Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memantau VPC Anda
Anda dapat menggunakan alat berikut untuk memantau lalu lintas atau akses jaringan di cloud pribadi virtual (VPC) Anda.
**Log Alur VPC**
Anda dapat menggunakan VPC Flow Logs untuk menangkap informasi terperinci tentang lalu lintas yang menuju dan dari antarmuka jaringan di Anda. VPCs
**Monitor CloudWatch Internet Amazon**
Anda dapat menggunakan Internet Monitor untuk visibilitas tentang bagaimana masalah internet memengaruhi kinerja dan ketersediaan antara aplikasi yang di-host AWS dan pengguna akhir Anda. Anda juga dapat menjelajahi, dalam waktu dekat, cara meningkatkan latensi yang diproyeksikan aplikasi Anda dengan beralih menggunakan layanan lain, atau dengan mengalihkan lalu lintas ke beban kerja Anda melalui yang berbeda. Wilayah AWS Untuk informasi selengkapnya, lihat [Menggunakan Amazon CloudWatch Internet Monitor](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-InternetMonitor.html).
**Manajer Alamat IP VPC Amazon (IPAM)**
Anda dapat menggunakan IPAM untuk merencanakan, melacak, dan memantau alamat IP untuk beban kerja Anda. Untuk informasi selengkapnya, lihat [Manajer Alamat IP](https://docs.aws.amazon.com/vpc/latest/ipam/).
**Pencerminan Lalu lintas**
Anda dapat menggunakan fitur ini untuk menyalin lalu lintas jaringan dari antarmuka jaringan instans Amazon EC2 dan mengirimkannya ke peralatan out-of-band keamanan dan pemantauan untuk pemeriksaan paket mendalam. Anda dapat mendeteksi anomali jaringan dan keamanan, mendapatkan wawasan operasional, menerapkan kepatuhan dan kontrol keamanan, dan memecahkan masalah. Untuk informasi selengkapnya, lihat [Pencerminan Lalu Lintas](https://docs.aws.amazon.com/vpc/latest/mirroring/).
**Reachability Analyzer**
Anda dapat menggunakan alat ini untuk menganalisis dan men-debug jangkauan jaringan antara dua sumber daya di VPC Anda. Setelah Anda menentukan sumber dan sumber daya tujuan, Reachability Analyzer hop-by-hop menghasilkan detail jalur virtual di antara mereka saat dapat dijangkau, dan mengidentifikasi komponen pemblokiran saat tidak dapat dijangkau. Untuk informasi selengkapnya, lihat [Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/).
**Penganalisis Akses Jaringan**
Anda dapat menggunakan Network Access Analyzer untuk memahami akses jaringan ke sumber daya Anda. Ini membantu Anda mengidentifikasi peningkatan postur keamanan jaringan Anda dan menunjukkan bahwa jaringan Anda memenuhi persyaratan kepatuhan tertentu. Untuk informasi selengkapnya, lihat [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/).
**CloudTrail log**
AWS CloudTrail log panggilan API untuk Amazon VPC, seperti:
+ Panggilan API mana yang dilakukan (seperti tindakan seperti membuat atau memodifikasi sumber daya VPC)
+ Alamat IP sumber panggilan
+ Siapa yang membuat panggilan
+ Saat panggilan dilakukan
Log terpisah dibuat untuk`CreateVpc`, `DeleteVpc` dan `CreateDefaultVpc` tindakan. Log ini juga menyertakan sumber daya default (seperti gateway internet default atau grup keamanan default) yang dibuat dan dikaitkan dengan VPC.
Untuk informasi selengkapnya, lihat [Log panggilan API Amazon EC2 menggunakan AWS CloudTrail](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitor-with-cloudtrail.html) dalam Panduan Pengguna *Amazon EC2*.
# Mencatat lalu lintas IP menggunakan VPC Flow Logs
Log Alur VPC adlaah fitur yang membuat Anda dapat menangkap informasi tentang lalu lintas IP yang pergi ke dan dari antarmuka jaringan. Data log aliran dapat dipublikasikan ke lokasi berikut: Amazon CloudWatch Log, Amazon S3, atau Amazon Data Firehose. *Jalur pengiriman yang dikonfigurasi dan izin yang memungkinkan log lalu lintas jaringan dikirim ke tujuan seperti CloudWatch Log atau S3 disebut sebagai langganan.* Setelah membuat log alur, Anda dapat mengambil dan melihat catatan log alur di grup log, bucket, atau aliran pengiriman yang Anda konfigurasi.
Log alur dapat membantu Anda dengan sejumlah tugas, seperti:
+ Mendiagnosis aturan grup keamanan yang terlalu ketat
+ Memantau lalu lintas yang mencapai instans Anda
+ Menentukan arah lalu lintas ke dan dari antarmuka jaringan
Data log alur dikumpulkan di luar jalur lalu lintas jaringan Anda, dan oleh karena itu tidak mempengaruhi throughput atau latensi jaringan. Anda dapat membuat atau menghapus log alur tanpa risiko dampak terhadap kinerja jaringan.
**catatan**
Bagian ini hanya berbicara tentang log aliran untuk VPCs. Untuk informasi tentang log aliran untuk gateway transit yang diperkenalkan di versi 6, lihat [Mencatat lalu lintas jaringan menggunakan Log Aliran Gateway Transit Transit di Panduan](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) Pengguna Gateway *Transit VPC* Amazon.
**Topics**
+ [Dasar-dasar log alur](flow-logs-basics.md)
+ [Catatan log alur](flow-log-records.md)
+ [Contoh catatan log alur](flow-logs-records-examples.md)
+ [Batasan log alur](flow-logs-limitations.md)
+ [Harga](#flow-logs-pricing)
+ [Bekerja dengan log alur](working-with-flow-logs.md)
+ [Publikasikan log aliran ke CloudWatch Log](flow-logs-cwl.md)
+ [Terbitkan log alur ke Amazon S3](flow-logs-s3.md)
+ [Publikasikan log alur ke Amazon Data Firehose](flow-logs-firehose.md)
+ [Log alur kueri menggunakan Amazon Athena](flow-logs-athena.md)
+ [Mengatasi masalah Log Alur VPC](flow-logs-troubleshooting.md)
# Dasar-dasar log alur
Anda dapat membuat log alur untuk VPC, subnet, atau antarmuka jaringan. Jika Anda membuat log alur untuk subnet atau VPC, setiap antarmuka jaringan di subnet atau VPC dipantau.
Data log alur untuk antarmuka jaringan yang dipantau dicatat sebagai *Catatan log alur*, yang merupakan log acara yang terdiri dari bidang yang menggambarkan aliran lalu lintas. Untuk informasi selengkapnya, lihat [Catatan log alur](flow-log-records.md).
Untuk membuat log alur, Anda menentukan:
+ Sumber daya untuk membuat log alur
+ Jenis lalu lintas untuk menangkap (lalu lintas yang diterima, lalu lintas yang ditolak, atau semua lalu lintas)
+ Tujuan publikasi data log alur Anda
Dalam contoh berikut, Anda membuat log alur yang menangkap lalu lintas yang diterima untuk antarmuka jaringan untuk salah satu instans EC2 di subnet pribadi dan menerbitkan catatan log aliran ke bucket Amazon S3.
![\[Log aliran untuk sebuah instance\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/flow-logs-diagram-s3.png)
Dalam contoh berikut, log alur menangkap semua lalu lintas untuk subnet dan menerbitkan catatan log aliran ke Amazon Logs. CloudWatch Flow log menangkap lalu lintas untuk semua antarmuka jaringan di subnet.
![\[Log aliran untuk subnet\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/flow-logs-diagram-cw.png)
Setelah Anda membuat log alur, dibutuhkan beberapa menit untuk mulai mengumpulkan dan menerbitkan data ke tujuan yang dipilih. Log alur tidak menangkap pengaliran log waktu nyata untuk antarmuka jaringan Anda. Untuk informasi selengkapnya, lihat [2. Membuat log alur](working-with-flow-logs.md#create-flow-log).
Jika Anda meluncurkan instance ke subnet Anda setelah Anda membuat log aliran untuk subnet atau VPC Anda, kami membuat aliran log (untuk CloudWatch Log) atau objek file log (untuk Amazon S3) untuk antarmuka jaringan baru segera setelah ada lalu lintas jaringan untuk antarmuka jaringan.
Anda dapat membuat log alur untuk antarmuka jaringan yang dibuat oleh layanan AWS lainnya, seperti:
+ Elastic Load Balancing
+ Amazon RDS
+ Amazon ElastiCache
+ Amazon Redshift
+ Amazon WorkSpaces
+ Gateway NAT
+ Transit gateway
Terlepas dari jenis antarmuka jaringan, Anda harus menggunakan konsol Amazon EC2 atau Amazon EC2 API untuk membuat log alur untuk antarmuka jaringan.
Anda dapat memberikan tag ke log alur Anda. Setiap tanda terdiri dari sebuah kunci dan sebuah nilai opsional, yang keduanya Anda tentukan. Tag dapat membantu Anda mengatur log alur, misalnya berdasarkan tujuan atau pemilik.
Jika Anda tidak lagi membutuhkan log alur, Anda dapat menghapusnya. Menghapus log aliran menonaktifkan layanan log aliran untuk sumber daya, sehingga tidak ada catatan log aliran baru yang dibuat atau diterbitkan. Menghapus log aliran tidak menghapus data log aliran yang ada. Setelah Anda menghapus log aliran, Anda dapat menghapus data log aliran langsung dari tujuan ketika Anda selesai dengan itu. Untuk informasi selengkapnya, lihat [4. Menghapus log alur](working-with-flow-logs.md#delete-flow-log).
# Catatan log alur
Catatan log alur mewakili aliran jaringan di VPC Anda. Secara default, setiap catatan menangkap aliran lalu lintas jaringan internet protocol (IP) (ditandai dengan 5-tuple per antarmuka jaringan) yang terjadi dalam *interval agregasi*, juga disebut sebagai *window pengambilan*.
Setiap catatan adalah string dengan bidang yang dipisahkan oleh spasi. Sebuah catatan termasuk nilai-nilai untuk komponen yang berbeda dari aliran IP, misalnya, sumber, tujuan, dan protokol.
Ketika Anda membuat log alur, Anda dapat menggunakan format default untuk catatan log alur, atau Anda dapat menentukan format kustom.
**Topics**
+ [Interval agregasi](#flow-logs-aggregration-interval)
+ [Format default](#flow-logs-default)
+ [Format kustom](#flow-logs-custom)
+ [Bidang yang tersedia](#flow-logs-fields)
## Interval agregasi
Interval agregasi adalah periode waktu di mana aliran tertentu ditangkap dan dikumpulkan ke dalam catatan log alur. Secara default, interval agregasi maksimum adalah 10 menit. Ketika Anda membuat log alur, Anda dapat menentukan interval agregasi maksimum 1 menit. Log alur dengan interval agregasi maksimum 1 menit menghasilkan volume catatan log alur yang lebih tinggi daripada log alur dengan interval agregasi maksimum 10 menit.
Ketika antarmuka jaringan terpasang ke [instans berbasis Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.
Setelah data ditangkap dalam interval agregasi, dibutuhkan waktu tambahan untuk memproses dan mempublikasikan data ke CloudWatch Log atau Amazon S3. Layanan flow log biasanya mengirimkan CloudWatch log ke Log dalam waktu sekitar 5 menit dan ke Amazon S3 dalam waktu sekitar 10 menit. Namun, pengiriman log dilakukan berdasarkan upaya terbaik, dan log Anda mungkin tertunda di luar waktu pengiriman khas.
## Format default
Dengan format default, catatan log alur termasuk bidang versi 2, dalam urutan yang ditunjukkan dalam tabel [bidang yang tersedia](#flow-logs-fields). Anda tidak dapat menyesuaikan atau mengubah format default. Untuk menangkap bidang tambahan atau subset bidang yang berbeda, tentukan format kustom sebagai gantinya.
## Format kustom
Dengan format kustom, Anda menentukan bidang yang disertakan dalam catatan log alur dan urutannya. Hal ini mengizinkan Anda untuk membuat log alur yang kustom untuk kebutuhan Anda dan untuk menghilangkan bidang yang tidak relevan. Menggunakan format kustom dapat mengurangi kebutuhan untuk proses terpisah untuk mengekstrak informasi spesifik dari log alur yang diterbitkan. Anda dapat menentukan berapa pun bidang log alur yang tersedia, tetapi Anda harus menentukan setidaknya satu bidang log alur.
## Bidang yang tersedia
Tabel berikut menjelaskan semua bidang yang tersedia untuk catatan log alur. Kolom **Versi** menunjukkan versi Log Alur VPC di mana bidang diperkenalkan. Format default mencakup 2 bidang semua versi, dalam urutan yang sama sebagaimana yang tercantum di tabel.
Saat memublikasikan data log alur ke Amazon S3, tipe data untuk bidang bergantung pada format log alur. Jika formatnya adalah teks biasa, semua bidang bertipeSTRING. Jika formatnya Parket, lihat tabel untuk tipe data bidang.
Jika suatu bidang tidak berlaku atau tidak dapat dihitung untuk catatan tertentu, catatan akan menampilkan simbol '-' untuk entri tersebut. Bidang metadata yang tidak datang langsung dari header paket merupakan perkiraan upaya terbaik, dan nilai-nilainya mungkin meleset atau tidak akurat.
| Bidang | Deskripsi | Versi |
| --- | --- | --- |
| version | Versi Log Alur VPC. Jika Anda menggunakan format default, versinya adalah 2. Jika Anda menggunakan format kustom, versinya adalah versi tertinggi di antara bidang yang ditentukan. Misalnya, jika Anda menentukan hanya bidang dari versi 2, maka versinya adalah 2. Jika Anda menentukan campuran bidang dari versi 2, 3, dan 4, maka versinya adalah 4. **Tipe data parket:** INT\$132 | 2 |
| account-id | ID AWS akun pemilik antarmuka jaringan sumber yang lalu lintasnya direkam. Jika antarmuka jaringan dibuat oleh AWS layanan, misalnya saat membuat titik akhir VPC atau Network Load Balancer, rekaman mungkin unknown ditampilkan untuk bidang ini. **Jenis data parket: STRING** | 2 |
| interface-id | ID antarmuka jaringan yang lalu lintasnya dicatat. Mengembalikan simbol '-' untuk aliran yang terkait dengan gateway NAT regional. **Jenis data parket: STRING** | 2 |
| srcaddr | Untuk lalu lintas masuk, ini adalah alamat IP dari sumber lalu lintas. Untuk lalu lintas keluar, ini adalah IPv4 alamat pribadi atau IPv6 alamat antarmuka jaringan yang mengirimkan lalu lintas. Untuk lalu lintas keluar dari gateway NAT regional, ini adalah alamat IP sumber tingkat paket yang sama seperti di. pkt-srcaddr Lihat juga pkt-srcaddr. **Jenis data parket: STRING** | 2 |
| dstaddr | Alamat tujuan untuk lalu lintas keluar, IPv4 atau IPv6 alamat antarmuka jaringan untuk lalu lintas masuk pada antarmuka jaringan. IPv4 Alamat antarmuka jaringan selalu IPv4 alamat pribadinya. Untuk lalu lintas masuk ke gateway NAT regional, ini adalah alamat IP tujuan tingkat paket yang sama seperti di. pkt-dstaddr Lihat juga pkt-dstaddr. **Jenis data parket: STRING** | 2 |
| srcport | Port sumber lalu lintas. **Tipe data parket:** INT\$132 | 2 |
| dstport | Port tujuan lalu lintas. **Tipe data parket:** INT\$132 | 2 |
| protocol | Nomor protokol IANA lalu lintas. Untuk informasi selengkapnya, lihat [ Nomor Protokol Internet yang Ditugaskan](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Tipe data parket:** INT\$132 | 2 |
| packets | Jumlah paket yang ditransfer selama aliran. **Tipe data parket:** INT\$164 | 2 |
| bytes | Jumlah byte yang ditransfer selama aliran. **Tipe data parket:** INT\$164 | 2 |
| start | Waktu, dalam detik Unix, ketika paket pertama aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket ditransmisikan atau diterima pada antarmuka jaringan. **Tipe data parket:** INT\$164 | 2 |
| end | Waktu, dalam detik Unix, ketika paket terakhir dari aliran diterima dalam interval agregasi. Ini mungkin sampai 60 detik setelah paket ditransmisikan atau diterima pada antarmuka jaringan. **Tipe data parket:** INT\$164 | 2 |
| action | Tindakan yang terkait dengan lalu lintas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/flow-log-records.html) **Jenis data parket: STRING** | 2 |
| log-status | Status pencatatan log alur: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/flow-log-records.html) **Jenis data parket: STRING** | 2 |
| vpc-id | ID VPC yang berisi antarmuka jaringan yang lalu lintasnya dicatat. **Jenis data parket: STRING** | 3 |
| subnet-id | ID subnet yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Mengembalikan simbol '-' untuk aliran yang terkait dengan gateway NAT regional. **Jenis data parket: STRING** | 3 |
| instance-id | ID instans yang terkait dengan antarmuka jaringan yang lalu lintasnya dicatat, jika instans dimiliki oleh Anda. Mengembalikan simbol '-' untuk [Antarmuka jaringan yang dikelola peminta](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/requester-managed-eni.html); sebagai contoh, antaramuka untuk NAT gateway. **Jenis data parket: STRING** | 3 |
| tcp-flags | Nilai bitmask untuk bendera TCP berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/flow-log-records.html)Jika tidak ada flag yang didukung direkam, nilai flag TCP adalah 0. Misalnya, karena tcp-flags tidak mendukung pencatatan bendera ACK atau PSH, catatan untuk lalu lintas dengan flag yang tidak didukung ini akan menghasilkan nilai tcp-flags 0. Namun, jika bendera yang tidak didukung disertai dengan bendera yang didukung, kami akan melaporkan nilai bendera yang didukung. Misalnya, jika ACK adalah bagian dari SYN-ACK, ia melaporkan 18. Dan jika ada catatan seperti SYN\$1ECE, karena SYN adalah bendera yang didukung dan ECE tidak, nilai bendera TCP adalah 2. Jika karena alasan tertentu kombinasi bendera tidak valid dan nilainya tidak dapat dihitung, nilainya adalah '-'. Jika tidak ada bendera yang dikirim, nilai bendera TCP adalah 0.Bendera TCP dapat OR-ed selama interval agregasi. Untuk koneksi pendek, bendera mungkin diatur pada baris yang sama dalam catatan log alur, misalnya, 19 untuk SYN-ACK dan FIN, dan 3 untuk SYN dan FIN. Sebagai contoh, lihat [Urutan bendera TCP](flow-logs-records-examples.md#flow-log-example-tcp-flag).Untuk informasi umum tentang bendera TCP (seperti arti bendera seperti FIN, SYN, dan ACK), lihat Struktur segmen [TCP](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) di Wikipedia.**Tipe data parket:** INT\$132 | 3 |
| type | Jenis lalu lintas. Nilai yang mungkin adalah: IPv4 \$1 IPv6 \$1EFA. Untuk informasi selengkapnya, lihat [Adaptor Elastic Fabric](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html). **Jenis data parket: STRING** | 3 |
| pkt-srcaddr | Alamat IP sumber tingkat paket (asli) lalu lintas. Gunakan bidang ini dengan bidang srcaddr untuk membedakan antara alamat IP dari lapisan menengah yang dilalui alairan lalu lintas, dan alamat IP sumber asal dari lalu lintas. Misalnya, saat lalu lintas mengalir melalui [antarmuka jaringan NAT gateway](flow-logs-records-examples.md#flow-log-example-nat), atau di mana alamat IP dari pod di Amazon EKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instans di mana pod berjalan (untuk komunikasi dalam VPC). **Jenis data parket: STRING** | 3 |
| pkt-dstaddr | Alamat IP tujuan tingkat paket (asli) untuk lalu lintas. Gunakan bidang ini dengan bidang dstaddr untuk membedakan antara alamat IP dari lapisan menengah yang dilalui alairan lalu lintas, dan alamat IP tujuan akhir dari lalu lintas. Misalnya, saat lalu lintas mengalir [antaramuka jaringan untuk NAT gateway](flow-logs-records-examples.md#flow-log-example-nat), atau di mana alamat IP dari pod di Amazon EKS berbeda dari alamat IP dari antarmuka jaringan dari simpul instans di mana pod berjalan (untuk komunikasi dalam VPC). **Jenis data parket: STRING** | 3 |
| region | Wilayah yang berisi antarmuka jaringan yang lalu lintasnya dicatat. **Jenis data parket: STRING** | 4 |
| az-id | ID dari Availability Zone yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jika lalu lintas berasal dari sublokasi, catatan akan menampilkan simbol '-' untuk bidang ini. **Jenis data parket: STRING** | 4 |
| sublocation-type | Jenis sublokasi yang dikembalikan dalam bidang sublocation-id. Nilai yang mungkin adalah: [wavelength](https://aws.amazon.com/wavelength/) \$1 [outpost](https://docs.aws.amazon.com/outposts/latest/userguide/) \$1 [localzone](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#concepts-local-zones). Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini. **Jenis data parket: STRING** | 4 |
| sublocation-id | ID sublokasi yang berisi antarmuka jaringan yang lalu lintasnya dicatat. Jika lalu lintas bukan dari sublokasi, catatan menampilkan simbol '-' untuk bidang ini. **Jenis data parket: STRING** | 4 |
| pkt-src-aws-service | Nama subset dari [Rentang alamat IP](aws-ip-ranges.md) untuk bidang pkt-srcaddr ,jika alamat IP sumber adalah untuk layanan AWS . Jika alamat IP sumber termasuk dalam [rentang yang tumpang tindih](aws-ip-syntax.md#aws-ip-range-overlaps), hanya pkt-src-aws-service menampilkan salah satu kode AWS layanan. Nilai yang mungkin adalah: `AMAZON` `AMAZON_APPFLOW` `AMAZON_CONNECT` \$1 `API_GATEWAY` \$1 `AURORA_DSQL` \$1 `CHIME_MEETINGS` \$1 `CHIME_VOICECONNECTOR` \$1 `CLOUD9` `CLOUDFRONT` \$1 `CLOUDFRONT_ORIGIN_FACING` \$1 `CODEBUILD` \$1 `DYNAMODB` `EBS` \$1 `EC2` \$1 `EC2_INSTANCE_CONNECT` \$1 `GLOBALACCELERATOR` \$1 `IVS_LOW_LATENCY` `IVS_REALTIME` \$1 `KINESIS_VIDEO_STREAMS` \$1 `MEDIA_PACKAGE_V2` \$1 `ROUTE53` \$1 `ROUTE53_HEALTHCHECKS` \$1 `ROUTE53_HEALTHCHECKS_PUBLISHING` `ROUTE53_RESOLVER` \$1 `S3` \$1 \$1 `WORKSPACES_GATEWAYS` **Jenis data parket: STRING** | 5 |
| pkt-dst-aws-service | Nama subset alamat IP berkisar untuk pkt-dstaddr bidang, jika alamat IP tujuan adalah untuk AWS layanan. Untuk daftar kemungkinan nilai, lihat bidang pkt-src-aws-service. **Jenis data parket: STRING** | 5 |
| flow-direction | Arah aliran sehubungan dengan antarmuka di mana lalu lintas ditangkap. Kemungkinan nilai adalah: ingress \$1 egress. **Jenis data parket: STRING** | 5 |
| traffic-path | Jalan yang dilalui lalu lintas egress untuk ke tujuan. Untuk menentukan apakah lalu lintas merupakan lalu lintas keluar, periksa bidang flow-direction. Kemungkinan nilainya adalah sebagai berikut. Jika tidak ada nilai yang berlaku, bidang diatur ke -. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/flow-log-records.html) **Tipe data parket:** INT\$132 | 5 |
| ecs-cluster-arn | AWS Nama Sumber Daya (ARN) dari cluster ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters.Jenis data parket: STRING | 7 |
| ecs-cluster-name | Nama cluster ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters.Jenis data parket: STRING | 7 |
| ecs-container-instance-arn | ARN dari instance kontainer ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan pada instance EC2. Jika penyedia kapasitas adalah AWS Fargate, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListContainerInstances Jenis data parket: STRING | 7 |
| ecs-container-instance-id | ID instance kontainer ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan pada instans EC2. Jika penyedia kapasitas adalah AWS Fargate, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListContainerInstances Jenis data parket: STRING | 7 |
| ecs-container-id | ID runtime Docker kontainer jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Jika ada satu atau lebih kontainer dalam tugas ECS, ini akan menjadi ID runtime docker dari kontainer pertama. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters. Jenis data parket: STRING | 7 |
| ecs-second-container-id | ID runtime Docker kontainer jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Jika ada lebih dari satu kontainer dalam tugas ECS, ini akan menjadi ID runtime Docker dari kontainer kedua. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs:ListClusters. Jenis data parket: STRING | 7 |
| ecs-service-name | Nama layanan ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan dan tugas ECS dimulai oleh layanan ECS. Jika tugas ECS tidak dimulai oleh layanan ECS, bidang ini akan menjadi '-'. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListServices Jenis data parket: STRING | 7 |
| ecs-task-definition-arn | ARN dari definisi tugas ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk memanggil ecs: ListClusters dan ecs: ListTaskDefinitions Jenis data parket: STRING | 7 |
| ecs-task-arn | ARN dari tugas ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListTasks Jenis data parket: STRING | 7 |
| ecs-task-id | ID tugas ECS jika lalu lintas berasal dari tugas ECS yang sedang berjalan. Untuk menyertakan bidang ini dalam langganan Anda, Anda memerlukan izin untuk menelepon ecs: ListClusters dan ecs:. ListTasks Jenis data parket: STRING | 7 |
| tolak-alasan | Alasan Mengapa Lalu Lintas Ditolak Nilai yang mungkin: BPA, EC. Mengembalikan '-' untuk alasan penolakan lainnya. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/flow-log-records.html) **Jenis data parket: STRING** | 8 |
| resource-id | ID gateway NAT regional yang berisi antarmuka jaringan tempat lalu lintas dicatat. Mengembalikan simbol '-' untuk arus lalu lintas yang tidak terkait dengan gateway NAT regional. Untuk informasi lebih lanjut tentang gateway NAT regional, lihat. [Gateway NAT regional untuk ekspansi multi-AZ otomatis](nat-gateways-regional.md) **Jenis data parket: STRING** | 9 |
| status enkripsi | Status enkripsi aliran. Untuk informasi selengkapnya tentang Kontrol Enkripsi VPC, lihat. [Menerapkan enkripsi VPC dalam perjalanan](vpc-encryption-controls.md) Nilai yang mungkin adalah: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/flow-log-records.html) Nilainya adalah '-' jika Kontrol Enkripsi VPC tidak diaktifkan, atau jika FlowLog tidak bisa mendapatkan status. \$1 Untuk antarmuka dan titik akhir gateway, AWS tidak melihat data paket untuk menentukan status enkripsi, kami malah mengandalkan port yang digunakan untuk mengasumsikan status enkripsi. \$1\$1 Untuk titik akhir AWS terkelola yang AWS ditentukan, tentukan status enkripsi berdasarkan persyaratan untuk TLS dalam konfigurasi layanan. **Tipe data parket:** INT\$132 | 10 |
# Contoh catatan log alur
Berikut ini adalah contoh catatan log alur yang menangkap arus lalu lintas tertentu.
Untuk informasi selengkapnya tentang format pencatatan log alur, lihat [Catatan log alur](flow-log-records.md). Untuk informasi tentang cara membuat log alur, lihat [Bekerja dengan log alur](working-with-flow-logs.md).
**Topics**
+ [Lalu lintas yang diterima dan ditolak](#flow-log-example-accepted-rejected)
+ [Tidak ada data dan catatan yang dilewati](#flow-log-example-no-data)
+ [Aturan grup keamanan dan ACL jaringan](#flow-log-example-security-groups)
+ [IPv6 lalu lintas](#flow-log-example-ipv6)
+ [Urutan bendera TCP](#flow-log-example-tcp-flag)
+ [Lalu lintas melalui gateway NAT zona](#flow-log-example-nat)
+ [Lalu lintas melalui gateway NAT regional](#flow-log-example-regional-nat)
+ [Lalu lintas melalui transit gateway](#flow-log-example-tgw)
+ [Nama layanan, jalur lalu lintas, dan arah aliran](#flow-log-example-traffic-path)
## Lalu lintas yang diterima dan ditolak
Berikut ini adalah contoh catatan log alur default.
Dalam contoh ini, lalu lintas SSH (port tujuan 22, protokol TCP) dari alamat IP 172.31.16.139 ke antarmuka jaringan dengan alamat IP pribadi adalah 172.31.16.21 dan ID eni-1235b8ca123456789 di akun 123456789010 diizinkan.
```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 172.31.16.21 20641 22 6 20 4249 1418530010 1418530070 ACCEPT OK
```
Dalam contoh ini, lalu lintas RDP (port tujuan 3389, protokol TCP) untuk antarmuka jaringan eni-1235b8ca123456789 di akun 123456789010 ditolak.
```
2 123456789010 eni-1235b8ca123456789 172.31.9.69 172.31.9.12 49761 3389 6 20 4249 1418530010 1418530070 REJECT OK
```
## Tidak ada data dan catatan yang dilewati
Berikut ini adalah contoh catatan log alur default.
Dalam contoh ini, tidak ada data yang dicatat selama interval agregasi.
```
2 123456789010 eni-1235b8ca123456789 - - - - - - - 1431280876 1431280934 - NODATA
```
VPC Flow Logs melewatkan catatan ketika tidak dapat menangkap data log aliran selama interval agregasi karena melebihi kapasitas internal. Satu catatan yang dilewati dapat mewakili beberapa aliran yang tidak ditangkap untuk antarmuka jaringan selama interval agregasi.
```
2 123456789010 eni-11111111aaaaaaaaa - - - - - - - 1431280876 1431280934 - SKIPDATA
```
**catatan**
Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat *log-status* di). [Bidang yang tersedia](flow-log-records.md#flow-logs-fields) Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log aliran VPC dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon VPC.
## Aturan grup keamanan dan ACL jaringan
Jika Anda menggunakan log alur untuk mendiagnosis aturan grup keamanan yang terlalu ketat atau longgar atau aturan ACL jaringan, perhatikan tingkat stateful sumber daya ini. Grup keamanan bersifat stateful - ini berarti bahwa respon untuk ke lalu lintas yang diizinkan juga diizinkan, bahkan jika aturan dalam grup keamanan Anda tidak mengizinkannya. Sebaliknya, jaringan tidak ACLs memiliki kewarganegaraan, oleh karena itu tanggapan terhadap lalu lintas yang diizinkan tunduk pada aturan ACL jaringan.
Misalnya, Anda menggunakan perintah **ping** dari komputer rumah Anda (alamat IP adalah 203.0.113.12) ke instans Anda (alamat IP privat antarmuka jaringan adalah 172.31.16.139). Aturan masuk grup keamanan mengizinkan lalu lintas ICMP tetapi aturan keluar tidak mengizinkan lalu lintas ICMP. Karena grup keamanan bersifat stateful, ping respon dari instans Anda diizinkan. ACL jaringan Anda mengizinkan lalu lintas ICMP masuk tetapi tidak mengizinkan lalu lintas ICMP keluar. Karena jaringan ACLs tanpa kewarganegaraan, ping respons dijatuhkan dan tidak mencapai komputer di rumah Anda. Dalam log alur default, ini ditampilkan sebagai dua catatan log alur:
+ Catatan ACCEPT untuk ping asal yang diizinkan oleh ACL jaringan dan grup keamanan, dan oleh karena itu diizinkan untuk mencapai instans Anda.
+ Catatan REJECT untuk ping respon yang ditolak ACL jaringan.
```
2 123456789010 eni-1235b8ca123456789 203.0.113.12 172.31.16.139 0 0 1 4 336 1432917027 1432917142 ACCEPT OK
```
```
2 123456789010 eni-1235b8ca123456789 172.31.16.139 203.0.113.12 0 0 1 4 336 1432917094 1432917142 REJECT OK
```
Jika ACL jaringan Anda mengizinkan lalu lintas ICMP keluar, log alur menampilkan dua catatan ACCEPT (satu untuk ping asal dan satu untuk ping respon). Jika grup keamanan Anda menolak lalu lintas ICMP masuk, log alur menampilkan catatan REJECT, karena lalu lintas tidak diizinkan untuk mencapai instans Anda.
## IPv6 lalu lintas
Berikut ini adalah contoh catatan log alur default. Dalam contoh, lalu lintas SSH (port 22) dari IPv6 alamat 2001:db 8:1234:a 100:8 d6e: 3477: df66:f105 ke antarmuka jaringan eni-1235b8ca123456789 di akun 123456789010 diizinkan.
```
2 123456789010 eni-1235b8ca123456789 2001:db8:1234:a100:8d6e:3477:df66:f105 2001:db8:1234:a102:3304:8879:34cf:4071 34892 22 6 54 8855 1477913708 1477913820 ACCEPT OK
```
## Urutan bendera TCP
Bagian ini berisi contoh log aliran kustom yang menangkap bidang berikut dalam urutan berikut.
```
version vpc-id subnet-id instance-id interface-id account-id type srcaddr dstaddr srcport dstport pkt-srcaddr pkt-dstaddr protocol bytes packets start end action tcp-flags log-status
```
tcp-flagsBidang dalam contoh di bagian ini diwakili oleh second-to-last nilai dalam log aliran. Bendera TCP dapat membantu Anda mengidentifikasi arah lalu lintas, misalnya, server mana yang memulai koneksi.
**catatan**
Untuk informasi selengkapnya tentang tcp-flags opsi dan penjelasan masing-masing bendera TCP, lihat. [Bidang yang tersedia](flow-log-records.md#flow-logs-fields)
Dalam catatan berikut (mulai pukul 7:47:55 sore dan berakhir pada 7:48:53 sore), dua koneksi dimulai oleh klien ke server yang berjalan pada port 5001. Dua bendera SYN (2) diterima oleh server dari klien dari port sumber yang berbeda pada klien (43416 dan 43418). Untuk setiap SYN, SYN-ACK dikirim dari server untuk klien (18) pada port yang sesuai.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43416 5001 52.213.180.42 10.0.0.62 6 568 8 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43416 10.0.0.62 52.213.180.42 6 376 7 1566848875 1566848933 ACCEPT 18 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 100701 70 1566848875 1566848933 ACCEPT 2 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 632 12 1566848875 1566848933 ACCEPT 18 OK
```
Pada interval agregasi kedua, salah satu koneksi yang terbentuk selama aliran sebelumnya sekarang ditutup. Server mengirim bendera FIN (1) ke klien untuk koneksi pada port 43418. Klien merespons dengan FIN ke server pada port 43418.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43418 10.0.0.62 52.213.180.42 6 63388 1219 1566848933 1566849113 ACCEPT 1 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43418 5001 52.213.180.42 10.0.0.62 6 23294588 15774 1566848933 1566849113 ACCEPT 1 OK
```
Untuk koneksi singkat (misalnya, beberapa detik) yang dibuka dan ditutup dalam interval agregasi tunggal, bendera mungkin ditetapkan pada baris yang sama dalam catatan log alur untuk lalu lintas dalam arah yang sama. Pada contoh berikut, koneksi dibuat dan selesai dalam interval agregasi yang sama. Pada baris pertama, nilai bendera TCP adalah 3, yang menunjukkan bahwa ada pesan SYN dan FIN yang dikirim dari klien ke server. Pada baris kedua, nilai bendera TCP adalah 19, yang menunjukkan bahwa ada pesan SYN-ACK dan FIN yang dikirim dari server ke klien.
```
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 52.213.180.42 10.0.0.62 43638 5001 52.213.180.42 10.0.0.62 6 1260 17 1566933133 1566933193 ACCEPT 3 OK
3 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-01234567890123456 eni-1235b8ca123456789 123456789010 IPv4 10.0.0.62 52.213.180.42 5001 43638 10.0.0.62 52.213.180.42 6 967 14 1566933133 1566933193 ACCEPT 19 OK
```
## Lalu lintas melalui gateway NAT zona
Dalam contoh ini, sebuah instance di subnet pribadi mengakses internet melalui gateway NAT zonal yang ada di subnet publik.
![\[Mengakses internet melalui gateway NAT zona\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/flow-log-nat-gateway.png)
Log alur kustom berikut untuk antarmuka jaringan gateway NAT zonal menangkap bidang berikut dalam urutan berikut.
```
instance-id interface-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```
Log aliran menunjukkan arus lalu lintas dari alamat IP instance (10.0.1.5) melalui antarmuka jaringan gateway NAT zonal ke host di internet (203.0.113.5). Antarmuka jaringan gateway NAT zonal adalah antarmuka jaringan yang dikelola pemohon, oleh karena itu catatan log aliran menampilkan simbol '-' untuk bidang tersebut. instance-id Baris berikut menunjukkan lalu lintas dari instance sumber ke antarmuka jaringan gateway NAT zonal. Nilai-nilai untuk bidang dstaddr dan pkt-dstaddr berbeda. dstaddrBidang ini menampilkan alamat IP pribadi dari antarmuka jaringan gateway NAT zonal, dan pkt-dstaddr bidang menampilkan alamat IP tujuan akhir dari host di internet.
```
- eni-1235b8ca123456789 10.0.1.5 10.0.0.220 10.0.1.5 203.0.113.5
```
Dua baris berikutnya menunjukkan lalu lintas dari antarmuka jaringan gateway NAT zonal ke host target di internet, dan lalu lintas respons dari host ke antarmuka jaringan gateway NAT.
```
- eni-1235b8ca123456789 10.0.0.220 203.0.113.5 10.0.0.220 203.0.113.5
- eni-1235b8ca123456789 203.0.113.5 10.0.0.220 203.0.113.5 10.0.0.220
```
Baris berikut menunjukkan lalu lintas respons dari antarmuka jaringan gateway NAT zonal ke instance sumber. Nilai-nilai untuk bidang srcaddr dan pkt-srcaddr berbeda. srcaddrBidang ini menampilkan alamat IP pribadi dari antarmuka jaringan gateway NAT zonal, dan pkt-srcaddr bidang menampilkan alamat IP host di internet.
```
- eni-1235b8ca123456789 10.0.0.220 10.0.1.5 203.0.113.5 10.0.1.5
```
Anda membuat log alur kustom lain menggunakan set bidang di atas. Anda membuat log alur untuk antarmuka jaringan untuk instans di subnet privat. Dalam hal ini, bidang instance-id mengembalikan ID instans yang terkait dengan antarmuka jaringan, dan tidak ada perbedaan antara bidang dstaddr dan bidang pkt-dstaddr dan bidang srcaddr dan bidang pkt-srcaddr. Berbeda dengan antarmuka jaringan untuk gateway NAT zonal, antarmuka jaringan ini bukan antarmuka jaringan perantara untuk lalu lintas.
```
i-01234567890123456 eni-1111aaaa2222bbbb3 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
i-01234567890123456 eni-1111aaaa2222bbbb3 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```
## Lalu lintas melalui gateway NAT regional
Gateway NAT regional dapat terhubung ke beberapa subnet di Availability Zone yang berbeda. Dalam contoh ini, dua contoh dalam subnet pribadi dari dua Availability Zone yang berbeda mengakses internet melalui gateway NAT regional yang sama. Log aliran berikut menunjukkan lalu lintas dari salah satu contoh ke internet melalui gateway NAT regional.
![\[Mengakses internet melalui gateway NAT regional\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/flow-log-regional-nat-gateway.png)
Log alur kustom berikut untuk gateway NAT regional menangkap bidang berikut dalam urutan berikut.
```
resource-id instance-id interface-id subnet-id srcaddr dstaddr pkt-srcaddr pkt-dstaddr
```
Log aliran menunjukkan arus lalu lintas dari alamat IP instance (10.0.1.5) melalui gateway NAT regional ke host di internet (203.0.113.5). instance-id,interface-id, dan subnet-id tidak berlaku untuk gateway NAT regional. Oleh karena itu, catatan log aliran menampilkan simbol '-' untuk bidang ini. Sebagai gantinya, resource-id bidang menampilkan ID gateway NAT regional. pkt-dstaddrBidang dstaddr dan menampilkan alamat IP tujuan akhir dari host di internet.
```
nat-1234567890abcdef - - - 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5
```
Dua baris berikutnya menunjukkan lalu lintas dari gateway NAT regional (alamat IP publik 107.22.182.139) ke host target di internet, dan lalu lintas respons dari host ke gateway NAT regional.
```
nat-1234567890abcdef - - - 107.22.182.139 203.0.113.5 107.22.182.139 203.0.113.5
nat-1234567890abcdef - - - 203.0.113.5 107.22.182.139 203.0.113.5 107.22.182.139
```
Baris berikut menunjukkan lalu lintas respons dari gateway NAT regional ke instance sumber. pkt-srcaddrBidang srcaddr dan menampilkan alamat IP host di internet.
```
nat-1234567890abcdef - - - 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5
```
Anda membuat log alur kustom lain menggunakan set bidang di atas. Anda membuat log alur untuk antarmuka jaringan untuk instans di subnet privat. Dalam hal ini, instance-id bidang mengembalikan ID dari instance yang terkait dengan antarmuka jaringan, dan resource-id adalah '-'. Tidak ada perbedaan antara pkt-dstaddr bidang dstaddr dan bidang srcaddr dan pkt-srcaddr bidang.
```
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 10.0.1.5 203.0.113.5 10.0.1.5 203.0.113.5 #Traffic from the source instance to host on the internet
- i-01234567890123456 eni-1111aaaa2222bbbb3 subnet-aaaaaaaa012345678 203.0.113.5 10.0.1.5 203.0.113.5 10.0.1.5 #Response traffic from host on the internet to the source instance
```
## Lalu lintas melalui transit gateway
Dalam contoh ini, klien di VPC A terhubung ke server web di VPC B melalui transit gateway. Klien dan server berada di Availability Zone yang berbeda. Lalu lintas tiba di server di VPC B menggunakan satu elastic network interface ID (dalam contoh ini, katakanlah IDnya adalah eni-11111111111111111111111) dan meninggalkan VPC B menggunakan yang lain (misalnya eni-2222222222222222222).
![\[Lalu lintas melalui transit gateway\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/images/flow-log-tgw.png)
Anda membuat log alur kustom untuk VPC B dengan format berikut.
```
version interface-id account-id vpc-id subnet-id instance-id srcaddr dstaddr srcport dstport protocol tcp-flags type pkt-srcaddr pkt-dstaddr action log-status
```
Baris berikut dari catatan log alur menunjukkan aliran lalu lintas pada antarmuka jaringan untuk web server. Baris pertama adalah lalu lintas permintaan dari klien, dan baris terakhir adalah lalu lintas respon dari server web.
```
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.20.33.164 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
...
3 eni-33333333333333333 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb i-01234567890123456 10.40.2.236 10.20.33.164 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```
Baris berikut adalah lalu lintas permintaan di eni-11111111111111111, antarmuka jaringan yang dikelola peminta untuk transit gateway di subnet subnet-11111111aaaaaaaaa. Oleh karena itu catatan log alur menampilkan simbol '-' untuk bidang instance-id. Bidang srcaddr menampilkan alamat IP privat antarmuka jaringan transit gateway, dan bidang pkt-srcaddr menampilkan alamat IP sumber klien di VPC A.
```
3 eni-11111111111111111 123456789010 vpc-abcdefab012345678 subnet-11111111aaaaaaaaa - 10.40.1.175 10.40.2.236 39812 80 6 3 IPv4 10.20.33.164 10.40.2.236 ACCEPT OK
```
Baris berikut adalah lalu lintas respon pada eni-22222222222222222, antarmuka jaringan yang dikelola peminta untuk transit gateway di subnet subnet-22222222bbbbbbbbb. Bidang dstaddr menampilkan alamat IP privat antarmuka jaringan transit gateway, dan bidang pkt-dstaddr menampilkan alamat IP klien di VPC A.
```
3 eni-22222222222222222 123456789010 vpc-abcdefab012345678 subnet-22222222bbbbbbbbb - 10.40.2.236 10.40.2.31 80 39812 6 19 IPv4 10.40.2.236 10.20.33.164 ACCEPT OK
```
## Nama layanan, jalur lalu lintas, dan arah aliran
Berikut ini adalah contoh bidang untuk catatan log alur kustom.
```
version srcaddr dstaddr srcport dstport protocol start end type packets bytes account-id vpc-id subnet-id instance-id interface-id region az-id sublocation-type sublocation-id action tcp-flags pkt-srcaddr pkt-dstaddr pkt-src-aws-service pkt-dst-aws-service traffic-path flow-direction log-status
```
Dalam contoh berikut, versinya 5 karena catatan meliputi bidang versi 5. Instans EC2 memanggil layanan Amazon S3. Log alur ditangkap pada antarmuka jaringan untuk instans. Catatan pertama memiliki arah aliran ingress dan catatan kedua memiliki arah aliran egress. Untuk catatan egress, traffic-path-nya 8, menunjukkan bahwa lalu lintas melewati gateway internet. Bidang traffic-path tidak didukung untuk lalu lintas ingress. Saat pkt-srcaddr atau pkt-dstaddr adalah alamat IP publik, nama layanan ditampilkan.
```
5 52.95.128.179 10.0.0.71 80 34210 6 1616729292 1616729349 IPv4 14 15044 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 19 52.95.128.179 10.0.0.71 S3 - - ingress OK
5 10.0.0.71 52.95.128.179 34210 80 6 1616729292 1616729349 IPv4 7 471 123456789012 vpc-abcdefab012345678 subnet-aaaaaaaa012345678 i-0c50d5961bcb2d47b eni-1235b8ca123456789 ap-southeast-2 apse2-az3 - - ACCEPT 3 10.0.0.71 52.95.128.179 - S3 8 egress OK
```
# Batasan log alur
Untuk menggunakan log alur , Anda perlu memahami batasan-batasan berikut:
+ Setelah Anda membuat log aliran, Anda tidak akan melihat data log aliran sampai ada lalu lintas aktif untuk antarmuka jaringan, subnet, atau VPC yang Anda pilih.
+ Anda tidak dapat mengaktifkan log alur untuk VPCs yang diintip dengan VPC Anda kecuali VPC rekan ada di akun Anda.
+ Setelah membuat log aliran, Anda tidak dapat mengubah konfigurasinya atau format catatan log aliran. Misalnya, Anda tidak dapat mengaitkan IAM role yang berbeda dengan log alur, atau menambahkan atau menghapus bidang dalam catatan log alur. Sebaliknya, Anda dapat menghapus log alur dan membuat yang baru dengan konfigurasi yang diperlukan.
+ Jika antarmuka jaringan Anda memiliki beberapa IPv4 alamat dan lalu lintas dikirim ke IPv4 alamat pribadi sekunder, log alur menampilkan IPv4 alamat pribadi utama di `dstaddr` bidang. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang `pkt-dstaddr`.
+ Jika lalu lintas dikirim ke antarmuka jaringan dan tujuan bukan salah satu alamat IP antarmuka jaringan, log aliran menampilkan IPv4 alamat pribadi utama di `dstaddr` lapangan. Untuk menangkap alamat IP tujuan asal, buat log alur dengan bidang `pkt-dstaddr`.
+ Jika lalu lintas dikirim dari antarmuka jaringan dan sumbernya bukan salah satu alamat IP antarmuka jaringan, ketika catatan log adalah untuk aliran keluar, log aliran menampilkan IPv4 alamat pribadi utama di `srcaddr` lapangan. Untuk menangkap alamat IP sumber asal, buat log alur dengan bidang `pkt-srcaddr`. Jika catatan log adalah untuk aliran masuk ke antarmuka jaringan, IP pribadi utama dari antarmuka jaringan tidak akan ditampilkan di `srcaddr` lapangan.
+ Saat antarmuka jaringan Anda terpasang ke [Instans berbasis Nitro](https://docs.aws.amazon.com/ec2/latest/instancetypes/ec2-nitro-instances.html), interval agregasi selalu 1 menit atau kurang, terlepas dari interval agregasi maksimum yang ditentukan.
+ Untuk `pkt-srcaddr` dan `pkt-dstaddr` bidang, jika lapisan perantara mengaktifkan Pelestarian alamat IP Klien, bidang ini dapat menampilkan IP Klien yang diawetkan, bukan alamat IP dari lapisan perantara.
+ Untuk `traffic-path` bidang, nilainya sama untuk mengalir melalui sumber daya di VPC yang sama dan mengalir melalui gateway lokal Outpost.
+ Beberapa catatan log aliran dapat dilewati selama interval agregasi (lihat *log-status* di). [Bidang yang tersedia](flow-log-records.md#flow-logs-fields) Ini mungkin disebabkan oleh kendala AWS kapasitas internal atau kesalahan internal. Jika Anda menggunakan AWS Cost Explorer untuk melihat muatan log aliran VPC dan beberapa log aliran dilewati selama interval agregasi log aliran, jumlah log aliran yang dilaporkan AWS Cost Explorer akan lebih tinggi daripada jumlah log aliran yang diterbitkan oleh Amazon VPC.
+ Jika Anda menggunakan [VPC Block Public Access (BPA](security-vpc-bpa-assess-impact-main.md#security-vpc-bpa-fl)):
+ [Log aliran untuk VPC BPA tidak termasuk catatan yang dilewati.](flow-logs-records-examples.md#flow-log-example-no-data)
+ Log aliran untuk VPC BPA tidak termasuk [`bytes`](flow-log-records.md#flow-logs-fields)bahkan jika Anda menyertakan `bytes` bidang dalam log aliran Anda.
+ VPC Flow Logs mendukung maksimum 250 langganan per sumber daya per akun. Untuk membuat langganan tambahan pada sumber daya yang telah mencapai batas ini, Anda harus terlebih dahulu menghapus langganan yang ada.
Log alur tidak menangkap semua lalu lintas IP. Jenis lalu lintas berikut tidak dicatat:
+ Lalu lintas yang dihasilkan oleh instans ketika menghubungi server DNS Amazon. Jika Anda menggunakan server DNS Anda sendiri, maka semua lalu lintas ke server DNS tersebut dicatat.
+ Lalu lintas yang dihasilkan oleh instans Windows untuk aktivasi lisensi Amazon Windows.
+ Lalu lintas ke dan dari `169.254.169.254` untuk metadata instans.
+ Lalu lintas ke dan dari `169.254.169.123` untuk layanan Amazon Time Sync.
+ Lalu lintas DHCP.
+ [Lalu lintas mencerminkan lalu lintas](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-how-it-works.html) sumber. Anda akan melihat lalu lintas target cermin lalu lintas saja.
+ Lalu lintas ke alamat IP yang dipesan untuk router VPC default.
+ Lalu lintas antara antarmuka jaringan titik akhir dan antarmuka jaringan Penyeimbang Beban Jaringan.
+ Lalu lintas Address Resolution Protocol (ARP)
+ Lalu lintas pada gateway NAT regional berumur pendek, yang dihapus beberapa menit setelah pembuatan.
Batasan khusus untuk bidang ECS yang tersedia di versi 7:
+ Bidang ECS tidak dihitung jika tugas ECS yang mendasarinya tidak dimiliki oleh pemilik langganan log aliran. Misalnya, jika Anda berbagi subnet (`SubnetA`) dengan akun lain (`AccountB`), dan kemudian Anda membuat langganan log aliran untuk`SubnetA`, jika `AccountB` meluncurkan tugas ECS di subnet bersama, langganan Anda akan menerima log lalu lintas dari tugas ECS yang diluncurkan oleh `AccountB` tetapi bidang ECS untuk log ini tidak akan dihitung karena masalah keamanan.
+ Jika Anda membuat langganan log alur dengan bidang ECS di tingkat VPC/Subnet sumber daya, lalu lintas apa pun yang dihasilkan untuk antarmuka jaringan non-ECS juga akan dikirimkan untuk langganan Anda. Nilai untuk bidang ECS adalah '-' untuk lalu lintas IP non-ECS. Misalnya, Anda memiliki subnet (`subnet-000000`) dan Anda membuat langganan log aliran untuk subnet ini dengan bidang ECS (). `fl-00000000` Di`subnet-000000`, Anda meluncurkan instans EC2 (`i-0000000`) yang terhubung ke internet dan secara aktif menghasilkan lalu lintas IP. Anda juga meluncurkan tugas ECS (`ECS-Task-1`) yang sedang berjalan di subnet yang sama. Karena `ECS-Task-1` keduanya `i-0000000` dan menghasilkan lalu lintas IP, langganan log aliran Anda `fl-00000000` akan mengirimkan log lalu lintas untuk kedua entitas. Namun, hanya `ECS-Task-1` akan memiliki metadata ECS aktual untuk bidang ECS yang Anda sertakan dalam LogFormat Anda. Untuk lalu lintas `i-0000000` terkait, bidang ini akan memiliki nilai '-'.
+ `ecs-container-id`dan `ecs-second-container-id` dipesan saat layanan VPC Flow Logs menerimanya dari aliran peristiwa ECS. Mereka tidak dijamin berada dalam urutan yang sama seperti yang Anda lihat di konsol ECS atau dalam panggilan DescribeTask API. Jika kontainer memasuki status STOPTED saat tugas masih berjalan, kontainer dapat terus muncul di log Anda.
+ Metadata ECS dan log lalu lintas IP berasal dari dua sumber yang berbeda. Kami mulai menghitung lalu lintas ECS Anda segera setelah kami memperoleh semua informasi yang diperlukan dari dependensi hulu. Setelah Anda memulai tugas baru, kami mulai menghitung bidang ECS Anda 1) ketika kami menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya dan 2) ketika kami menerima peristiwa ECS yang berisi metadata untuk tugas ECS Anda untuk menunjukkan tugas sedang berjalan. Setelah Anda menghentikan tugas, kami berhenti menghitung bidang ECS Anda 1) ketika kami tidak lagi menerima lalu lintas IP untuk antarmuka jaringan yang mendasarinya atau kami menerima lalu lintas IP yang tertunda selama lebih dari satu hari dan 2) ketika kami menerima acara ECS yang berisi metadata untuk tugas ECS Anda untuk menunjukkan tugas Anda tidak lagi berjalan.
+ Hanya tugas ECS yang diluncurkan dalam [mode `awsvpc` jaringan](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-networking.html) yang didukung.
Batasan khusus untuk `encryption-status` bidang:
+ Status enkripsi mungkin '-' (tidak tersedia) dalam beberapa aliran, karena keterbatasan beberapa alat jaringan untuk melaporkan status enkripsi. Pengguna dapat mengabaikan arus ini dalam analisis.
+ Menampilkan sebagai terenkripsi dalam mode monitor tidak berarti aliran akan diizinkan dalam mode penegakan. Begitu juga sebaliknya.
+ Jika aliran dienkripsi dalam mode monitor, aliran mungkin tidak sesuai dalam mode penegakkan:
+ Jika aliran melibatkan ENI yang dibuat oleh suatu AWS layanan, maka layanan tersebut perlu mendukung Kontrol Enkripsi.
+ Jika aliran melewati peering VPC, VPC yang diintip mungkin tidak memaksa Kontrol Enkripsi.
+ Jika aliran tidak dienkripsi dalam mode monitor, aliran mungkin masih sesuai dalam mode penegakan, mengingat layanan yang terkait dengan aliran ditambahkan sebagai pengecualian.
## Harga
Biaya konsumsi data dan arsip untuk log vended berlaku saat Anda mempublikasikan log aliran. Untuk informasi selengkapnya tentang harga saat menerbitkan log penjual, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log, dan temukan Log** **Terjual**.
Untuk melacak biaya dari log alur penerbitan, Anda dapat menerapkan tag alokasi biaya ke sumber daya tujuan Anda. Setelah itu, laporan alokasi AWS biaya Anda mencakup penggunaan dan biaya yang dikumpulkan oleh tag ini. Anda dapat menerapkan tag yang mewakili kategori bisnis (seperti pusat biaya, nama aplikasi, atau pemilik) untuk mengatur biaya Anda. Untuk informasi selengkapnya, lihat berikut ini:
+ [Menggunakan Tanda Alokasi Biaya](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) dalam *AWS Billing Panduan Pengguna*
+ [Tandai grup log di CloudWatch Log Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#log-group-tagging) *di Panduan Pengguna CloudWatch Log Amazon*
+ [Menggunakan tag bucket S3 alokasi biaya](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CostAllocTagging.html) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*
+ [Menandai Aliran Pengiriman Anda](https://docs.aws.amazon.com/firehose/latest/dev/firehose-tagging.html) di Panduan Pengembang *Amazon Data Firehose*
# Bekerja dengan log alur
Anda dapat bekerja dengan flow log menggunakan konsol untuk Amazon EC2 dan Amazon VPC.
**Topics**
+ [1. Kontrol penggunaan flow log dengan IAM](#controlling-use-of-flow-logs)
+ [2. Membuat log alur](#create-flow-log)
+ [3. Tandai log aliran](#modify-tags-flow-logs)
+ [4. Menghapus log alur](#delete-flow-log)
+ [Ikhtisar baris perintah](#flow-logs-api-cli)
## 1. Kontrol penggunaan flow log dengan IAM
Secara default, pengguna tidak memiliki izin untuk bekerja dengan log aliran. Anda dapat membuat peran IAM dengan kebijakan terlampir yang memberi pengguna izin untuk membuat, mendeskripsikan, dan menghapus log aliran.
Berikut ini adalah contoh kebijakan yang memberikan izin penuh kepada pengguna untuk membuat, menjelaskan, dan menghapus log alur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
Untuk informasi selengkapnya, lihat [Bagaimana cara Amazon VPC bekerja sama dengan IAM](security_iam_service-with-iam.md).
## 2. Membuat log alur
Anda dapat membuat log aliran untuk VPCs, subnet, atau antarmuka jaringan Anda. Saat Anda membuat log aliran, Anda harus menentukan tujuan untuk log aliran. Untuk informasi selengkapnya, lihat berikut ini:
+ [Buat log alur yang diterbitkan ke CloudWatch Log](flow-logs-cwl-create-flow-log.md)
+ [Membuat log alur yang menerbitkan ke Amazon S3](flow-logs-s3-create-flow-log.md)
+ [Membuat log alur yang dipublikasikan ke Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)
## 3. Tandai log aliran
Anda dapat menambahkan atau menghapus tag untuk log aliran kapan saja.
**Untuk mengelola tag untuk log alur**
1. Lakukan salah satu tindakan berikut:
+ Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Di panel navigasi, pilih **Antarmuka Jaringan**. Pilih kotak centang untuk antarmuka jaringan.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Your VPCs**. Pilih kotak centang untuk VPC.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Pengguna**. Pilih kotak centang untuk subnet.
1. Pilih **Log Aliran**.
1. Pilih **Tindakan**, **Kelola tag**.
1. Untuk menambahkan tag baru, pilih **Tambahkan tag baru** dan masukkan kunci dan nilai. Untuk menghapus sebuah tag, pilih **Hapus**.
1. Setelah selesai menambahkan atau menghapus tag, pilih **Simpan**.
## 4. Menghapus log alur
Anda dapat menghapus log aliran kapan saja. Setelah Anda menghapus log aliran, diperlukan beberapa menit untuk berhenti mengumpulkan data.
Menghapus log aliran tidak menghapus data log dari tujuan atau mengubah sumber daya tujuan. Anda harus menghapus data log aliran yang ada langsung dari tujuan, dan membersihkan sumber daya tujuan, menggunakan konsol untuk layanan tujuan.
**Untuk menghapus log aliran**
1. Lakukan salah satu tindakan berikut:
+ Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Di panel navigasi, pilih **Antarmuka Jaringan**. Pilih kotak centang untuk antarmuka jaringan.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Your VPCs**. Pilih kotak centang untuk VPC.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Pengguna**. Pilih kotak centang untuk subnet.
1. Pilih **Log Aliran**.
1. Pilih **Tindakan**, **Hapus log aliran**.
1. Saat diminta konfirmasi, ketik **delete** lalu pilih **Hapus**.
## Ikhtisar baris perintah
Anda dapat melakukan tugas yang dijelaskan di halaman ini menggunakan baris perintah.
**Membuat log alur**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Jelaskan log aliran**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Tandai log aliran**
+ [buat-tag dan hapus-tag](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) [()](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-tags.html)AWS CLI
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)dan [Remove-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2Tag.html)AWS Tools for Windows PowerShell
**Menghapus log alur**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# Publikasikan log aliran ke CloudWatch Log
Log aliran dapat mempublikasikan data log aliran langsung ke Amazon CloudWatch. Amazon CloudWatch adalah layanan pemantauan dan observabilitas yang komprehensif. Ini mengumpulkan dan melacak metrik, log, dan data peristiwa dari berbagai AWS sumber daya, serta aplikasi dan layanan Anda sendiri. CloudWatch memberikan visibilitas ke dalam pemanfaatan sumber daya, kinerja aplikasi, dan kesehatan operasional, memungkinkan Anda mendeteksi dan menanggapi perubahan kinerja di seluruh sistem dan potensi masalah. Dengan CloudWatch, Anda dapat mengatur alarm, memvisualisasikan log dan metrik, dan bereaksi secara otomatis untuk mengumpulkan dan mengoptimalkan sumber daya cloud Anda. Ini adalah alat penting untuk memastikan keandalan, ketersediaan, dan kinerja infrastruktur dan aplikasi berbasis cloud Anda.
Saat memublikasikan ke CloudWatch Log, data log aliran dipublikasikan ke grup log, dan setiap antarmuka jaringan memiliki aliran log unik di grup log. Pengaliran log berisi catatan log alur. Anda dapat membuat beberapa log alur yang menerbitkan data ke grup log yang sama. Jika antarmuka jaringan yang sama hadir dalam satu atau lebih pengaliran log dalam grup log yang sama, maka akan memiliki satu pengaliran log gabungan. Jika Anda telah menetapkan bahwa satu log alur harus menangkap lalu lintas yang ditolak, dan log alur lainnya harus menangkap lalu lintas yang diterima, maka pengaliran log gabungan menangkap semua lalu lintas.
Di CloudWatch Log, bidang **stempel** waktu sesuai dengan waktu mulai yang ditangkap dalam catatan log aliran. Bidang **ingestionTime** menunjukkan tanggal dan waktu ketika catatan log aliran diterima oleh Log. CloudWatch Stempel waktu ini lebih lambat dari waktu akhir yang ditangkap dalam catatan log alur.
Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Log yang dikirim ke CloudWatch Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) di *Panduan Pengguna CloudWatch Log Amazon*.
**Harga**
Biaya konsumsi data dan arsip untuk log vended berlaku saat Anda memublikasikan log aliran ke Log. CloudWatch Untuk informasi selengkapnya, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log** dan temukan **Log Terjual**.
**Topics**
+ [Peran IAM untuk menerbitkan log alur ke CloudWatch Log](flow-logs-iam-role.md)
+ [Buat log alur yang diterbitkan ke CloudWatch Log](flow-logs-cwl-create-flow-log.md)
+ [Lihat catatan log alur dengan CloudWatch Log](view-flow-log-records-cwl.md)
+ [Cari catatan log alur](search-flow-log-records-cwl.md)
+ [Proses catatan log alur di CloudWatch Log](process-records-cwl.md)
# Peran IAM untuk menerbitkan log alur ke CloudWatch Log
Peran IAM yang terkait dengan log alur Anda harus memiliki izin yang cukup untuk mempublikasikan log aliran ke grup log yang ditentukan di CloudWatch Log. Peran IAM harus menjadi milik AWS akun Anda.
Kebijakan IAM yang dilampirkan ke IAM role Anda harus menyertakan setidaknya izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Pastikan peran Anda memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan flow logs untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Kami menyarankan Anda menggunakan kunci syarat `aws:SourceAccount` dan `aws:SourceArn` untuk melindungi diri Anda dari [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Misalnya, Anda dapat menambahkan blok kondisi berikut ke kebijakan kepercayaan sebelumnya. Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN log aliran. Jika Anda tidak mengetahui ID log alur, Anda dapat mengganti bagian ARN tersebut dengan wildcard (\$1) dan kemudian memperbarui kebijakan setelah Anda membuat log alur.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Buat peran IAM untuk log aliran
Anda dapat memperbarui peran yang ada seperti dijelaskan di atas. Atau, Anda dapat menggunakan prosedur berikut untuk membuat peran baru untuk digunakan dengan log aliran. Anda akan menentukan peran ini saat membuat log alur.
**Untuk membuat IAM role untuk log alur**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya**.
1. Masukkan nama untuk kebijakan Anda serta deskripsi dan tag opsional, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, lalu pilih **Berikutnya**.
```
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Buat log alur yang diterbitkan ke CloudWatch Log
Anda dapat membuat log aliran untuk VPCs, subnet, atau antarmuka jaringan Anda. Jika Anda melakukan langkah-langkah ini sebagai pengguna menggunakan peran IAM tertentu, pastikan peran tersebut memiliki izin untuk menggunakan tindakan tersebut`iam:PassRole`.
**Prasyarat**
Verifikasi bahwa prinsipal IAM yang Anda gunakan untuk membuat permintaan memiliki izin untuk memanggil tindakan. `iam:PassRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
**Untuk membuat log aliran menggunakan konsol**
1. Lakukan salah satu tindakan berikut:
+ Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Di panel navigasi, pilih **Antarmuka Jaringan**. Pilih kotak centang untuk antarmuka jaringan.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Your VPCs**. Pilih kotak centang untuk VPC.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Pengguna**. Pilih kotak centang untuk subnet.
1. Pilih **Tindakan**, **Buat log alur**.
1. Untuk **Filter**, tentukan jenis lalu lintas ke log. Pilih **Semua** ke log lalu lintas diterima dan ditolak, **Tolak** ke log hanya lalu lintas yang ditolak, atau **Terima** ke log hanya lalu lintas yang diterima.
1. Untuk **Interval agregasi maksimum**, pilih periode waktu maksimum selama aliran ditangkap dan dikumpulkan ke dalam satu catatan log alur.
1. Untuk **Tujuan**, pilih **Kirim ke CloudWatch Log**.
1. Untuk **grup log Tujuan**, pilih nama grup log yang ada atau masukkan nama grup log baru. Jika Anda memasukkan nama, kami membuat grup log ketika ada lalu lintas untuk log.
1. Untuk **akses Layanan**, pilih [peran layanan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) yang ada yang memiliki izin untuk memublikasikan CloudWatch log ke Log atau memilih untuk membuat peran layanan baru.
1. Untuk **Format catatan log**, pilih format untuk catatan log alur.
+ Untuk menggunakan format default, pilih **format default AWS **.
+ Untuk menggunakan format kustom, pilih **Format kustom** dan kemudian pilih bidang dari **Format log**.
1. Untuk **metadata tambahan**, pilih jika Anda ingin menyertakan metadata dari Amazon ECS dalam format log.
1. (Opsional) Pilih **Tambahkan tag baru** untuk menerapkan tag ke log alur.
1. Pilih **Buat log alur**.
**Untuk membuat log alur menggunakan baris perintah**
Gunakan salah satu perintah berikut ini.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
AWS CLI Contoh berikut membuat log aliran yang menangkap semua lalu lintas yang diterima untuk subnet yang ditentukan. Log aliran dikirim ke grup log yang ditentukan. `--deliver-logs-permission-arn`Parameter menentukan peran IAM yang diperlukan untuk mempublikasikan ke CloudWatch Log.
```
aws ec2 create-flow-logs --resource-type Subnet --resource-ids subnet-1a2b3c4d --traffic-type ACCEPT --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# Lihat catatan log alur dengan CloudWatch Log
Anda dapat melihat catatan log alur menggunakan konsol CloudWatch Log. Setelah Anda membuat log alur, mungkin perlu beberapa menit agar dapat terlihat di konsol.
**Untuk melihat catatan log alur yang dipublikasikan ke CloudWatch Log menggunakan konsol**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, **Grup log**.
1. Pilih nama grup log yang berisi log aliran Anda untuk membuka halaman detailnya.
1. Pilih nama aliran log yang berisi catatan log aliran. Untuk informasi selengkapnya, lihat [Catatan log alur](flow-log-records.md).
**Untuk melihat catatan log alur yang diterbitkan ke CloudWatch Log menggunakan baris perintah**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [Dapatkan- CWLLog Acara](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)
# Cari catatan log alur
Anda dapat mencari catatan log alur yang dipublikasikan ke CloudWatch Log menggunakan konsol CloudWatch Log. Anda dapat menggunakan [filter metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) untuk menyaring catatan log alur. Catatan log alur adalah ruang yang dibatasi.
**Untuk mencari catatan log alur menggunakan konsol CloudWatch Log**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, **Grup log**.
1. Pilih grup log yang berisi log aliran Anda, lalu pilih aliran log, jika Anda tahu antarmuka jaringan yang Anda cari. Atau, pilih **Cari grup log**. Tindakan ini mungkin membutuhkan waktu lama jika ada banyak antarmuka jaringan di grup log Anda, atau tergantung pada rentang waktu yang Anda pilih.
1. Di bawah **Filter peristiwa**, masukkan string di bawah ini. Ini mengasumsikan bahwa catatan log alur menggunakan [format default](flow-log-records.md#flow-logs-default).
```
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
```
1. Ubah filter sesuai kebutuhan dengan menentukan nilai untuk bidang. Contoh berikut adalah filter berdasarkan alamat IP sumber tertentu.
```
[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
```
Contoh berikut adalah filter berdasarkan port tujuan, jumlah byte, dan apakah lalu lintas ditolak.
```
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
```
# Proses catatan log alur di CloudWatch Log
Anda dapat memproses catatan log alur seperti yang Anda lakukan dengan peristiwa log lainnya yang dikumpulkan oleh CloudWatch Log. Untuk informasi selengkapnya tentang memantau data log dan filter metrik, lihat [Membuat metrik dari peristiwa log menggunakan filter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) di *Panduan Pengguna CloudWatch Log Amazon*.
## Contoh: Membuat filter CloudWatch metrik dan alarm untuk log aliran
Dalam contoh ini, Anda memiliki log alur untuk `eni-1a2b3c4d`. Anda ingin membuat alarm yang memperingatkan Anda jika ada 10 percobaan penolakan atau lebih untuk terkoneksi ke instans Anda melalui TCP port 22 (SSH) dalam jangka waktu 1 jam. Pertama, Anda harus membuat filter metrik yang sesuai dengan pola lalu lintas yang untuknya harus membuat alarm. Setelah itu, Anda dapat membuat alarm untuk filter metrik.
**Untuk membuat filter metrik untuk lalu lintas SSH yang ditolak dan membuat alarm untuk filter**
1. Buka CloudWatch konsol di [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Di panel navigasi, pilih **Log**, **Grup log**.
1. Pilih kotak centang untuk grup log, lalu pilih **Tindakan**, **Buat filter metrik**.
1. Untuk **pola Filter**, masukkan string berikut.
```
[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
```
1. Untuk **Pilih data log yang akan diuji**, pilih aliran log untuk antarmuka jaringan Anda. (Opsional) Untuk melihat baris data log yang cocok dengan pola filter, pilih **Pola uji**.
1. Saat Anda siap, pilih **Berikutnya**.
1. Masukkan nama filter, namespace metrik, dan nama metrik. Tetapkan nilai metrik ke 1. Setelah selesai, pilih **Berikutnya** dan kemudian pilih **Buat filter metrik**.
1. Pada panel navigasi, pilih **Alarm**, **Semua alarm**.
1. Pilih **Buat alarm**.
1. Pilih nama metrik yang Anda buat lalu **pilih Pilih metrik**.
1. Konfigurasikan alarm sebagai berikut, lalu pilih **Next (Selanjutnya)**:
+ Untuk **Statistik** pilih **Jumlah**. Ini memastikan bahwa Anda menangkap jumlah total titik data untuk periode waktu yang ditentukan.
+ Untuk **Periode**, pilih **1 jam**.
+ Untuk **Kapan TimeSinceLastActive pun...** , pilih **Greater/Equal** dan masukkan 10 untuk ambang batas.
+ Untuk **konfigurasi Tambahan**, **Datapoint ke alarm**, biarkan default 1.
1. Pilih **Berikutnya**.
1. Untuk **Pemberitahuan**, pilih topik SNS yang ada atau pilih **Buat topik baru** untuk membuat topik baru. Pilih **Berikutnya**.
1. Masukkan nama dan deskripsi untuk alarm dan pilih **Berikutnya**.
1. Setelah selesai melihat pratinjau alarm, pilih **Buat alarm**.
# Terbitkan log alur ke Amazon S3
Arus log dapat menerbitkan data log alur ke Amazon S3. Amazon S3 (Layanan Penyimpanan Sederhana) adalah layanan penyimpanan objek yang sangat skalabel dan tahan lama. Ini dirancang untuk menyimpan dan mengambil sejumlah data, dari mana saja di web. S3 menawarkan daya tahan dan ketersediaan terdepan di industri, dengan fitur bawaan untuk pembuatan versi data, enkripsi, dan kontrol akses.
Ketika menerbitkan ke Amazon S3, data log alur diterbitkan ke bucket Amazon S3 yang ada yang Anda tentukan. Catatan log alur untuk semua antarmuka jaringan yang dipantau diterbitkan untuk serangkaian objek file berkas log yang disimpan dalam bucket. Jika log alur menangkap data untuk VPC, log alur menerbitkan catatan log alur untuk semua antarmuka jaringan di VPC yang dipilih.
Untuk membuat bucket Amazon S3 untuk digunakan dengan flow log, lihat [Membuat bucket di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) Pengguna *Amazon S3*.
Untuk informasi selengkapnya tentang cara merampingkan konsumsi log aliran VPC, pemrosesan log aliran, dan visualisasi log aliran, [lihat Pencatatan Terpusat](https://aws.amazon.com/solutions/implementations/centralized-logging-with-opensearch/) dengan di Perpustakaan Solusi. OpenSearch AWS
Untuk informasi selengkapnya tentang CloudWatch Log, lihat [Log yang dikirim ke Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) di *Panduan Pengguna Amazon CloudWatch Logs*.
**Harga**
Biaya penggunaan dan pengarsipan data untuk log penjual otomatis berlaku saat Anda menerbitkan log alur ke Amazon S3. Untuk informasi selengkapnya, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log** dan temukan **Log Terjual**.
**Topics**
+ [Berkas log alur](flow-logs-s3-path.md)
+ [Izin bucket Amazon S3 untuk log alur](flow-logs-s3-permissions.md)
+ [Kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS](flow-logs-s3-cmk-policy.md)
+ [Izin file berkas log Amazon S3](flow-logs-file-permissions.md)
+ [Membuat log alur yang menerbitkan ke Amazon S3](flow-logs-s3-create-flow-log.md)
+ [Lihat catatan log alur dengan Amazon S3](view-flow-log-records-s3.md)
# Berkas log alur
VPC Flow Logs mengumpulkan data tentang lalu lintas IP yang menuju dan dari VPC Anda ke dalam catatan log, menggabungkan catatan tersebut ke dalam file log, dan kemudian menerbitkan file log ke bucket Amazon S3 dengan interval 5 menit. Beberapa file dapat dipublikasikan dan setiap file log mungkin berisi beberapa atau semua catatan log aliran untuk lalu lintas IP yang direkam dalam 5 menit sebelumnya.
Dalam Amazon S3, bidang **Terakhir diubah** untuk berkas log alur menunjukkan tanggal dan waktu di mana file diunggah ke Amazon S3 bucket. Ini lebih lambat dari stempel waktu dalam nama file, dan berbeda dengan jumlah waktu yang dibutuhkan untuk mengunggah file ke bucket Amazon S3.
**Format file log**
Anda dapat menentukan salah satu format berikut untuk file log. Setiap file dikompresi menjadi satu file Gzip.
+ **Teks** — Teks biasa. Ini adalah format default.
+ **Parket** - Apache Parquet adalah format data kolumnar. Kueri pada data dalam format Parket 10 hingga 100 kali lebih cepat dibandingkan dengan kueri pada data dalam teks biasa. Data dalam format Parket dengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengan kompresi Gzip.
**catatan**
Jika data dalam format Parket dengan kompresi Gzip kurang dari 100 KB per periode agregasi, menyimpan data dalam format Parket mungkin memakan lebih banyak ruang daripada teks biasa dengan kompresi Gzip karena persyaratan memori file Parket.
**Opsi berkas log**
Anda dapat secara opsional menentukan opsi berikut.
+ Awalan **S3 yang kompatibel dengan HIVE - Aktifkan awalan yang** kompatibel dengan HIVE alih-alih mengimpor partisi ke alat yang kompatibel dengan HIVE Anda. Sebelum Anda menjalankan kueri, gunakan **MSCK REPAIR TABLE** perintah.
+ **Partisi per jam** - Jika Anda memiliki volume log yang besar dan biasanya menargetkan kueri ke jam tertentu, Anda bisa mendapatkan hasil yang lebih cepat dan menghemat biaya kueri dengan mempartisi log setiap jam.
**Struktur ember S3 file log**
File log disimpan ke bucket Amazon S3 yang ditentukan menggunakan struktur folder yang didasarkan pada opsi ID, Wilayah, tanggal pembuatan, dan tujuan log alur.
Secara default, file dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Jika Anda mengaktifkan awalan S3 yang kompatibel dengan HIVE, file akan dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Jika Anda mengaktifkan partisi per jam, file dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Jika Anda mengaktifkan partisi yang kompatibel dengan HIVE dan mempartisi log aliran per jam, file dikirim ke lokasi berikut.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/aws-service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nama berkas log**
Nama file file log didasarkan pada ID log aliran, Wilayah, dan tanggal dan waktu pembuatan. Nama file menggunakan format berikut.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Berikut ini adalah contoh file log untuk log alur yang dibuat oleh AWS akun123456789012, untuk sumber daya di us-east-1 Wilayah, June 20, 2018 di16:20 UTC. File berisi catatan log aliran dengan waktu akhir antara 16:20:00 dan16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
# Izin bucket Amazon S3 untuk log alur
Objek dan bucket Amazon S3 secara default bersifat privat. Hanya pemilik bucket yang bisa mengakses bucket dan objek yang tersimpan di dalamnya. Namun, pemilik bucket dapat memberikan akses kepada sumber daya dan pengguna lain dengan menulis kebijakan akses.
Jika pengguna yang membuat log alur memiliki bucket `PutBucketPolicy` dan memiliki serta `GetBucketPolicy` izin untuk bucket, kami secara otomatis melampirkan kebijakan berikut ke bucket. Kebijakan ini akan menggantikan kebijakan yang sebelumnya sudah melekat pada bucket.
Jika tidak, pemilik bucket harus menambahkan kebijakan ini ke bucket, menentukan ID AWS akun pembuat log alur, atau pembuatan log alur gagal. Untuk informasi selengkapnya, lihat [Menggunakan kebijakan bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"s3:x-amz-acl": "bucket-owner-full-control"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
ARN yang Anda tentukan *my-s3-arn* bergantung pada apakah Anda menggunakan awalan S3 yang kompatibel dengan HIVE.
+ Awalan default
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Awalan S3 yang kompatibel dengan HIVE
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Merupakan praktik terbaik untuk memberikan izin ini kepada prinsipal layanan pengiriman log alih-alih individu Akun AWS ARNs. Ini juga merupakan praktik terbaik untuk menggunakan kunci `aws:SourceAccount` dan `aws:SourceArn` kondisi untuk melindungi dari [masalah wakil yang membingungkan](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Akun sumber adalah pemilik log aliran dan sumber ARN adalah ARN wildcard (\$1) dari layanan log.
Perhatikan bahwa layanan pengiriman log memanggil tindakan `HeadBucket` Amazon S3 API untuk memverifikasi keberadaan dan lokasi bucket S3. Anda tidak diharuskan memberikan izin layanan pengiriman log untuk memanggil tindakan ini; itu akan tetap mengirimkan log aliran VPC meskipun tidak dapat mengonfirmasi bahwa bucket S3 ada dan lokasinya. Namun, akan ada `AccessDenied` kesalahan untuk panggilan ke `HeadBucket` dalam CloudTrail log Anda.
# Kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS
Anda dapat melindungi data di bucket Amazon S3 dengan mengaktifkan Enkripsi Sisi Server dengan Amazon S3-Managed Keys (SSE-S3) atau Enkripsi Sisi Server dengan Kunci KMS (SSE-KMS) di bucket S3 Anda. Untuk informasi selengkapnya, lihat [Melindungi data menggunakan enkripsi sisi server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) di *Panduan Pengguna Amazon S3*.
Jika Anda memilih SSE-S3, tidak diperlukan konfigurasi tambahan. Amazon S3 menangani kunci enkripsi.
Jika Anda memilih SSE-KMS, Anda harus menggunakan ARN kunci yang dikelola pelanggan. Jika Anda menggunakan ID kunci, Anda dapat mengalami [LogDestination tidak terkirim](flow-logs-troubleshooting.md#flow-logs-troubleshooting-kms-id) kesalahan saat membuat log aliran. Selain itu, Anda harus memperbarui kebijakan kunci untuk kunci terkelola pelanggan Anda sehingga akun pengiriman log dapat menulis ke bucket S3 Anda. *Untuk informasi selengkapnya tentang kebijakan kunci yang diperlukan untuk digunakan dengan SSE-KMS, lihat [enkripsi sisi server bucket Amazon S3 di Panduan Pengguna Log](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3) Amazon. CloudWatch *
# Izin file berkas log Amazon S3
Selain kebijakan bucket yang diperlukan, Amazon S3 menggunakan daftar kontrol akses (ACLs) untuk mengelola akses ke file log yang dibuat oleh log alur. Secara default, pemilik bucket memiliki izin `FULL_CONTROL` pada setiap file berkas log. Pemilik pengiriman log, jika berbeda dari pemilik bucket, tidak memiliki izin. Akun pengiriman log memiliki izin `READ` dan `WRITE`. Untuk informasi selengkapnya, lihat [Ikhtisar daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di Panduan *Pengguna Amazon S3*.
# Membuat log alur yang menerbitkan ke Amazon S3
Setelah membuat dan mengonfigurasi bucket Amazon S3, Anda dapat membuat log aliran untuk antarmuka jaringan, subnet, dan file. VPCs
**Prasyarat**
Prinsipal IAM yang membuat log alur harus menggunakan peran IAM yang memiliki izin berikut, yang diperlukan untuk mempublikasikan log alur ke bucket Amazon S3 tujuan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
**Untuk membuat log aliran menggunakan konsol**
1. Lakukan salah satu tindakan berikut:
+ Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Di panel navigasi, pilih **Antarmuka Jaringan**. Pilih kotak centang untuk antarmuka jaringan.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Your VPCs**. Pilih kotak centang untuk VPC.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Pengguna**. Pilih kotak centang untuk subnet.
1. Pilih **Tindakan**, **Buat log alur**.
1. Untuk **Filter**, tentukan jenis data lalu lintas IP ke log.
+ **Terima** - Log hanya lalu lintas yang diterima.
+ **Tolak** — Log hanya lalu lintas yang ditolak.
+ **Semua** — Log diterima dan ditolak lalu lintas.
1. Untuk **Interval agregasi maksimum**, pilih periode waktu maksimum untuk penangkapan alur dan pengumpulan ke dalam satu catatan log alur.
1. Untuk **Tujuan**, pilih **Kirim ke bucket Amazon S3**.
1. Untuk **ARN bucket S3**, tentukan Amazon Resource Name (ARN) dari bucket Amazon S3 yang ada. Anda dapat secara opsional menyertakan subfolder. Misalnya, untuk menentukan subfolder bernama `my-logs` dalam sebuah bucket bernama `my-bucket`, gunakan ARN berikut:
`arn:aws:s3:::my-bucket/my-logs/`
Bucket tidak dapat menggunakan `AWSLogs` sebagai nama subfolder, karena ini adalah istilah yang dicadangkan.
Jika Anda memiliki bucket, kami secara otomatis membuat kebijakan sumber daya dan melampirkannya ke bucket. Untuk informasi selengkapnya, lihat [Izin bucket Amazon S3 untuk log alur](flow-logs-s3-permissions.md).
1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
+ Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
+ Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.
1. Untuk **metadata tambahan**, pilih jika Anda ingin menyertakan metadata dari Amazon ECS dalam format log.
1. Untuk **format file Log**, tentukan format untuk file log.
+ **Teks** — Teks biasa. Ini adalah format default.
+ **Parket** - Apache Parquet adalah format data kolumnar. Kueri pada data dalam format Parket 10 hingga 100 kali lebih cepat dibandingkan dengan kueri pada data dalam teks biasa. Data dalam format Parket dengan kompresi Gzip membutuhkan ruang penyimpanan 20 persen lebih sedikit daripada teks biasa dengan kompresi Gzip.
1. **(Opsional) Untuk menggunakan awalan S3 yang kompatibel dengan HIVE, pilih awalan S3 yang kompatibel dengan **HIVE**, Aktifkan.**
1. (Opsional) Untuk mempartisi log aliran Anda per jam, pilih **Setiap 1 jam (60 menit)**.
1. (Opsional) Untuk menambahkan tag ke log aliran, pilih **Tambahkan tag baru** dan tentukan kunci dan nilai tag.
1. Pilih **Buat log alur**.
**Untuk membuat log alur yang diterbitkan ke Amazon S3 menggunakan baris perintah**
Gunakan salah satu perintah berikut:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
AWS CLI Contoh berikut membuat log alur yang menangkap semua lalu lintas untuk VPC yang ditentukan dan mengirimkan log aliran ke bucket Amazon S3 yang ditentukan. Parameter `--log-format` menentukan format kustom untuk catatan log alur.
```
aws ec2 create-flow-logs --resource-type VPC --resource-ids vpc-00112233344556677 --traffic-type ALL --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/custom-flow-logs/ --log-format '${version} ${vpc-id} ${subnet-id} ${instance-id} ${srcaddr} ${dstaddr} ${srcport} ${dstport} ${protocol} ${tcp-flags} ${type} ${pkt-srcaddr} ${pkt-dstaddr}'
```
# Lihat catatan log alur dengan Amazon S3
Anda dapat melihat catatan log alur menggunakan konsol Amazon S3. Setelah Anda membuat log alur, mungkin perlu beberapa menit agar dapat terlihat di konsol.
Berkas log dikompresi. Jika Anda membuka berkas log menggunakan konsol Amazon S3, berkas log akan didekompresi dan catatan log alur ditampilkan. Jika Anda mengunduh berkas, Anda harus mendekompresi mereka untuk melihat catatan log alur.
**Untuk melihat catatan log alur yang diterbitkan ke Amazon S3**
1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Pilih nama bucket untuk membuka halaman detailnya.
1. Arahkan ke folder dengan file log. Misalnya,*prefix*//AWSLogs*account\$1id*/vpcflowlogs////*region*/. *year* *month* *day*
1. Pilih kotak centang di sebelah nama file, lalu pilih **Unduh**.
Anda juga dapat meminta catatan log alur dalam berkas log menggunakan Amazon Athena. Amazon Athena adalah layanan kueri interaktif yang memudahkan analisa data di Amazon S3 menggunakan SQL standar. Untuk informasi lebih lanjut, lihat [Meminta Log Alur Amazon VPC](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) dalam *Panduan Pengguna Amazon Athena*.
# Publikasikan log alur ke Amazon Data Firehose
Log aliran dapat mempublikasikan data log aliran langsung ke Amazon Data Firehose. Amazon Data Firehose adalah layanan terkelola penuh yang mengumpulkan, mengubah, dan mengirimkan aliran data real-time ke berbagai AWS penyimpanan data dan layanan analitik. Ini menangani konsumsi data atas nama Anda.
Ketika datang ke log aliran VPC, Firehose dapat berguna. Log aliran VPC menangkap informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di VPC Anda. Data ini dapat menjadi penting untuk pemantauan keamanan, analisis kinerja, dan kepatuhan terhadap peraturan. Namun, mengelola penyimpanan dan pemrosesan aliran data log yang berkelanjutan ini dapat menjadi tugas yang kompleks dan intensif sumber daya.
Dengan mengintegrasikan Firehose dengan log aliran VPC, Anda dapat mengirimkan data ini ke tujuan pilihan Anda, seperti Amazon S3 atau Amazon Redshift. Firehose akan menskalakan untuk menangani konsumsi, transformasi, dan pengiriman log aliran VPC Anda, sehingga membebaskan Anda dari beban operasional. Ini memungkinkan Anda untuk fokus menganalisis log dan memperoleh wawasan, daripada mengkhawatirkan infrastruktur yang mendasarinya.
Selain itu, Firehose menawarkan fitur-fitur seperti transformasi data, kompresi, dan enkripsi, yang dapat meningkatkan efisiensi dan keamanan pipeline pemrosesan log aliran VPC Anda. Menggunakan Firehose untuk log aliran VPC dapat menyederhanakan manajemen data Anda dan memungkinkan Anda memperoleh wawasan dari data lalu lintas jaringan Anda.
Saat memublikasikan ke Amazon Data Firehose, data log aliran dipublikasikan ke aliran pengiriman Amazon Data Firehose, dalam format teks biasa.
**Harga**
Biaya konsumsi dan pengiriman standar berlaku. Untuk informasi selengkapnya, buka [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/), pilih **Log** dan temukan **Log Terjual**.
**Topics**
+ [Peran IAM untuk pengiriman lintas akun](firehose-cross-account-delivery.md)
+ [Membuat log alur yang dipublikasikan ke Amazon Data Firehose](flow-logs-firehose-create-flow-log.md)
# Peran IAM untuk pengiriman lintas akun
Saat memublikasikan ke Amazon Data Firehose, Anda dapat memilih aliran pengiriman yang berada di akun yang sama dengan sumber daya yang akan dipantau (akun sumber), atau di akun lain (akun tujuan). Untuk mengaktifkan pengiriman lintas akun log alur ke Amazon Data Firehose, Anda harus membuat peran IAM di akun sumber dan peran IAM di akun tujuan.
**Topics**
+ [Peran akun sumber](#firehose-source-account-role)
+ [Peran akun tujuan](#firehose-destination-account-role)
## Peran akun sumber
Di akun sumber, buat peran yang memberikan izin berikut. Dalam contoh ini, nama perannya adalah`mySourceRole`, tetapi Anda dapat memilih nama yang berbeda untuk peran ini. Pernyataan terakhir memungkinkan peran dalam akun tujuan untuk mengambil peran ini. Pernyataan kondisi memastikan bahwa peran ini diteruskan hanya ke layanan pengiriman log, dan hanya saat memantau sumber daya yang ditentukan. Saat Anda membuat kebijakan, tentukan VPCs, antarmuka jaringan, atau subnet yang Anda pantau dengan kunci kondisi. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:123456789012:vpc/vpc-00112233344556677"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Pastikan bahwa peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan layanan pengiriman log untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dari akun sumber, gunakan prosedur berikut untuk membuat peran.
**Untuk membuat peran akun sumber**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya**.
1. Masukkan nama untuk kebijakan Anda serta deskripsi dan tag opsional, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan kustom**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan layanan pengiriman log. Pilih **Berikutnya**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
## Peran akun tujuan
Di akun tujuan, buat peran dengan nama yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**. Peran ini harus memberikan izin berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Pastikan peran ini memiliki kebijakan kepercayaan berikut, yang memungkinkan peran yang Anda buat di akun sumber untuk mengambil peran ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Dari akun tujuan, gunakan prosedur berikut untuk membuat peran.
**Untuk membuat peran akun tujuan**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Pada halaman **Buat kebijakan**, lakukan hal berikut:
1. Pilih**JSON**.
1. Ganti isi jendela ini dengan kebijakan izin di awal bagian ini.
1. Pilih **Berikutnya**.
1. Masukkan nama untuk kebijakan Anda yang dimulai dengan **AWSLogDeliveryFirehoseCrossAccountRole**, lalu pilih **Buat kebijakan**.
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**. Untuk **kebijakan kepercayaan khusus**, ganti `"Principal": {},` dengan yang berikut ini, yang menentukan peran akun sumber. Pilih **Berikutnya**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. **Pada halaman **Tambahkan izin**, pilih kotak centang untuk kebijakan yang Anda buat sebelumnya dalam prosedur ini, lalu pilih Berikutnya.**
1. Masukkan nama untuk peran Anda dan berikan deskripsi secara opsional.
1. Pilih **Buat peran**.
# Membuat log alur yang dipublikasikan ke Amazon Data Firehose
Anda dapat membuat log aliran untuk VPCs, subnet, atau antarmuka jaringan Anda.
**Prasyarat**
+ Buat aliran pengiriman Amazon Data Firehose tujuan. Gunakan **Direct Put** sebagai sumbernya. Untuk informasi selengkapnya, lihat [Membuat aliran pengiriman Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ Akun yang membuat log alur harus menggunakan peran IAM yang memberikan izin berikut untuk mempublikasikan log aliran ke Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
+ Jika Anda memublikasikan log alur ke akun lain, buat peran IAM yang diperlukan, seperti yang dijelaskan dalam[Peran IAM untuk pengiriman lintas akun](firehose-cross-account-delivery.md).
**Untuk membuat log alur yang diterbitkan ke Amazon Data Firehose**
1. Lakukan salah satu tindakan berikut:
+ Buka konsol Amazon EC2 di. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Di panel navigasi, pilih **Antarmuka Jaringan**. Pilih kotak centang untuk antarmuka jaringan.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Your VPCs**. Pilih kotak centang untuk VPC.
+ Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Di panel navigasi, pilih **Pengguna**. Pilih kotak centang untuk subnet.
1. Pilih **Tindakan**, **Buat log alur**.
1. Untuk **Filter**, tentukan jenis lalu lintas ke log.
+ **Terima** - Log hanya lalu lintas yang diterima
+ **Tolak** - Log hanya lalu lintas yang ditolak
+ **Semua** — Log diterima dan ditolak lalu lintas
1. Untuk **Interval agregasi maksimum**, pilih periode waktu maksimum selama aliran ditangkap dan dikumpulkan ke dalam satu catatan log alur.
1. Untuk **Tujuan**, pilih salah satu opsi berikut:
+ **Kirim ke Amazon Data Firehose di akun yang sama** — Aliran pengiriman dan sumber daya untuk dipantau berada di akun yang sama.
+ **Kirim ke Amazon Data Firehose di akun yang berbeda** — Aliran pengiriman dan sumber daya untuk dipantau berada di akun yang berbeda.
1. Untuk nama aliran **Amazon Data Firehose**, pilih aliran pengiriman yang Anda buat.
1. [Hanya pengiriman lintas akun] Untuk **akses Layanan**, pilih [peran layanan IAM yang ada untuk pengiriman lintas akun](firehose-cross-account-delivery.md) yang memiliki izin untuk menerbitkan log atau pilih **Siapkan izin** untuk membuka konsol IAM dan membuat peran layanan.
1. Untuk **format catatan Log**, tentukan format untuk catatan log aliran.
+ Untuk menggunakan format catatan log alur default, pilih **format default AWS **.
+ Untuk membuat format kustom, pilih **Format kustom**. Untuk **Format log**, pilih bidang untuk disertakan dalam catatan log alur.
1. Untuk **metadata tambahan**, pilih jika Anda ingin menyertakan metadata dari Amazon ECS dalam format log.
1. (Opsional) Pilih **Tambahkan tag** untuk menerapkan tag ke log aliran.
1. Pilih **Buat log alur**.
**Untuk membuat log alur yang diterbitkan ke Amazon Data Firehose menggunakan baris perintah**
Gunakan salah satu perintah berikut:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
AWS CLI Contoh berikut membuat log alur yang menangkap semua lalu lintas untuk VPC yang ditentukan dan mengirimkan log aliran ke aliran pengiriman Amazon Data Firehose yang ditentukan di akun yang sama.
```
aws ec2 create-flow-logs --traffic-type ALL \
--resource-type VPC \
--resource-ids vpc-00112233344556677 \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream
```
AWS CLI Contoh berikut membuat log alur yang menangkap semua lalu lintas untuk VPC yang ditentukan dan mengirimkan log aliran ke aliran pengiriman Amazon Data Firehose yang ditentukan di akun yang berbeda.
```
aws ec2 create-flow-logs --traffic-type ALL \
--resource-type VPC \
--resource-ids vpc-00112233344556677 \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream/flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
Sebagai hasil dari membuat log aliran, Anda bisa mendapatkan data log aliran dari tujuan yang Anda konfigurasikan untuk aliran pengiriman.
# Log alur kueri menggunakan Amazon Athena
Amazon Athena adalah layanan kueri interaktif yang memungkinkan Anda menganalisis data di Amazon S3 seperti log alur Anda menggunakan SQL standar. Anda dapat menggunakan Athena dengan log alur VPC untuk dengan cepat mendapatkan wawasan yang dapat ditindaklanjuti terkait lalu lintas yang melalui VPC Anda. Misalnya, Anda dapat mengidentifikasi sumber daya mana di cloud pribadi virtual Anda (VPCs) yang merupakan pembicara teratas atau mengidentifikasi alamat IP dengan koneksi TCP yang paling banyak ditolak.
**Opsi**
+ Anda dapat merampingkan dan mengotomatiskan integrasi log aliran VPC Anda dengan Athena dengan membuat CloudFormation template yang membuat AWS sumber daya yang diperlukan dan kueri yang telah ditentukan sebelumnya yang dapat Anda jalankan untuk mendapatkan wawasan tentang lalu lintas yang mengalir melalui VPC Anda.
+ Anda dapat membuat kueri Anda sendiri menggunakan Athena. Untuk informasi selengkapnya, lihat [Log alur kueri menggunakan Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/vpc-flow-logs.html) di Panduan Pengguna *Amazon Athena*.
**Harga**
Anda dikenai [Biaya Amazon Athena](https://aws.amazon.com/athena/pricing/) standar untuk menjalankan kueri. Anda dikenai [Biaya AWS Lambda](https://aws.amazon.com/lambda/pricing/) standar untuk fungsi Lambda yang memuat partisi baru pada jadwal berulang (ketika Anda menentukan frekuensi beban partisi tetapi tidak menentukan tanggal mulai dan akhir.)
**Topics**
+ [Hasilkan CloudFormation template menggunakan konsol](flow-logs-generate-template-console.md)
+ [Hasilkan CloudFormation template menggunakan AWS CLI](flow-logs-generate-template-cli.md)
+ [Menjalankan kueri yang sudah ditentukan sebelumnya](flow-logs-run-athena-query.md)
# Hasilkan CloudFormation template menggunakan konsol
Setelah log aliran pertama dikirim ke bucket S3 Anda, Anda dapat berintegrasi dengan Athena dengan CloudFormation membuat template dan menggunakan template untuk membuat tumpukan.
**Persyaratan**
+ Wilayah yang dipilih harus mendukung AWS Lambda dan Amazon Athena.
+ Bucket Amazon S3 harus berada di Wilayah yang dipilih.
+ Format catatan log untuk log alur harus menyertakan bidang yang digunakan oleh kueri tertentu yang telah ditentukan sebelumnya yang ingin Anda jalankan.
**Untuk menghasilkan templat menggunakan konsol**
1. Lakukan salah satu tindakan berikut:
+ Buka konsol Amazon VPC. Di panel navigasi, pilih **Your VPCs** dan kemudian pilih VPC Anda.
+ Buka konsol Amazon VPC. Di panel navigasi, pilih **Subnet**, lalu pilih subnet Anda.
+ Buka konsol Amazon EC2. Di panel navigasi, pilih **Antarmuka Jaringan**, lalu pilih antarmuka jaringan Anda.
1. Pada tab **Log Alur**, pilih log alur yang menerbitkan ke Amazon S3 dan kemudian pilih **Tindakan**, **Hasilkan Integrasi Athena**.
1. Tentukan frekuensi beban partisi. Jika Anda memilih **Tidak ada**, Anda harus menentukan tanggal mulai dan akhir partisi, menggunakan tanggal yang ada di masa lalu. Jika Anda memilih **Harian**, **Mingguan**, atau **Bulanan**, tanggal mulai dan akhir partisi bersifat opsional. Jika Anda tidak menentukan tanggal mulai dan berakhir, CloudFormation template akan membuat fungsi Lambda yang memuat partisi baru pada jadwal berulang.
1. Pilih atau buat bucket S3 untuk templat yang dihasilkan, dan bucket S3 untuk hasil kueri.
1. Pilih **Hasilkan Integrasi Athena**.
1. (Opsional) Dalam pesan sukses, pilih tautan untuk menavigasi ke bucket yang Anda tentukan untuk CloudFormation template, dan sesuaikan template.
1. Dalam pesan sukses, pilih **Buat CloudFormation tumpukan** untuk membuka wizard **Create Stack** di CloudFormation konsol. URL untuk CloudFormation template yang dihasilkan ditentukan di bagian **Template**. Menyelesaikan wizard untuk membuat sumber daya yang ditentukan dalam templat.
**Sumber daya yang dibuat oleh CloudFormation template**
+ Database Athena. Nama database adalah *flow-logs-subscription-id*vpcflowlogsathenadatabase< >.
+ Athena workgroup. *Nama workgroup adalah < *flow-log-subscription-id*>< >< *start-date* >< *partition-load-frequency*end-date >workgroup*
+ Sebuah tabel Athena dipartisi yang sesuai dengan catatan log alur Anda. *Nama tabel adalah < *flow-log-subscription-id*>< >< *start-date *partition-load-frequency*>< end-date* >.*
+ Satu set Athena bernama kueri. Untuk informasi selengkapnya, lihat [Kueri yang ditentukan sebelumnya](flow-logs-run-athena-query.md#predefined-queries).
+ Fungsi Lambda yang memuat partisi baru ke tabel pada jadwal yang ditentukan (harian, mingguan, atau bulanan).
+ IAM role yang memberikan izin untuk menjalankan fungsi Lambda.
# Hasilkan CloudFormation template menggunakan AWS CLI
Setelah log aliran pertama dikirim ke bucket S3 Anda, Anda dapat membuat dan menggunakan CloudFormation template untuk berintegrasi dengan Athena.
Gunakan perintah [get-flow-logs-integration-template](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-flow-logs-integration-template.html) berikut untuk menghasilkan CloudFormation template.
```
aws ec2 get-flow-logs-integration-template --cli-input-json file://config.json
```
Berikut ini adalah contoh file `config.json`.
```
{
"FlowLogId": "fl-12345678901234567",
"ConfigDeliveryS3DestinationArn": "arn:aws:s3:::my-flow-logs-athena-integration/templates/",
"IntegrateServices": {
"AthenaIntegrations": [
{
"IntegrationResultS3DestinationArn": "arn:aws:s3:::my-flow-logs-analysis/athena-query-results/",
"PartitionLoadFrequency": "monthly",
"PartitionStartDate": "2021-01-01T00:00:00",
"PartitionEndDate": "2021-12-31T00:00:00"
}
]
}
}
```
Gunakan perintah [create-stack](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) berikut untuk membuat tumpukan menggunakan template yang dihasilkan. CloudFormation
```
aws cloudformation create-stack --stack-name my-vpc-flow-logs --template-body file://my-cloudformation-template.json
```
# Menjalankan kueri yang sudah ditentukan sebelumnya
CloudFormation Template yang dihasilkan menyediakan serangkaian kueri standar yang dapat Anda jalankan untuk mendapatkan wawasan yang bermakna tentang lalu lintas di jaringan Anda dengan cepat. AWS Setelah Anda membuat tumpukan dan memverifikasi bahwa semua sumber daya dibuat dengan benar, Anda dapat menjalankan salah satu kueri yang telah ditetapkan.
**Untuk menjalankan kueri yang telah ditetapkan menggunakan konsol**
1. Membuka konsol Athena.
1. Di navigasi kiri, pilih **Editor kueri**. Di bawah **Workgroup**, pilih workgroup yang dibuat oleh template. CloudFormation
1. Pilih **Kueri tersimpan**, pilih kueri, ubah parameter sesuai kebutuhan, dan jalankan kueri. Untuk daftar kueri standar yang tersedia, lihat Kueri yang telah ditentukan [sebelumnya](#predefined-queries).
1. Di bawah **Hasil kueri**, lihat hasil kueri.
## Kueri yang ditentukan sebelumnya
Berikut ini adalah daftar lengkap pertanyaan bernama Athena. Kueri yang telah ditentukan sebelumnya yang disediakan saat Anda membuat templat bergantung pada bidang yang merupakan bagian dari format catatan log untuk log aliran. Oleh karena itu, template mungkin tidak berisi semua kueri yang telah ditentukan ini.
+ **VpcFlowLogsAcceptedTraffic**— Koneksi TCP yang diizinkan berdasarkan grup keamanan dan jaringan ACLs Anda.
+ **VpcFlowLogsAdminPortTraffic**10 alamat IP teratas dengan lalu lintas terbanyak, seperti yang dicatat oleh aplikasi yang melayani permintaan pada port administratif.
+ **VpcFlowLogsIPv4Lalu Lintas** — Total byte IPv4 lalu lintas yang direkam.
+ **VpcFlowLogsIPv6Lalu Lintas** — Total byte IPv6 lalu lintas yang direkam.
+ **VpcFlowLogsRejectedTCPTraffic**Koneksi TCP yang ditolak berdasarkan grup keamanan atau jaringan ACLs Anda.
+ **VpcFlowLogsRejectedTraffic**— Lalu lintas yang ditolak berdasarkan grup keamanan atau jaringan Anda ACLs.
+ **VpcFlowLogsSshRdpTraffic**Lalu lintas SSH dan RDP.
+ **VpcFlowLogsTopTalkers**— 50 alamat IP dengan lalu lintas terbanyak yang tercatat.
+ **VpcFlowLogsTopTalkersPacketLevel**— 50 alamat IP tingkat paket dengan lalu lintas terbanyak yang tercatat.
+ **VpcFlowLogsTopTalkingInstances**— IDs Dari 50 contoh dengan lalu lintas terbanyak yang tercatat.
+ **VpcFlowLogsTopTalkingSubnets**— IDs Dari 50 subnet dengan lalu lintas terbanyak yang tercatat.
+ **VpcFlowLogsTopTCPTraffic**— Semua lalu lintas TCP direkam untuk alamat IP sumber.
+ **VpcFlowLogsTotalBytesTransferred**— 50 pasang alamat IP sumber dan tujuan dengan byte terbanyak yang tercatat.
+ **VpcFlowLogsTotalBytesTransferredPacketLevel**— 50 pasang alamat IP sumber dan tujuan tingkat paket dengan byte terbanyak yang tercatat.
+ **VpcFlowLogsTrafficFrmSrcAddr**— Lalu lintas yang direkam untuk alamat IP sumber tertentu.
+ **VpcFlowLogsTrafficToDstAddr**— Lalu lintas yang direkam untuk alamat IP tujuan tertentu.
# Mengatasi masalah Log Alur VPC
Berikut ini adalah masalah yang mungkin Anda miliki saat bekerja dengan log alur.
**Topics**
+ [Catatan log alur tidak lengkap](#flow-logs-troubleshooting-incomplete-records)
+ [Log alur aktif, tetapi tidak ada catatan log alur atau grup log](#flow-logs-troubleshooting-no-log-group)
+ ['LogDestinationNotFoundException' atau 'Akses Ditolak untuk kesalahan LogDestination '](#flow-logs-troubleshooting-not-found)
+ [Melebihi batas kebijakan bucket Amazon S3](#flow-logs-troubleshooting-policy-limit)
+ [LogDestination tidak terkirim](#flow-logs-troubleshooting-kms-id)
+ [Aliran log ukuran data tidak sesuai dengan data penagihan](#flow-logs-data-size-mismatch)
## Catatan log alur tidak lengkap
**Masalah**
Catatan log alur Anda tidak lengkap atau tidak lagi dipublikasikan.
**Penyebab**
Mungkin ada masalah saat mengirimkan log aliran ke grup CloudWatch log Log atau [SkipData entri mungkin ada](flow-logs-records-examples.md#flow-log-example-no-data).
**Solusi**
Periksa tab **Flow logs** untuk VPC, subnet, atau antarmuka jaringan. Perhatikan bahwa Anda tidak dapat menjelaskan log aliran untuk VPC atau subnet yang dibagikan dengan Anda, tetapi Anda dapat menjelaskan log aliran untuk antarmuka jaringan yang Anda buat di VPC atau subnet yang dibagikan dengan Anda. Jika ada kesalahan, mereka muncul di kolom **Status**. Atau, gunakan [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html)perintah, dan periksa nilai yang dikembalikan di `DeliverLogsErrorMessage` lapangan.
Berikut ini adalah kemungkinan nilai kesalahan untuk status:
+ `Rate limited`: Kesalahan ini dapat terjadi jika pelambatan CloudWatch Log telah diterapkan — ketika jumlah catatan log aliran untuk antarmuka jaringan lebih tinggi dari jumlah maksimum catatan yang dapat dipublikasikan dalam jangka waktu tertentu. Kesalahan ini juga dapat terjadi jika Anda telah mencapai kuota untuk jumlah grup CloudWatch log Log yang dapat Anda buat. Untuk informasi selengkapnya, lihat [kuota CloudWatch layanan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_limits.html) di *Panduan CloudWatch Pengguna Amazon*.
+ `Access error`: Kesalahan ini dapat terjadi karena salah satu alasan berikut:
+ Peran IAM untuk log alur Anda tidak memiliki izin yang cukup untuk mempublikasikan catatan log alur ke grup log CloudWatch
+ IAM role tidak memiliki hubungan kepercayaan dengan layanan log alur
+ Hubungan kepercayaan tidak menentukan layanan log alur sebagai prinsipal
Untuk informasi selengkapnya, lihat [Peran IAM untuk menerbitkan log alur ke CloudWatch Log](flow-logs-iam-role.md).
+ `Unknown error`: Terjadi kesalahan internal dalam layanan log alur.
## Log alur aktif, tetapi tidak ada catatan log alur atau grup log
**Masalah**
Anda membuat log aliran, dan konsol Amazon VPC atau Amazon EC2 menampilkan log aliran sebagai. `Active` Namun, Anda tidak dapat melihat aliran log apa pun di CloudWatch Log atau file log di bucket Amazon S3 Anda.
**Kemungkinan penyebab**
+ Log aliran masih dibuat. Dalam beberapa kasus, ini bisa memakan waktu sepuluh menit atau lebih setelah Anda membuat log aliran untuk grup log yang akan dibuat, dan untuk data yang akan ditampilkan.
+ Belum ada lalu lintas yang dicatat untuk antarmuka jaringan Anda. Grup log di CloudWatch Log hanya dibuat saat lalu lintas direkam.
**Solusi**
Tunggu beberapa menit untuk membuat grup log, atau mencatat lalu lintas.
## 'LogDestinationNotFoundException' atau 'Akses Ditolak untuk kesalahan LogDestination '
**Masalah**
Anda mendapatkan `LogDestinationNotFoundException` kesalahan `Access Denied for LogDestination` atau kesalahan saat membuat log aliran.
**Kemungkinan penyebab**
+ Saat membuat log alur yang memublikasikan data ke bucket Amazon S3, kesalahan ini menunjukkan bahwa bucket S3 yang ditentukan tidak dapat ditemukan atau kebijakan bucket tidak mengizinkan log dikirimkan ke bucket.
+ Saat membuat log alur yang menerbitkan data ke Amazon CloudWatch Logs, kesalahan ini menunjukkan bahwa peran IAM tidak mengizinkan log dikirimkan ke grup log.
**Solusi**
+ Saat memublikasikan ke Amazon S3, pastikan Anda telah menentukan ARN untuk bucket S3 yang ada, dan ARN dalam format yang benar. Jika Anda tidak memiliki bucket S3, verifikasi bahwa [kebijakan bucket](flow-logs-s3-permissions.md) memiliki izin yang diperlukan dan gunakan ID akun dan nama bucket yang benar di ARN.
+ Saat memublikasikan ke CloudWatch Log, verifikasi bahwa [peran IAM](flow-logs-iam-role.md) memiliki izin yang diperlukan.
## Melebihi batas kebijakan bucket Amazon S3
**Masalah**
Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: `LogDestinationPermissionIssueException`.
**Kemungkinan penyebab**
Kebijakan bucket Amazon S3 dibatasi hingga ukuran 20 KB.
Setiap kali Anda membuat log alur yang menerbitkan ke Amazon S3 bucket, kita secara otomatis menambahkan ARN bucket tertentu, yang mencakup jalur folder, untuk unsur `Resource` dalam kebijakan bucket ini.
Membuat beberapa log alur yang menerbitkan ke bucket yang sama dapat menyebabkan Anda melebihi batas kebijakan bucket.
**Solusi**
+ Bersihkan kebijakan bucket dengan menghapus entri log alur yang tidak lagi diperlukan.
+ Memberikan izin untuk seluruh bucket dengan mengganti entri log alur individu dengan berikut ini.
```
arn:aws:s3:::bucket_name/*
```
Jika Anda memberikan izin untuk seluruh bucket, langganan log alur baru tidak menambahkan izin baru untuk bucket kebijakan.
## LogDestination tidak terkirim
**Masalah**
Anda mendapatkan kesalahan berikut ketika Anda mencoba untuk membuat log alur: `LogDestination is undeliverable`.
**Kemungkinan penyebab**
Bucket Amazon S3 target dienkripsi menggunakan enkripsi sisi server dengan AWS KMS (SSE-KMS) dan enkripsi default bucket adalah ID kunci KMS.
**Solusi**
Nilai harus berupa ARN kunci KMS. Ubah jenis enkripsi S3 default dari ID kunci KMS ke ARN kunci KMS. Untuk informasi selengkapnya, lihat [Mengonfigurasi enkripsi default](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
## Aliran log ukuran data tidak sesuai dengan data penagihan
**Masalah**
Ukuran data total log aliran Anda tidak sesuai dengan ukuran yang dilaporkan oleh data penagihan.
**Kemungkinan penyebab**
Mungkin ada entri SKIPDATA di log alur Anda. Lihat [Tidak ada data dan catatan yang dilewati](flow-logs-records-examples.md#flow-log-example-no-data) penjelasan tentang entri SKIPDATA.
**Solusi**
Konfirmasikan bahwa entri SKIPDATA ada di entri log Anda dengan menanyakan log Anda untuk entri yang berbeda di bidang log-status.
Contoh kueri untuk memeriksa SKIPDATA:
Wawasan CW:
```
fields @timestamp, @message, @logStream, @log
| filter interfaceId = 'eni-123'
| stats count(*) by interfaceId, logStatus
| sort by interfaceId, logStatus
```
Athena:
```
SELECT log_status, interface_id, count(1)
FROM vpc_flow_logs
WHERE interface_id IN ('eni-1', 'eni-2', 'eni-3')
GROUP BY log_status, interface_id
```
# CloudWatch metrik untuk Anda VPCs
Amazon VPC menerbitkan data tentang Anda ke VPCs Amazon. CloudWatch *Anda dapat mengambil statistik tentang Anda VPCs sebagai kumpulan data deret waktu yang diurutkan, yang dikenal sebagai metrik.* Pikirkan metrik sebagai variabel untuk dipantau dan data sebagai nilai variabel itu dari waktu ke waktu. Untuk informasi selengkapnya, lihat [Panduan CloudWatch Pengguna Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
**Topics**
+ [Metrik dan dimensi NAU](#nau-cloudwatch)
+ [Mengaktifkan atau menonaktifkan pemantauan NAU](#nau-monitoring-enable)
+ [Contoh CloudWatch alarm NAU](#nau-cloudwatch-alarm-example)
## Metrik dan dimensi NAU
[Penggunaan Alamat Jaringan](network-address-usage.md)(NAU) adalah metrik yang diterapkan pada sumber daya di jaringan virtual Anda untuk membantu Anda merencanakan dan memantau ukuran VPC Anda. Tidak ada biaya untuk memantau NAU. Memantau NAU sangat membantu karena jika Anda menghabiskan NAU atau kuota NAU peered untuk VPC Anda, Anda tidak dapat meluncurkan instance EC2 baru atau menyediakan sumber daya baru, seperti Network Load Balancers, titik akhir VPC, fungsi Lambda, lampiran gateway transit, dan gateway NAT.
Jika Anda telah mengaktifkan pemantauan Penggunaan Alamat Jaringan untuk VPC, Amazon VPC mengirimkan metrik yang terkait dengan NAU ke Amazon. CloudWatch Ukuran VPC diukur dengan jumlah unit Network Address Usage (NAU) yang terkandung dalam VPC.
Anda dapat menggunakan metrik ini untuk memahami tingkat pertumbuhan VPC Anda, memperkirakan kapan VPC Anda akan mencapai batas ukurannya, atau membuat alarm saat ambang batas ukuran dilintasi.
`AWS/EC2`Namespace menyertakan metrik berikut untuk memantau NAU.
| Metrik | Deskripsi |
| --- | --- |
| NetworkAddressUsage | Hitungan NAU per VPC. **Kriteria pelaporan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensi** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) |
| NetworkAddressUsagePeered | Jumlah NAU untuk VPC dan VPCs semua yang diintip.**Kriteria pelaporan**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html)**Dimensi**[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) |
`AWS/Usage`Namespace menyertakan metrik berikut untuk memantau NAU.
| Metrik | Deskripsi |
| --- | --- |
| ResourceCount | Hitungan NAU per VPC. **Kriteria pelaporan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensi** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) |
| ResourceCount | Jumlah NAU untuk VPC dan VPCs semua yang diintip. **Kriteria pelaporan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensi** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) |
| ResourceCount | Tampilan gabungan penggunaan NAU di seluruh VPCs. **Kriteria pelaporan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensi** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) |
| ResourceCount | Tampilan gabungan penggunaan NAU di seluruh VPCs peered. **Kriteria pelaporan** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) **Dimensi** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/vpc/latest/userguide/vpc-cloudwatch.html) |
## Mengaktifkan atau menonaktifkan pemantauan NAU
Untuk melihat metrik NAU CloudWatch, Anda harus terlebih dahulu mengaktifkan pemantauan pada setiap VPC untuk dipantau.
**Untuk mengaktifkan atau menonaktifkan pemantauan NAU**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Your VPCs**.
1. Pilih kotak centang untuk VPC.
1. Pilih **Tindakan**, **Edit pengaturan VPC**.
1. Lakukan salah satu tindakan berikut:
+ Untuk mengaktifkan pemantauan, pilih **Setelan metrik unit pemetaan jaringan, Aktifkan metrik** **penggunaan alamat jaringan**.
+ Untuk menonaktifkan pemantauan, hapus **pengaturan metrik unit pemetaan jaringan, Aktifkan metrik** **penggunaan alamat jaringan**.
**Untuk mengaktifkan atau menonaktifkan pemantauan menggunakan baris perintah**
+ [modify-vpc-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-attribute.html) (AWS CLI)
+ [Edit-EC2VpcAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcAttribute.html) (AWS Tools for Windows PowerShell)
## Contoh CloudWatch alarm NAU
Anda dapat menggunakan AWS CLI perintah dan contoh berikut `.json` untuk membuat CloudWatch alarm Amazon dan pemberitahuan SNS yang melacak pemanfaatan NAU VPC dengan 50.000 sebagai ambang batas. NAUs Contoh ini mengharuskan Anda untuk terlebih dahulu membuat topik Amazon SNS. Untuk informasi lebih lanjut, lihat [Memulai dengan Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) di *Panduan Developer Amazon Simple Notification Service*.
```
aws cloudwatch put-metric-alarm --cli-input-json file://nau-alarm.json
```
Berikut adalah contoh `nau-alarm.json`.
```
{
"Namespace": "AWS/EC2",
"MetricName": "NetworkAddressUsage",
"Dimensions": [{
"Name": "Per-VPC Metrics",
"Value": "vpc-0123456798"
}],
"AlarmActions": ["arn:aws:sns:us-west-1:123456789012:my_sns_topic"],
"ComparisonOperator": "GreaterThanThreshold",
"Period": 86400,
"EvaluationPeriods": 1,
"Threshold": 50000,
"AlarmDescription": "Tracks NAU utilization of the VPC with 50k NAUs as the threshold",
"AlarmName": "VPC NAU Utilization",
"Statistic": "Maximum"
}
```
# Memahami kode untuk Amazon VPC dalam laporan penagihan dan penggunaan
Saat Anda menggunakan Amazon VPC, kami menyertakan kode terkait dalam laporan AWS penagihan dan penggunaan Anda. Meninjau kode ini membantu Anda memahami biaya dan pola penggunaan untuk Amazon VPC. Melacak dan mengelola pengeluaran Anda sangat penting untuk mengoptimalkan biaya Anda.
Tabel berikut menjelaskan kode untuk Amazon VPC yang muncul di laporan penagihan dan penggunaan Anda. Untuk daftar kode Wilayah yang digunakan dalam laporan penagihan dan penggunaan, lihat Kode [penagihan AWS wilayah](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-region-billing-codes.html).
**Topics**
+ [Manajemen alamat IP](#ip-billing-usage-reports)
+ [Titik akhir VPC](#vpce-billing-usage-reports)
+ [Transit gateway](#tgw-billing-usage-reports)
+ [Analisis jaringan](#analysis-billing-usage-reports)
+ [Mirroring lalu lintas](#mirroring-billing-usage-reports)
+ [Kisi VPC](#lattice-billing-usage-reports)
+ [Sumber daya lintas akun/wilayah](#cross-billing-usage-reports)
**Sumber daya terkait**
+ [Harga Amazon VPC](https://aws.amazon.com/vpc/pricing/)
+ [AWS PrivateLink harga](https://aws.amazon.com/privatelink/pricing/)
+ [AWS Transit Gateway harga](https://aws.amazon.com/transit-gateway/pricing/)
+ [Harga Amazon VPC Lattice](https://aws.amazon.com/vpc/lattice/pricing/)
## Manajemen alamat IP
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-PublicIPv4:InUseAddress | Waktu IPv4 alamat publik digunakan oleh sumber daya. | Jam | Per-detik |
| region-PublicIPv4:IdleAddress | Waktu dimana IPv4 alamat publik tidak digunakan oleh sumber daya. | Jam | Per-detik |
| region-PublicIPv4:ContiguousBlock | Penggunaan IPv4 alamat publik di blok IPv4 bersebelahan yang disediakan Amazon. | Jam | Per Jam |
| region-IPAddressManager-IP-Hours | Waktu alamat IP dikelola oleh IPAM Advanced Tier. | Jam | Per Jam |
## Titik akhir VPC
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-VpcEndpoint-Hours | Waktu dimana titik akhir VPC antarmuka disediakan. | Jam | Per Jam |
| region-VpcEndpoint-Bytes | Data diproses oleh titik akhir VPC antarmuka. | GB | Per Jam |
| region-VpcEndpoint-GWLBE-Hours | Waktu dimana titik akhir Load Balancer Gateway disediakan. | Jam | Per Jam |
| region-VpcEndpoint-GWLBE-Bytes | Data diproses oleh titik akhir Load Balancer Gateway. | GB | Per Jam |
## Transit gateway
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-TransitGateway-Hours | Penggunaan lampiran gateway transit. | Jam | Per Jam |
| region-TransitGateway-Bytes | Data diproses oleh gateway transit. | GB | Per Jam |
| region-TGW-Multicast-Consumer-Bytes | Data yang diproses oleh instance penerima multicast. | GB | Per Jam |
## Analisis jaringan
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-Analysis-Runs | Jumlah jalur jaringan yang dianalisis oleh Reachability Analyzer. | Hitungan | Per analisis |
| region-NetworkInterface-Assessment | Jumlah antarmuka jaringan yang dianalisis oleh Network Access Analyzer. | Hitungan | Per penilaian |
## Mirroring lalu lintas
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-ENI-Mirror | Waktu antarmuka jaringan dikonfigurasi untuk pencerminan lalu lintas. | Jam | Per Jam |
## Kisi VPC
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-VPCLattice-Service-Hourly | Waktu berjalan untuk layanan VPC Lattice. | Jam | Per Jam |
| region-VPCLattice-DataProcessing-Bytes | Data diproses oleh layanan VPC Lattice. | GB | Per Jam |
| region-VPCLattice-RequestCount-Free | Permintaan HTTP gratis dan koneksi TCP. | Hitungan | Per Jam |
| region-VpcLattice-Service-Network-Resource-Hours | Waktu berjalan untuk jaringan layanan VPC Lattice. | Jam | Per Jam |
## Sumber daya lintas akun/wilayah
| Kode | Deskripsi | Unit | Granularitas |
| --- | --- | --- | --- |
| region-VpcResource-Provider-Bytes | Data yang ditransfer dari sumber penyedia di seluruh akun atau Wilayah. | GB | Per Jam |
| region-VpcResource-Consumer-Bytes | Data yang ditransfer oleh sumber daya konsumen di seluruh akun atau Wilayah. | GB | Per Jam |
# Jelaskan arsitektur jaringan VPC Anda
Amazon VPC memungkinkan Anda untuk menentukan jaringan virtual yang terisolasi secara logis di AWS Cloud, yang dikenal sebagai virtual private cloud (VPC). Buat terpisah VPCs untuk mengisolasi infrastruktur berdasarkan beban kerja atau entitas organisasi. Anda dapat mengonfigurasi Anda VPCs dengan memilih rentang alamat IP, mengonfigurasi perutean, dan menambahkan gateway jaringan untuk menghubungkan Anda VPCs satu sama lain, internet, atau ke jaringan perusahaan Anda sendiri. Anda meluncurkan AWS sumber daya, seperti EC2 instans atau instans RDS, di situs Anda. VPCs
Tabel berikut menjelaskan karakteristik kunci dari jaringan VPC. Administrator jaringan dapat menggunakan panduan ini untuk menjelaskan arsitektur dan konfigurasi jaringan VPC Anda. Memiliki informasi ini memungkinkan mereka untuk mengonfigurasi jaringan yang setara secara fungsional di tempat atau menggunakan Penyedia Cloud lain.
| Karakteristik | Deskripsi |
| --- | --- |
| [Lokasi geografis](#vpc-network-geographic-location) | Amazon VPC di-host di semua AWS Wilayah di seluruh dunia. Anda dapat memilih Wilayah untuk jaringan VPC Anda yang menempatkan AWS sumber daya Anda paling dekat dengan pelanggan Anda. |
| [Subnet](#vpc-network-subnets) | Subnet yang Anda tentukan untuk menentukan batas jaringan Anda VPCs dan menentukan alamat IP untuk AWS sumber daya Anda. Anda dapat menambahkan subnet di beberapa Availability Zone untuk meningkatkan ketersediaan sumber daya Anda. |
| [Konektivitas jaringan](#vpc-network-connectivity) | Gateway yang Anda lampirkan ke subnet Anda VPCs untuk menyediakan konektivitas antara jaringan VPC Anda dan jaringan lain, seperti subnet lain VPCs atau subnet, internet, atau jaringan lokal Anda. |
| [Kontrol keamanan](#vpc-network-security-controls) | Grup keamanan yang Anda buat untuk VPCs mengontrol lalu lintas ke dan dari sumber daya terkait, seperti sumber daya komputasi, sumber daya database, dan penyeimbang beban. Setiap subnet memiliki ACL jaringan yang mengontrol lalu lintas yang masuk dan keluar dari subnet. |
| [Manajemen lalu lintas](#vpc-network-traffic-management) | Aturan routing mengontrol arus lalu lintas antara subnet, VPCs, dan lokasi eksternal. Load balancer yang disediakan oleh Elastic Load Balancing mendistribusikan lalu lintas masuk ke beberapa target, EC2 seperti instans, kontainer, dan fungsi Lambda. |
## Lokasi geografis
Amazon VPC tersedia di setiap AWS Wilayah di seluruh dunia. Setiap Wilayah adalah wilayah geografis yang terpisah. Anda dapat menurunkan latensi jaringan saat membuat VPCs sumber daya di Wilayah yang dekat dengan mayoritas pengguna.
Anda dapat menggunakan Amazon EC2 Global View untuk mencantumkan VPCs seluruh Wilayah menggunakan antarmuka pengguna grafis (tidak ada antarmuka program yang setara). Dengan konsol Amazon VPC, AWS API, dan antarmuka baris AWS perintah, Anda harus mencantumkan sumber daya VPC dan VPCs VPC untuk setiap Wilayah satu per satu.
**Mengapa ini penting**
Setelah Anda menentukan lokasi Anda VPCs , Anda dapat memutuskan apakah akan mengonfigurasi jaringan yang setara secara fungsional di lokasi yang sama atau lokasi yang berbeda, tergantung pada kebutuhan Anda.
**Untuk mendapatkan ringkasan Anda VPCs di semua Wilayah**
1. Buka konsol Amazon EC2 Global View di [https://console.aws.amazon.com/ec2globalview/rumah](https://console.aws.amazon.com/ec2globalview/home).
1. Pada tab **Region explorer**, di bawah **Ringkasan **VPCs****, periksa jumlah sumber daya, yang mencakup jumlah VPCs dan jumlah Wilayah. Ini termasuk default VPCs yang AWS dibuat atas nama Anda dan nondefault VPCs yang Anda buat. Klik teks yang digarisbawahi untuk melihat bagaimana jumlah VPC tersebar di seluruh Wilayah. Jika suatu Wilayah hanya memiliki satu VPC, kemungkinan besar itu adalah VPC default untuk Wilayah tersebut.
1. Pada tab **Pencarian global**, pilih filter klien **Jenis sumber daya = Vpc**. Anda dapat memfilter hasil lebih lanjut dengan menentukan Wilayah atau tag.
**Untuk mendapatkan VPCs di Wilayah menggunakan AWS CLI**
Gunakan [perintah deskripsi-vpcs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpcs.html) berikut. Anda harus menjalankan perintah ini di setiap Wilayah tempat Anda memilikinya VPCs. `--query`Parameter hanya mencakup VPC IDs dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-vpcs \
--region us-east-2 \
--query "Vpcs[*].VpcId"
```
Setiap Wilayah dilengkapi dengan VPC default. Jika Anda tidak menggunakan default VPCs, Anda dapat mengecualikan mereka dari hasil dengan menambahkan filter berikut.
```
--filters Name=is-default,Values=false
```
## Subnet
Subnet adalah batas jaringan logis dalam VPC. Saat Anda membuat subnet, Anda menetapkan blok alamat IP. Sumber daya yang Anda luncurkan ke subnet diberi alamat IP dari blok alamat IP untuk subnet. Alamat IP memungkinkan sumber daya untuk berkomunikasi satu sama lain melalui jaringan lokal atau internet.
Peta sumber daya di konsol VPC Amazon menyediakan representasi visual dari subnet untuk VPC Anda.
**Mengapa ini penting**
Subnet memungkinkan administrator jaringan untuk menerapkan batas keamanan dan mengontrol lalu lintas antara tingkatan aplikasi. Dengan mencatat alamat IP subnet Anda, Anda dapat membantu memastikan bahwa sumber daya dalam jaringan yang setara secara fungsional dapat berkomunikasi dengan klien atau aplikasi yang sama dengan yang mereka dapat di jaringan VPC Anda.
**Untuk melihat subnet untuk VPC menggunakan peta sumber daya**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **VPCs**.
1. Pilih kotak centang untuk VPC.
1. Pilih tab **Peta sumber daya**.
1. **Di panel VPC, pilih Tampilkan detail.** Panel **Subnet** mencantumkan semua subnet di VPC dan menunjukkan rentang alamat IP mereka. Arahkan kursor ke subnet untuk menyorot tabel rute terkait dan koneksi jaringan. Untuk detail lebih lanjut, klik tautan untuk membuka halaman detail subnet.
**Untuk mendeskripsikan subnet untuk VPC menggunakan AWS CLI**
Gunakan [perintah deskripsi-subnet](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-subnets.html) berikut. `--filters`Parameter mencakup pencarian untuk menggambarkan subnet untuk VPC yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-subnets \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query Subnets[*].[SubnetId,AvailabilityZoneId,CidrBlock,Ipv6CidrBlockAssociationSet[0].Ipv6CidrBlock] \
--output table
```
Berikut ini adalah output contoh. Kolom tersebut adalah ID subnet, ID AZ, rentang IPv4 alamat, dan rentang IPv6 alamat pertama (jika ada).
```
---------------------------------------------------------------------------------------
| DescribeSubnets |
+---------------------------+-----------+----------------+----------------------------+
| subnet-0d2d1b81e0bc9c6d4 | usw2-az1 | 10.0.144.0/20 | 2600:1f14:1e6e:a003::/64 |
| subnet-0e01d500780bb7468 | usw2-az1 | 10.0.16.0/20 | 2600:1f14:1e6e:a001::/64 |
| subnet-0eb17d85f5dfd33b1 | usw2-az2 | 10.0.128.0/20 | 2600:1f14:1e6e:a002::/64 |
| subnet-0e990c67809773b19 | usw2-az2 | 10.0.0.0/20 | 2600:1f14:1e6e:a000::/64 |
+---------------------------+-----------+----------------+----------------------------+
```
## Konektivitas jaringan
Opsi konektivitas yang disediakan oleh Amazon VPC memungkinkan Anda membuat jaringan yang terbentang VPCs di beberapa akun dan Wilayah serta jaringan jarak jauh.
Anda dapat menggunakan peta sumber daya di konsol VPC Amazon untuk mengetahui apakah Anda VPCs menggunakan gateway internet, gateway internet khusus egres, gateway NAT, atau titik akhir VPC gateway. Peta sumber daya tidak menunjukkan gateway transit, koneksi peering, gateway pribadi virtual, atau jenis titik akhir VPC lainnya yang sedang digunakan. Anda bisa mendapatkan daftar lengkap gateway dan koneksi peering untuk VPC dengan mendeskripsikannya satu per satu menggunakan konsol, API, atau antarmuka baris perintah.
**Mengapa ini penting**
Setelah Anda memahami konektivitas yang disediakan oleh jaringan VPC Anda, Anda dapat memastikan bahwa sumber daya dalam jaringan yang setara secara fungsional dapat berkomunikasi dengan sumber daya lokal dan jarak jauh yang sama.
**Untuk melihat koneksi jaringan untuk VPC menggunakan peta sumber daya**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **VPCs**.
1. Pilih kotak centang untuk VPC.
1. Pilih tab **Peta sumber daya**.
1. **Di panel VPC, pilih Tampilkan detail.** Panel **koneksi Jaringan** mencantumkan gateway internet, gateway internet khusus egres, gateway NAT, dan titik akhir VPC gateway. Jika jenis sumber daya tidak jelas, arahkan kursor ke ikon tautan untuk koneksi jaringan dan periksa URL yang dihasilkan. URL ini adalah tautan ke sumber daya di konsol, dan berisi jenis sumber daya dan ID sumber daya (misalnya,internetGatewayId=igw-0123456780abcdef).
**Untuk mendapatkan koneksi jaringan untuk Anda VPCs menggunakan AWS CLI**
1. Gunakan [describe-internet-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-internet-gateways.html)perintah berikut untuk mendapatkan gateway internet untuk Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-internet-gateways \
--region us-east-2 \
--query InternetGateways[*].[Attachments[0].VpcId,InternetGatewayId] \
--output table
```
Berikut ini adalah output contoh. Kolom menunjukkan VPC IDs dan gateway internet. IDs
```
----------------------------------------------------
| DescribeInternetGateways |
+------------------------+-------------------------+
| None | igw-04c61dba10EXAMPLE |
| vpc-0bf4c2739bEXAMPLE | igw-09737a4029EXAMPLE |
| vpc-060415a18fEXAMPLE | igw-0c562bd22aEXAMPLE |
| vpc-0ea9d41094EXAMPLE | igw-0e06f7033dEXAMPLE |
| vpc-03b86de356EXAMPLE | igw-0a9ff72d05EXAMPLE |
+------------------------+-------------------------+
```
1. Gunakan perintah [describe-egress-only-internet-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-egress-only-internet-gateways.html) berikut untuk mendapatkan gateway internet khusus egress untuk Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-egress-only-internet-gateways \
--region us-east-2 \
--query EgressOnlyInternetGateways[*].[Attachments[0].VpcId,EgressOnlyInternetGatewayId] \
--output table
```
Berikut ini adalah output contoh. Kolom menunjukkan VPC IDs dan gateway internet khusus egres. IDs
```
-----------------------------------------------------
| DescribeEgressOnlyInternetGateways |
+------------------------+--------------------------+
| vpc-060415a18fEXAMPLE | eigw-0b8ca558acEXAMPLE |
+------------------------+--------------------------+
```
1. Gunakan [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html)perintah berikut untuk mendapatkan gateway NAT untuk Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-nat-gateways \
--region us-east-2 \
--query NatGateways[*].[VpcId,NatGatewayId,SubnetId] \
--output table
```
Berikut ini adalah output contoh. Kolom menunjukkan VPC IDs, gateway IDs NAT, dan subnet. IDs
```
---------------------------------------------------------------------------------
| DescribeNatGateways |
+------------------------+-------------------------+----------------------------+
| vpc-060415a18fEXAMPLE | nat-026316334aEXAMPLE | subnet-0eb17d85f5EXAMPLE |
| vpc-060415a18fEXAMPLE | nat-0f08bc5f52EXAMPLE | subnet-0d2d1b81e0EXAMPLE |
+------------------------+-------------------------+----------------------------+
```
1. Gunakan perintah [describe-transit-gateway-vpc-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-vpc-attachments.html) berikut untuk mendapatkan lampiran VPC gateway transit untuk Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-transit-gateway-vpc-attachments \
--region us-east-2 \
--query TransitGatewayVpcAttachments[*].[VpcId,TransitGatewayId,length(SubnetIds[])] \
--output table
```
Berikut ini adalah output contoh. Kolom menunjukkan VPC IDs, gateway transit IDs, dan jumlah subnet.
```
---------------------------------------------------------
| DescribeTransitGatewayVpcAttachments |
+------------------------+-------------------------+----+
| vpc-0bf4c2739bEXAMPLE | tgw-055dc4e47bEXAMPLE | 4 |
| vpc-0ea9d41094EXAMPLE | tgw-055dc4e47bEXAMPLE | 2 |
+------------------------+-------------------------+----+
```
1. Gunakan [describe-vpc-peering-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-peering-connections.html)perintah berikut untuk mendapatkan koneksi peering untuk VPCs di Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-vpc-peering-connections \
--region us-east-2 \
--query VpcPeeringConnections[*].[AccepterVpcInfo.VpcId,RequesterVpcInfo.VpcId] \
--output table
```
Berikut ini adalah output contoh. Kolom menunjukkan VPC penerima, pemilik IDs VPC penerima, VPC pemohon, dan pemilik VPC pemohon IDs.
```
------------------------------------------------------------------------------------
| DescribeVpcPeeringConnections |
+------------------------+---------------+------------------------+----------------+
| vpc-0ea9d41094EXAMPLE | 123456789012 | vpc-03b86de356EXAMPLE | 123456789012 |
+------------------------+---------------+------------------------+----------------+
```
1. Gunakan [describe-vpn-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-gateways.html)perintah berikut untuk mendapatkan gateway pribadi virtual untuk Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-vpn-gateways \
--region us-east-2 \
--query VpnGateways[*].[VpcAttachments[0].VpcId,VpnGatewayId] \
--output table
```
Berikut ini adalah output contoh. Kolom menunjukkan VPC IDs dan gateway pribadi virtual. IDs
```
----------------------------------------------------
| DescribeVpnGateways |
+------------------------+-------------------------+
| vpc-0bf4c2739bEXAMPLE | vgw-0cb3226c4aEXAMPLE |
+------------------------+-------------------------+
```
1. Gunakan [describe-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoints.html)perintah berikut untuk mendapatkan titik akhir VPC untuk Wilayah yang ditentukan. `--query`Parameter hanya mencakup bidang yang ditentukan dalam output. Anda dapat menyertakan bidang tambahan sesuai kebutuhan.
```
aws ec2 describe-vpc-endpoints \
--region us-east-2 \
--query 'VpcEndpoints[*].[VpcId,VpcEndpointType,ServiceName||ServiceNetworkArn||ResourceConfigurationArn]' \
--output table
```
Berikut ini adalah output contoh. Kolom pertama menunjukkan ID VPC dan kolom kedua menunjukkan jenis titik akhir VPC. Kolom ketiga tergantung pada jenis titik akhir, dan menunjukkan nama layanan, ARN konfigurasi sumber daya, atau ARN jaringan layanan.
```
----------------------------------------------------------------------------------------------------------------------------------------
| DescribeVpcEndpoints |
+------------------------+-----------------+-------------------------------------------------------------------------------------------+
| vpc-060415a18fcc9afde | Interface | com.amazonaws.vpce.us-west-2.vpce-svc-007832a03d60fc387 |
| vpc-060415a18fcc9afde | Interface | com.amazonaws.vpce.us-west-2.vpce-svc-007832a03d60fc387 |
| vpc-0bf4c2739bc05a694 | Gateway | com.amazonaws.us-west-2.s3 |
| vpc-0ea9d410947d27b7d | Interface | com.amazonaws.us-west-2.logs |
| vpc-0bf4c2739bc05a694 | Resource | arn:aws:vpc-lattice:us-east-2:123456789012:resourceconfiguration/rcfg-07129f3acded87625 |
| vpc-0bf4c2739bc05a694 | ServiceNetwork | arn:aws:vpc-lattice:us-east-2:123456789012:servicenetwork/sn-0808d1748faee0c1e |
| vpc-0bf4c2739bc05a694 | ServiceNetwork | arn:aws:vpc-lattice:us-east-2:123456789012:servicenetwork/sn-0808d1748faee0c1e |
+------------------------+-----------------+-------------------------------------------------------------------------------------------+
```
## Kontrol keamanan
Kontrol keamanan yang disediakan oleh Amazon VPC menentukan akses jaringan ke sumber daya Anda VPCs dan sumber daya yang digunakan di Anda. VPCs
**Mengapa ini penting**
Setelah Anda menentukan lalu lintas masuk yang diizinkan untuk mencapai subnet dan sumber daya Anda dan lalu lintas keluaran yang diizinkan untuk meninggalkan subnet dan sumber daya Anda, Anda dapat merencanakan aturan firewall yang diperlukan untuk jaringan yang setara secara fungsional.
**Topics**
+ [Grup keamanan](#vpc-network-security-groups)
+ [Jaringan ACLs](#vpc-network-acls-subnet)
### Grup keamanan
Grup keamanan memungkinkan lalu lintas masuk dan keluar tertentu di tingkat sumber daya. Kelompok keamanan adalah mekanisme utama untuk mengontrol akses ke sumber daya di Anda VPCs.
**Untuk mendapatkan grup keamanan untuk Anda VPCs**
Gunakan [describe-security-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)perintah berikut untuk menampilkan grup keamanan untuk VPC yang ditentukan.
```
aws ec2 describe-security-groups \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query SecurityGroups[*].GroupId
```
**Untuk mendapatkan aturan masuk untuk grup keamanan**
Gunakan [describe-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-rules.html)perintah berikut untuk menampilkan aturan untuk grup keamanan yang ditentukan di mana `IsEgress` berada`false`.
```
aws ec2 describe-security-group-rules \
--filters Name=group-id,Values=sg-0abcdef1234567890 \
--query 'SecurityGroupRules[?IsEgress==`false`]'
```
**Untuk mendapatkan aturan keluar untuk grup keamanan**
Gunakan [describe-security-group-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-group-rules.html)perintah berikut untuk menampilkan aturan untuk grup keamanan yang ditentukan di mana `IsEgress` berada`true`.
```
aws ec2 describe-security-group-rules \
--filters Name=group-id,Values=sg-0abcdef1234567890 \
--query 'SecurityGroupRules[?IsEgress==`true`]'
```
### Jaringan ACLs
Network Access Control List (ACL) memungkinkan atau menolak lalu lintas masuk dan keluar tertentu di tingkat subnet. Anda dapat menggunakan jaringan ACLs seperti defense-in-depth jika sumber daya digunakan tanpa grup keamanan yang benar.
**Untuk mendapatkan jaringan ACLs untuk subnet Anda**
Gunakan [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)perintah berikut untuk menampilkan jaringan ACLs untuk VPC yang ditentukan dan asosiasi subnet mereka.
```
aws ec2 describe-network-acls \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query "NetworkAcls[*].{ID:NetworkAclId,Subnets:Associations[].SubnetId}"
```
**Untuk mendapatkan aturan masuk untuk ACL jaringan**
Gunakan [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)perintah berikut untuk menampilkan aturan untuk ACL jaringan tertentu di `Egress` mana`false`.
```
aws ec2 describe-network-acls \
--network-acl-ids acl-0abcdef1234567890 \
--query 'NetworkAcls[*].Entries[?Egress==`false`]'
```
**Untuk mendapatkan aturan keluar untuk ACL jaringan**
Gunakan [describe-network-acls](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-network-acls.html)perintah berikut untuk menampilkan aturan untuk ACL jaringan tertentu di `Egress` mana`true`.
```
aws ec2 describe-network-acls \
--network-acl-ids acl-0abcdef1234567890 \
--query 'NetworkAcls[*].Entries[?Egress==`true`]'
```
## Manajemen lalu lintas
Manajemen lalu lintas yang efektif menggabungkan keputusan routing tingkat jaringan yang disediakan oleh tabel rute dengan strategi distribusi tingkat aplikasi yang disediakan oleh load balancing.
**Mengapa ini penting**
Administrator jaringan harus merancang subnet, routing, resolusi DNS, dan load balancing untuk mengoptimalkan arus lalu lintas sambil mempertahankan batas keamanan dan persyaratan kinerja. Dengan mencatat konfigurasi komponen-komponen ini di jaringan VPC Anda, Anda dapat membantu memastikan bahwa sumber daya dalam jaringan yang setara secara fungsional dapat berkomunikasi dengan klien atau perangkat yang sama dengan yang mereka dapat di jaringan VPC Anda.
**Topics**
+ [Tabel rute](#vpc-network-traffic-routing)
+ [Pengaturan opsi DHCP](#vpc-network-dhcp-options)
+ [Penyeimbang beban](#vpc-network-traffic-elb)
### Tabel rute
Tabel rute menentukan bagaimana lalu lintas jaringan mengalir melintasi batas-batas jaringan seperti subnet VPCs, jaringan lokal, dan internet.
Peta sumber daya di konsol VPC Amazon menyediakan representasi visual dari tabel rute untuk VPC Anda.
**Untuk melihat tabel rute untuk VPC menggunakan peta sumber daya**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **VPCs**.
1. Pilih kotak centang untuk VPC.
1. Pilih tab **Peta sumber daya**.
1. Panel **tabel Route** mencantumkan semua tabel rute untuk VPC. Arahkan kursor ke tabel rute untuk menyorot subnet terkait dan koneksi jaringan. Untuk detail lebih lanjut, klik tautan untuk membuka halaman detail tabel rute.
**Untuk menggambarkan tabel rute Anda**
Gunakan [describe-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html)perintah untuk menggambarkan tabel rute untuk VPC yang ditentukan dan asosiasi subnetnya.
```
aws ec2 describe-route-tables \
--filters Name=vpc-id,Values=vpc-1234567890abcdef0 \
--query "RouteTables[*].{ID:RouteTableId,Subnets:Associations[].SubnetId}"
```
**Untuk mendapatkan rute untuk tabel rute**
Gunakan [describe-route-tables](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-route-tables.html)perintah untuk menggambarkan rute untuk tabel rute yang ditentukan.
```
aws ec2 describe-route-tables \
--route-table-ids rtb-02ec01715bEXAMPLE \
--query RouteTables[*].Routes
```
### Pengaturan opsi DHCP
VPC Anda memiliki set opsi DHCP yang dapat Anda gunakan untuk mengkonfigurasi berbagai pengaturan jaringan. Misalnya, Anda dapat mengonfigurasi server DNS khusus sehingga EC2 instance Anda dapat menyelesaikan nama host internal menggunakan infrastruktur DNS yang ada. Untuk informasi selengkapnya, lihat [Konsep set opsi DHCP](DHCPOptionSetConcepts.md).
**Untuk menjelaskan opsi DHCP untuk VPC Anda**
Gunakan [describe-dhcp-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-dhcp-options.html)perintah untuk menggambarkan opsi DHCP yang ditentukan. [Contoh ini juga mendapatkan ID opsi DHCP untuk VPC yang ditentukan menggunakan perintah deskripsi-vpcs.](https://docs.aws.amazon.com/cli/latest/reference//ec2/describe-vpcs.html)
```
aws ec2 describe-dhcp-options \
--dhcp-options-id "$(aws ec2 describe-vpcs \
--vpc-id vpc-1234567890abcdef0 \
--query Vpcs[].DhcpOptionsId --output text)"
```
Berikut ini adalah contoh output untuk VPC yang menggunakan opsi DHCP default.
```
{
"DhcpOptions": [
{
"OwnerId": "415546850671",
"Tags": [],
"DhcpOptionsId": "dopt-1234567890abcdef0",
"DhcpConfigurations": [
{
"Key": "domain-name",
"Values": [
{
"Value": "us-west-2.compute.internal"
}
]
},
{
"Key": "domain-name-servers",
"Values": [
{
"Value": "AmazonProvidedDNS"
}
]
}
]
}
]
}
```
### Penyeimbang beban
Load balancing mendistribusikan lalu lintas masuk dari klien di beberapa target. Load balancer memantau kesehatan target dan secara otomatis menghapus target yang tidak sehat dari distribusi lalu lintas, memastikan bahwa hanya target sehat yang digunakan. Ini meningkatkan ketersediaan dan kinerja aplikasi Anda dan mengoptimalkan pemanfaatan sumber daya. Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna Penyeimbang Beban Elastis](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/).
**Untuk menggambarkan penyeimbang beban Anda**
Gunakan [describe-load-balancers](https://docs.aws.amazon.com/cli/latest/reference/elbv2/describe-load-balancers.html)perintah untuk menampilkan penyeimbang beban untuk VPC yang ditentukan.
```
aws elbv2 describe-load-balancers \
--query 'LoadBalancers[?VpcId==`vpc-1234567890abcdef0`].LoadBalancerArn'
```
## Sumber daya terkait
Berikut ini adalah layanan atau fitur opsional yang mungkin Anda gunakan di jaringan VPC Anda:
+ [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/)
+ [IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/)
+ [Pencerminan lalu lintas](https://docs.aws.amazon.com/vpc/latest/mirroring/)
+ [Log aliran VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)