Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Publier des journaux de flux vers Amazon Data Firehose
<a name="flow-logs-firehose"></a>

Les journaux de flux peuvent publier leurs données directement dans Amazon Data Firehose. Amazon Data Firehose est un service entièrement géré qui collecte, transforme et diffuse des flux de données en temps réel vers divers magasins de AWS données et services d'analyse. Il gère l’ingestion de données en votre nom.

En ce qui concerne les journaux de flux VPC, Firehose peut être utile. Les journaux de flux VPC capture des informations sur le trafic IP circulant vers et depuis les interfaces réseau dans votre VPC. Ces données peuvent être cruciales pour la surveillance de la sécurité, l’analyse des performances et la conformité réglementaire. Cependant, la gestion du stockage et du traitement de ce flux ininterrompu de données de journal peut s’avérer une tâche complexe et gourmande en ressources.

L’intégration de Firehose à vos journaux de flux VPC vous permet d’envoyer ces données vers votre destination préférée (Amazon S3 ou Amazon Redshift, par exemple). Firehose se mettra à l’échelle pour gérer l’ingestion, la transformation et la diffusion de vos journaux de flux VPC, vous évitant ainsi la charge opérationnelle. Cela vous permet de vous concentrer sur l’analyse des journaux et sur l’obtention d’informations, plutôt que de vous soucier de l’infrastructure sous-jacente.

En outre, Firehose propose des fonctionnalités telles que la transformation, la compression et le chiffrement des données, qui peuvent améliorer l’efficacité et la sécurité de votre pipeline de traitement des journaux de flux VPC. L’utilisation de Firehose pour les journaux de flux VPC peut simplifier la gestion de vos données et vous permettre d’obtenir des informations à partir des données de trafic réseau. 

Lors de la publication vers Amazon Data Firehose, les données du journal de flux sont publiées au format texte brut dans un flux de diffusion Amazon Data Firehose.

**Tarification**  
Des frais d'ingestion et de diffusion standard s'appliquent. Pour plus d'informations, ouvrez [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), sélectionnez **Logs** et recherchez **Vended Logs**.

**Topics**
+ [Rôles IAM pour la diffusion entre comptes](firehose-cross-account-delivery.md)
+ [Créer un journal de flux publié dans Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)

# Rôles IAM pour la diffusion entre comptes
<a name="firehose-cross-account-delivery"></a>

Lorsque vous publiez sur Amazon Data Firehose, vous pouvez choisir un flux de diffusion qui se trouve dans le même compte que la ressource à surveiller (le compte source) ou dans un compte différent (le compte de destination). Pour permettre la diffusion des journaux de flux entre comptes à Amazon Data Firehose, vous devez créer un rôle IAM dans le compte source et un rôle IAM dans le compte de destination.

**Topics**
+ [Rôle du compte source](#firehose-source-account-role)
+ [Rôle du compte de destination](#firehose-destination-account-role)

## Rôle du compte source
<a name="firehose-source-account-role"></a>

Dans le compte source, créez un rôle qui accorde les autorisations suivantes. Dans cet exemple, le rôle a pour nom `mySourceRole`, mais vous pouvez choisir un nom différent. La dernière instruction permet au rôle dans le compte de destination d'assumer ce rôle. Les instructions de condition garantissent que ce rôle est transmis uniquement au service de diffusion de journaux, et uniquement lors de la surveillance de la ressource spécifiée. Lorsque vous créez votre politique, spécifiez les VPCs interfaces réseau ou les sous-réseaux que vous surveillez à l'aide de la clé `iam:AssociatedResourceARN` de condition.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::123456789012:role/mySourceRole",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "delivery.logs.amazonaws.com"
                },
                "StringLike": {
                    "iam:AssociatedResourceARN": [
                        "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-00112233344556677"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:GetLogDelivery"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
        }
    ]
}
```

------

Assurez-vous que ce rôle possède la politique de confiance suivante, qui permet au service de diffusion de journaux d'assumer ce rôle.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

À partir du compte source, observez la procédure suivante afin de créer le rôle.

**Pour créer le rôle du compte source**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Sélectionnez **Create policy** (Créer une politique).

1. Sur la page **Create policy** (Créer une stratégie), procédez comme suit :

   1. Choisissez **JSON**.

   1. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.

   1. Choisissez **Suivant**.

   1. Saisissez un nom pour votre politique ainsi qu’éventuellement une description et des balises, puis choisissez **Créer une politique**.

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Sélectionnez **Create role** (Créer un rôle).

1. Pour **Trusted entity type** (Type d'entité de confiance), choisissez **Custom trust policy** (Politique de confiance personnalisée). Pour **Custom trust policy** (Politique de confiance personnalisée), remplacez `"Principal": {},` par ce qui suit, qui spécifie le service de diffusion de journaux. Choisissez **Suivant**.

   ```
   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },
   ```

1. Sur la page **Add permissions** (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez **Next** (Suivant).

1. Entrez un nom pour votre rôle et fournissez une description, le cas échéant.

1. Choisissez **Créer un rôle**.

## Rôle du compte de destination
<a name="firehose-destination-account-role"></a>

Dans le compte de destination, créez un rôle dont le nom commence par **AWSLogDeliveryFirehoseCrossAccountRole**. Ce rôle doit accorder les autorisations suivantes.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "iam:CreateServiceLinkedRole",
          "firehose:TagDeliveryStream"
      ],
      "Resource": "*"
    }
  ]
}
```

------

Assurez-vous que ce rôle possède la politique de confiance suivante, qui permet au rôle que vous avez créé dans le compte source d'assumer ce rôle.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/mySourceRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

À partir du compte de destination, appliquez la procédure suivante afin de créer le rôle.

**Pour créer le rôle du compte de destination**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Sélectionnez **Create policy** (Créer une politique).

1. Sur la page **Create policy** (Créer une stratégie), procédez comme suit :

   1. Choisissez **JSON**.

   1. Remplacez le contenu de cette fenêtre par la politique d'autorisations au début de cette section.

   1. Choisissez **Suivant**.

   1. Entrez un nom pour votre politique commençant par **AWSLogDeliveryFirehoseCrossAccountRole**, puis choisissez **Créer une politique**.

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Sélectionnez **Create role** (Créer un rôle).

1. Pour **Trusted entity type** (Type d'entité de confiance), choisissez **Custom trust policy** (Politique de confiance personnalisée). Pour **Custom trust policy** (Politique de confiance personnalisée), remplacez `"Principal": {},` par ce qui suit, qui spécifie le rôle de compte source. Choisissez **Suivant**.

   ```
   "Principal": {
      "AWS": "arn:aws:iam::source-account:role/mySourceRole"
   },
   ```

1. Sur la page **Add permissions** (Ajouter des autorisations), cochez la case correspondant à la politique que vous avez créée plus tôt dans cette procédure, puis choisissez **Next** (Suivant).

1. Entrez un nom pour votre rôle et fournissez une description, le cas échéant.

1. Choisissez **Créer un rôle**.

# Créer un journal de flux publié dans Amazon Data Firehose
<a name="flow-logs-firehose-create-flow-log"></a>

Vous pouvez créer des journaux de flux pour votre VPCs, vos sous-réseaux ou vos interfaces réseau.

**Conditions préalables**
+ Créez le flux de diffusion Amazon Data Firehose de destination. Utilisez **Direct Put** en tant que source. Pour plus d’informations, consultez [Création d’un flux de diffusion Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ Le compte qui crée le journal de flux doit utiliser un rôle IAM qui accorde les autorisations suivantes pour publier les journaux de flux sur Amazon Data Firehose. 

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogDelivery",
                  "logs:DeleteLogDelivery",
                  "iam:CreateServiceLinkedRole",
                  "firehose:TagDeliveryStream"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Si vous publiez des journaux de flux sur un autre compte, créez les rôles IAM requis, comme décrit dans [Rôles IAM pour la diffusion entre comptes](firehose-cross-account-delivery.md).

**Pour créer un journal de flux publié dans Amazon Data Firehose**

1. Effectuez l’une des actions suivantes :
   + Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Dans le volet de navigation, choisissez **Network Interfaces**. Cochez la case correspondant à l’interface réseau.
   + Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Dans le volet de navigation, sélectionnez **Votre VPCs**. Cochez la case correspondant au VPC.
   + Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Dans le panneau de navigation, choisissez **Subnets** (Sous-réseaux). Cochez la case correspondant au sous-réseau.

1. Choisissez **Actions**, **Create flow log** (Créer le journal de flux).

1. Pour **Filter** (Filtre), spécifiez le type de trafic à journaliser.
   + **Accept** (Accepter) : journalise uniquement le trafic accepté
   + **Reject** (Rejeter) : journalise uniquement le trafic rejeté
   + **All** (Tout) : journalise le trafic accepté et rejeté

1. Pour **Maximum aggregation interval** (Intervalle d'agrégation maximal), choisissez la période maximale pendant laquelle un flux est capturé et agrégé dans un enregistrement de journal de flux.

1. Pour **Destination**, choisissez l'une ou l'autre des options suivantes :
   + **Envoyer vers Amazon Data Firehose depuis le même compte** : le flux de diffusion et la ressource à surveiller se trouvent dans le même compte.
   + **Envoyer vers Amazon Data Firehose depuis un compte différent** : le flux de diffusion et la ressource à surveiller se trouvent dans des comptes différents.

1. Pour le nom du **flux de diffusion Amazon Data Firehose**, choisissez le flux de diffusion que vous avez créé.

1. [Diffusion entre comptes uniquement] Dans **Accès au service**, choisissez un [rôle de service IAM existant pour la diffusion entre comptes](firehose-cross-account-delivery.md) autorisé à publier des journaux ou sélectionnez **Configurer les autorisations** pour ouvrir la console IAM et créer un rôle de service.

1. Pour **Log record format** (Format d'enregistrement du journal), sélectionnez le format de l'enregistrement du journal de flux.
   + Pour utiliser le format de registre de journal de flux par défaut, sélectionnez **AWS default format** (Format par défaut).
   + Pour créer un format personnalisé, choisissez **Custom format** (Format personnalisé). Pour **Log format** (Format de journal), choisissez les champs à inclure dans l'enregistrement de journal de flux.

1. Pour **Métadonnées supplémentaires**, indiquez si vous souhaitez inclure les métadonnées d’Amazon ECS dans le format du journal.

1. (Facultatif) Choisissez **Ajouter une balise** pour appliquer des balises au journal de flux.

1. Choisissez **Create flow log** (Créer le journal de flux).

**Pour créer un journal de flux qui publie dans Amazon Data Firehose à l’aide de la ligne de commande**

Utilisez l’une des commandes suivantes :
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

L' AWS CLI exemple suivant crée un journal de flux qui capture tout le trafic pour le VPC spécifié et fournit les journaux de flux au flux de diffusion Amazon Data Firehose spécifié dans le même compte.

```
aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
```

L' AWS CLI exemple suivant crée un journal de flux qui capture tout le trafic pour le VPC spécifié et fournit les journaux de flux au flux de diffusion Amazon Data Firehose spécifié dans un autre compte.

```
aws ec2 create-flow-logs --traffic-type ALL \
  --resource-type VPC \
  --resource-ids vpc-00112233344556677 \
  --log-destination-type kinesis-data-firehose \
  --log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
  --deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \ 
  --deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```

Suite à la création du journal de flux, vous pouvez obtenir les données du journal de flux depuis la destination que vous avez configurée pour le flux de diffusion.