive is...** (Siempre LaÚltimaVezActivo es…), elija **Greater/Equal** (Mayor o igual) e ingrese 10 en el umbral.
+ En **Additional configuration** (Configuración adicional), **Datapoints to alarm** (Puntos de datos para alarma), deje el valor predeterminado 1.
1. Elija **Siguiente**.
1. Para **Notification** (Notificación), seleccione un tema de SNS existente o elija **Create new topic** (Crear tema nuevo) para crear uno nuevo. Elija **Next** (Siguiente).
1. Ingrese un nombre y una descripción para la alarma y, a continuación, elija **Next** (Siguiente).
1. Cuando haya terminado de obtener una vista previa de la alarma, elija **Create alarm** (Crear alarma).
# Publicar registros de flujo en Amazon S3
Los registros de flujo pueden publicar datos de registros de flujo en Amazon S3. Amazon S3 (Simple Storage Service) es un servicio de almacenamiento de objetos altamente escalable y durable. Su diseño permite almacenar y recuperar cualquier cantidad de datos desde cualquier parte de la web. S3 ofrece la durabilidad y la disponibilidad más avanzadas de la industria e incorpora las características de control de versiones, cifrado y control de acceso de los datos.
Al publicar en Amazon S3, los datos de registro de flujo se publican en un bucket de Amazon S3 existente que especifique. Los registros de logs de flujo de todas las interfaces de red supervisadas se publican en una serie de objetos de archivos log que se almacenan en el bucket. Si el log de flujo captura datos de una VPC, se publican los registros de logs de flujo de todas las interfaces de red de la VPC seleccionada.
Para crear un bucket de Amazon S3 y utilizarlo con los registros de flujo, consulte [Creación de un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) en la *Guía del usuario de Amazon S3*.
Para más información sobre cómo mejorar la ingesta, el procesamiento y la visualización de los registros de flujo de la VPC, consulte [Registro centralizado con OpenSearch](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) en la Biblioteca de soluciones de AWS.
Para obtener más información acerca de CloudWatch Logs, consulte [Registros enviados a Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) en la *Guía del usuario de Amazon CloudWatch Logs*.
**Precios**
Se aplican costos por ingesta y archivo de datos para los registros a la venta cuando se publican registros de flujo en Amazon S3. Para obtener más información, abra [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/) seleccione **Logs** (Registros) y consulte **Vended Logs** (Registros distribuidos).
**Topics**
+ [Archivos de registro de flujo](flow-logs-s3-path.md)
+ [Permisos del bucket de Amazon S3 para registros de flujo](flow-logs-s3-permissions.md)
+ [Política de clave requerida para el uso con SSE-KMS](flow-logs-s3-cmk-policy.md)
+ [Permisos de archivos de registro de Amazon S3](flow-logs-file-permissions.md)
+ [Crear un registro de flujo que se publique en Amazon S3](flow-logs-s3-create-flow-log.md)
+ [Visualización de los informes de los registros de flujo con Amazon S3](view-flow-log-records-s3.md)
# Archivos de registro de flujo
Los registros de flujo de VPC recopilan datos sobre el tráfico IP que entra y sale de su VPC en colecciones de registro, agregan esos registros en archivos de registro y, a continuación, publican los archivos de registro en el bucket de Amazon S3 en intervalos de cinco minutos. Se pueden publicar varios archivos y cada registro de archivo puede contener algunos o todos los registros de flujo del tráfico IP registrado en los cinco minutos anteriores.
En Amazon S3, el campo **Last modified (Última modificación)** del archivo de registro de flujo indica la fecha y la hora en que el archivo se cargó en el bucket de Amazon S3. Este valor es posterior a la marca temporal del nombre de archivo y difiere en la cantidad de tiempo invertido en cargar el archivo en el bucket de Amazon S3.
**Formato de archivo de registro**
Puede especificar uno de los siguientes formatos para los archivos de registro. Cada archivo se comprime en un único archivo Gzip.
+ **Texto**: Texto sin formato. Este es el formato predeterminado.
+ **Parquet**: Apache Parquet es un formato de datos columnar. Las consultas sobre los datos en formato Parquet son de 10 a 100 veces más rápidas en comparación con las consultas de datos en texto sin formato. Los datos en formato Parquet con compresión Gzip ocupan un 20 por ciento menos de espacio de almacenamiento que el texto sin formato con compresión Gzip.
**nota**
Si los datos en formato Parquet con compresión Gzip pesan menos de 100 KB por período de agregación, el almacenamiento de los datos en formato Parquet puede ocupar más espacio que el texto sin formato con compresión Gzip debido a los requisitos de memoria de los archivos de Parquet.
**Opciones de archivo de registro**
Puede especificar las siguientes opciones:
+ **Prefijos de S3 compatibles con Hive**: Habilite los prefijos compatibles con Hive en lugar de importar las particiones a las herramientas compatibles con Hive. Antes de ejecutar las consultas, utilice el comando **MSCK REPAIR TABLE**.
+ **Particiones por horas**: Si tiene un gran volumen de registros y, por lo general, orienta las consultas a una hora en específico, puede obtener resultados más rápidos y ahorrar en costos de consulta si particiona los registros por hora.
**Estructura del bucket de S3 del archivo de registro**
Los archivos de registro se guardan en el bucket de Amazon S3 especificado con una estructura de carpetas basada en el ID del registro de flujo, la Región, la fecha en que se crearon y en las opciones de destino.
De forma predeterminada, los archivos se entregan en la siguiente ubicación.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Si habilita los prefijos de S3 compatibles con Hive, los archivos se entregan en la siguiente ubicación.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Si habilita particiones por hora, los archivos se entregan en la siguiente ubicación.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Si habilita particiones compatibles con Hive y particiona el registro de flujo por hora, los archivos se entregan en la siguiente ubicación.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nombre de archivo de registro**
El nombre de archivo de un archivo de registro se basa en el ID del registro de flujo, la Región y en la fecha y hora de creación. Los nombres de archivo utilizan el formato siguiente.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
A continuación, se muestra un ejemplo de un archivo de registros para un registro de flujo que la cuenta 123456789012 de AWS ha creado para un recurso en la Región us-east-1, el June 20, 2018 a las 16:20 UTC. El archivo contiene las colecciones de datos del registro de flujo con una hora de finalización entre las 16:20:00 y las 16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
# Permisos del bucket de Amazon S3 para registros de flujo
De forma predeterminada, los buckets de Amazon S3 y los objetos que contienen son privados. Solo el propietario del bucket puede tener acceso al bucket y a los objetos almacenados en él. Sin embargo, el propietario del bucket puede conceder acceso a otros recursos y usuarios escribiendo una política de acceso.
Si el usuario que crea el registro de flujo es el propietario del bucket y tiene permisos `PutBucketPolicy` y `GetBucketPolicy` para el bucket, adjuntamos de forma automática la siguiente política al bucket. Esta política sobrescribe cualquier política existente asociada al bucket.
De otra manera, el propietario del bucket debe agregar esta política al bucket, al especificar el ID de cuenta de AWS del creador del registro de flujo o fallará la creación del registro de flujo. Para obtener más información, consulte [Uso de políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
El ARN que especifique para *my-s3-arn* depende de si utiliza prefijos de S3 compatibles con HIVE.
+ Prefijos predeterminados
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Prefijos de S3 compatibles con HIVE
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Recomendamos que conceda estos permisos a la entidad principal del servicio de entrega de registros en lugar de a los ARN individuales de Cuenta de AWS. También es una práctica recomendada utilizar las claves de condición `aws:SourceAccount` y `aws:SourceArn` para protegerse del [problema del suplente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). La cuenta fuente es la propietaria del registro de flujo y el ARN fuente es el ARN comodín (\$1) del servicio de registros.
Tenga en cuenta que el servicio de entrega de registros llama a la acción `HeadBucket` de la API de Amazon S3 para verificar la existencia y la ubicación del bucket de S3. No es necesario que conceda permiso al servicio de entrega de registros para llamar a esta acción, ya que seguirá entregando los registros de flujo de la VPC aunque no pueda confirmar la existencia del bucket de S3 y su ubicación. Sin embargo, habrá un error `AccessDenied` en la llamada a `HeadBucket` en los registros de CloudTrail.
# Política de clave requerida para el uso con SSE-KMS
Para proteger los datos del bucket de Amazon S3, habilite el cifrado del lado del servidor con las claves administradas de Amazon S3 (SSE-S3) o con el cifrado del lado del servidor con claves de KMS (SSE-KMS) en su bucket de S3. Para obtener más información, consulte [Protección de datos mediante cifrado del lado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) en la *Guía del usuario de Amazon S3*.
Si elija SSE-S3, no se requiere ninguna configuración adicional. Amazon S3 se encarga de la clave de cifrado.
Si elige SSE-KMS, debe utilizar un ARN de clave administrada por el cliente. Si utiliza un ID de clave, puede producirse un error [LogDestination undeliverable](flow-logs-troubleshooting.md#flow-logs-troubleshooting-kms-id) cuando cree un registro de flujo. Además, debe actualizar la política de claves para la clave administrada por el cliente, de manera que la cuenta de entrega de registros pueda escribir en el bucket de S3. Para obtener más información sobre la política clave requerida para usar con SSE-KMS, consulte [Cifrado del lado del servidor del bucket de Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3) en la *Guía del usuario de Amazon CloudWatch Logs*.
# Permisos de archivos de registro de Amazon S3
Además de las políticas de bucket necesarias, Amazon S3 utiliza listas de control de acceso (ACL) para administrar el acceso a los archivos de registro creados por un registro de flujo. De forma predeterminada, el propietario del bucket tiene los permisos `FULL_CONTROL` en cada archivo log. El propietario de la entrega de logs, si es diferente del propietario del bucket, no tiene permisos. La cuenta de entrega de registros tiene los permisos `READ` y `WRITE`. Para obtener más información, consulte [Información general de las listas de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía del usuario de Amazon S3*.
# Crear un registro de flujo que se publique en Amazon S3
Después de haber creado y configurado el bucket de Amazon S3, puede crear registros de flujo para las interfaces de red, las subredes y las VPC.
**Requisito previo**
La entidad principal de IAM que cree el registro de flujo debe utilizar un rol de IAM que tenga los siguientes permisos, que son necesarios para publicar registros de flujo en el bucket de Amazon S3 de destino.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
**Para crear un registro de flujo mediante la consola**
1. Realice una de las siguientes acciones:
+ Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). En el panel de navegación, elija **Network Interfaces**. Seleccione la casilla de verificación de la interfaz de red.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Your VPCs** (Sus VPC). Seleccione la casilla de verificación de la VPC.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Subnets (Subredes)**. Seleccione la casilla de verificación de la subred.
1. Seleccione **Actions** (Acciones) y, a continuación, **Create flow log** (Crear registro de flujo).
1. En **Filter (Filtro)**, especifique el tipo de datos de tráfico IP que desea registrar.
+ **Accepted** (Aceptado): registrar solo tráfico aceptado.
+ **Rejected** (Rechazado): registrar solo tráfico rechazado.
+ **All** (Todo): Tráfico aceptado y rechazado
1. En **Maximum aggregation interval (Intervalo máximo de agregación)**, elija el período de tiempo máximo durante el que se va a capturar el flujo y se va a agregar a un registro de flujo.
1. En **Destination (Destino)**, elija **Send to an Amazon S3 bucket (Enviar a un bucket de Amazon S3)**.
1. En **S3 bucket ARN (ARN de bucket de S3)**, especifique el nombre de recurso de Amazon (ARN) de un bucket de Amazon S3 existente. Si lo desea, puede incluir una subcarpeta. Por ejemplo, para especificar una subcarpeta llamada `my-logs` de un bucket denominado `my-bucket`, utilice el siguiente ARN:
`arn:aws:s3:::my-bucket/my-logs/`
El bucket no puede utilizar `AWSLogs` como nombre de subcarpeta, ya que se trata de un término reservado.
Si posee el bucket, crearemos automáticamente una política de recursos y la asociaremos al bucket. Para obtener más información, consulte [Permisos del bucket de Amazon S3 para registros de flujo](flow-logs-s3-permissions.md).
1. Para **Log record format** (Formato de registro), seleccione el formato para el registro de flujo.
+ Para utilizar el formato de registro predeterminado del registro de flujo, elija **Formato predeterminado de AWS**.
+ Para crear un formato personalizado, seleccione **Formato personalizado**. En **Log format** (Formato de log), elija los campos que desea incluir en el registro de flujo.
1. En **Metadatos adicionales**, seleccione si desea incluir los metadatos de Amazon ECS en el formato de registro.
1. Para **Log file format** (Formato de archivo de registro), especifique el formato del archivo de registro.
+ **Text** (Texto): Texto sin formato. Este es el formato predeterminado.
+ **Parquet**: Apache Parquet es un formato de datos columnar. Las consultas sobre los datos en formato Parquet son de 10 a 100 veces más rápidas en comparación con las consultas de datos en texto sin formato. Los datos en formato Parquet con compresión Gzip ocupan un 20 por ciento menos de espacio de almacenamiento que el texto sin formato con compresión Gzip.
1. (Opcional) Para utilizar prefijos de S3 compatibles con Hive, elija **Hive-compatible S3 prefix** (Prefijo de S3 compatible con Hive) y, a continuación, **Enable** (Habilitar).
1. (Opcional) Para particionar los registros de flujo por hora, elija **Every 1 hour (60 mins)** (Cada 1 hora [60 minutos]).
1. (Opcional) Para agregar una etiqueta al registro de flujo, elija **Add new tag** (Añadir nueva etiqueta) y especifique la clave y el valor de etiqueta.
1. Elija **Create flow log** (Crear registro de flujo).
**Creación de un registro de flujo que publica en Amazon S3 mediante la línea de comandos**
Utilice uno de los siguientes comandos:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
En el siguiente ejemplo de AWS CLI se crea un registro de flujo que captura todo el tráfico de la VPC especificada y entrega los registros de flujo al bucket de Amazon S3 especificado. El parámetro `--log-format` especifica un formato personalizado para las entradas de registros de flujo.
```
aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'
```
# Visualización de los informes de los registros de flujo con Amazon S3
Puede ver las entradas de registro de flujo mediante la consola de Amazon S3. Es posible que, después de crear su registro de flujo, se necesiten unos minutos para que se encuentre visible en la consola.
Los archivos log están comprimidos. Si abre los archivos de registro con la consola de Amazon S3, se descomprimen y se muestran las entradas de registro de flujo. Si descarga los archivos, debe descomprimirlos para ver los registros de flujo.
**Para consultar las entradas de registro de flujo publicadas en Amazon S3**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3](https://console.aws.amazon.com/s3/).
1. Seleccione el nombre del bucket para abrir la página de detalles.
1. Diríjase a la carpeta con los archivos de registro. Por ejemplo, *prefijo*/AWSLogs/*account\$1id*/vpcflowlogs/*región*/*año*/*mes*/*día*/.
1. Seleccione la casilla de verificación junto al nombre del archivo y luego elija **Download** (Descargar).
También puede consultar las entradas de registro de flujo en los archivos de registro mediante Amazon Athena. Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 con SQL estándar. Para obtener más información, consulte [Consulta de registros de flujo de Amazon VPC](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) en la *Guía del usuario de Amazon Athena*.
# Publicar registros de flujo a Amazon Data Firehose
Los registros de flujo pueden publicar datos del registro de flujo directamente en Amazon Data Firehose. Amazon Data Firehose es un servicio completamente administrado que recopila, transforma y envía flujos de datos en tiempo real a distintos productos de almacenamiento y análisis de datos de AWS. Se encarga de la ingesta de datos.
Firehose puede ser bastante útil al trabajar con los registros de flujo de la VPC. Los registros de flujo de la VPC capturan información sobre el tráfico IP entrante y saliente de las interfaces de red en su VPC. Estos datos pueden ser cruciales para la supervisión de la seguridad, el análisis del rendimiento y el cumplimiento normativo. Sin embargo, la administración del almacenamiento y el procesamiento de este flujo continuo de datos de registro puede ser una tarea compleja y que requiera muchos recursos.
La integración de Firehose con los registros de flujo de la VPC le permite enviar estos datos a su destino de preferencia, como Amazon S3 o Amazon Redshift. Firehose escalará y controlará la ingestión, la transformación y el envío de sus registros de flujo de la VPC, lo cual lo libera de la carga operativa. Gracias a esto, en vez de preocuparse por la infraestructura subyacente, puede enfocarse en el análisis de los datos y el envío de la información.
Además, Firehose ofrece características, como la transformación, la compresión y el cifrado de datos, que pueden mejorar la eficiencia y la seguridad su canalización de procesamiento de los registros de flujo de la VPC. Utilizar Firehose para los registros de flujo de la VPC simplifica la administración de los datos y permite obtener información de los datos del tráfico de su red.
Al publicar en Amazon Data Firehose, los datos del registro de flujo se publican en un flujo de entrega de Amazon Data Firehose en formato de texto sin formato.
**Precios**
Se aplican los cargos estándar de ingesta y entrega. Para obtener más información, abra [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/) seleccione **Logs** (Registros) y consulte **Vended Logs** (Registros distribuidos).
**Topics**
+ [Roles de IAM para la entrega entre cuentas](firehose-cross-account-delivery.md)
+ [Crear un registro de flujo que publique en Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)
# Roles de IAM para la entrega entre cuentas
Al publicar en Amazon Data Firehose, puede elegir un flujo de entrega que esté en la misma cuenta que el recurso que se va a supervisar (la cuenta de origen) o en una cuenta diferente (la cuenta de destino). Para habilitar la entrega entre cuentas de los registros de flujo a Amazon Data Firehose, debe crear un rol de IAM en la cuenta de origen y un rol de IAM en la cuenta de destino.
**Topics**
+ [Rol de cuenta de origen](#firehose-source-account-role)
+ [Rol de cuenta de destino](#firehose-destination-account-role)
## Rol de cuenta de origen
En la cuenta de origen, cree un rol que conceda los siguientes permisos. En este ejemplo, el nombre del rol es `mySourceRole`, pero puede elegir un nombre diferente para este rol. La última instrucción permite que el rol de la cuenta de destino asuma este rol. Las instrucciones de condición garantizan que esta función se pase solo al servicio de entrega de registros y solo al supervisar el recurso especificado. Al crear la política, especifique las VPC, las interfaces de red o las subredes que está supervisando con la clave de condición `iam:AssociatedResourceARN`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:123456789012:vpc/vpc-00112233344556677"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Asegúrese de que este rol tenga la siguiente política de confianza, la cual permite que el servicio de entrega de registros asuma el rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
En la cuenta de origen, use el siguiente procedimiento para crear el rol.
**Para crear el rol de la cuenta de origen**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Create Policy** (Crear política).
1. En la página **Create policy (Crear política)**, haga lo siguiente:
1. Elija **JSON**.
1. Reemplace el contenido de esta ventana por la política de permisos que aparece al principio de esta sección.
1. Elija **Siguiente**.
1. Introduzca un nombre para su política y una descripción y etiquetas opcionales y, a continuación, elija **Create policy** (Crear política).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Creación de rol**.
1. En **Trusted entity type** (Tipo de entidad de confianza), elija **Custom trust policy** (Política de confianza personalizada). En **Custom trust policy** (Política de confianza personalizada), reemplace `"Principal": {},` con lo siguiente, lo cual especifica el servicio de entrega de registros. Elija **Siguiente**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. En la página **Add permissions** (Agregar permisos), seleccione la casilla de verificación de la política que creó anteriormente en este procedimiento y luego elija **Next** (Siguiente).
1. Ingrese un nombre para el rol y, opcionalmente, especifique una descripción.
1. Elija **Create role (Crear rol)**.
## Rol de cuenta de destino
En la cuenta de destino, cree un rol con un nombre que comience con **AWSLogDeliveryFirehoseCrossAccountRole**. El rol debe otorgar los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Asegúrese de que este rol tenga la siguiente política de confianza, la cual permite que el rol que creó en la cuenta de origen asuma este rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
En la cuenta de destino, use el siguiente procedimiento para crear el rol.
**Para crear el rol de cuenta de destino**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, seleccione **Políticas**.
1. Elija **Create Policy** (Crear política).
1. En la página **Create policy (Crear política)**, haga lo siguiente:
1. Elija **JSON**.
1. Reemplace el contenido de esta ventana por la política de permisos que aparece al principio de esta sección.
1. Elija **Siguiente**.
1. Ingrese un nombre para la política que comience con **AWSLogDeliveryFirehoseCrossAccountRole** y, a continuación, elija **Create policy** (Crear política).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Creación de rol**.
1. En **Trusted entity type** (Tipo de entidad de confianza), elija **Custom trust policy** (Política de confianza personalizada). En **Custom trust policy** (Política de confianza personalizada), reemplace `"Principal": {},` con lo siguiente, lo cual especifica la función de la cuenta de origen. Elija **Siguiente**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. En la página **Add permissions** (Agregar permisos), seleccione la casilla de verificación de la política que creó anteriormente en este procedimiento y luego elija **Next** (Siguiente).
1. Ingrese un nombre para el rol y, opcionalmente, especifique una descripción.
1. Elija **Create role (Crear rol)**.
# Crear un registro de flujo que publique en Amazon Data Firehose
Puede crear registros de flujo para sus VPC, subredes o interfaces de red.
**Requisitos previos**
+ Cree el flujo de entrega de Amazon Data Firehose de destino. Use **Direct Put** (Venta directa) como fuente. Para obtener más información, consulte [Creación de un flujo de entrega de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ La cuenta que crea el registro de flujo debe utilizar un rol de IAM que conceda los siguientes permisos para publicar registros de flujo en Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
+ Si va a publicar registros de flujo en una cuenta diferente, cree las funciones de IAM necesarias tal como se describe en [Roles de IAM para la entrega entre cuentas](firehose-cross-account-delivery.md).
**Para crear un registro de flujo que publique en Amazon Data Firehose**
1. Realice una de las siguientes acciones:
+ Abra la consola de Amazon EC2 en [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). En el panel de navegación, elija **Network Interfaces**. Seleccione la casilla de verificación de la interfaz de red.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Your VPCs** (Sus VPC). Seleccione la casilla de verificación de la VPC.
+ Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). En el panel de navegación, elija **Subnets (Subredes)**. Seleccione la casilla de verificación de la subred.
1. Seleccione **Actions** (Acciones) y, a continuación, **Create flow log** (Crear registro de flujo).
1. Para **Filter (Filtro)**, especifique el tipo de tráfico que desea registrar.
+ **Accepted** (Aceptado): registrar solo tráfico aceptado
+ **Rejected** (Rechazado): registrar solo tráfico rechazado
+ **All** (Todo): registrar tráfico aceptado y rechazado
1. En **Maximum aggregation interval (Intervalo máximo de agregación)**, elija el período de tiempo máximo durante el que se va a capturar el flujo y se va a agregar a un registro de flujo.
1. En **Destination** (Destino), elija cualquiera de las siguientes opciones:
+ **Send to Amazon Data Firehose in the same account** (Enviar a Amazon Data Firehose en la misma cuenta): el flujo de entrega y el recurso para supervisar están en la misma cuenta.
+ **Send to Amazon Data Firehose in a different account** (Enviar a Amazon Data Firehose en una cuenta diferente): el flujo de entrega y el recurso para supervisar están en cuentas diferentes.
1. Para **Amazon Firehose stream name (nombre de la secuencia de Amazon Firehose)**, elija la secuencia de entrega que ha creado.
1. [Solo entrega entre cuentas] En **Acceso al servicio**, seleccione un [rol de servicio de IAM para la entrega entre cuentas](firehose-cross-account-delivery.md) con permisos para publicar registros, o bien seleccione **Configurar permisos** para abrir la consola de IAM y crear un rol de servicio.
1. Para **Log record format** (Formato de registro), seleccione el formato para el registro de flujo.
+ Para utilizar el formato de registro predeterminado del registro de flujo, elija **Formato predeterminado de AWS**.
+ Para crear un formato personalizado, seleccione **Formato personalizado**. En **Log format** (Formato de log), elija los campos que desea incluir en el registro de flujo.
1. En **Metadatos adicionales**, seleccione si desea incluir los metadatos de Amazon ECS en el formato de registro.
1. (Opcional) Elija **Add tag (Agregar etiqueta)** para aplicar etiquetas al registro de flujo.
1. Elija **Create flow log** (Crear registro de flujo).
**Creación de un registro de flujo que publica en Amazon Data Firehose mediante la línea de comandos**
Utilice uno de los siguientes comandos:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
En el siguiente ejemplo de AWS CLI, se crea un registro de flujo que captura todo el tráfico de la VPC especificada y envía los registros de flujo al flujo de entrega de Amazon Data Firehose especificado en la misma cuenta.
```
aws ec2 create-flow-logs --traffic-type ALL \
--resource-type VPC \
--resource-ids vpc-00112233344556677 \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
```
En el siguiente ejemplo de AWS CLI, se crea un registro de flujo que captura todo el tráfico de la VPC especificada y envía los registros de flujo al flujo de entrega de Amazon Data Firehose especificado en una cuenta diferente.
```
aws ec2 create-flow-logs --traffic-type ALL \
--resource-type VPC \
--resource-ids vpc-00112233344556677 \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
Como resultado de la creación de los registros de flujo, obtiene los datos de los registros de flujo del destino que configuró para el flujo de envío.
# Realizar consultas en los registros de flujo mediante Amazon Athena
Amazon Athena es un servicio de consulta interactivo que le permite analizar datos en Amazon S3, como los logs de flujo, mediante SQL estándar. Puede utilizar Athena con los logs de flujo de VPC para obtener rápidamente información útil sobre el tráfico que fluye a través de su VPC. Por ejemplo, puede identificar qué recursos de sus nubes privadas virtuales (VPC) son los principales interlocutores o puede identificar las direcciones IP con las conexiones TCP más rechazadas.
**Opciones**
+ Puede optimizar y automatizar la integración de los registros de flujo de VPC con Athena generando una plantilla de CloudFormation que cree los recursos de AWS necesarios, además de consultas predefinidas que puede ejecutar para obtener información sobre el tráfico que fluye a través de la VPC.
+ Puede crear sus propias consultas con Athena. Para obtener más información, consulte [Realizar consultas en los registros de flujo mediante Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) en la *Guía del usuario de Amazon Athena*.
**Precios**
Incurre en [cargos estándar de Amazon Athena](https://aws.amazon.com/athena/pricing/) por ejecutar consultas. Incurre en [cargos estándar de AWS Lambda](https://aws.amazon.com/lambda/pricing/) por la función de Lambda que carga nuevas particiones en una programación periódica (cuando especifica una frecuencia de carga de partición pero no especifica una fecha de inicio y finalización).
**Topics**
+ [Generar la plantilla de CloudFormation mediante la consola](flow-logs-generate-template-console.md)
+ [Generar la plantilla de CloudFormation mediante la AWS CLI](flow-logs-generate-template-cli.md)
+ [Ejecutar una consulta predefinida](flow-logs-run-athena-query.md)
# Generar la plantilla de CloudFormation mediante la consola
Después de entregar los primeros logs de flujo a su bucket de S3, puede integrarse con Athena generando una plantilla de CloudFormation y utilizando la plantilla para crear una pila.
**Requisitos**
+ La región seleccionada debe admitir AWS Lambda y Amazon Athena.
+ Los buckets de Amazon S3 deben estar en la región seleccionada.
+ El formato del registro de registro para el registro de flujo debe incluir los campos utilizados por las consultas predefinidas específicas que desea ejecutar.
**Para generar la plantilla mediante la consola**
1. Aplique alguna de las siguientes acciones:
+ Abra la consola de Amazon VPC. En el panel de navegación, elija **Your VPCs (Sus VPC)** y, a continuación seleccione su VPC,
+ Abra la consola de Amazon VPC. En el panel de navegación, elija **Subnets (Subredes)** y, a continuación, seleccione la suya.
+ Abra la consola de Amazon EC2. En el panel de navegación, elija **Network Interfaces (Interfaces de red)** y, a continuación, seleccione su interfaz de red.
1. En la pestaña **Flow logs (Logs de flujo)** , seleccione un log de flujo que se publique en Amazon S3 y, a continuación, elija **Actions (Acciones)**, **Generate Athena integration (Generar integración de Athena)**.
1. Especifique la frecuencia de carga de la partición. Si elija **None (Ninguno)**, debe especificar la fecha de inicio y finalización de la partición, utilizando fechas anteriores. Si elija **Daily (Diaria)**, **Weekly (Semanal)**o **Monthly (Mensual)**, las fechas de inicio y finalización de la partición son opcionales. Si no especifica fechas de inicio y finalización, la plantilla de CloudFormation crea una función Lambda que carga nuevas particiones con una programación recurrente.
1. Seleccione o cree un bucket de S3 para la plantilla generada y un bucket de S3 para los resultados de la consulta.
1. Elija **Generate Athena Integration (Generar integración de Athena)**.
1. (Opcional) En el mensaje de éxito, elija el vínculo para navegar al bucket especificado para la plantilla de CloudFormation y personalice la plantilla.
1. En el mensaje de éxito, elija **Create CloudFormation stack** (Crear pila de CloudFormation) para abrir el asistente **Create Stack** (Crear pila) en la consola de CloudFormation. La dirección URL de la plantilla de CloudFormation generada se especifica en la sección **Template (Plantilla)** . Complete el asistente para crear los recursos especificados en la plantilla.
**Recursos creados por la plantilla de CloudFormation**
+ Una base de datos de Athena. El nombre de la base de datos es vpcflowlogsathenadatabase<*flow-logs-subscription-id*>.
+ Un grupo de trabajo de Athena. El nombre del grupo de trabajo es <*flow-log-subscription-id*><*partition-load-frequency*><*start-date*><*end-date*>workgroup
+ Una tabla Athena particionada que corresponde a sus registros del log de flujo. El nombre de la tabla es <*flow-log-subscription-id*><*partition-load-frequency*><*start-date*><*end-date*>.
+ Un conjunto de consultas llamadas Athena. Para obtener más información, consulte [Consultas predefinidas](flow-logs-run-athena-query.md#predefined-queries).
+ Una función Lambda que carga nuevas particiones en la tabla según la programación especificada (diaria, semanal o mensual).
+ Una función de IAM que otorga permiso para ejecutar las funciones Lambda.
# Generar la plantilla de CloudFormation mediante la AWS CLI
Después de entregar los primeros logs de flujo a su bucket de S3, puede generar y utilizar una plantilla de CloudFormation para integrarse con Athena.
Utilice el siguiente comando [get-flow-logs-integration-template](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-flow-logs-integration-template.html) para generar la plantilla de CloudFormation.
```
aws ec2 get-flow-logs-integration-template --cli-input-json file://config.json
```
A continuación se muestra un ejemplo del archivo `config.json`.
```
{
"FlowLogId": "fl-12345678901234567",
"ConfigDeliveryS3DestinationArn": "arn:aws:s3:::my-flow-logs-athena-integration/templates/",
"IntegrateServices": {
"AthenaIntegrations": [
{
"IntegrationResultS3DestinationArn": "arn:aws:s3:::my-flow-logs-analysis/athena-query-results/",
"PartitionLoadFrequency": "monthly",
"PartitionStartDate": "2021-01-01T00:00:00",
"PartitionEndDate": "2021-12-31T00:00:00"
}
]
}
}
```
Utilice el siguiente comando [create-stack](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) para crear una pila utilizando la plantilla de CloudFormation generada.
```
aws cloudformation create-stack --stack-name my-vpc-flow-logs --template-body file://my-cloudformation-template.json
```
# Ejecutar una consulta predefinida
La plantilla de CloudFormation generada proporciona un conjunto de consultas predefinidas que puede ejecutar para obtener rápidamente información significativa sobre el tráfico de su red de AWS. Después de crear la pila y comprobar que todos los recursos se han creado correctamente, puede ejecutar una de las consultas predefinidas.
**Para ejecutar una consulta predefinida mediante la consola**
1. Abra la consola de Athena.
1. En el panel de navegación izquierdo, elija **Query Editor** (Editor de consultas). En **Workgroup** (Grupo de trabajo), seleccione el grupo de trabajo creado por la plantilla de CloudFormation.
1. Seleccione **Saved queries** (Consultas guardadas), seleccione una consulta, modifique los parámetros según sea necesario y, a continuación, ejecute la consulta. Para obtener una lista de las consultas predefinidas disponibles, consulte [Predefined queries](#predefined-queries) (Consultas predefinidas).
1. En **Query results** (Resultados de consulta), consulte los resultados de la consulta.
## Consultas predefinidas
La siguiente es la lista completa de consultas llamadas Athena. Las consultas predefinidas que se proporcionan al generar la plantilla dependen de los campos que forman parte del formato de la entrada de registro del registro de flujo. Por lo tanto, es posible que la plantilla no contenga todas estas consultas predefinidas.
+ **vpcFlowLogsAcceptedTraffic**: las conexiones TCP permitidas en función de los grupos de seguridad y las ACL de red.
+ **VpcFlowLogsAdminPortTraffic**: las 10 direcciones IP con más tráfico, registradas por las aplicaciones que atienden solicitudes en los puertos administrativos.
+ **vPCFlowLogsipv4Traffic**: el total de bytes del tráfico IPv4 registrado.
+ **vPCFlowLogsiPV6Traffic**: el total de bytes del tráfico IPv6 registrado.
+ **vpcFlowLogsRejectedTCPTraffic**: las conexiones TCP que se rechazaron en función de los grupos de seguridad o las ACL de red.
+ **vpcFlowLogsRejectedTraffic**: el tráfico que se rechazó en función de los grupos de seguridad o las ACL de red.
+ **vpcFlowLogssShrdpTraffic:** el tráfico SSH y RDP.
+ **vpcFlowLogStopTalkers**: las 50 direcciones IP con la mayor cantidad de tráfico registrado.
+ **vPCFlowLogStopTalkerSpacketLevel**: las 50 direcciones IP de nivel de paquete con la mayor cantidad de tráfico registrado.
+ **vPCFlowLogStopTalkingInstances**: las ID de las 50 instancias con la mayor cantidad de tráfico registrado.
+ **vpcFlowLogStopTalkingSubnets**: las ID de las 50 subredes con la mayor cantidad de tráfico registrado.
+ **vpcflowLogStoptCPTraffic**: todo el tráfico TCP registrado para una dirección IP de origen.
+ **vpcFlowLogsTotalByteTransferred** los 50 pares de direcciones IP de origen y destino con la mayoría de bytes registrados.
+ **vpcFlowLogsTotalByTestransferredPacketLevel**: los 50 pares de direcciones IP de origen y destino a nivel de paquete con la mayor cantidad de bytes registrados.
+ **vpcFlowLogsTrafficFrmsrcAddr**: el tráfico registrado para una dirección IP de origen específica.
+ **vpcFlowLogsTrafficToStaddr**: el tráfico registrado para una dirección IP de destino específica.
# Solucionar problemas de los registros de flujo de VPC
A continuación se indican los posibles problemas que pueden surgir al trabajar con registros de flujo.
**Topics**
+ [Registros de logs de flujo incompletos](#flow-logs-troubleshooting-incomplete-records)
+ [El log de flujo está activo, pero no hay registros de logs de flujo ni grupo de logs](#flow-logs-troubleshooting-no-log-group)
+ [Error 'LogDestinationNotFoundException' o 'Access Denied for LogDestination'](#flow-logs-troubleshooting-not-found)
+ [Superación del límite de la política de bucket de Amazon S3](#flow-logs-troubleshooting-policy-limit)
+ [LogDestination undeliverable](#flow-logs-troubleshooting-kms-id)
+ [El tamaño de los datos de los registros de flujo no coincide con los datos de facturación](#flow-logs-data-size-mismatch)
## Registros de logs de flujo incompletos
**Problema**
Sus registros de flujo están incompletos o ya no se publican.
**Causa**
Podría haber un problema al entregar los registros de flujo al grupo de registros de CloudWatch Logs o podría haber [entradas SkipData presentes](flow-logs-records-examples.md#flow-log-example-no-data).
**Solución**
Consulte la pestaña **Registros de flujo** para la VPC, la subred o la interfaz de red. Tenga en cuenta que no puede describir los registros de flujo de una VPC o subred que se haya compartido con usted, pero sí puede hacerlo de una interfaz de red que cree en una VPC o subred que se haya compartido con usted. Si hay algún error, aparece en la columna **Estado**. Otra opción, utilice el comando [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) y compruebe el valor devuelto en el campo `DeliverLogsErrorMessage`.
Estos son los posibles valores de error sobre el estado:
+ `Rate limited`: este error se puede producir si se ha aplicado una limitación controlada de CloudWatch Logs, cuando el número de entradas de registro de flujo para una interfaz de red es superior al número máximo de registros que se pueden publicar en un periodo determinado. Este error también se puede producir si ha alcanzado la cuota del número de grupos de registro de CloudWatch Logs que puede crear. Para obtener más información, consulte [Service Quotas de CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) en la *Guía del usuario de Amazon CloudWatch*.
+ `Access error`: este error puede producirse por las razones siguientes:
+ El rol de IAM del registro de flujo no tiene permisos suficientes para publicar entradas de registros de flujo en el grupo de registros de CloudWatch
+ El rol de IAM no tiene una relación de confianza con el servicio de registros de flujo
+ La relación de confianza no especifica el servicio de logs de flujo como elemento principal
Para obtener más información, consulte [Rol de IAM para publicar registros de flujo en CloudWatch Logs](flow-logs-iam-role.md).
+ `Unknown error`: se ha producido un error interno en el servicio de logs de flujo.
## El log de flujo está activo, pero no hay registros de logs de flujo ni grupo de logs
**Problema**
Usted creó un registro de flujo y la consola de Amazon VPC o Amazon EC2 muestra el registro de flujo como `Active`. Sin embargo, no puede ver ninguna secuencia de registro en CloudWatch Logs ni en los archivos de registro del bucket de Amazon S3.
**Causas posibles**
+ El registro de flujo sigue en proceso de creación. En algunos casos, pueden necesitarse diez minutos o más después de crear el registro de flujo para que se cree el grupo de registros y para que se muestren los datos.
+ Aún no se ha registrado tráfico en sus interfaces de red. El grupo de registros de CloudWatch Logs solo se crea cuando se registra el tráfico.
**Solución**
Espere unos minutos a que se cree el grupo de registros o a que se registre el tráfico.
## Error 'LogDestinationNotFoundException' o 'Access Denied for LogDestination'
**Problema**
Aparece un error `Access Denied for LogDestination` o `LogDestinationNotFoundException` cuando crea un registro de flujo.
**Causas posibles**
+ Al crear un registro de flujo que publica datos en un bucket de Amazon S3, este error indica que no se pudo encontrar el bucket de S3 especificado o que la política de bucket no permite que los registros se entreguen al bucket.
+ Al crear un registro de flujo que publica datos en Amazon CloudWatch Logs, este error indica que el rol de IAM no permite que los registros se entreguen al grupo de registros.
**Solución**
+ Al publicar en Amazon S3, asegúrese de que ha especificado el ARN de un bucket de S3 existente y de que el ARN tiene el formato correcto. Si no es propietario del bucket de S3, compruebe que la [política de bucket](flow-logs-s3-permissions.md) cuente con los permisos necesarios y utilice el ID de cuenta y el nombre de bucket correctos en el ARN.
+ Al publicar en CloudWatch Logs, compruebe que el [rol de IAM](flow-logs-iam-role.md) cuente con los permisos necesarios.
## Superación del límite de la política de bucket de Amazon S3
**Problema**
Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error: `LogDestinationPermissionIssueException`.
**Causas posibles**
Las políticas de bucket de Amazon S3 tienen un límite de tamaño de 20 KB.
Cada vez que crea un registro de flujo que publica en un bucket de Amazon S3, se agrega automáticamente el ARN del bucket especificado, que incluye la ruta de la carpeta, al elemento `Resource` de la política del bucket.
La creación de varios registros de flujo que publican en el mismo bucket podría provocar que se superara el límite de la política de bucket.
**Solución**
+ Elimine la política de bucket al quitar las entradas del registro de flujo que ya no se necesitan.
+ Otorgue permisos a todo el bucket reemplazando las entradas individuales del log de flujo por las siguientes:
```
arn:aws:s3:::bucket_name/*
```
Si concede permisos a todo el bucket, las nuevas suscripciones de registro de flujo no añaden nuevos permisos a la política de bucket.
## LogDestination undeliverable
**Problema**
Cuando intenta crear un registro de flujo, obtiene el siguiente mensaje de error: `LogDestination is undeliverable`.
**Causas posibles**
El bucket de Amazon S3 de destino se cifra mediante el cifrado del lado del servidor con AWS KMS (SSE-KMS) y el cifrado predeterminado del bucket es un ID de la clave de KMS.
**Solución**
El valor debe ser un ARN de la clave de KMS. Cambie el tipo de cifrado predeterminado de S3 de ID de la clave de KMS a ARN de la clave de KMS. Para obtener más información, consulte [Configuración del cifrado predeterminado](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) en la *Guía del usuario de Amazon Simple Storage Service*.
## El tamaño de los datos de los registros de flujo no coincide con los datos de facturación
**Problema**
El tamaño total de los datos de sus registros de flujo no coincide con el tamaño indicado en los datos de facturación.
**Causas posibles**
Es posible que haya entradas de SKIPDATA en sus registros de flujo. Consulte [Registros sin datos y omitidos](flow-logs-records-examples.md#flow-log-example-no-data) para obtener una explicación de las entradas de SKIPDATA.
**Solución**
Confirme que las entradas SKIPDATA estén presentes en sus entradas de registro consultando en sus registros distintas entradas en el campo de estado del registro.
Ejemplos de consultas para comprobar la existencia de SKIPDATA:
CW Insights:
```
fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus
```
Athena:
```
SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id
```
# Métricas de CloudWatch para sus VPC
Amazon VPC publica datos sobre sus VPC en Amazon CloudWatch. Puede recuperar estadísticas sobre sus VPC como un conjunto ordenado de datos de serie temporal, denominados *métricas*. Una métrica es una variable que hay que supervisar y los datos son los valores de esa variable a lo largo del tiempo. Para obtener más información, consulte la [Guía del usuario de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
**Topics**
+ [Dimensiones y métricas de NAU](#nau-cloudwatch)
+ [Habilitación o deshabilitación de la supervisión del NAU](#nau-monitoring-enable)
+ [Ejemplo de alarma de CloudWatch para NAU](#nau-cloudwatch-alarm-example)
## Dimensiones y métricas de NAU
[Uso de direcciones de red](network-address-usage.md) (NAU, uso de direcciones de red) es una métrica que se aplica a los recursos de la red virtual para ayudarlo a planificar y supervisar el tamaño de su VPC. Supervisar el NAU no tiene ningún costo. El monitoreo del NAU es útil porque, si agota las cuotas de NAU o NAU emparejadas de su VPC, no podrá lanzar nuevas instancias de EC2 ni aprovisionar nuevos recursos, como los equilibradores de carga de red, los puntos de conexión de VPC las funciones de Lambda, las conexiones de puerta de enlace de tránsito o las puertas de enlace NAT.
Si ha habilitado la supervisión del uso de direcciones de red para una VPC, Amazon VPC envía las métricas relacionadas con el NAU a Amazon CloudWatch. El tamaño de una VPC se mide por la cantidad de unidades de uso de direcciones de red (NAU) que contiene la VPC.
Puede usar estas métricas para entender el ritmo de crecimiento de su VPC, pronosticar cuándo alcanzará su límite de tamaño o crear alarmas cuando se superen los umbrales de tamaño.
El espacio de nombres `AWS/EC2` incluye las siguientes métricas de supervisión de NAU.
| Métrica | Descripción |
| --- | --- |
| NetworkAddressUsage | El recuento de NAU por VPC. **Criterios de presentación de informes** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensiones** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) |
| NetworkAddressUsagePeered | El recuento de NAU para la VPC y todas las VPC con las que está emparejada.**Criterios de presentación de informes**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html)**Dimensiones**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) |
El espacio de nombres `AWS/Usage` incluye las siguientes métricas de supervisión de NAU.
| Métrica | Descripción |
| --- | --- |
| ResourceCount | El recuento de NAU por VPC. **Criterios de presentación de informes** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensiones** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) |
| ResourceCount | El recuento de NAU para la VPC y todas las VPC con las que está emparejada. **Criterios de presentación de informes** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensiones** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) |
| ResourceCount | Una vista combinada del uso de NAU en las VPC. **Criterios de presentación de informes** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensiones** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) |
| ResourceCount | Una vista combinada del uso de NAU en las VPC interconectadas. **Criterios de presentación de informes** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensiones** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/vpc-cloudwatch.html) |
## Habilitación o deshabilitación de la supervisión del NAU
Para ver las métricas del NAU en CloudWatch, primero debe habilitar la supervisión en cada VPC que desee supervisar.
**Para habilitar o deshabilitar la supervisión del NAU**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **Your VPCs** (Sus VPC).
1. Seleccione la casilla de verificación de la VPC.
1. Seleccione **Actions** (Acciones), **Edit VPC settings** (Editar la configuración de VPC).
1. Realice una de las siguientes acciones:
+ Para habilitar la supervisión, seleccione **Network mapping units metrics settings** (Configuración de métricas de unidades de mapeo de red), **Enable network address usage metrics** (Habilitar métricas de uso de direcciones de red).
+ Para deshabilitar la supervisión, desmarque **Network mapping units metrics settings** (Configuración de métricas de unidades de mapeo de red), **Enable network address usage metrics** (Habilitar métricas de uso de direcciones de red).
**Para habilitar o deshabilitar la supervisión mediante la línea de comandos**
+ [modify-vpc-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html) (AWS CLI)
+ [Edit-EC2VpcAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcAttribute.html) (AWS Tools for Windows PowerShell)
## Ejemplo de alarma de CloudWatch para NAU
Puede usar el comando AWS CLI y el ejemplo `.json` siguientes para crear una alarma de Amazon CloudWatch y una notificación de SNS que realice un seguimiento al uso de NAU de la VPC con un umbral de 50 000 NAU. En esta muestra, es necesario crear primero un tema de Amazon SNS. Para obtener más información, consulte [Introducción a Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
```
aws cloudwatch put-metric-alarm --cli-input-json file://nau-alarm.json
```
A continuación se muestra un ejemplo de `nau-alarm.json`.
```
{
"Namespace": "AWS/EC2",
"MetricName": "NetworkAddressUsage",
"Dimensions": [{
"Name": "Per-VPC Metrics",
"Value": "vpc-0123456798"
}],
"AlarmActions": ["arn:aws:sns:us-west-1:123456789012:my_sns_topic"],
"ComparisonOperator": "GreaterThanThreshold",
"Period": 86400,
"EvaluationPeriods": 1,
"Threshold": 50000,
"AlarmDescription": "Tracks NAU utilization of the VPC with 50k NAUs as the threshold",
"AlarmName": "VPC NAU Utilization",
"Statistic": "Maximum"
}
```
# Comprensión de los códigos de Amazon VPC en informes de facturación y de uso
Cuando usa Amazon VPC, incluimos los códigos relacionados en sus informes de facturación y de uso de AWS. La revisión de estos códigos le ayuda a entender sus costos y patrones de uso de Amazon VPC. El seguimiento y la gestión de sus gastos son esenciales para optimizar sus costos.
En las siguientes tablas, se describen los códigos de Amazon VPC que aparecen en sus informes de facturación y de uso. Para obtener una lista de los códigos de región utilizados en los informes de facturación y de uso, consulte [Códigos de región para facturación de AWS](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-region-billing-codes.html).
**Topics**
+ [Administración de direcciones IP](#ip-billing-usage-reports)
+ [Puntos de conexión de VPC](#vpce-billing-usage-reports)
+ [Puertas de enlace de tránsito](#tgw-billing-usage-reports)
+ [Análisis de redes](#analysis-billing-usage-reports)
+ [Replicación de tráfico](#mirroring-billing-usage-reports)
+ [VPC Lattice](#lattice-billing-usage-reports)
+ [Recursos entre cuentas/regiones](#cross-billing-usage-reports)
**Recursos relacionados**
+ [Precios de Amazon VPC](https://aws.amazon.com/vpc/pricing/)
+ [Precios de AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/)
+ [Precios de AWS Transit Gateway](https://aws.amazon.com/transit-gateway/pricing/)
+ [Precios de Amazon VPC Lattice](https://aws.amazon.com/vpc/lattice/pricing/)
## Administración de direcciones IP
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-PublicIPv4:InUseAddress | El tiempo durante el cual un recurso utiliza las direcciones IPv4 públicas. | Horas | Por segundo |
| region-PublicIPv4:IdleAddress | El tiempo durante el cual un recurso no utiliza las direcciones IPv4 públicas. | Horas | Por segundo |
| region-PublicIPv4:ContiguousBlock | El uso de direcciones IPv4 públicas en un bloque de IPv4 contiguo proporcionado por Amazon. | Horas | Por hora |
| region-IPAddressManager-IP-Hours | El tiempo durante el cual el nivel avanzado de IPAM administra las direcciones IP. | Horas | Por hora |
## Puntos de conexión de VPC
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-VpcEndpoint-Hours | El tiempo durante el cual se aprovisionan los puntos de conexión de VPC de la interfaz. | Horas | Por hora |
| region-VpcEndpoint-Bytes | Los datos procesados por los puntos de conexión de VPC de la interfaz. | GB | Por hora |
| region-VpcEndpoint-GWLBE-Hours | El tiempo durante el cual se aprovisionan los puntos de conexión del equilibrador de carga de puerta de enlace. | Horas | Por hora |
| region-VpcEndpoint-GWLBE-Bytes | Los datos procesados por los puntos de conexión del equilibrador de carga de puerta de enlace. | GB | Por hora |
## Puertas de enlace de tránsito
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-TransitGateway-Hours | El uso de conexiones de puerta de enlace de tránsito. | Horas | Por hora |
| region-TransitGateway-Bytes | Los datos procesados por las puertas de enlace de tránsito. | GB | Por hora |
| region-TGW-Multicast-Consumer-Bytes | Los datos procesados por las instancias receptoras de multidifusión. | GB | Por hora |
## Análisis de redes
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-Analysis-Runs | La cantidad de rutas de red analizadas por Reachability Analyzer. | Recuento | Por análisis |
| region-NetworkInterface-Assessment | La cantidad de interfaces de red analizadas por el analizador de acceso a la red. | Recuento | Por evaluación |
## Replicación de tráfico
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-ENI-Mirror | El tiempo durante el cual una interfaz de red está configurada para la duplicación del tráfico. | Horas | Por hora |
## VPC Lattice
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-VPCLattice-Service-Hourly | El tiempo de ejecución de los servicios de VPC Lattice. | Horas | Por hora |
| region-VPCLattice-DataProcessing-Bytes | Los datos procesados por los servicios de VPC Lattice. | GB | Por hora |
| region-VPCLattice-RequestCount-Free | Las solicitudes HTTP y las conexiones TCP gratuitas. | Recuento | Por hora |
| region-VpcLattice-Service-Network-Resource-Hours | El tiempo de ejecución de las redes de servicio de VPC Lattice. | Horas | Por hora |
## Recursos entre cuentas/regiones
| Código | Descripción | Unidades | Granularity (Grado de detalle) |
| --- | --- | --- | --- |
| region-VpcResource-Provider-Bytes | Los datos transferidos desde los recursos de los proveedores entre cuentas o regiones. | GB | Por hora |
| region-VpcResource-Consumer-Bytes | Los datos transferidos por los recursos de consumo entre cuentas o regiones. | GB | Por hora |
# Descripción de la arquitectura de red de VPC
Amazon VPC le permite definir una red virtual aislada lógicamente dentro de la nube de AWS, que recibe el nombre de nube privada virtual (VPC). Cree VPC separadas para aislar la infraestructura por carga de trabajo o unidad organizativa. Puede configurar sus VPC seleccionando rangos de direcciones IP, configurando el enrutamiento y agregando puertas de enlace de red para conectar sus VPC entre sí, a Internet o a su propia red corporativa. Usted lanza recursos de AWS, como instancias de EC2 o instancias de RDS, en sus VPC.
La siguiente tabla describe las características clave de una red de VPC. Un administrador de red puede utilizar esta guía para describir la arquitectura y la configuración de su red de VPC. Disponer de esta información les permite configurar una red funcionalmente equivalente en las instalaciones o mediante otro proveedor de nube.
| Característica | Descripción |
| --- | --- |
| [Ubicación geográfica](#vpc-network-geographic-location) | Amazon VPC está alojado en todas las regiones de AWS del mundo. Puede seleccionar las regiones para su red de VPC que acerquen los recursos de AWS a sus clientes. |
| [Subredes](#vpc-network-subnets) | Las subredes que defina para sus VPC definen los límites de la red y determinan las direcciones IP de sus recursos de AWS. Puede agregar subredes en varias zonas de disponibilidad para aumentar la disponibilidad de los recursos. |
| [Conectividad de red](#vpc-network-connectivity) | Las puertas de enlace que debe conectar a las VPC o subredes para proporcionar conectividad entre la red de VPC y otras redes, como otras VPC o subredes, Internet o las redes en las instalaciones. |
| [Controles de seguridad](#vpc-network-security-controls) | Los grupos de seguridad que cree para sus VPC controlan el tráfico hacia y desde los recursos asociados, como los recursos informáticos, los recursos de bases de datos y los equilibradores de carga. Cada subred tiene una ACL de red que controla el tráfico entrante y saliente de la subred. |
| [Administración del tráfico](#vpc-network-traffic-management) | Las reglas de enrutamiento controlan el flujo de tráfico entre las subredes, las VPC y las ubicaciones externas. Los equilibradores de carga proporcionados por Elastic Load Balancing distribuyen el tráfico entrante entre varios destinos, como instancias de EC2, contenedores y funciones de Lambda. |
## Ubicación geográfica
Amazon VPC está disponible en todas las regiones de AWS del mundo. Cada región es un área geográfica independiente. Puede reducir la latencia de la red al crear VPC para sus recursos en regiones cercanas a la mayoría de sus usuarios.
Puede utilizar Amazon EC2 Global View para enumerar las VPC en todas las regiones mediante una interfaz gráfica de usuario (no hay una interfaz de programación equivalente). Con la consola de Amazon VPC, la API de AWS y las interfaces de línea de comandos de AWS, debe enumerar las VPC y los recursos de VPC de cada región de forma individual.
**Por qué es importante**
Una vez que determine dónde están ubicadas sus VPC, puede decidir si desea configurar una red funcionalmente equivalente en las mismas ubicaciones o en ubicaciones diferentes, según sus necesidades.
**Obtención de un resumen de sus VPC en todas las regiones**
1. Abra la consola de Amazon EC2 Global View en [https://console.aws.amazon.com/ec2globalview/home](https://console.aws.amazon.com/ec2globalview/home).
1. En la pestaña **Region explorer (Explorador de regiones)**, en **Summary (Resumen)**, compruebe el recuento de recursos de las **VPC**, que incluye la cantidad de VPC y la cantidad de regiones. Esto incluye tanto las VPC predeterminadas que crea AWS en su nombre como las VPC no predeterminadas que usted crea. Haga clic en el texto subrayado para ver cómo se distribuye el recuento de VPC entre las regiones. Si una región tiene solo una VPC, lo más probable es que sea la predeterminada de la región.
1. En la pestaña **Búsqueda global (Global search)**, seleccione el filtro de cliente **Resource type = Vpc (Tipo de recurso = Vpc)**. Puede filtrar aún más los resultados especificando una región o una etiqueta.
**Obtención de las VPC de una región mediante la AWS CLI**
Utilice el siguiente comando [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html). Debe ejecutarlo en cada región en la que tenga VPC. El parámetro `--query` solo incluye los ID de la VPC en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-vpcs \
--region us-east-2 \
--query "Vpcs[*].VpcId"
```
Cada región incluye una VPC predeterminada. Si no utiliza las VPC predeterminadas, puede excluirlas de los resultados añadiendo el siguiente filtro.
```
--filters Name=is-default,Values=false
```
## Subredes
Una subred es un límite de red lógico en una VPC. Al crear una subred, asigna un bloque de direcciones IP. A los recursos que lanza a una subred se les asignan direcciones IP del bloque de direcciones IP de la subred. Las direcciones IP permiten que los recursos se comuniquen entre sí a través de una red local o Internet.
El mapa de recursos de la consola de Amazon VPC proporciona una representación visual de las subredes de la VPC.
**Por qué son importantes**
Las subredes permiten a los administradores de red implementar límites de seguridad y controlar el tráfico entre los niveles de aplicaciones. Al anotar las direcciones IP de las subredes, puede ayudar a garantizar que los recursos en una red funcionalmente equivalente puedan comunicarse con los mismos clientes o aplicaciones que en su red de VPC.
**Visualización de las subredes de una VPC mediante el mapa de recursos**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **VPC**.
1. Seleccione la casilla de verificación de la VPC.
1. Elija la pestaña **Resource map (Mapa de recursos)**.
1. En el panel de VPC, seleccione **Show details (Mostrar detalles)**. En el panel **Subnets (Subredes)**, se presentan todas las subredes de la VPC y sus rangos de direcciones IP. Coloque el cursor sobre una subred para resaltar la tabla de enrutamiento y las conexiones de red asociadas. Para obtener más información, haga clic en el enlace para abrir la página de detalles de la subred.
**Descripción de las subredes de una VPC mediante la AWS CLI**
Utilice el siguiente comando [describe-subnets](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html). El parámetro `--filters` abarca la búsqueda para describir las subredes de la VPC especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-subnets \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query Subnets[*].[SubnetId,AvailabilityZoneId,CidrBlock,Ipv6CidrBlockAssociationSet[0].Ipv6CidrBlock] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas son el ID de la subred, el ID de la zona de disponibilidad, el rango de direcciones IPv4 y el primer rango de direcciones IPv6 (si lo hubiera).
```
---------------------------------------------------------------------------------------
| DescribeSubnets |
+---------------------------+-----------+----------------+----------------------------+
| subnet-0d2d1b81e0bc9c6d4 | usw2-az1 | 10.0.144.0/20 | 2600:1f14:1e6e:a003::/64 |
| subnet-0e01d500780bb7468 | usw2-az1 | 10.0.16.0/20 | 2600:1f14:1e6e:a001::/64 |
| subnet-0eb17d85f5dfd33b1 | usw2-az2 | 10.0.128.0/20 | 2600:1f14:1e6e:a002::/64 |
| subnet-0e990c67809773b19 | usw2-az2 | 10.0.0.0/20 | 2600:1f14:1e6e:a000::/64 |
+---------------------------+-----------+----------------+----------------------------+
```
## La conectividad de red
Las opciones de conectividad que ofrece Amazon VPC le permiten crear una red que abarque las VPC de varias cuentas y regiones y redes remotas.
Puede utilizar el mapa de recursos de la consola de Amazon VPC para descubrir si sus VPC utilizan puertas de enlace de Internet, puertas de enlace de Internet de solo salida, puertas de enlace NAT o puntos de conexión de VPC de las puertas de enlace. El mapa de recursos no muestra ninguna puerta de enlace de tránsito, conexión de pares, puerta de enlace privada virtual ni ningún otro tipo de punto de conexión de VPC que esté en uso. Puede obtener la lista completa de puertas de enlace y conexiones de red de una VPC describiéndolas mediante la consola, la API o una interfaz de línea de comando de un tipo a la vez.
**Por qué es importante**
Una vez que comprenda la conectividad que proporciona su red de VPC, puede asegurarse de que los recursos de una red funcionalmente equivalente puedan comunicarse con los mismos recursos locales y remotos.
**Visualización de las conexiones de red de una VPC mediante el mapa de recursos**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **VPC**.
1. Seleccione la casilla de verificación de la VPC.
1. Elija la pestaña **Resource map (Mapa de recursos)**.
1. En el panel de VPC, seleccione **Show details (Mostrar detalles)**. En el panel **Network connections (Conexiones de red)**, se presentan las puertas de enlace de Internet, las puertas de enlace de Internet de solo salida, las puertas de enlace NAT y los puntos de conexión de VPC de las puertas de enlace. Si el tipo de recurso no está claro, coloque el cursor sobre el icono de enlace de la conexión de red y examine la URL resultante. Esta URL es un enlace al recurso en la consola y contiene el tipo y el ID del recurso (por ejemplo, internetGatewayId=igw-0123456780abcdef).
**Obtención de las conexiones de red de sus VPC mediante la AWS CLI**
1. Utilice el comando [describe-internet-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-internet-gateways.html) para obtener las puertas de enlace de Internet de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-internet-gateways \
--region us-east-2 \
--query InternetGateways[*].[Attachments[0].VpcId,InternetGatewayId] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC y los ID de la puerta de enlace de Internet.
```
----------------------------------------------------
| DescribeInternetGateways |
+------------------------+-------------------------+
| None | igw-04c61dba10EXAMPLE |
| vpc-0bf4c2739bEXAMPLE | igw-09737a4029EXAMPLE |
| vpc-060415a18fEXAMPLE | igw-0c562bd22aEXAMPLE |
| vpc-0ea9d41094EXAMPLE | igw-0e06f7033dEXAMPLE |
| vpc-03b86de356EXAMPLE | igw-0a9ff72d05EXAMPLE |
+------------------------+-------------------------+
```
1. Utilice el comando [describe-egress-only-internet-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-egress-only-internet-gateways.html) para obtener las puertas de enlace de Internet de solo salida de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-egress-only-internet-gateways \
--region us-east-2 \
--query EgressOnlyInternetGateways[*].[Attachments[0].VpcId,EgressOnlyInternetGatewayId] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC y los ID de las puertas de enlace de Internet de solo salida.
```
-----------------------------------------------------
| DescribeEgressOnlyInternetGateways |
+------------------------+--------------------------+
| vpc-060415a18fEXAMPLE | eigw-0b8ca558acEXAMPLE |
+------------------------+--------------------------+
```
1. Utilice el comando [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) para obtener las puertas de enlace NAT de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-nat-gateways \
--region us-east-2 \
--query NatGateways[*].[VpcId,NatGatewayId,SubnetId] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC, los ID de la puerta de enlace NAT y los ID de la subred.
```
---------------------------------------------------------------------------------
| DescribeNatGateways |
+------------------------+-------------------------+----------------------------+
| vpc-060415a18fEXAMPLE | nat-026316334aEXAMPLE | subnet-0eb17d85f5EXAMPLE |
| vpc-060415a18fEXAMPLE | nat-0f08bc5f52EXAMPLE | subnet-0d2d1b81e0EXAMPLE |
+------------------------+-------------------------+----------------------------+
```
1. Utilice el comando [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) para obtener los adjuntos de VPC de la puerta de enlace de tránsito de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-transit-gateway-vpc-attachments \
--region us-east-2 \
--query TransitGatewayVpcAttachments[*].[VpcId,TransitGatewayId,length(SubnetIds[])] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC, los ID de las puertas de enlace de tránsito y el recuento de subredes.
```
---------------------------------------------------------
| DescribeTransitGatewayVpcAttachments |
+------------------------+-------------------------+----+
| vpc-0bf4c2739bEXAMPLE | tgw-055dc4e47bEXAMPLE | 4 |
| vpc-0ea9d41094EXAMPLE | tgw-055dc4e47bEXAMPLE | 2 |
+------------------------+-------------------------+----+
```
1. Utilice el comando [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html) para obtener las conexiones de emparejamiento de las VPC de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-vpc-peering-connections \
--region us-east-2 \
--query VpcPeeringConnections[*].[AccepterVpcInfo.VpcId,RequesterVpcInfo.VpcId] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de las VPC que aceptan, los propietarios de las VPC que aceptan, los ID de las VPC que solicitan y los propietarios de las VPC que solicitan.
```
------------------------------------------------------------------------------------
| DescribeVpcPeeringConnections |
+------------------------+---------------+------------------------+----------------+
| vpc-0ea9d41094EXAMPLE | 123456789012 | vpc-03b86de356EXAMPLE | 123456789012 |
+------------------------+---------------+------------------------+----------------+
```
1. Use el comando [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html) para obtener las puertas de enlace privadas virtuales de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-vpn-gateways \
--region us-east-2 \
--query VpnGateways[*].[VpcAttachments[0].VpcId,VpnGatewayId] \
--output table
```
A continuación, se muestra un ejemplo del resultado. Las columnas muestran los ID de la VPC y los ID de puerta de enlace privada virtual.
```
----------------------------------------------------
| DescribeVpnGateways |
+------------------------+-------------------------+
| vpc-0bf4c2739bEXAMPLE | vgw-0cb3226c4aEXAMPLE |
+------------------------+-------------------------+
```
1. Utilice el comando [describe-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html) para obtener los puntos de enlace de VPC de la región especificada. El parámetro `--query` solo incluye los campos especificados en la salida. Puede incluir cualquier campos adicionales según sea necesario.
```
aws ec2 describe-vpc-endpoints \
--region us-east-2 \
--query 'VpcEndpoints[*].[VpcId,VpcEndpointType,ServiceName||ServiceNetworkArn||ResourceConfigurationArn]' \
--output table
```
A continuación, se muestra un ejemplo del resultado. La primera columna muestra el ID de la VPC, y la segunda columna muestra el tipo de punto de conexión de VPC. La tercera columna depende del tipo de punto de conexión y muestra el nombre del servicio, el ARN de la configuración del recurso o el ARN de la red de servicio.
```
----------------------------------------------------------------------------------------------------------------------------------------
| DescribeVpcEndpoints |
+------------------------+-----------------+-------------------------------------------------------------------------------------------+
| vpc-060415a18fcc9afde | Interface | com.amazonaws.vpce.us-west-2.vpce-svc-007832a03d60fc387 |
| vpc-060415a18fcc9afde | Interface | com.amazonaws.vpce.us-west-2.vpce-svc-007832a03d60fc387 |
| vpc-0bf4c2739bc05a694 | Gateway | com.amazonaws.us-west-2.s3 |
| vpc-0ea9d410947d27b7d | Interface | com.amazonaws.us-west-2.logs |
| vpc-0bf4c2739bc05a694 | Resource | arn:aws:vpc-lattice:us-east-2:123456789012:resourceconfiguration/rcfg-07129f3acded87625 |
| vpc-0bf4c2739bc05a694 | ServiceNetwork | arn:aws:vpc-lattice:us-east-2:123456789012:servicenetwork/sn-0808d1748faee0c1e |
| vpc-0bf4c2739bc05a694 | ServiceNetwork | arn:aws:vpc-lattice:us-east-2:123456789012:servicenetwork/sn-0808d1748faee0c1e |
+------------------------+-----------------+-------------------------------------------------------------------------------------------+
```
## Controles de seguridad
Los controles de seguridad proporcionados por Amazon VPC determinan el acceso de red a sus VPC y los recursos desplegados allí.
**Por qué es importante**
Después de determinar el tráfico entrante permitido para llegar a sus subredes y recursos y el tráfico de salida permitido para dejar sus subredes y recursos, puede planificar las reglas de firewall necesarias para una red funcionalmente equivalente.
**Topics**
+ [Grupos de seguridad](#vpc-network-security-groups)
+ [ACL de red](#vpc-network-acls-subnet)
### Grupos de seguridad
Un grupo de seguridad permite el tráfico entrante y saliente específico a nivel de recursos. Los grupos de seguridad son el mecanismo principal para controlar el acceso a los recursos de su VPC.
**Obtención de grupos de seguridad para sus VPC**
Utilice el comando [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html) para mostrar los grupos de seguridad de la VPC especificada.
```
aws ec2 describe-security-groups \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query SecurityGroups[*].GroupId
```
**Obtención de reglas de entrada para un grupo de seguridad**
Utilice el comando [describe-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-rules.html) para mostrar las reglas del grupo de seguridad especificado, donde `IsEgress` es `false`.
```
aws ec2 describe-security-group-rules \
--filters Name=group-id,Values=sg-0abcdef1234567890 \
--query 'SecurityGroupRules[?IsEgress==`false`]'
```
**Obtención de reglas de salida para un grupo de seguridad**
Utilice el comando [describe-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-rules.html) para mostrar las reglas del grupo de seguridad especificado, donde `IsEgress` es `true`.
```
aws ec2 describe-security-group-rules \
--filters Name=group-id,Values=sg-0abcdef1234567890 \
--query 'SecurityGroupRules[?IsEgress==`true`]'
```
### ACL de red
Una lista de control de acceso (ACL) de red permite o deniega el tráfico entrante y saliente específico en el nivel de subred. Puede utilizar las ACL de red como defensa en profundidad en caso de que un recurso se implemente sin el grupo de seguridad correcto.
**Obtención de las ACL de red para sus subredes**
Utilice el comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) para mostrar las ACL de red para la VPC especificada y sus asociaciones de subredes.
```
aws ec2 describe-network-acls \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query "NetworkAcls[*].{ID:NetworkAclId,Subnets:Associations[].SubnetId}"
```
**Obtención de las reglas de entrada para una ACL de red**
Utilice el comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) para mostrar las reglas de la ACL de red especificada, donde `Egress` es `false`.
```
aws ec2 describe-network-acls \
--network-acl-ids acl-0abcdef1234567890 \
--query 'NetworkAcls[*].Entries[?Egress==`false`]'
```
**Obtención de las reglas de salida para una ACL de red**
Utilice el comando [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html) para mostrar las reglas de la ACL de red especificada, donde `Egress` es `true`.
```
aws ec2 describe-network-acls \
--network-acl-ids acl-0abcdef1234567890 \
--query 'NetworkAcls[*].Entries[?Egress==`true`]'
```
## Administración del tráfico
La administración eficaz del tráfico combina las decisiones de enrutamiento a nivel de red proporcionadas por las tablas de enrutamiento con las estrategias de distribución a nivel de aplicación proporcionadas por el equilibrio de carga.
**Por qué es importante**
Los administradores de red deben diseñar subredes, enrutamiento, resolución DNS y equilibrador de carga para optimizar el flujo de tráfico, al mismo tiempo que mantienen los límites de seguridad y requisitos de rendimiento. Al observar la configuración de estos componentes en la red de VPC, puede garantizar que los recursos de una red funcionalmente equivalente se comuniquen con los mismos clientes o dispositivos que en la red de VPC.
**Topics**
+ [Tablas de enrutamiento](#vpc-network-traffic-routing)
+ [Conjunto de opciones de DHCP](#vpc-network-dhcp-options)
+ [Equilibradores de carga](#vpc-network-traffic-elb)
### Tablas de enrutamiento
Las tablas de enrutamiento determinan cómo fluye el tráfico de red a través de los límites de la red, como las subredes, las VPC, las redes en las instalaciones e Internet.
El mapa de recursos de la consola de Amazon VPC proporciona una representación visual de las tablas de enrutamiento de la VPC.
**Visualización de las tablas de enrutamiento de una VPC mediante el mapa de recursos**
1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación, elija **VPC**.
1. Seleccione la casilla de verificación de la VPC.
1. Elija la pestaña **Resource map (Mapa de recursos)**.
1. En el panel **Route tables (Tablas de enrutamiento)**, se presentan todas las tablas de enrutamiento de la VPC. Coloque el cursor sobre una tabla de enrutamiento para resaltar las subredes y las conexiones de red asociadas. Para obtener más información, haga clic en el enlace para abrir la página de detalles de la tabla de enrutamiento.
**Para describir las tablas de enrutamiento**
Use el comando [describe-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html) para describir las tablas de enrutamiento de la VPC especificada y sus asociaciones de subred.
```
aws ec2 describe-route-tables \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query "RouteTables[*].{ID:RouteTableId,Subnets:Associations[].SubnetId}"
```
**Obtención de las rutas de una tabla de enrutamiento**
Use el comando [describe-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html) para describir las rutas de la tabla de enrutamiento especificada.
```
aws ec2 describe-route-tables \
--route-table-ids rtb-02ec01715bEXAMPLE \
--query RouteTables[*].Routes
```
### Conjunto de opciones de DHCP
La VPC posee un conjunto de opciones de DHCP para configurar diversos ajustes de red. Por ejemplo, los servidores DNS personalizados se pueden configurar para que las instancias EC2 resuelvan los nombres de host internos con la infraestructura de DNS existente. Para obtener más información, consulte [Conceptos de conjuntos de opciones de DHCP](DHCPOptionSetConcepts.md).
**Para describir las opciones de DHCP para la VPC**
Use el comando [describe-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-dhcp-options.html) para describir las opciones de DHCP especificadas. El ejemplo también obtiene el ID de las opciones de DHCP para la VPC especificada con el comando [describe-vpcs](https://docs.aws.amazon.com/cli/latest/reference//ec2/describe-vpcs.html).
```
aws ec2 describe-dhcp-options \
--dhcp-options-id "$(aws ec2 describe-vpcs \
--vpc-id vpc-1234567890abcdef0 \
--query Vpcs[].DhcpOptionsId --output text)"
```
A continuación, se muestra un ejemplo de salida para una VPC que usa las opciones de DHCP que vienen por defecto.
```
{
"DhcpOptions": [
{
"OwnerId": "415546850671",
"Tags": [],
"DhcpOptionsId": "dopt-1234567890abcdef0",
"DhcpConfigurations": [
{
"Key": "domain-name",
"Values": [
{
"Value": "us-west-2.compute.internal"
}
]
},
{
"Key": "domain-name-servers",
"Values": [
{
"Value": "AmazonProvidedDNS"
}
]
}
]
}
]
}
```
### Equilibradores de carga
El equilibrador de carga distribuye el tráfico entrante de los clientes entre varios destinos. Los equilibradores de carga supervisan el estado de los destinos y eliminan automáticamente los que no están en buen estado de la distribución del tráfico, lo que garantiza que solo se utilicen destinos en buen estado. Esto mejora la disponibilidad y el rendimiento de sus aplicaciones para optimizar el uso de los recursos. Para obtener más información, consulte la [Guía del usuario de Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/).
**Para describir sus equilibradores de carga**
Use el comando [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elbv2/describe-load-balancers.html) para mostrar los equilibradores de carga de la VPC especificada.
```
aws elbv2 describe-load-balancers \
--query 'LoadBalancers[?VpcId==`vpc-1234567890abcdef0`].LoadBalancerArn'
```
## Recursos relacionados
Los siguientes son servicios o características opcionales que podría estar utilizando en su red de VPC:
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/)
+ [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/)
+ [Replicación de tráfico](https://docs.aws.amazon.com/vpc/latest/mirroring/)
+ [Logs de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)