Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Catatan Log Aliran Transit Gateway di Amazon S3
<a name="flow-logs-s3"></a>

Arus log dapat menerbitkan data log alur ke Amazon S3. 

Ketika menerbitkan ke Amazon S3, data log alur diterbitkan ke bucket Amazon S3 yang ada yang Anda tentukan. Catatan log aliran untuk semua gateway transit yang dipantau dipublikasikan ke serangkaian objek file log yang disimpan di bucket.

Biaya konsumsi data dan arsip diterapkan oleh Amazon CloudWatch untuk log vended saat Anda memublikasikan log aliran ke Amazon S3. Untuk informasi selengkapnya tentang CloudWatch harga untuk log penjual, buka [ CloudWatchHarga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log**, lalu temukan Log **Terjual**.

Untuk membuat bucket Amazon S3 untuk digunakan dengan flow log, lihat [Membuat bucket di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) Pengguna *Amazon S3*.

Untuk informasi selengkapnya tentang pencatatan beberapa akun, lihat [Pencatatan Pusat](https://aws.amazon.com/solutions/implementations/centralized-logging/) dalam Perpustakaan Solusi AWS .

Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Log yang dikirim ke Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) di *Panduan Pengguna Amazon CloudWatch Logs*.

**Topics**
+ [Berkas log alur](#flow-logs-s3-path)
+ [Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3](#flow-logs-s3-iam)
+ [Izin bucket Amazon S3 untuk log alur](#flow-logs-s3-permissions)
+ [Kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS](#flow-logs-s3-cmk-policy)
+ [Izin file berkas log Amazon S3](#flow-logs-file-permissions)
+ [Buat peran akun sumber](flowlog-s3-create-source.md)
+ [Buat Log Aliran yang diterbitkan ke Amazon S3](flowlog-s3-create.md)
+ [Lihat catatan Flow Logs](view-flow-log-records-s3.md)
+ [Catatan Log Aliran AWS Transit Gateway yang Diproses di Amazon S3](#process-records-s3)

## Berkas log alur
<a name="flow-logs-s3-path"></a>

VPC Flow Logs adalah fitur yang mengumpulkan catatan log aliran, mengkonsolidasikannya ke dalam file log, dan kemudian menerbitkan file log ke bucket Amazon S3 dengan interval 5 menit. Setiap file berkas log berisi catatan log alur untuk lalu lintas IP yang dicatat dalam lima menit sebelumnya.

Ukuran file maksimum untuk berkas log adalah 75 MB. File berkas log mencapai batas ukuran file dalam periode 5 menit, log alur berhenti menambahkan catatan log alur kepadanya. Kemudian menerbitkan log alur ke bucket Amazon S3, dan membuat file berkas log baru.

Di Amazon S3, bidang **terakhir yang dimodifikasi** untuk file log alur menunjukkan tanggal dan waktu saat file diunggah ke bucket Amazon S3. Ini lebih lambat dari stempel waktu dalam nama file, dan berbeda dengan jumlah waktu yang dibutuhkan untuk mengunggah file ke bucket Amazon S3.

**Format file log**

Anda dapat menentukan salah satu format berikut untuk file log. Setiap file dikompresi menjadi satu file Gzip.
+ **Teks** — Teks biasa. Ini adalah format default.
+ **Parket** - Apache Parquet adalah format data kolumnar. Kueri pada data dalam format Parket 10 hingga 100 kali lebih cepat dibandingkan dengan kueri pada data dalam teks biasa. Data dalam format Parket dengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengan kompresi Gzip.

**Opsi berkas log**

Anda dapat secara opsional menentukan opsi berikut.
+ Awalan **S3 yang kompatibel dengan HIVE - Aktifkan awalan yang** kompatibel dengan HIVE alih-alih mengimpor partisi ke alat yang kompatibel dengan HIVE Anda. Sebelum Anda menjalankan kueri, gunakan **MSCK REPAIR TABLE** perintah.
+ **Partisi per jam** - Jika Anda memiliki volume log yang besar dan biasanya menargetkan kueri ke jam tertentu, Anda bisa mendapatkan hasil yang lebih cepat dan menghemat biaya kueri dengan mempartisi log setiap jam.

**Struktur ember S3 file log**  
File log disimpan ke bucket Amazon S3 yang ditentukan menggunakan struktur folder yang didasarkan pada opsi ID, Wilayah, tanggal pembuatan, dan tujuan log alur.

Secara default, file dikirim ke lokasi berikut.

```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```

Jika Anda mengaktifkan awalan S3 yang kompatibel dengan HIVE, file akan dikirim ke lokasi berikut.

```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```

Jika Anda mengaktifkan partisi per jam, file dikirim ke lokasi berikut.

```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```

Jika Anda mengaktifkan partisi yang kompatibel dengan HIVE dan mempartisi log aliran per jam, file dikirim ke lokasi berikut.

```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```

**Nama berkas log**  
Nama file file log didasarkan pada ID log aliran, Wilayah, dan tanggal dan waktu pembuatan. Nama file menggunakan format berikut.

```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```

Berikut ini adalah contoh file log untuk log aliran yang dibuat oleh Akun AWS 123456789012, untuk sumber daya di us-east-1 Wilayah, June 20, 2018 pada at16:20 UTC. File berisi catatan log aliran dengan waktu akhir antara 16:20:00 dan16:24:59.

```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```

## Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3
<a name="flow-logs-s3-iam"></a>

Prinsipal IAM yang membuat log alur harus memiliki izin berikut, yang diperlukan untuk mempublikasikan log aliran ke bucket Amazon S3 tujuan.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogDelivery",
        "logs:DeleteLogDelivery"
        ],
      "Resource": "*"
    }
  ]
}
```

------

## Izin bucket Amazon S3 untuk log alur
<a name="flow-logs-s3-permissions"></a>

Objek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik bucket yang bisa mengakses bucket dan objek yang tersimpan di dalamnya. Namun, pemilik bucket dapat memberikan akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.

Jika pengguna yang membuat log alur memiliki bucket `PutBucketPolicy` dan memiliki serta `GetBucketPolicy` izin untuk bucket, kami secara otomatis melampirkan kebijakan berikut ke bucket. Kebijakan baru yang dibuat secara otomatis ini ditambahkan ke kebijakan asli.

Jika tidak, pemilik bucket harus menambahkan kebijakan ini ke bucket, menentukan Akun AWS ID pembuat log aliran, atau pembuatan log alur gagal. Untuk informasi selengkapnya, lihat [Kebijakan Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket_name/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "s3:GetBucketAcl"
            ],
            "Resource": "arn:aws:s3:::bucket_name",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
                }
            }
        }
    ]
}
```

------

ARN yang Anda tentukan *my-s3-arn* bergantung pada apakah Anda menggunakan awalan S3 yang kompatibel dengan HIVE.
+ Awalan default

  ```
  arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
  ```
+ Awalan S3 yang kompatibel dengan HIVE

  ```
  arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
  ```

Sebagai praktik terbaik, kami menyarankan Anda memberikan izin ini kepada prinsipal layanan pengiriman log, bukan individu Akun AWS ARNs. Ini juga merupakan praktik terbaik untuk menggunakan kunci `aws:SourceAccount` dan `aws:SourceArn` kondisi untuk melindungi dari [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN wildcard (\$1) dari layanan log.

## Kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS
<a name="flow-logs-s3-cmk-policy"></a>

Anda dapat melindungi data di bucket Amazon S3 dengan mengaktifkan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3) atau Enkripsi Sisi Server dengan Kunci KMS (SSE-KMS). Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) di *Panduan Pengguna Amazon S3*.

Dengan SSE-KMS, Anda dapat menggunakan kunci terkelola atau kunci yang AWS dikelola pelanggan. Dengan kunci AWS terkelola, Anda tidak dapat menggunakan pengiriman lintas akun. Log alur dikirim dari akun pengiriman log, sehingga Anda harus memberikan akses untuk pengiriman lintas akun. Untuk memberikan akses lintas akun ke bucket S3 Anda, gunakan kunci terkelola pelanggan dan tentukan Nama Sumber Daya Amazon (ARN) kunci terkelola pelanggan saat Anda mengaktifkan enkripsi bucket. Untuk informasi selengkapnya, lihat [Menentukan enkripsi sisi server dengan AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) di *Panduan Pengguna Amazon S3*.

Bila Anda menggunakan SSE-KMS dengan kunci terkelola pelanggan, Anda harus menambahkan yang berikut ini ke kebijakan kunci untuk kunci Anda (bukan kebijakan bucket untuk bucket S3 Anda), sehingga VPC Flow Logs dapat menulis ke bucket S3 Anda.

**catatan**  
Menggunakan S3 Bucket Keys memungkinkan Anda menghemat biaya permintaan AWS Key Management Service (AWS KMS) dengan mengurangi permintaan Anda ke AWS KMS Encrypt, GenerateDataKey, dan Decrypt operasi melalui penggunaan kunci tingkat ember. Secara desain, permintaan berikutnya yang memanfaatkan kunci tingkat ember ini tidak menghasilkan permintaan AWS KMS API atau memvalidasi akses terhadap kebijakan kunci. AWS KMS 

```
{
    "Sid": "Allow Transit Gateway Flow Logs to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
   "Action": [
       "kms:Encrypt",
       "kms:Decrypt",
       "kms:ReEncrypt*",
       "kms:GenerateDataKey*",
       "kms:DescribeKey"
    ],
    "Resource": "*"
}
```

## Izin file berkas log Amazon S3
<a name="flow-logs-file-permissions"></a>

Selain kebijakan bucket yang diperlukan, Amazon S3 menggunakan daftar kontrol akses (ACLs) untuk mengelola akses ke file log yang dibuat oleh log alur. Secara default, pemilik bucket memiliki izin `FULL_CONTROL` pada setiap file berkas log. Pemilik pengiriman log, jika berbeda dari pemilik bucket, tidak memiliki izin. Akun pengiriman log memiliki izin `READ` dan `WRITE`. Untuk informasi selengkapnya, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

# Buat peran akun sumber AWS Transit Gateway Flow Logs untuk Amazon S3
<a name="flowlog-s3-create-source"></a>

Dari akun sumber, buat peran sumber di AWS Identity and Access Management konsol. 

**Untuk membuat peran akun sumber**

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di panel navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan**.

1. Pada halaman Buat kebijakan, lakukan hal berikut:

   1. Pilih**JSON**.

   1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.

   1. Pilih **Berikutnya: Tag** dan **Berikutnya: Tinjau**.

   1. Masukkan nama untuk kebijakan Anda dan deskripsi opsional, lalu pilih **Buat kebijakan**.

1. Di panel navigasi, pilih **Peran**.

1. Pilih **Buat peran**.

1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.

   ```
   "Principal": {
      "Service": "delivery.logs.amazonaws.com"
   },
   ```

1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**

1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.

1. Pilih **Buat peran**.

# Membuat catatan Log Aliran AWS Transit Gateway yang diterbitkan ke Amazon S3
<a name="flowlog-s3-create"></a>

Setelah membuat dan mengonfigurasi bucket Amazon S3, Anda dapat membuat log aliran untuk gateway transit. Anda dapat membuat log aliran Amazon S3 menggunakan Konsol VPC Amazon atau CLI. AWS 

**Untuk membuat log aliran gateway transit yang diterbitkan ke Amazon S3 menggunakan konsol**

1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Di panel navigasi, pilih Gateway **transit atau Lampiran gateway** **Transit**.

1. Pilih kotak centang untuk satu atau beberapa gateway transit atau lampiran gateway transit.

1. Pilih **Tindakan**, **Buat log alur**.

1. Konfigurasikan pengaturan log aliran. Untuk informasi selengkapnya, lihat [Untuk mengonfigurasi setelan log alur](#configure-flow-log).<a name="configure-flow-log"></a>

**Untuk mengkonfigurasi pengaturan log aliran menggunakan konsol**

1. Untuk **Tujuan**, pilih **Kirim ke ember S3**.

1. Untuk **ARN bucket S3**, tentukan Amazon Resource Name (ARN) dari bucket Amazon S3 yang ada. Anda dapat secara opsional menyertakan subfolder. Misalnya, untuk menentukan subfolder bernama `my-logs` dalam sebuah bucket bernama `my-bucket`, gunakan ARN berikut:

   `arn:aws::s3:::my-bucket/my-logs/`

   Bucket tidak dapat menggunakan `AWSLogs` sebagai nama subfolder, karena ini adalah istilah yang dicadangkan.

   Jika Anda memiliki bucket, kami secara otomatis membuat kebijakan sumber daya dan melampirkannya ke bucket. Untuk informasi selengkapnya, lihat [Izin bucket Amazon S3 untuk log alur](flow-logs-s3.md#flow-logs-s3-permissions).

1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
   + Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
   + Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.

1. Untuk **format file Log**, tentukan format untuk file log.
   + **Teks** — Teks biasa. Ini adalah format default.
   + **Parket** - Apache Parquet adalah format data kolumnar. Kueri pada data dalam format Parket 10 hingga 100 kali lebih cepat dibandingkan dengan kueri pada data dalam teks biasa. Data dalam format Parket dengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengan kompresi Gzip.

1. **(Opsional) Untuk menggunakan awalan S3 yang kompatibel dengan HIVE, pilih awalan S3 yang kompatibel dengan **HIVE**, Aktifkan.**

1. (Opsional) Untuk mempartisi log aliran Anda per jam, pilih **Setiap 1 jam (60 menit)**.

1. (Opsional) Untuk menambahkan tag ke log aliran, pilih **Tambahkan tag baru** dan tentukan kunci dan nilai tag.

1. Pilih **Buat log alur**.

**Untuk membuat log alur yang menerbitkan ke Amazon S3 menggunakan alat baris perintah**

Gunakan salah satu perintah berikut ini.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

 AWS CLI Contoh berikut membuat log aliran yang menangkap semua lalu lintas gateway transit untuk `tgw-00112233344556677` VPC dan mengirimkan log aliran ke bucket Amazon S3 yang dipanggil. `flow-log-bucket` Parameter `--log-format` menentukan format kustom untuk catatan log alur.

```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-00112233344556677 --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/'
```

# Lihat catatan Aliran AWS Transit Gateway di Amazon S3
<a name="view-flow-log-records-s3"></a>

**Untuk melihat catatan log alur yang diterbitkan ke Amazon S3**

1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)

1. Untuk **Nama bucket**, pilih bucket tempat tujuan penerbitan log alur.

1. Untuk **Nama**, pilih kotak centang di sebelah file log. Di halaman gambaran umum, pilih **Unduh**.

## Catatan Log Aliran AWS Transit Gateway yang Diproses di Amazon S3
<a name="process-records-s3"></a>

Berkas log dikompresi. Jika Anda membuka berkas log menggunakan konsol Amazon S3, berkas log akan didekompresi dan catatan log alur ditampilkan. Jika Anda mengunduh berkas, Anda harus mendekompresi mereka untuk melihat catatan log alur.