Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Log Aliran Transit Gateway
Transit Gateway Flow Logs adalah fitur AWS Transit Gateway yang memungkinkan Anda menangkap informasi tentang lalu lintas IP yang menuju dan dari gateway transit Anda. Data log aliran dapat dipublikasikan ke Amazon CloudWatch Logs, Amazon S3, atau Firehose. Setelah membuat log alur, Anda dapat mengambil dan melihat datanya di tujuan yang dipilih. Data log alur dikumpulkan di luar jalur lalu lintas jaringan Anda, dan oleh karena itu tidak mempengaruhi throughput atau latensi jaringan. Anda dapat membuat atau menghapus log alur tanpa risiko dampak terhadap kinerja jaringan. Log Aliran Transit Gateway menangkap informasi yang hanya terkait dengan gateway transit, yang dijelaskan dalam. [Catatan Log Aliran Transit Gateway](#flow-log-records) Jika Anda ingin menangkap informasi tentang lalu lintas IP yang pergi ke dan dari antarmuka jaringan di Anda VPCs, gunakan VPC Flow Logs. Lihat [Mencatat lalu lintas IP menggunakan Log Aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) di *Panduan Pengguna Amazon VPC* untuk informasi selengkapnya.
**catatan**
Untuk membuat log aliran gateway transit, Anda harus menjadi pemilik gateway transit. Jika Anda bukan pemiliknya, pemilik gateway transit harus memberi Anda izin.
Data log aliran untuk gateway transit yang dipantau dicatat sebagai *catatan log aliran*, yang merupakan peristiwa log yang terdiri dari bidang yang menggambarkan arus lalu lintas. Untuk informasi selengkapnya, lihat [Catatan Log Aliran Transit Gateway](#flow-log-records).
Untuk membuat log alur, Anda menentukan:
+ Sumber daya untuk membuat log alur
+ Tujuan publikasi data log alur Anda
Setelah Anda membuat log alur, dibutuhkan beberapa menit untuk mulai mengumpulkan dan menerbitkan data ke tujuan yang dipilih. Log aliran tidak menangkap aliran log waktu nyata untuk gateway transit Anda.
Anda dapat memberikan tag ke log alur Anda. Setiap tanda terdiri dari sebuah kunci dan sebuah nilai opsional, yang keduanya Anda tentukan. Tag dapat membantu Anda mengatur log alur, misalnya berdasarkan tujuan atau pemilik.
Jika Anda tidak lagi membutuhkan log alur, Anda dapat menghapusnya. Menghapus log aliran menonaktifkan layanan log aliran untuk sumber daya, dan tidak ada catatan log aliran baru yang dibuat atau dipublikasikan ke CloudWatch Log atau Amazon S3. Menghapus log aliran tidak menghapus catatan log aliran yang ada atau aliran log (untuk CloudWatch Log) atau objek file log (untuk Amazon S3) untuk gateway transit. Untuk menghapus aliran log yang ada, gunakan konsol CloudWatch Log. Untuk menghapus objek file berkas log yang ada, gunakan konsol Amazon S3. Setelah Anda menghapus log alur, perlu beberapa menit untuk menghentikan pengumpulan data. Untuk informasi selengkapnya, lihat [Menghapus catatan Log Aliran AWS Transit Gateway](delete-flow-log.md).
Anda dapat membuat log aliran untuk gateway transit yang dapat mempublikasikan data ke CloudWatch Log, Amazon S3, atau Amazon Data Firehose. Untuk informasi selengkapnya, lihat berikut ini:
+ [Membuat Log Aliran yang memublikasikan ke CloudWatch Log ](flow-logs-cwl-create-flow-log.md)
+ [Buat Log Aliran yang diterbitkan ke Amazon S3](flowlog-s3-create.md)
+ [Membuat Log Aliran yang dipublikasikan ke Firehose](flow-logs-kinesis-create.md)
## Batasan
Batasan berikut berlaku untuk Log Aliran Transit Gateway:
+ Lalu lintas multicast tidak didukung.
+ Lampiran Connect tidak didukung. Semua log aliran Connect muncul di bawah lampiran transport dan karenanya harus diaktifkan pada gateway transit atau lampiran Connect transport.
## Catatan Log Aliran Transit Gateway
Catatan log aliran mewakili aliran jaringan di gateway transit Anda. Setiap catatan adalah string dengan bidang yang dipisahkan oleh spasi. Catatan mencakup nilai untuk berbagai komponen arus lalu lintas, misalnya, sumber, tujuan, dan protokol.
Ketika Anda membuat log alur, Anda dapat menggunakan format default untuk catatan log alur, atau Anda dapat menentukan format kustom.
**Topics**
+ [Format default](#flow-logs-default)
+ [Format kustom](#flow-logs-custom)
+ [Bidang yang tersedia](#flow-logs-fields)
### Format default
Dengan format default, catatan log aliran mencakup semua bidang versi 2 hingga versi 6, dalam urutan yang ditunjukkan pada tabel [bidang yang tersedia](#flow-logs-fields). Anda tidak dapat menyesuaikan atau mengubah format default. Untuk menangkap bidang tambahan atau subset bidang yang berbeda, tentukan format kustom sebagai gantinya.
### Format kustom
Dengan format kustom, Anda menentukan bidang yang disertakan dalam catatan log alur dan urutannya. Hal ini memungkinkan Anda untuk membuat flow log yang khusus untuk kebutuhan Anda, dan untuk menghilangkan bidang yang tidak relevan. Menggunakan format kustom dapat mengurangi kebutuhan untuk proses terpisah untuk mengekstrak informasi spesifik dari log alur yang diterbitkan. Anda dapat menentukan berapa pun bidang log alur yang tersedia, tetapi Anda harus menentukan setidaknya satu bidang log alur.
### Bidang yang tersedia
Tabel berikut menjelaskan semua bidang yang tersedia untuk catatan log aliran gateway transit. Kolom **Versi** menunjukkan versi bidang mana yang diperkenalkan.
Saat memublikasikan data log alur ke Amazon S3, tipe data untuk bidang bergantung pada format log alur. Jika formatnya adalah teks biasa, semua bidang bertipeSTRING. Jika formatnya Parket, lihat tabel untuk tipe data bidang.
Jika suatu bidang tidak berlaku atau tidak dapat dihitung untuk catatan tertentu, catatan akan menampilkan simbol '-' untuk entri tersebut. Bidang metadata yang tidak datang langsung dari header paket merupakan perkiraan upaya terbaik, dan nilai-nilainya mungkin meleset atau tidak akurat.
| Bidang | Deskripsi | Versi |
| --- | --- | --- |
| version | Menunjukkan versi di mana bidang diperkenalkan. Format default mencakup 2 bidang semua versi, dalam urutan yang sama sebagaimana yang tercantum di tabel. **Tipe data parket:** INT\$132 | 2 |
| resource-type | Jenis sumber daya tempat langganan dibuat. Untuk Log Aliran Transit Gateway, ini akan terjadiTransitGateway.Jenis data parket: STRING | 6 |
| account-id | Akun AWS ID pemilik gateway transit sumber. **Jenis data parket: STRING** | 2 |
| tgw-id | ID gateway transit tempat lalu lintas direkam.**Jenis data parket: STRING** | 6 |
| tgw-attachment-id | ID lampiran gateway transit tempat lalu lintas direkam.**Jenis data parket: STRING** | 6 |
| tgw-src-vpc-account-id | Akun AWS ID untuk lalu lintas sumber VPC. **Jenis data parket: STRING** | 6 |
| tgw-dst-vpc-account-id | Akun AWS ID untuk lalu lintas VPC tujuan. **Jenis data parket: STRING** | 6 |
| tgw-src-vpc-id | ID VPC sumber untuk gateway transit **Jenis data parket: STRING** | 6 |
| tgw-dst-vpc-id | ID VPC tujuan untuk gateway transit. **Jenis data parket: STRING** | 6 |
| tgw-src-subnet-id | ID subnet untuk lalu lintas sumber gateway transit. **Jenis data parket: STRING** | 6 |
| tgw-dst-subnet-id | ID subnet untuk lalu lintas tujuan gateway transit. **Jenis data parket: STRING** | 6 |
| tgw-src-eni | ID lampiran gateway transit sumber ENI untuk aliran. **Jenis data parket: STRING** | 6 |
| tgw-dst-eni | ID lampiran gateway transit tujuan ENI untuk aliran.**Jenis data parket: STRING** | 6 |
| tgw-src-az-id | ID Availability Zone yang berisi gateway transit sumber yang lalu lintasnya direkam. Jika lalu lintas berasal dari sublokasi, catatan akan menampilkan simbol '-' untuk bidang ini. **Jenis data parket: STRING** | 6 |
| tgw-dst-az-id | ID Availability Zone yang berisi gateway transit tujuan yang lalu lintas dicatat. **Jenis data parket: STRING** | 6 |
| tgw-pair-attachment-id | Bergantung pada arah aliran, ini adalah ID lampiran keluar atau masuknya aliran. **Jenis data parket: STRING** | 6 |
| srcaddr | Alamat sumber untuk lalu lintas masuk. **Jenis data parket: STRING** | 2 |
| dstaddr | Alamat tujuan untuk lalu lintas keluar. **Jenis data parket: STRING** | 2 |
| srcport | Port sumber lalu lintas. **Tipe data parket:** INT\$132 | 2 |
| dstport | Port tujuan lalu lintas. **Tipe data parket:** INT\$132 | 2 |
| protocol | Nomor protokol IANA lalu lintas. Untuk informasi selengkapnya, lihat [ Nomor Protokol Internet yang Ditugaskan](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Tipe data parket:** INT\$132 | 2 |
| packets | Jumlah paket yang ditransfer selama aliran. **Tipe data parket:** INT\$164 | 2 |
| bytes | Jumlah byte yang ditransfer selama aliran. **Tipe data parket:** INT\$164 | 2 |
| start | Waktu, dalam detik Unix, ketika paket pertama aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket dikirim atau diterima pada gateway transit. **Tipe data parket:** INT\$164 | 2 |
| end | Waktu, dalam detik Unix, ketika paket terakhir dari aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket dikirim atau diterima pada gateway transit. **Tipe data parket:** INT\$164 | 2 |
| log-status | Status log aliran: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/tgw/tgw-flow-logs.html) **Jenis data parket: STRING** | 2 |
| type | Jenis lalu lintas. Nilai yang mungkin adalah IPv4 \$1 IPv6 \$1 EFA. Untuk informasi selengkapnya, lihat [Adaptor Kain Elastis](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html) di *Panduan Pengguna Amazon EC2*. **Jenis data parket: STRING** | 3 |
| packets-lost-no-route | Paket hilang karena tidak ada rute yang ditentukan. **Tipe data parket:** INT\$164 | 6 |
| packets-lost-blackhole | Paket hilang karena lubang hitam. **Tipe data parket:** INT\$164 | 6 |
| packets-lost-mtu-exceeded | Paket hilang karena ukurannya melebihi MTU. **Tipe data parket:** INT\$164 | 6 |
| packets-lost-ttl-expired | Paket hilang karena kedaluwarsa. time-to-live **Tipe data parket:** INT\$164 | 6 |
| tcp-flags | Nilai bitmask untuk bendera TCP berikut: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/tgw/tgw-flow-logs.html) Ketika entri log aliran hanya terdiri dari paket ACK, nilai flag adalah 0, bukan 16. Untuk informasi umum tentang bendera TCP (seperti arti bendera seperti FIN, SYN, dan ACK), lihat Struktur segmen [TCP](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) di Wikipedia. Bendera TCP dapat OR-ed selama interval agregasi. Untuk koneksi pendek, bendera mungkin diatur pada baris yang sama dalam catatan log alur, misalnya, 19 untuk SYN-ACK dan FIN, dan 3 untuk SYN dan FIN. **Tipe data parket:** INT\$132 | 3 |
| region | Wilayah yang berisi gateway transit tempat lalu lintas dicatat. **Jenis data parket: STRING** | 4 |
| flow-direction | Arah aliran sehubungan dengan antarmuka di mana lalu lintas ditangkap. Kemungkinan nilai adalah: ingress \$1 egress. **Jenis data parket: STRING** | 5 |
| pkt-src-aws-service | Nama subset [alamat IP berkisar](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) srcaddr jika alamat IP sumber adalah untuk AWS layanan. Nilai yang mungkin adalah: AMAZON AMAZON\$1APPFLOW \$1 AMAZON\$1CONNECT \$1 API\$1GATEWAY \$1 CHIME\$1MEETINGS \$1 CHIME\$1VOICECONNECTOR \$1 CLOUD9 \$1 CLOUDFRONT \$1 CODEBUILD \$1 DYNAMODB \$1 EBS \$1 EC2 \$1 EC2\$1INSTANCE\$1CONNECT \$1 GLOBALACCELERATOR KINESIS\$1VIDEO\$1STREAMS \$1 ROUTE53 \$1 ROUTE53\$1HEALTHCHECKS \$1 ROUTE53\$1HEALTHCHECKS\$1PUBLISHING \$1 ROUTE53\$1RESOLVER \$1 S3 \$1 \$1 WORKSPACES\$1GATEWAYS **Jenis data parket: STRING** | 5 |
| pkt-dst-aws-service | Nama subset alamat IP berkisar untuk dstaddr bidang, jika alamat IP tujuan adalah untuk AWS layanan. Untuk daftar kemungkinan nilai, lihat bidang pkt-src-aws-service.Jenis data parket: STRING | 5 |
## Mengontrol penggunaan log alur
Secara default, pengguna tidak memiliki izin untuk bekerja dengan log aliran. Anda dapat membuat kebijakan pengguna yang memberi pengguna izin untuk membuat, mendeskripsikan, dan menghapus log aliran. Untuk informasi selengkapnya, lihat [Pemberian Izin Pengguna IAM yang Diperlukan untuk Sumber Daya Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html) dalam *Referensi API Amazon EC2*.
Berikut ini adalah contoh kebijakan yang memberikan izin penuh kepada pengguna untuk membuat, menjelaskan, dan menghapus log alur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
Beberapa konfigurasi peran dan izin IAM tambahan diperlukan, tergantung apakah Anda memublikasikan ke CloudWatch Log atau Amazon S3. Untuk informasi selengkapnya, lihat [AWS Catatan Log Aliran Transit Gateway di CloudWatch Log Amazon](flow-logs-cwl.md) dan [AWS Catatan Log Aliran Transit Gateway di Amazon S3](flow-logs-s3.md).
## Harga Log Aliran Transit Gateway
Biaya konsumsi data dan penyimpanan untuk log vended berlaku saat Anda mempublikasikan log aliran gateway transit. Untuk informasi selengkapnya tentang harga saat menerbitkan log terjual, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), lalu di bawah **Tingkat berbayar**, pilih **Log dan temukan Log** **Terjual**.
# Membuat atau memperbarui peran IAM untuk Log Aliran AWS Transit Gateway
Anda dapat memperbarui peran yang ada atau menggunakan prosedur berikut untuk membuat peran baru untuk digunakan dengan log aliran menggunakan AWS Identity and Access Management konsol.
**Untuk membuat IAM role untuk log alur**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dalam panel navigasi, pilih **Roles** (Peran), lalu **Create role** (Buat peran).
1. Untuk **Pilih tipe entitas tepercaya**, pilih **Layanan AWS **. Untuk **Kasus penggunaan**, pilih **EC2**. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih **Berikutnya: Tag dan tambahkan tag** secara opsional. Pilih **Berikutnya**.
1. Pada Nama, tinjau, dan buat halaman masukkan nama untuk peran Anda dan berikan **Deskripsi** secara opsional. Pilih **Buat peran**.
1. Pilih nama peran Anda. Untuk **Menambahkan izin**, pilih **Buat kebijakan sebaris**, lalu pilih tab **JSON**.
1. Salin kebijakan pertama dari [Peran IAM untuk menerbitkan log alur ke CloudWatch Log](flow-logs-cwl.md#flow-logs-iam) dan tempel di window. Pilih **Tinjau kebijakan**.
1. Masukkan nama untuk kebijakan Anda dan pilih **Buat kebijakan**.
1. Pilih nama peran Anda. Untuk **Hubungan kepercayaan**, pilih **Edit hubungan kepercayaan**. Dalam dokumen kebijakan yang ada, ubah layanan dari `ec2.amazonaws.com` ke `vpc-flow-logs.amazonaws.com`. Pilih **Perbarui Kebijakan Kepercayaan**.
1. Pada halaman **Ringkasan**, perhatikan ARN untuk peran Anda. Anda perlu ARN ini ketika Anda membuat log alur Anda.
# AWS Catatan Log Aliran Transit Gateway di CloudWatch Log Amazon
Log aliran dapat mempublikasikan data log aliran langsung ke Amazon CloudWatch.
Saat dipublikasikan ke CloudWatch Log, data log aliran dipublikasikan ke grup log, dan setiap gateway transit memiliki aliran log unik di grup log. Pengaliran log berisi catatan log alur. Anda dapat membuat beberapa log alur yang menerbitkan data ke grup log yang sama. Jika gateway transit yang sama hadir dalam satu atau lebih log aliran dalam grup log yang sama, ia memiliki satu aliran log gabungan. Jika Anda telah menetapkan bahwa satu log alur harus menangkap lalu lintas yang ditolak, dan log alur lainnya harus menangkap lalu lintas yang diterima, maka pengaliran log gabungan menangkap semua lalu lintas.
Biaya konsumsi data dan arsip untuk log penjual berlaku saat Anda mempublikasikan log aliran ke Log. CloudWatch Untuk informasi selengkapnya, lihat [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Di CloudWatch Log, bidang **stempel** waktu sesuai dengan waktu mulai yang ditangkap dalam catatan log aliran. Bidang **IngestionTime** menyediakan tanggal dan waktu ketika catatan log aliran diterima oleh Log. CloudWatch Stempel waktu lebih lambat dari waktu akhir yang ditangkap dalam catatan log aliran.
Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Log yang dikirim ke CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) di *Panduan Pengguna CloudWatch Log Amazon*.
**Topics**
+ [Peran IAM untuk menerbitkan log alur ke CloudWatch Log](#flow-logs-iam)
+ [Izin bagi pengguna IAM untuk meneruskan peran](#flow-logs-iam-user)
+ [Membuat Log Aliran yang memublikasikan ke CloudWatch Log](flow-logs-cwl-create-flow-log.md)
+ [Lihat catatan Flow Logs](view-flow-log-records.md)
+ [Catatan Log Aliran Proses](process-records-cwl.md)
## Peran IAM untuk menerbitkan log alur ke CloudWatch Log
Peran IAM yang terkait dengan log alur Anda harus memiliki izin yang cukup untuk mempublikasikan log aliran ke grup log yang ditentukan di CloudWatch Log. Peran IAM harus menjadi milik Anda Akun AWS.
Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Juga memastikan bahwa peran Anda memiliki hubungan kepercayaan yang memungkinkan layanan log alur untuk menjalankan peran.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Kami menyarankan Anda menggunakan kunci syarat `aws:SourceAccount` dan `aws:SourceArn` untuk melindungi diri Anda dari [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN log aliran. Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian ARN tersebut dengan wildcard (\$1) dan kemudian memperbarui kebijakan setelah Anda membuat log alur.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Izin bagi pengguna IAM untuk meneruskan peran
Pengguna juga harus memiliki izin untuk menggunakan tindakan `iam:PassRole` untuk IAM role yang terkait dengan log alur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
# Membuat catatan Log Aliran AWS Transit Gateway yang diterbitkan ke Amazon CloudWatch Logs
Anda dapat membuat log aliran untuk gateway transit. Jika Anda melakukan langkah-langkah ini sebagai pengguna IAM, pastikan bahwa Anda memiliki izin untuk menggunakan Tindakan `iam:PassRole`. Untuk informasi selengkapnya, lihat [Izin bagi pengguna IAM untuk meneruskan peran](flow-logs-cwl.md#flow-logs-iam-user).
Anda dapat membuat log CloudWatch aliran Amazon menggunakan Konsol VPC Amazon atau CLI AWS .
**Untuk membuat log aliran gateway transit menggunakan konsol**
1. Masuk ke Konsol Manajemen AWS dan buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Gateway transit**.
1. Pilih kotak centang untuk satu atau beberapa gateway transit dan pilih **Tindakan**, **Buat** log alur.
1. Untuk **Tujuan**, pilih **Kirim ke CloudWatch Log**.
1. Untuk **grup log Tujuan**, pilih nama grup log tujuan saat ini.
**catatan**
Jika grup log tujuan belum ada, memasukkan nama baru di bidang ini akan membuat grup log tujuan baru.
1. Untuk **peran IAM**, tentukan nama peran yang memiliki izin untuk menerbitkan log ke CloudWatch Log.
1. Untuk **Format catatan log**, pilih format untuk catatan log alur.
+ Untuk menggunakan format default, pilih **format default AWS **.
+ Untuk menggunakan format kustom, pilih **Format kustom** dan kemudian pilih bidang dari **Format log**.
1. (Opsional) Pilih **Tambahkan tag baru** untuk menerapkan tag ke log alur.
1. Pilih **Buat log alur**.
**Untuk membuat log alur menggunakan baris perintah**
Gunakan salah satu perintah berikut ini.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
AWS CLI Contoh berikut membuat log aliran yang menangkap informasi gateway transit. Log aliran dikirim ke grup log di Log yang disebut`my-flow-logs`, di CloudWatch akun 123456789101, menggunakan peran IAM. `publishFlowLogs`
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# Lihat catatan Log Aliran AWS Transit Gateway di Amazon CloudWatch
Anda dapat melihat catatan log alur menggunakan konsol CloudWatch Log atau konsol Amazon S3, tergantung pada jenis tujuan yang dipilih. Mungkin perlu beberapa menit setelah Anda membuat log alur agar dapat terlihat di konsol.
**Untuk melihat catatan log alur yang dipublikasikan ke CloudWatch Log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, dan pilih grup log yang berisi log alur Anda. Daftar aliran log untuk setiap gateway transit ditampilkan.
1. Pilih aliran log yang berisi ID gateway transit yang ingin Anda lihat catatan log aliran. Lihat informasi yang lebih lengkap di [Catatan Log Aliran Transit Gateway](tgw-flow-logs.md#flow-log-records).
# Memproses catatan Log Aliran AWS Transit Gateway di CloudWatch Log Amazon
Anda dapat bekerja dengan catatan log alur seperti yang Anda lakukan dengan peristiwa log lainnya yang dikumpulkan oleh CloudWatch Log. Untuk informasi selengkapnya tentang memantau data log dan filter metrik, lihat [Membuat metrik dari peristiwa log menggunakan filter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) di *Panduan CloudWatch Pengguna Amazon*.
## Contoh: Membuat filter CloudWatch metrik dan alarm untuk log aliran
Dalam contoh ini, Anda memiliki log alur untuk `tgw-123abc456bca`. Anda ingin membuat alarm yang memperingatkan Anda jika ada 10 percobaan penolakan atau lebih untuk terkoneksi ke instans Anda melalui TCP port 22 (SSH) dalam jangka waktu 1 jam. Pertama, Anda harus membuat filter metrik yang sesuai dengan pola lalu lintas yang untuknya harus membuat alarm. Setelah itu, Anda dapat membuat alarm untuk filter metrik.
**Untuk membuat filter metrik untuk lalu lintas SSH yang ditolak dan membuat alarm untuk filter**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, **Grup log**.
1. Pilih kotak centang untuk grup log, lalu pilih **Tindakan**, **Buat filter metrik**.
1. Untuk **Pola Filter**, masukkan perintah berikut.
```
[version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Untuk **Pilih data log yang akan diuji**, pilih aliran log untuk gateway transit Anda. (Opsional) Untuk melihat baris data log yang cocok dengan pola filter, pilih **Pola uji**. Saat Anda siap, pilih **Berikutnya**.
1. Masukkan nama filter, namespace metrik, dan nama metrik. Tetapkan nilai metrik ke**1**. Setelah selesai, pilih **Berikutnya** dan kemudian pilih **Buat filter metrik**.
1. Pada panel navigasi, pilih **Alarm**, **Semua alarm**.
1. Pilih **Buat alarm**.
1. Pilih namespace untuk filter metrik yang Anda buat.
Diperlukan waktu beberapa menit hingga metrik baru ditampilkan di konsol.
1. Pilih nama metrik yang Anda buat, lalu **pilih Pilih metrik**.
1. Konfigurasikan alarm sebagai berikut, lalu pilih **Next (Selanjutnya)**:
+ Untuk **Statistik** pilih **Jumlah**. Ini memastikan bahwa Anda menangkap jumlah total titik data untuk periode waktu yang ditentukan.
+ Untuk **Periode**, pilih **1 jam**.
+ Untuk **Kapan pun**, pilih **Greater/Equal** dan masukkan **10** untuk ambang batas.
+ Untuk **konfigurasi tambahan**, **Datapoint untuk alarm**, biarkan default. **1**
1. Untuk **Pemberitahuan**, pilih topik SNS yang ada, atau pilih **Buat topik baru** untuk membuat topik baru. Pilih **Berikutnya**.
1. Masukkan nama dan deskripsi untuk alarm dan pilih **Berikutnya**.
1. Setelah selesai mengonfigurasi alarm, pilih **Buat alarm**.
# AWS Catatan Log Aliran Transit Gateway di Amazon S3
Arus log dapat menerbitkan data log alur ke Amazon S3.
Ketika menerbitkan ke Amazon S3, data log alur diterbitkan ke bucket Amazon S3 yang ada yang Anda tentukan. Catatan log aliran untuk semua gateway transit yang dipantau dipublikasikan ke serangkaian objek file log yang disimpan di bucket.
Biaya konsumsi data dan arsip diterapkan oleh Amazon CloudWatch untuk log vended saat Anda memublikasikan log aliran ke Amazon S3. Untuk informasi selengkapnya tentang CloudWatch harga untuk log penjual, buka [ CloudWatchHarga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log**, lalu temukan Log **Terjual**.
Untuk membuat bucket Amazon S3 untuk digunakan dengan flow log, lihat [Membuat bucket di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) Pengguna *Amazon S3*.
Untuk informasi selengkapnya tentang pencatatan beberapa akun, lihat [Pencatatan Pusat](https://aws.amazon.com/solutions/implementations/centralized-logging/) dalam Perpustakaan Solusi AWS .
Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Log yang dikirim ke Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) di *Panduan Pengguna Amazon CloudWatch Logs*.
**Topics**
+ [Berkas log alur](#flow-logs-s3-path)
+ [Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3](#flow-logs-s3-iam)
+ [Izin bucket Amazon S3 untuk log alur](#flow-logs-s3-permissions)
+ [Kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS](#flow-logs-s3-cmk-policy)
+ [Izin file berkas log Amazon S3](#flow-logs-file-permissions)
+ [Buat peran akun sumber](flowlog-s3-create-source.md)
+ [Buat Log Aliran yang diterbitkan ke Amazon S3](flowlog-s3-create.md)
+ [Lihat catatan Flow Logs](view-flow-log-records-s3.md)
+ [Catatan Log Aliran AWS Transit Gateway yang Diproses di Amazon S3](#process-records-s3)
## Berkas log alur
VPC Flow Logs adalah fitur yang mengumpulkan catatan log aliran, mengkonsolidasikannya ke dalam file log, dan kemudian menerbitkan file log ke bucket Amazon S3 dengan interval 5 menit. Setiap file berkas log berisi catatan log alur untuk lalu lintas IP yang dicatat dalam lima menit sebelumnya.
Ukuran file maksimum untuk berkas log adalah 75 MB. File berkas log mencapai batas ukuran file dalam periode 5 menit, log alur berhenti menambahkan catatan log alur kepadanya. Kemudian menerbitkan log alur ke bucket Amazon S3, dan membuat file berkas log baru.
Di Amazon S3, bidang **terakhir yang dimodifikasi** untuk file log alur menunjukkan tanggal dan waktu saat file diunggah ke bucket Amazon S3. Ini lebih lambat dari stempel waktu dalam nama file, dan berbeda dengan jumlah waktu yang dibutuhkan untuk mengunggah file ke bucket Amazon S3.
**Format file log**
Anda dapat menentukan salah satu format berikut untuk file log. Setiap file dikompresi menjadi satu file Gzip.
+ **Teks** — Teks biasa. Ini adalah format default.
+ **Parket** - Apache Parquet adalah format data kolumnar. Kueri pada data dalam format Parket 10 hingga 100 kali lebih cepat dibandingkan dengan kueri pada data dalam teks biasa. Data dalam format Parket dengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengan kompresi Gzip.
**Opsi berkas log**
Anda dapat secara opsional menentukan opsi berikut.
+ Awalan **S3 yang kompatibel dengan HIVE - Aktifkan awalan yang** kompatibel dengan HIVE alih-alih mengimpor partisi ke alat yang kompatibel dengan HIVE Anda. Sebelum Anda menjalankan kueri, gunakan **MSCK REPAIR TABLE** perintah.
+ **Partisi per jam** - Jika Anda memiliki volume log yang besar dan biasanya menargetkan kueri ke jam tertentu, Anda bisa mendapatkan hasil yang lebih cepat dan menghemat biaya kueri dengan mempartisi log setiap jam.
**Struktur ember S3 file log**
File log disimpan ke bucket Amazon S3 yang ditentukan menggunakan struktur folder yang didasarkan pada opsi ID, Wilayah, tanggal pembuatan, dan tujuan log alur.
Secara default, file dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Jika Anda mengaktifkan awalan S3 yang kompatibel dengan HIVE, file akan dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Jika Anda mengaktifkan partisi per jam, file dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Jika Anda mengaktifkan partisi yang kompatibel dengan HIVE dan mempartisi log aliran per jam, file dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nama berkas log**
Nama file file log didasarkan pada ID log aliran, Wilayah, dan tanggal dan waktu pembuatan. Nama file menggunakan format berikut.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Berikut ini adalah contoh file log untuk log aliran yang dibuat oleh Akun AWS 123456789012, untuk sumber daya di us-east-1 Wilayah, June 20, 2018 pada at16:20 UTC. File berisi catatan log aliran dengan waktu akhir antara 16:20:00 dan16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
## Kebijakan IAM untuk prinsipal IAM yang menerbitkan log alur ke Amazon S3
Prinsipal IAM yang membuat log alur harus memiliki izin berikut, yang diperlukan untuk mempublikasikan log aliran ke bucket Amazon S3 tujuan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
## Izin bucket Amazon S3 untuk log alur
Objek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik bucket yang bisa mengakses bucket dan objek yang tersimpan di dalamnya. Namun, pemilik bucket dapat memberikan akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.
Jika pengguna yang membuat log alur memiliki bucket `PutBucketPolicy` dan memiliki serta `GetBucketPolicy` izin untuk bucket, kami secara otomatis melampirkan kebijakan berikut ke bucket. Kebijakan baru yang dibuat secara otomatis ini ditambahkan ke kebijakan asli.
Jika tidak, pemilik bucket harus menambahkan kebijakan ini ke bucket, menentukan Akun AWS ID pembuat log aliran, atau pembuatan log alur gagal. Untuk informasi selengkapnya, lihat [Kebijakan Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
ARN yang Anda tentukan *my-s3-arn* bergantung pada apakah Anda menggunakan awalan S3 yang kompatibel dengan HIVE.
+ Awalan default
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Awalan S3 yang kompatibel dengan HIVE
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Sebagai praktik terbaik, kami menyarankan Anda memberikan izin ini kepada prinsipal layanan pengiriman log, bukan individu Akun AWS ARNs. Ini juga merupakan praktik terbaik untuk menggunakan kunci `aws:SourceAccount` dan `aws:SourceArn` kondisi untuk melindungi dari [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN wildcard (\$1) dari layanan log.
## Kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS
Anda dapat melindungi data di bucket Amazon S3 dengan mengaktifkan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3) atau Enkripsi Sisi Server dengan Kunci KMS (SSE-KMS). Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) di *Panduan Pengguna Amazon S3*.
Dengan SSE-KMS, Anda dapat menggunakan kunci terkelola atau kunci yang AWS dikelola pelanggan. Dengan kunci AWS terkelola, Anda tidak dapat menggunakan pengiriman lintas akun. Log alur dikirim dari akun pengiriman log, sehingga Anda harus memberikan akses untuk pengiriman lintas akun. Untuk memberikan akses lintas akun ke bucket S3 Anda, gunakan kunci terkelola pelanggan dan tentukan Nama Sumber Daya Amazon (ARN) kunci terkelola pelanggan saat Anda mengaktifkan enkripsi bucket. Untuk informasi selengkapnya, lihat [Menentukan enkripsi sisi server dengan AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) di *Panduan Pengguna Amazon S3*.
Bila Anda menggunakan SSE-KMS dengan kunci terkelola pelanggan, Anda harus menambahkan yang berikut ini ke kebijakan kunci untuk kunci Anda (bukan kebijakan bucket untuk bucket S3 Anda), sehingga VPC Flow Logs dapat menulis ke bucket S3 Anda.
**catatan**
Menggunakan S3 Bucket Keys memungkinkan Anda menghemat biaya permintaan AWS Key Management Service (AWS KMS) dengan mengurangi permintaan Anda ke AWS KMS Encrypt, GenerateDataKey, dan Decrypt operasi melalui penggunaan kunci tingkat ember. Secara desain, permintaan berikutnya yang memanfaatkan kunci tingkat ember ini tidak menghasilkan permintaan AWS KMS API atau memvalidasi akses terhadap kebijakan kunci. AWS KMS
```
{
"Sid": "Allow Transit Gateway Flow Logs to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Izin file berkas log Amazon S3
Selain kebijakan bucket yang diperlukan, Amazon S3 menggunakan daftar kontrol akses (ACLs) untuk mengelola akses ke file log yang dibuat oleh log alur. Secara default, pemilik bucket memiliki izin `FULL_CONTROL` pada setiap file berkas log. Pemilik pengiriman log, jika berbeda dari pemilik bucket, tidak memiliki izin. Akun pengiriman log memiliki izin `READ` dan `WRITE`. Untuk informasi selengkapnya, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
# Buat peran akun sumber AWS Transit Gateway Flow Logs untuk Amazon S3
Dari akun sumber, buat peran sumber di AWS Identity and Access Management konsol.
**Untuk membuat peran akun sumber**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman Buat kebijakan, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya: Tag** dan **Berikutnya: Tinjau**.
1. Masukkan nama untuk kebijakan Anda dan deskripsi opsional, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Membuat catatan Log Aliran AWS Transit Gateway yang diterbitkan ke Amazon S3
Setelah membuat dan mengonfigurasi bucket Amazon S3, Anda dapat membuat log aliran untuk gateway transit. Anda dapat membuat log aliran Amazon S3 menggunakan Konsol VPC Amazon atau CLI. AWS
**Untuk membuat log aliran gateway transit yang diterbitkan ke Amazon S3 menggunakan konsol**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih Gateway **transit atau Lampiran gateway** **Transit**.
1. Pilih kotak centang untuk satu atau beberapa gateway transit atau lampiran gateway transit.
1. Pilih **Tindakan**, **Buat log alur**.
1. Konfigurasikan pengaturan log aliran. Untuk informasi selengkapnya, lihat [Untuk mengonfigurasi setelan log alur](#configure-flow-log).
**Untuk mengkonfigurasi pengaturan log aliran menggunakan konsol**
1. Untuk **Tujuan**, pilih **Kirim ke ember S3**.
1. Untuk **ARN bucket S3**, tentukan Amazon Resource Name (ARN) dari bucket Amazon S3 yang ada. Anda dapat secara opsional menyertakan subfolder. Misalnya, untuk menentukan subfolder bernama `my-logs` dalam sebuah bucket bernama `my-bucket`, gunakan ARN berikut:
`arn:aws::s3:::my-bucket/my-logs/`
Bucket tidak dapat menggunakan `AWSLogs` sebagai nama subfolder, karena ini adalah istilah yang dicadangkan.
Jika Anda memiliki bucket, kami secara otomatis membuat kebijakan sumber daya dan melampirkannya ke bucket. Untuk informasi selengkapnya, lihat [Izin bucket Amazon S3 untuk log alur](flow-logs-s3.md#flow-logs-s3-permissions).
1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
+ Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
+ Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.
1. Untuk **format file Log**, tentukan format untuk file log.
+ **Teks** — Teks biasa. Ini adalah format default.
+ **Parket** - Apache Parquet adalah format data kolumnar. Kueri pada data dalam format Parket 10 hingga 100 kali lebih cepat dibandingkan dengan kueri pada data dalam teks biasa. Data dalam format Parket dengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengan kompresi Gzip.
1. **(Opsional) Untuk menggunakan awalan S3 yang kompatibel dengan HIVE, pilih awalan S3 yang kompatibel dengan **HIVE**, Aktifkan.**
1. (Opsional) Untuk mempartisi log aliran Anda per jam, pilih **Setiap 1 jam (60 menit)**.
1. (Opsional) Untuk menambahkan tag ke log aliran, pilih **Tambahkan tag baru** dan tentukan kunci dan nilai tag.
1. Pilih **Buat log alur**.
**Untuk membuat log alur yang menerbitkan ke Amazon S3 menggunakan alat baris perintah**
Gunakan salah satu perintah berikut ini.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
AWS CLI Contoh berikut membuat log aliran yang menangkap semua lalu lintas gateway transit untuk `tgw-00112233344556677` VPC dan mengirimkan log aliran ke bucket Amazon S3 yang dipanggil. `flow-log-bucket` Parameter `--log-format` menentukan format kustom untuk catatan log alur.
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-00112233344556677 --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/'
```
# Lihat catatan Aliran AWS Transit Gateway di Amazon S3
**Untuk melihat catatan log alur yang diterbitkan ke Amazon S3**
1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Untuk **Nama bucket**, pilih bucket tempat tujuan penerbitan log alur.
1. Untuk **Nama**, pilih kotak centang di sebelah file log. Di halaman gambaran umum, pilih **Unduh**.
## Catatan Log Aliran AWS Transit Gateway yang Diproses di Amazon S3
Berkas log dikompresi. Jika Anda membuka berkas log menggunakan konsol Amazon S3, berkas log akan didekompresi dan catatan log alur ditampilkan. Jika Anda mengunduh berkas, Anda harus mendekompresi mereka untuk melihat catatan log alur.
# AWS Transit Gateway, catatan Log Aliran di Amazon Data Firehose
**Topics**
+ [Peran IAM untuk pengiriman lintas akun](#flow-logs-kinesis-iam)
+ [Buat peran akun sumber](flowlog-fh-create-source.md)
+ [Buat peran akun tujuan](flowlog-fh-create-destination.md)
+ [Membuat Log Aliran yang dipublikasikan ke Firehose](flow-logs-kinesis-create.md)
Log aliran dapat mempublikasikan data log aliran langsung ke Firehose. Anda dapat memilih untuk mempublikasikan log alur ke akun yang sama dengan monitor sumber daya atau ke akun lain.
**Prasyarat**
Saat memublikasikan ke Firehose, data flow log dipublikasikan ke aliran pengiriman Firehose, dalam format teks biasa. Anda harus terlebih dahulu membuat aliran pengiriman Firehose. Untuk langkah-langkah membuat aliran pengiriman, lihat [Membuat Aliran Pengiriman Firehose Data Amazon di Panduan Pengembang](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) *Amazon Data Firehose*.
**Harga**
Biaya konsumsi dan pengiriman standar berlaku. Untuk informasi selengkapnya, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log** dan temukan **Log Terjual**.
## Peran IAM untuk pengiriman lintas akun
Saat memublikasikan ke Kinesis Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log aliran ke Firehose, Anda harus membuat peran IAM di akun sumber dan peran IAM di akun tujuan.
**Topics**
+ [Peran akun sumber](#flow-logs-kinesis-iam-role-source)
+ [Peran akun tujuan](#flow-logs-kinesis-iam-role-destination)
### Peran akun sumber
Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalah`mySourceRole`, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat Anda membuat kebijakan, tentukan VPCs, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Peran akun tujuan
Di akun tujuan, buat peran dengan nama yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**. Peran ini harus memberikan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Buat peran akun sumber AWS Transit Gateway Flow Logs untuk Amazon Data Firehose
Dari akun sumber, buat peran sumber di AWS Identity and Access Management konsol.
**Untuk membuat peran akun sumber**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman Buat kebijakan, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya: Tag** dan **Berikutnya: Tinjau**.
1. Masukkan nama untuk kebijakan Anda dan deskripsi opsional, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Buat peran akun tujuan AWS Transit Gateway Flow Logs untuk Amazon Data Firehose
Dari akun tujuan, buat peran tujuan di AWS Identity and Access Management konsol.
**Untuk membuat peran akun tujuan**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman Buat kebijakan, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya: Tag** dan **Berikutnya: Tinjau**.
1. Masukkan nama untuk kebijakan Anda yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Membuat catatan Log Aliran AWS Transit Gateway yang diterbitkan ke Amazon Data Firehose
Buat Log Aliran Transit Gateway yang dipublikasikan ke Amazon Data Firehose. Sebelum Anda dapat membuat log alur, pastikan bahwa Anda telah menyiapkan peran akun IAM sumber dan tujuan untuk pengiriman lintas akun dan bahwa Anda telah membuat aliran pengiriman Firehose. Untuk informasi selengkapnya, lihat [Log Aliran Firehose Data Amazon](flow-logs-kinesis.md). Anda dapat membuat log aliran Firehose menggunakan Konsol VPC Amazon atau CLI. AWS
**Untuk membuat log aliran gateway transit yang diterbitkan ke Firehose menggunakan konsol**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih Gateway **transit atau Lampiran gateway** **Transit**.
1. Pilih kotak centang untuk satu atau beberapa gateway transit atau lampiran gateway transit.
1. Pilih **Tindakan**, **Buat log alur**.
1. Untuk **Tujuan** pilih Kirim ke Sistem **Pengiriman Firehose**.
1. Untuk **Firehose Delivery Stream ARN**, pilih ARN dari aliran pengiriman yang Anda buat di mana log aliran akan dipublikasikan.
1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
+ Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
+ Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.
1. (Opsional) Untuk menambahkan tag ke log aliran, pilih **Tambahkan tag baru** dan tentukan kunci dan nilai tag.
1. Pilih **Buat log alur**.
**Untuk membuat log alur yang diterbitkan ke Firehose menggunakan alat baris perintah**
Gunakan salah satu perintah berikut:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)(AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
Contoh AWS CLI berikut membuat log aliran yang menangkap informasi gateway transit dan mengirimkan log aliran ke aliran pengiriman Firehose yang ditentukan.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids tgw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream
```
Contoh AWS CLI berikut membuat log aliran yang menangkap informasi gateway transit dan mengirimkan log aliran ke aliran pengiriman Firehose yang berbeda dari akun sumber.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids gw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
# Membuat dan mengelola Log Aliran AWS Transit Gateway menggunakan APIs atau CLI
Anda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah.
Keterbatasan berikut berlaku saat menggunakan [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)perintah:
+ `--resource-ids`memiliki batasan maksimum 25 `TransitGateway` atau jenis `TransitGatewayAttachment` sumber daya.
+ `--traffic-type`bukan bidang wajib secara default. Kesalahan dikembalikan jika Anda menyediakan ini untuk jenis sumber daya gateway transit. Batas ini hanya berlaku untuk jenis sumber daya gateway transit.
+ `--max-aggregation-interval`memiliki nilai default`60`, dan merupakan satu-satunya nilai yang diterima untuk jenis sumber daya gateway transit. Kesalahan dikembalikan jika Anda mencoba meneruskan nilai lainnya. Batas ini hanya berlaku untuk jenis sumber daya gateway transit.
+ `--resource-type`mendukung dua jenis sumber daya baru, `TransitGateway` dan`TransitGatewayAttachment`.
+ `--log-format`menyertakan semua bidang log untuk jenis sumber daya gateway transit jika Anda tidak menyetel bidang mana yang ingin Anda sertakan. Ini hanya berlaku untuk jenis sumber daya gateway transit.
**Membuat log alur**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Deskripsikan log alur**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Melihat catatan log alur Anda (log acara)**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [Dapatkan- CWLLog Acara](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)
**Menghapus log alur**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# Lihat catatan Log Aliran AWS Transit Gateway
Lihat informasi tentang log aliran gateway transit Anda melalui Amazon VPC. Saat Anda memilih sumber daya, semua log aliran untuk sumber daya tersebut dicantumkan. Informasi yang ditampilkan termasuk ID log alur, konfigurasi log alur, dan informasi tentang status log alur.
**Untuk melihat informasi tentang log aliran untuk gateway transit**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih Gateway **transit atau Lampiran gateway** **Transit**.
1. Pilih gateway transit atau lampiran gateway transit dan pilih **Flow Logs**. Informasi tentang log alur ditampilkan pada tab. Kolom **Jenis tujuan** menunjukkan tempat tujuan penerbitan log.
# Mengelola tag Log Aliran AWS Transit Gateway
Anda dapat menambahkan atau menghapus tag untuk log alur di konsol Amazon EC2 dan Amazon VPC.
**Untuk menambah atau menghapus tag untuk log aliran gateway transit**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih Gateway **transit atau Lampiran gateway** **Transit**.
1. Pilih gateway transit atau lampiran gateway transit
1. Pilih **Kelola Tag** untuk log alur yang diperlukan.
1. Untuk menambahkan tag baru, pilih **Buat Tag**. Untuk menghapus sebuah tag, pilih tombol hapus (x).
1. Pilih **Simpan**.
# Cari catatan Log Aliran AWS Transit Gateway
Anda dapat mencari catatan log alur yang dipublikasikan ke CloudWatch Log menggunakan konsol CloudWatch Log. Anda dapat menggunakan [filter metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) untuk menyaring catatan log alur. Catatan log alur adalah ruang yang dibatasi.
**Untuk mencari catatan log alur menggunakan konsol CloudWatch Log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Pada panel navigasi, pilih **Log**, lalu pilih **Grup log**.
1. Pilih grup log yang berisi log alur Anda. Daftar aliran log untuk setiap gateway transit ditampilkan.
1. Pilih aliran log individual jika Anda mengetahui gateway transit yang Anda cari. Atau, pilih **Cari Grup Log** untuk mencari seluruh grup log. Ini mungkin memakan waktu lama jika ada banyak gateway transit di grup log Anda, atau tergantung pada rentang waktu yang Anda pilih.
1. Untuk **Filter peristiwa**, masukkan string berikut. Ini mengasumsikan bahwa catatan log alur menggunakan [format default](tgw-flow-logs.md#flow-logs-default).
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Ubah filter sesuai kebutuhan dengan menentukan nilai untuk bidang. Contoh berikut adalah filter berdasarkan alamat IP sumber tertentu.
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
Contoh berikut menyaring dengan transit gateway ID tgw-123abc456bca, port tujuan, dan jumlah byte.
```
[version, resource_type, account_id,tgw_id=tgw-123abc456bca, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 500,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
# Menghapus catatan Log Aliran AWS Transit Gateway
Anda dapat menghapus log aliran gateway transit menggunakan konsol Amazon VPC.
Prosedur ini menonaktifkan layanan log alur untuk sumber daya. Menghapus log aliran tidak menghapus aliran log yang ada dari Log atau file CloudWatch log dari Amazon S3. Data log alur yang ada harus dihapus menggunakan konsol layanan masing-masing. Selain itu, menghapus log alur yang diterbitkan ke Amazon S3 tidak akan menghapus kebijakan bucket dan daftar kontrol akses file log (). ACLs
**Untuk menghapus log aliran gateway transit**
1. Buka konsol Amazon VPC di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Gateway transit**.
1. Pilih **ID gateway Transit**.
1. Di bagian Flow logs, pilih flow log yang ingin Anda hapus.
1. Pilih **Tindakan**, lalu pilih **Hapus log aliran**.
1. Konfirmasikan bahwa Anda ingin menghapus alur dengan memilih **Hapus**.