Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Registri di flusso Transit Gateway
Transit Gateway Flow Logs è una funzionalità di AWS Transit Gateway che consente di acquisire informazioni sul traffico IP in entrata e in uscita dai gateway di transito. I dati dei log di flusso possono essere pubblicati su Amazon CloudWatch Logs, Amazon S3 o Firehose. Dopo aver creato un log di flusso, puoi recuperare e visualizzarne i dati nella destinazione scelta. I dati di log del flusso vengono raccolti al di fuori del percorso del traffico di rete e pertanto non influiscono sulla velocità effettiva o sulla latenza della rete. È possibile creare o eliminare i log di flusso senza alcun rischio di impatto sulle prestazioni della rete. I registri di flusso del gateway di transito acquisiscono informazioni relative solo ai gateway di transito, descritti in [Log di flusso del gateway di transito](#flow-log-records). Se desideri acquisire informazioni sul traffico IP in entrata e in uscita dalle interfacce di rete del tuo computer VPCs, utilizza VPC Flow Logs. Per ulteriori informazioni consulta [Logging IP traffic using VPC Flow Logs (Registrazione del traffico IP utilizzando i registri di flusso VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) nella *Guida per l'utente di Amazon VPC*.
**Nota**
Per creare un log di flusso del gateway di transito, devi essere il proprietario del gateway di transito. Se non sei il proprietario, il proprietario del gateway di transito deve darti l'autorizzazione.
I dati del log di flusso per un gateway di transito monitorato vengono registrati come *record del log di flusso*, ossia eventi di log costituiti da campi che descrivono il flusso di traffico. Per ulteriori informazioni, consulta [Log di flusso del gateway di transito](#flow-log-records).
Per creare un log di flusso, occorre specificare:
+ La risorsa per cui creare il log di flusso
+ Le destinazioni in cui pubblicare i dati del log di flusso
Dopo aver creato un flusso di log, potrebbero essere necessari diversi minuti prima di iniziare a raccogliere dati e pubblicarli nelle destinazioni scelte. I registri di flusso non acquisiscono flussi di log in tempo reale per i gateway di transito.
È possibile applicare tag ai log di flusso. Ogni tag è composto da una chiave e da un valore opzionale, entrambi personalizzabili. I tag consentono di organizzare i log di flusso, ad esempio per scopo o proprietario.
Se un log di flusso non è più necessario, puoi eliminarlo. L'eliminazione di un log di flusso disattiva il servizio di log di flusso per la risorsa e nessun nuovo record del log di flusso viene creato o pubblicato su CloudWatch Logs o Amazon S3. L'eliminazione del log di flusso non elimina alcun record o flusso di log di flusso esistente (per CloudWatch Logs) o oggetti di file di log (per Amazon S3) per un gateway di transito. Per eliminare un flusso di log esistente, usa la console Logs. CloudWatch Per eliminare oggetti file di log esistenti, utilizza la console Amazon S3. Dopo aver eliminato un log di flusso, potrebbero essere necessari diversi minuti per interrompere la raccolta dati. Per ulteriori informazioni, consulta [Eliminare un record AWS Transit Gateway Flow Logs](delete-flow-log.md).
Puoi creare log di flusso per i tuoi gateway di transito in grado di pubblicare dati su CloudWatch Logs, Amazon S3 o Amazon Data Firehose. Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Crea un Flow Log da pubblicare su Logs CloudWatch ](flow-logs-cwl-create-flow-log.md)
+ [Crea un log di flusso da pubblicare su Amazon S3](flowlog-s3-create.md)
+ [Creare un log di flusso da pubblicare su Firehose](flow-logs-kinesis-create.md)
## Limitazioni
Le seguenti limitazioni si applicano ai Transit Gateway Flow Logs:
+ Il traffico multicast non è supportato.
+ Gli allegati Connect non sono supportati. Tutti i log di flusso di Connect vengono visualizzati sotto l'allegato di trasporto e devono pertanto essere abilitati sul gateway di transito o sull'allegato di trasporto Connect.
## Log di flusso del gateway di transito
Un record del log di flusso rappresenta un flusso di rete nel gateway di transito. Ogni record è una stringa con campi separati da spazi. Un record include valori per i vari componenti del flusso di traffico tra cui, ad esempio, origine, destinazione e protocollo.
Quando crei un log di flusso, puoi utilizzare il formato predefinito oppure specificare un formato personalizzato.
**Topics**
+ [Formato predefinito](#flow-logs-default)
+ [Formato personalizzato](#flow-logs-custom)
+ [Campi disponibili](#flow-logs-fields)
### Formato predefinito
Con il formato predefinito, i record del log di flusso includono tutti i campi dalla versione 2 alla versione 6, nell'ordine mostrato nella tabella dei [campi disponibili](#flow-logs-fields). Non è possibile personalizzare o modificare il formato predefinito. Per acquisire i campi aggiuntivi o un diverso sottoinsieme di campi, specifica un formato personalizzato.
### Formato personalizzato
Con un formato personalizzato, è possibile specificare quali campi sono inclusi nei record del log di flusso e il relativo ordine. Ciò permette di creare registri di flusso specifici per le proprie esigenze e omettere i campi non pertinenti. L’uso di un formato personalizzato può anche ridurre la necessità di processi separati per estrarre informazioni specifiche dai log di flusso pubblicati. Puoi specificare un numero qualsiasi di campi del log di flusso disponibili, ma devi specificarne almeno uno.
### Campi disponibili
Nella tabella seguente sono descritti tutti i campi disponibili per un record del log di flusso di un gateway di transito. La colonna **Version** (Versione) indica la versione in cui è stato introdotto il campo.
Quando si pubblicano i dati del flusso di log su Amazon S3, il tipo di dati per i campi dipende dal formato del flusso di log. Se il formato è di testo normale, tutti i campi sono di tipo STRING. Se il formato è Parquet, vedere la tabella per i tipi di dati di campo.
Se un campo non è applicabile o non può essere calcolato per un record specifico, il record visualizza un simbolo "-" per tale voce. I campi dei metadati che non provengono direttamente dall’intestazione del pacchetto sono approssimazioni ottimali e i loro valori potrebbero essere mancanti o imprecisi.
| Campo | Descrizione | Versione |
| --- | --- | --- |
| version | Indica la versione in cui è stato introdotto il campo. Il formato predefinito include tutti i campi della versione 2 nello stesso ordine in cui sono riportati nella tabella. **Tipo di dati Parquet: ** INT\$132 | 2 |
| resource-type | Il tipo di risorsa su cui viene creata la sottoscrizione. Per i Transit Gateway Flow Logs, questo saràTransitGateway.Tipo di dati Parquet: STRING | 6 |
| account-id | L' Account AWS ID del proprietario del gateway di transito di origine. **Tipo di dati Parquet: ** STRING | 2 |
| tgw-id | L'ID del gateway di transito per il quale viene registrato il traffico.**Tipo di dati Parquet: ** STRING | 6 |
| tgw-attachment-id | L'ID del collegamento del gateway di transito alla VPN per il quale viene registrato il traffico.**Tipo di dati Parquet: ** STRING | 6 |
| tgw-src-vpc-account-id | L' Account AWS ID per il traffico VPC di origine. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-dst-vpc-account-id | L' Account AWS ID per il traffico VPC di destinazione. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-src-vpc-id | L'ID del VPC di origine per il gateway di transito **Tipo di dati Parquet: ** STRING | 6 |
| tgw-dst-vpc-id | L'ID del VPC di destinazione per il gateway di transito. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-src-subnet-id | L'ID della sottorete per il traffico di origine del gateway di transito. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-dst-subnet-id | L'ID della sottorete per il traffico di destinazione del gateway di transito. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-src-eni | L'ID dell'ENI del collegamento del gateway di transito alla VPN di origine per il flusso. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-dst-eni | L'ID dell'ENI del collegamento del gateway di transito alla VPN di destinazione per il flusso.**Tipo di dati Parquet: ** STRING | 6 |
| tgw-src-az-id | L'ID della zona di disponibilità che contiene il gateway di transito di origine per cui viene registrato il traffico. Se il traffico proviene da una posizione secondaria, il record visualizza un simbolo ’-’ per questo campo. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-dst-az-id | L'ID della zona di disponibilità che contiene il gateway di transito di destinazione per cui viene registrato il traffico. **Tipo di dati Parquet: ** STRING | 6 |
| tgw-pair-attachment-id | A seconda della direzione del flusso, questo è l'ID allegato in uscita o in ingresso del flusso. **Tipo di dati Parquet: ** STRING | 6 |
| srcaddr | L'indirizzo di origine per traffico in entrata. **Tipo di dati Parquet: ** STRING | 2 |
| dstaddr | L'indirizzo di destinazione per il traffico in uscita. **Tipo di dati Parquet: ** STRING | 2 |
| srcport | La porta di origine del traffico. **Tipo di dati parquet:** INT\$132 | 2 |
| dstport | La porta di destinazione del traffico. **Tipo di dati Parquet: ** INT\$132 | 2 |
| protocol | Il numero di protocollo IANA del traffico. Per ulteriori informazioni, consulta la sezione relativa ai [ numeri di protocollo Internet assegnati](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Tipo di dati Parquet: ** INT\$132 | 2 |
| packets | Il numero di pacchetti trasferiti durante il flusso. **Tipo di dati parquet:** INT\$164 | 2 |
| bytes | Il numero di byte trasferiti durante il flusso. **Tipo di dati Parquet: ** INT\$164 | 2 |
| start | L’ora, in secondi Unix, di ricezione del primo pacchetto del flusso all’interno dell’intervallo di aggregazione. Potrebbe durare fino a 60 secondi oltre l'avvenuta trasmissione o ricezione del pacchetto da parte del gateway di transito. **Tipo di dati Parquet: ** INT\$164 | 2 |
| end | L’ora, in secondi Unix, in cui l’ultimo pacchetto del flusso è stato ricevuto entro l’intervallo di aggregazione. Potrebbe durare fino a 60 secondi oltre l'avvenuta trasmissione o ricezione del pacchetto da parte del gateway di transito. **Tipo di dati Parquet: ** INT\$164 | 2 |
| log-status | Lo stato del log di flusso: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/tgw/tgw-flow-logs.html) **Tipo di dati Parquet: ** STRING | 2 |
| type | Il tipo di traffico. I valori possibili sono IPv4 \$1 IPv6 \$1 EFA. Per ulteriori informazioni, consulta [Elastic Fabric Adapter](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html) nella Guida per l'*utente di Amazon EC2*. **Tipo di dati parquet:** STRING | 3 |
| packets-lost-no-route | I pacchetti sono andati persi perché non è stata specificata alcuna route. **Tipo di dati Parquet: ** INT\$164 | 6 |
| packets-lost-blackhole | I pacchetti sono andati persi a causa di un buco nero. **Tipo di dati Parquet: ** INT\$164 | 6 |
| packets-lost-mtu-exceeded | I pacchetti sono andati persi a causa delle dimensioni che superano la MTU. **Tipo di dati Parquet: ** INT\$164 | 6 |
| packets-lost-ttl-expired | I pacchetti persi a causa della scadenza di. time-to-live **Tipo di dati Parquet: ** INT\$164 | 6 |
| tcp-flags | Il valore bitmask per i seguenti flag TCP: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/vpc/latest/tgw/tgw-flow-logs.html) Quando una voce del log di flusso è composta solo da pacchetti ACK, il valore del flag è 0, non 16. Per informazioni generali sui flag TCP (come il significato di flag come FIN, SYN e ACK), consulta [Struttura del segmento TCP](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure) su Wikipedia. I flag TCP sono introdotti da un operatore OR durante l’intervallo di aggregazione. Per le connessioni brevi, i flag possono essere impostati sulla stessa riga nel record del log di flusso, ad esempio 19 per SYN-ACK e FIN e 3 per SYN e FIN. **Tipo di dati parquet:** INT\$132 | 3 |
| region | La Regione che contiene il gateway di transito in cui viene registrato il traffico. **Tipo di dati parquet:** STRING | 4 |
| flow-direction | La direzione del flusso rispetto all’interfaccia in cui viene catturato il traffico. I valori possibili sono: ingress \$1 egress. **Tipo di dati parquet:** STRING | 5 |
| pkt-src-aws-service | Il nome del sottoinsieme di [indirizzi IP indica srcaddr se l'indirizzo](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) IP di origine è per un AWS servizio. I valori possibili sono: AMAZON \$1 AMAZON\$1APPFLOW \$1 AMAZON\$1CONNECT \$1 API\$1GATEWAY \$1 CHIME\$1MEETINGS \$1 CHIME\$1VOICECONNECTOR \$1 CLOUD9 \$1 CLOUDFRONT \$1 CODEBUILD \$1 DYNAMODB \$1 EBS \$1 EC2 \$1 EC2\$1INSTANCE\$1CONNECT \$1 GLOBALACCELERATOR \$1 KINESIS\$1VIDEO\$1STREAMS \$1 ROUTE53 \$1 ROUTE53\$1HEALTHCHECKS \$1 ROUTE53\$1HEALTHCHECKS\$1PUBLISHING \$1 ROUTE53\$1RESOLVER \$1 S3 \$1 WORKSPACES\$1GATEWAYS. **Tipo di dati parquet:** STRING | 5 |
| pkt-dst-aws-service | Il nome del sottoinsieme di intervalli di indirizzi IP per il dstaddr campo, se l'indirizzo IP di destinazione è per un AWS servizio. Per un elenco di possibili valori, consulta il campo pkt-src-aws-service.Tipo di dati parquet: STRING | 5 |
## Controllo dell'utilizzo dei log di flusso
Per impostazione predefinita, gli utenti non dispongono dell’autorizzazione per utilizzare log di flusso. Puoi creare una policy dell'utente che concede agli utenti le autorizzazioni per creare, descrivere ed eliminare log di flusso. Per ulteriori informazioni, consulta la sezione relativa alla [Concessione agli utenti IAM delle autorizzazioni richieste per risorse di Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html) nella *Guida di riferimento alle API di Amazon EC2*.
Di seguito è riportata una policy di esempio che concede agli utenti autorizzazioni complete per creare, descrivere ed eliminare log di flusso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
È necessaria una configurazione aggiuntiva dei ruoli e delle autorizzazioni IAM, a seconda che tu stia pubblicando su CloudWatch Logs o Amazon S3. Per ulteriori informazioni, consultare [AWS Transit Gateway Flow registra i record in Amazon CloudWatch Logs](flow-logs-cwl.md) e [AWS Transit Gateway Flow registra i record in Amazon S3](flow-logs-s3.md).
## Prezzi dei log di flusso di Transit Gateway
Gli addebiti per l'importazione dei dati e l'archiviazione per i log distribuiti vengono applicati quando si pubblicano i log di flusso del gateway di transito. **Per ulteriori informazioni sui prezzi per la pubblicazione dei log venduti, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), quindi, in **Livello a pagamento**, seleziona **Log e trova Vended Logs.****
# Creare o aggiornare un ruolo IAM per AWS Transit Gateway Flow Logs
È possibile aggiornare un ruolo esistente o utilizzare la procedura seguente per creare un nuovo ruolo da utilizzare con i log di flusso utilizzando la AWS Identity and Access Management console.
**Per creare un ruolo IAM per i log di flusso**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione seleziona **Ruoli**, quindi **Crea ruolo**.
1. In **Seleziona tipo di entità attendibile**, scegli **Servizio AWS **. Per **Use case (Caso d'uso)**, selezionare **EC2**. Scegli **Next (Successivo)**.
1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), scegli **Next: Tags** (Successivo: Tag) e aggiungi facoltativamente i tag. Scegli **Next (Successivo)**.
1. **Nella pagina Nome, rivedi e crea, inserisci un nome per il tuo ruolo e, facoltativamente, fornisci una Descrizione.** Scegli **Crea ruolo**.
1. Scegli il nome del ruolo. In **Add permissions** (Aggiungi autorizzazioni), scegli **Create inline policy** (Crea policy in linea), quindi seleziona la scheda **JSON**.
1. Copiare la prima policy da [Ruoli IAM per la pubblicazione dei log di flusso in Logs CloudWatch](flow-logs-cwl.md#flow-logs-iam) e incollarla nella finestra. Scegliere **Review policy (Esamina policy)**.
1. Immettere un nome per la policy e scegliere **Create policy (Crea policy)**.
1. Selezionare il nome del ruolo. In **Trust Relationships (Relazioni di trust)**, scegliere **Edit Trust Relationship (Modifica relazione di trust)**. Nel documento di policy esistente, cambiare il servizio da `ec2.amazonaws.com` a `vpc-flow-logs.amazonaws.com`. Selezionare **Update Trust Policy (Aggiorna policy di trust)**.
1. Nella pagina **Summary (Riepilogo)**, prendere nota dell'ARN per il ruolo. Questo ARN sarà necessario al momento della creazione del log di flusso.
# AWS Transit Gateway Flow registra i record in Amazon CloudWatch Logs
I log di flusso possono pubblicare i dati dei log di flusso direttamente su Amazon CloudWatch.
Quando vengono pubblicati su CloudWatch Logs, i dati del log di flusso vengono pubblicati in un gruppo di log e ogni gateway di transito ha un flusso di log unico nel gruppo di log. I flussi di log contengono record del log di flusso. Puoi creare più log di flusso che pubblicano dati nello stesso gruppo di log. Se lo stesso gateway di transito è presente in uno o più registri di flusso nello stesso gruppo di flussi di log, esso dispone di un flusso di log combinato. Se è stato specificato che un log di flusso deve acquisire traffico rifiutato e l’altro log di flusso deve acquisire traffico accettato, il flusso di log combinato acquisisce tutto il traffico.
I costi di inserimento e archiviazione dei dati per i log venduti si applicano quando si pubblicano i log di flusso su Logs. CloudWatch Per ulteriori informazioni, consulta la pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing/).
In CloudWatch Logs, il campo **timestamp** corrisponde all'ora di inizio registrata nel record del log di flusso. Il campo **IngestionTime** fornisce la data e l'ora in cui il record del log di flusso è stato ricevuto da Logs. CloudWatch Questo timestamp è successivo all'ora di fine acquisita nel record del log di flusso.
Per ulteriori informazioni sui CloudWatch log, consulta Logs [sent to Logs nella *Amazon CloudWatch CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) User Guide.
**Topics**
+ [Ruoli IAM per la pubblicazione dei log di flusso in Logs CloudWatch](#flow-logs-iam)
+ [Autorizzazioni per gli utenti IAM per passare un ruolo](#flow-logs-iam-user)
+ [Crea un Flow Log da pubblicare su Logs CloudWatch](flow-logs-cwl-create-flow-log.md)
+ [Visualizza i record di Flow Logs](view-flow-log-records.md)
+ [Record di Process Flow Log](process-records-cwl.md)
## Ruoli IAM per la pubblicazione dei log di flusso in Logs CloudWatch
Il ruolo IAM associato al log di flusso deve disporre di autorizzazioni sufficienti per pubblicare i log di flusso nel gruppo di log specificato in Logs. CloudWatch Il ruolo IAM deve appartenere al tuo. Account AWS
La policy IAM collegata al ruolo IAM deve includere almeno le autorizzazioni seguenti:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Accertarti inoltre che il ruolo disponga di una relazione di trust che consenta al servizio log di flusso di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Si consiglia di utilizzare il le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Ad esempio, è possibile aggiungere il seguente blocco di condizione alla policy di attendibilità precedente. L’account di origine è il proprietario del flusso di log e l’ARN di origine è l’ARN del flusso di log. Se non si conosce l’ID del flusso di log, è possibile sostituire quella parte dell’ARN con un carattere jolly (\$1) e quindi aggiornare la policy dopo aver creato il flusso di log.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Autorizzazioni per gli utenti IAM per passare un ruolo
Gli utenti devono anche disporre delle autorizzazioni per utilizzare l'operazione `iam:PassRole` per il ruolo IAM associato al log di flusso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
# Crea un record AWS Transit Gateway Flow Logs da pubblicare su Amazon CloudWatch Logs
È possibile creare registri di flusso per i gateway di transito. Se si esegue questa procedura come utente IAM, assicurarsi di disporre delle autorizzazioni per utilizzare l'operazione `iam:PassRole`. Per ulteriori informazioni, consulta [Autorizzazioni per gli utenti IAM per passare un ruolo](flow-logs-cwl.md#flow-logs-iam-user).
Puoi creare un log di CloudWatch flusso Amazon utilizzando la console Amazon VPC o la CLI AWS .
**Per creare un log di flusso del gateway di transito utilizzando la console**
1. Accedi Console di gestione AWS e apri la console Amazon VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Nel riquadro di navigazione selezionare **Transit gateways (Gateway di transito)**.
1. Scegli le caselle di controllo per uno o più gateway di transito e scegli **Azioni**, **Crea** log di flusso.
1. Per **Destinazione**, scegli **Invia ai registri. CloudWatch**
1. Per **Gruppo di log di destinazione**, scegli il nome di un gruppo di log di destinazione corrente.
**Nota**
Se il gruppo di log di destinazione non esiste ancora, l'inserimento di un nuovo nome in questo campo creerà un nuovo gruppo di log di destinazione.
1. Per il **ruolo IAM**, specifica il nome del ruolo che dispone delle autorizzazioni per pubblicare i log in Logs. CloudWatch
1. Per **Formato record di log**, seleziona il formato per il record del log di flusso.
+ Per utilizzare il formato del record di log di flusso predefinito, seleziona **Formato predefinito AWS **.
+ Per utilizzare un formato personalizzato, scegli **Formato personalizzato**, quindi seleziona i campi da **Formato di log** .
1. (Facoltativo) Seleziona **Aggiungi tag** per applicare i tag al log di flusso.
1. Selezionare **Create flow log (Crea log di flusso)**.
**Per creare un log di flusso utilizzando la riga di comando**
Utilizzare uno dei seguenti comandi.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
L' AWS CLI esempio seguente crea un log di flusso che acquisisce le informazioni sul gateway di transito. I log di flusso vengono consegnati a un gruppo di log in CloudWatch Logs chiamato`my-flow-logs`, nell'account 123456789101, utilizzando il ruolo IAM. `publishFlowLogs`
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# Visualizza i record dei log di AWS Transit Gateway Flow in Amazon CloudWatch
Puoi visualizzare i record dei log di flusso utilizzando la console CloudWatch Logs o la console Amazon S3, a seconda del tipo di destinazione scelto. Dopo che il flusso di log è stato creato, potrebbero essere necessari alcuni minuti prima che sia visibile nella console.
**Per visualizzare i record dei log di flusso pubblicati su Logs CloudWatch**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel riquadro di navigazione, scegliere **Logs (Log)** e selezionare il gruppo di log contenente il log di flusso. Viene mostrato un elenco di flussi di log per ogni gateway di transito.
1. Selezionare il flusso di log contenente l'ID del gateway di transito per il quale si desidera visualizzare i record del registro di flusso. Per ulteriori informazioni, consulta [Log di flusso del gateway di transito](tgw-flow-logs.md#flow-log-records).
# Elaborazione dei record di AWS Transit Gateway Flow Logs in Amazon CloudWatch Logs
È possibile utilizzare i record del log di flusso come con qualsiasi altro evento di registro raccolto da CloudWatch Logs. Per ulteriori informazioni sul monitoraggio dei dati di log e sui filtri delle metriche, consulta [Creazione di metriche dagli eventi di registro utilizzando i filtri](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) nella *Amazon CloudWatch User Guide*.
## Esempio: crea un filtro CloudWatch metrico e un allarme per un log di flusso
In questo esempio, si dispone di un log di flusso per `tgw-123abc456bca`. Si desidera creare un allarme che avvisa se si sono verificati almeno 10 tentativi di connessione all’istanza sulla porta TCP 22 (SSH) entro un periodo di tempo di 1 ora. Innanzitutto, crea un filtro parametri che corrisponde al modello di traffico per il quale creare l’allarme. Quindi, puoi creare un allarme per il filtro parametri.
**Per creare il filtro parametri per traffico SSH rifiutato e creare un allarme per il filtro**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione a sinistra, scegli **Log**, **Gruppi di log**.
1. Seleziona la casella di controllo per il gruppo di log, quindi scegli **Azioni**, **Crea filtro metrico**.
1. Per **Filter Pattern (Modello di filtro)**, immettere quanto segue.
```
[version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Per **Select Log Data to Test** (Seleziona i dati di registro per il test), seleziona il flusso di log per il gateway di transito. (Facoltativo) Per visualizzare le righe di dati di log che corrispondono al modello di filtro, scegli **Test Pattern (Modello di test)**. Al termine, scegli **Next (Successivo)**.
1. Inserisci un nome per il filtro, uno spazio dei nomi dei parametri e il nome del parametro. Imposta il valore del parametro su **1**. Al termine, scegli **Next (Successivo)** e in seguito **Create metric filter (Crea filtri parametri)**.
1. Nel pannello di navigazione, seleziona **Alarms (Allarmi)**, **All alarms (Tutti gli allarmi)**.
1. Scegli **Crea allarme**.
1. Scegli lo spazio dei nomi per il filtro parametri che hai creato.
Per visualizzare il nuovo parametro nella console potrebbero essere necessari alcuni minuti.
1. Seleziona il nome del parametro creato e scegli **Next (Successivo)**.
1. Configura l’allarme come segue, quindi scegli **Next (Successivo)**:
+ Per **Statistic (Statistica)**, scegliere **Sum (Somma)**. Ciò ti garantisce di acquisire il numero totale di punti di dati per il periodo di tempo specificato.
+ Per **Period (Periodo)**, scegli **1 Hour (1 ora)**.
+ Per **Whenever (Ogni volta che) **, scegli **Greater/Equal (Maggiore di/Uguale a)** e inserisci **10** come soglia.
+ In **Additional configuration** (Configurazione aggiuntiva), per **Datapoints to alarm** (Punti dati per allarme) lascia il valore predefinito **1**.
1. Per **Notification** (Notifica), scegli un argomento SNS esistente oppure scegli **Create new topic** (Crea nuovo argomento) per crearne uno nuovo. Scegli **Next (Successivo)**.
1. Inserisci un nome e una descrizione per l'allarme, quindi scegli **Next (Successivo)**.
1. Al termine della configurazione dell'allarme, scegli **Create alarm (Crea allarme)**.
# AWS Transit Gateway Flow registra i record in Amazon S3
I log di flusso possono pubblicare dati di log di flusso in Amazon S3.
Durante la pubblicazione in Amazon S3, i dati del log di flusso vengono pubblicati in un bucket Amazon S3 esistente specificato. I record del log di flusso per tutti i gateway di transito monitorati vengono pubblicati in una serie di oggetti file di log che sono archiviati nel bucket.
I costi di inserimento e archiviazione dei dati vengono applicati ai log venduti quando si pubblicano Amazon CloudWatch i log di flusso su Amazon S3. **Per ulteriori informazioni sui CloudWatch prezzi dei registri venduti, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), scegli **Logs**, quindi trova Vended Logs.**
Per creare un bucket Amazon S3 da utilizzare con i flussi di log, consulta [Creazione di un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) nella *Guida per l’utente di Amazon S3*.
Per ulteriori informazioni sulla registrazione di più account, consulta [Registrazione central](https://aws.amazon.com/solutions/implementations/centralized-logging/)e nella libreria di soluzioni di AWS .
Per ulteriori informazioni sui CloudWatch log, consulta [Logs sent to Amazon S3 nella Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) Logs User *Guide CloudWatch *.
**Topics**
+ [File di log di flusso](#flow-logs-s3-path)
+ [Policy IAM per le entità IAM che pubblicano i log di flusso in Amazon S3](#flow-logs-s3-iam)
+ [Autorizzazioni dei bucket Amazon S3 per log di flusso](#flow-logs-s3-permissions)
+ [Policy di chiave richiesta per l'uso con SSE-KMS](#flow-logs-s3-cmk-policy)
+ [Autorizzazioni del file di log Amazon S3](#flow-logs-file-permissions)
+ [Crea il ruolo dell'account di origine](flowlog-s3-create-source.md)
+ [Crea un log di flusso da pubblicare su Amazon S3](flowlog-s3-create.md)
+ [Visualizza i record di Flow Logs](view-flow-log-records-s3.md)
+ [Record di AWS Transit Gateway Flow Logs elaborati in Amazon S3](#process-records-s3)
## File di log di flusso
Log di flusso VPC è una caratteristica che raccoglie record di log di flusso, li consolida in file di log e pubblica questi ultimi nel bucket Amazon S3 a intervalli di cinque minuti. Ogni file di log contiene record di log di flusso per il traffico IP registrato nei cinque minuti precedenti.
Le dimensioni file massime per un file di log sono di 75 MB. Se il file di log raggiunge le dimensioni massime previste entro il periodo di 5 minuti, il log di flusso smette di aggiungervi record. Pubblica il file di log nel bucket Amazon S3 e crea un nuovo file di log.
In Amazon S3, il campo **Last modified** (Ultima modifica) per il file di log di flusso indica la data e l'ora in cui il file è stato caricato nel bucket Amazon S3. Questa è successiva al timestamp nel nome del file e differisce per il tempo impiegato per caricare il file nel bucket Amazon S3.
**Formato dei file di log**
Per i file di log, puoi specificare uno dei seguenti formati. Ciascun file viene compresso in un singolo file Gzip.
+ **Text**: Testo normale. Questo è il formato predefinito.
+ **Parquet**: Apache Parquet è un formato dati colonnare. Le query sui dati in formato Parquet sono da 10 a 100 volte più veloci, rispetto alle query sui dati in testo normale. I dati in formato Parquet con compressione Gzip occupano il 20% di spazio di archiviazione in meno, rispetto al testo normale con compressione Gzip.
**Opzioni di file di log**
È inoltre possibile specificare le seguenti opzioni.
+ **Hive-compatible S3 prefixes (Prefissi S3 compatibili con Hive)**: Abilita i prefissi compatibili con Hive invece di importare partizioni negli strumenti compatibili. Prima di eseguire query, utilizza il comando **MSCK REPAIR TABLE**.
+ **Hourly partitions (Partizioni orarie)**: se disponi di un grande volume di registri e di solito indirizzi le query a un’ora specifica, partizionando i log su base oraria puoi ottenere risultati più rapidi e risparmiare sui costi delle query.
**Struttura del bucket S3 dei file di log**
I file di log vengono salvati nel bucket Amazon S3; utilizzando una struttura di cartelle determinata dall’ID del flusso di log, dalla Regione e dalla loro data di creazione.
Per impostazione predefinita, i file vengono recapitati alla seguente posizione.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Se abiliti i prefissi S3 compatibili con Hive, i file vengono recapitati nella seguente posizione.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Se abiliti le partizioni orarie, i file vengono recapitati nella seguente posizione.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Se abiliti le partizioni compatibili con Hive e partizioni il flusso di log per ora, i file vengono recapitati nella posizione seguente.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nome del file di log**
Il nome di un file di log si basa sull’ID del flusso di log, sulla Regione e sulla data e ora di creazione. I nomi file utilizzano il formato seguente.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Ad esempio, di seguito viene mostrata la struttura di cartelle e il nome di un file di log per un flusso di log creato dall' Account AWS 123456789012, per una risorsa nella Regione us-east-1 su June 20, 2018 in 16:20 UTC. Il file contiene i registri dei flussi di log con un'ora di fine tra 16:20:00 e 16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
## Policy IAM per le entità IAM che pubblicano i log di flusso in Amazon S3
Il principale IAM che crea il log di flusso deve disporre delle autorizzazioni seguenti, necessarie per pubblicare log di flusso nel bucket Amazon S3 di destinazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
## Autorizzazioni dei bucket Amazon S3 per log di flusso
Per impostazione predefinita, i bucket Amazon S3 e gli oggetti che contengono sono privati. Solo il proprietario del bucket può accedere al bucket e agli oggetti in esso archiviati. Il proprietario del bucket, tuttavia, può concedere l’accesso ad altre risorse e ad altri utenti scrivendo una policy di accesso.
Se l’utente che crea il flusso di log è il proprietario del bucket e ha le autorizzazioni `PutBucketPolicy` e `GetBucketPolicy` per il bucket, verrà automaticamente allegata la seguente policy al bucket. Questa nuova policy generata automaticamente viene aggiunta alla policy originale.
In caso contrario, il proprietario del bucket deve aggiungere tale policy al bucket, specificando l'ID dell' Account AWS del creatore del flusso di log o la creazione del flusso di log fallirà. Per ulteriori informazioni, consulta le [politiche di Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
L'ARN specificato *my-s3-arn* dipende dall'utilizzo o meno di prefissi S3 compatibili con Hive.
+ Prefissi di default
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Prefissi S3 compatibili con Hive
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Come procedura ottimale, si consiglia di concedere queste autorizzazioni al responsabile del servizio di consegna dei log anziché al singolo individuo. Account AWS ARNs Una best practice è anche usare le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal [problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). L’account di origine è il proprietario del flusso di log e l’ARN di origine è l’ARN jolly (\$1) del servizio log.
## Policy di chiave richiesta per l'uso con SSE-KMS
Puoi proteggere i dati nel tuo bucket Amazon S3 abilitando la crittografia lato server con Amazon S3 Managed Keys (SSE-S3) o la crittografia lato server con chiavi archiviate in KMS (SSE-KMS). Per ulteriori informazioni, consulta [Protezione dei dati con la crittografia lato server](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) nella *Guida per l’utente di Amazon S3*.
Con SSE-KMS, puoi utilizzare una chiave gestita o una chiave AWS gestita dal cliente. Con una chiave AWS gestita, non è possibile utilizzare la consegna tra account. I log di flusso vengono recapitati dall'account di recapito del log, pertanto è necessario concedere l'accesso per la consegna tra account. Per concedere l'accesso tra account al tuo bucket S3, usa una chiave gestita dal cliente e specifica l'Amazon Resource Name (ARN) della chiave gestita dal cliente quando abiliti la crittografia del bucket. Per ulteriori informazioni, consulta [Specifica della crittografia lato server con AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) nella *Guida per l'utente di Amazon S3*.
Quando utilizzi SSE-KMS con una chiave gestita dal cliente, dovrai aggiungere quanto segue alla policy di chiavi per la tua chiave (non la policy di bucket per il bucket S3), in modo che i flussi di log del VPC possano scrivere nel bucket S3.
**Nota**
L'utilizzo di S3 Bucket Keys ti consente di risparmiare sui AWS Key Management Service (AWS KMS) costi delle richieste diminuendo le richieste alle AWS KMS operazioni di crittografia e decrittografia tramite l'uso di una chiave a livello di bucket. GenerateDataKey In base alla progettazione, le richieste successive che sfruttano questa chiave a livello di bucket non generano richieste API né convalidano l'accesso in AWS KMS base alla policy della chiave. AWS KMS
```
{
"Sid": "Allow Transit Gateway Flow Logs to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Autorizzazioni del file di log Amazon S3
Oltre alle policy dei bucket richieste, Amazon S3 utilizza le liste di controllo degli accessi ACLs () per gestire l'accesso ai file di registro creati da un log di flusso. Per impostazione predefinita, il proprietario del bucket dispone di autorizzazioni `FULL_CONTROL` su ogni file di log. Il proprietario della distribuzione dei log, se diverso dal proprietario del bucket, non dispone di autorizzazioni. L’account di distribuzione dei log dispone delle autorizzazioni `READ` e `WRITE`. Per ulteriori informazioni, consulta la [panoramica dell'elenco di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
# Creare il ruolo dell'account di origine AWS Transit Gateway Flow Logs per Amazon S3
Dall'account di origine, crea il ruolo di origine nella AWS Identity and Access Management console.
**Creazione del ruolo dell’account di origine**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:
1. Scegli **JSON**.
1. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.
1. Scegli **Next: Tags** (Successivo: Tag) e **Next: Review** (Successivo: Rivedi).
1. Immetti un nome per la policy e una descrizione facoltativa, quindi scegli **Create policy** (Crea policy).
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Custom trust policy** (Policy di attendibilità personalizzata). Per **Custom trust policy** (Policy di attendibilità personalizzata), sostituisci `"Principal": {},` con quanto segue, che specifica il servizio di consegna dei log. Scegli **Next (Successivo)**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Sulla pagina **Add permissions** (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli **Next** (Successivo).
1. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
1. Seleziona **Create role** (Crea ruolo).
# Crea un record AWS Transit Gateway Flow Logs da pubblicare su Amazon S3
Dopo aver creato e configurato il bucket Amazon S3, è possibile creare registri di flusso per i gateway di transito. Puoi creare un log di flusso Amazon S3 utilizzando la console Amazon VPC o l'interfaccia a riga di comando. AWS
**Creare un log di flusso del gateway di transito che pubblichi in Amazon S3 utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegliere **Transit Gateway** (Gateway di transito) o **Transit Gateway Attachments** (Collegamenti del gateway di transito alla VPN).
1. Selezionare le caselle di controllo per uno o più gateway di transito o collegamenti del gateway di transito alla VPN.
1. Scegli **Actions (Operazioni)**, **Create flow log (Crea flusso di log)**.
1. Configura le impostazioni del flusso di log. Per ulteriori informazioni, consulta [Come configurare le impostazioni del flusso di log](#configure-flow-log).
**Configurazione delle impostazioni del flusso di log utilizzando la console**
1. Per **Destination (Destinazione)**, scegli **Send to an S3 bucket (Invia a un bucket S3)**.
1. Per **S3 bucket ARN (ARN bucket S3)**, specificare il nome della risorsa Amazon (ARN) di un bucket Amazon S3 esistente. Puoi anche includere una sottocartella. Ad esempio, per specificare una sottocartella denominata `my-logs` in un bucket denominato `my-bucket`, utilizzare il seguente ARN:
`arn:aws::s3:::my-bucket/my-logs/`
Il bucket non può utilizzare `AWSLogs` come nome di sottocartella, in quanto si tratta di un termine riservato.
Se si è il proprietario del bucket, noi creiamo automaticamente una policy delle risorse e la colleghiamo al bucket. Per ulteriori informazioni, consulta [Autorizzazioni dei bucket Amazon S3 per log di flusso](flow-logs-s3.md#flow-logs-s3-permissions).
1. Per **Log record format (Formato registro di log)**, seleziona il formato per il registro del flusso di log.
+ Per utilizzare il formato di record di log di flusso predefinito, seleziona **Formato predefinito AWS **.
+ Per creare un formato personalizzato, scegliere **Custom format (Formato personalizzato)**. Per **Log format (Formato log)**, scegliere i campi da includere nel record di log di flusso.
1. Per **Log file format (Formato dei file di log)**, specifica il formato per il file di log.
+ **Text**: Testo normale. Questo è il formato predefinito.
+ **Parquet**: Apache Parquet è un formato dati colonnare. Le query sui dati in formato Parquet sono da 10 a 100 volte più veloci, rispetto alle query sui dati in testo normale. I dati in formato Parquet con compressione Gzip occupano il 20% di spazio di archiviazione in meno, rispetto al testo normale con compressione Gzip.
1. (Facoltativo) Per utilizzare prefissi S3 compatibili con Hive, scegli **Hive-compatible S3 prefix (Prefisso S3 compatibile con Hive)**,**Enable (Abilita)**.
1. (Facoltativo) Per partizionare i flussi di log per ora, scegli **Every 1 hour (60 mins) Ogni ora (60 minuti)**.
1. (Facoltativo) Per aggiungere un tag al flusso di log, scegli **Add new tag (Aggiungi nuovo tag)** e specifica la chiave e il valore del tag.
1. Selezionare **Create flow log (Crea log di flusso)**.
**Per creare un log di flusso che pubblica in Amazon S3 utilizzando uno strumento a riga di comando**
Utilizzare uno dei seguenti comandi.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico del gateway di transito per `tgw-00112233344556677` VPC e consegna i log di flusso a un bucket Amazon S3 chiamato. `flow-log-bucket` Il parametro `--log-format` specifica un formato personalizzato per i record di log di flusso.
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-00112233344556677 --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/'
```
# Visualizza i record dei log di flusso del AWS Transit Gateway in Amazon S3
**Per visualizzare i record del log di flusso pubblicati in Amazon S3**
1. Apri la console Amazon S3 all'indirizzo. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Per **Bucket name (Nome bucket)**, selezionare il bucket in cui vengono pubblicati i log di flusso.
1. Per **Nome**, seleziona la casella di controllo accanto al file di registro. Nel pannello di panoramica dell'oggetto, scegliere **Download (Scarica)**.
## Record di AWS Transit Gateway Flow Logs elaborati in Amazon S3
I file di log sono compressi. Se si aprono i file di log utilizzando la console Amazon S3, vengono decompressi e i record del log di flusso visualizzati. Se i file vengono scaricati, devono essere decompressi per visualizzare i record del log di flusso.
# AWS Transit Gateway, record di Flow Logs in Amazon Data Firehose
**Topics**
+ [Ruoli IAM per la consegna tra account](#flow-logs-kinesis-iam)
+ [Crea il ruolo dell'account di origine](flowlog-fh-create-source.md)
+ [Crea il ruolo dell'account di destinazione](flowlog-fh-create-destination.md)
+ [Creare un log di flusso da pubblicare su Firehose](flow-logs-kinesis-create.md)
I log di flusso possono pubblicare i dati dei log di flusso direttamente su Firehose. Puoi scegliere di pubblicare i log di flusso sullo stesso account del monitor delle risorse o su un altro account.
**Prerequisiti**
Durante la pubblicazione su Firehose, i dati del log di flusso vengono pubblicati in un flusso di distribuzione Firehose, in formato testo semplice. È innanzitutto necessario aver creato un flusso di distribuzione Firehose. Per i passaggi per creare un flusso di distribuzione, consulta [Creating an Amazon Data Firehose Delivery Stream nella *Amazon Data Firehose*](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) Developer Guide.
**Prezzi**
Si applicano le spese standard di acquisizione e consegna. Per ulteriori informazioni, apri [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), seleziona **Logs** e trova **Vending Logs.**
## Ruoli IAM per la consegna tra account
Quando si pubblica su Kinesis Data Firehose, è possibile scegliere un flusso di consegna che si trova nello stesso account della risorsa da monitorare (l'account di origine) o in un altro account (l'account di destinazione). Per consentire la consegna dei log di flusso su più account a Firehose, è necessario creare un ruolo IAM nell'account di origine e un ruolo IAM nell'account di destinazione.
**Topics**
+ [Ruolo dell’account di origine](#flow-logs-kinesis-iam-role-source)
+ [Ruolo dell’account di destinazione](#flow-logs-kinesis-iam-role-destination)
### Ruolo dell’account di origine
Nell’account di origine, crea un ruolo che conceda le seguenti autorizzazioni. In questo esempio, il nome del ruolo è `mySourceRole` ma è possibile scegliere un nome diverso. L’ultima istruzione consente al ruolo nell’account di destinazione di assumere questo ruolo. Le istruzioni sulle condizioni assicurano che questo ruolo venga passato solo al servizio di consegna dei log e solo durante il monitoraggio della risorsa specificata. Quando crei la tua policy, specifica le VPCs interfacce di rete o le sottoreti che stai monitorando con la chiave di condizione. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Verifica che questo ruolo abbia la seguente policy di attendibilità che consente al servizio di consegna dei log di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Ruolo dell’account di destinazione
Nell'account di destinazione, crea un ruolo con un nome che inizia con **AWSLogDeliveryFirehoseCrossAccountRole**. Questo ruolo deve concedere le autorizzazioni riportate di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Assicurarsi che questo ruolo abbia la seguente policy di attendibilità, che consenta al ruolo creato nell’account di origine di assumere questo ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Creare il ruolo dell'account di origine AWS Transit Gateway Flow Logs per Amazon Data Firehose
Dall'account di origine, crea il ruolo di origine nella AWS Identity and Access Management console.
**Creazione del ruolo dell’account di origine**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:
1. Scegli **JSON**.
1. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.
1. Scegli **Next: Tags** (Successivo: Tag) e **Next: Review** (Successivo: Rivedi).
1. Immetti un nome per la policy e una descrizione facoltativa, quindi scegli **Create policy** (Crea policy).
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Custom trust policy** (Policy di attendibilità personalizzata). Per **Custom trust policy** (Policy di attendibilità personalizzata), sostituisci `"Principal": {},` con quanto segue, che specifica il servizio di consegna dei log. Scegli **Next (Successivo)**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Sulla pagina **Add permissions** (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli **Next** (Successivo).
1. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
1. Seleziona **Create role** (Crea ruolo).
# Creare il ruolo dell'account di destinazione AWS Transit Gateway Flow Logs per Amazon Data Firehose
Dall'account di destinazione, crea il ruolo di destinazione nella AWS Identity and Access Management console.
**Creazione del ruolo dell’account di destinazione**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Policy**.
1. Scegli **Create Policy** (Crea policy).
1. Nella pagina Create policy (Crea policy), eseguire le operazioni seguenti:
1. Scegli **JSON**.
1. Sostituisci il contenuto di questa finestra con la policy delle autorizzazioni all'inizio di questa sezione.
1. Scegli **Next: Tags** (Successivo: Tag) e **Next: Review** (Successivo: Rivedi).
1. Inserisci un nome per la tua policy che inizia con **AWSLogDeliveryFirehoseCrossAccountRole**, quindi scegli **Crea policy**.
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per **Trusted entity type** (Tipo di entità attendibile), scegli **Custom trust policy** (Policy di attendibilità personalizzata). Per **Custom trust policy** (Policy di attendibilità personalizzata), sostituisci `"Principal": {},` con quanto segue, che specifica il servizio di consegna dei log. Scegli **Next (Successivo)**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. Sulla pagina **Add permissions** (Aggiungi autorizzazioni), seleziona la casella di controllo relativa alla policy creata in precedenza in questa procedura, quindi scegli **Next** (Successivo).
1. Immetti un nome per il ruolo e fornisci una descrizione facoltativa.
1. Seleziona **Create role** (Crea ruolo).
# Crea un record AWS Transit Gateway Flow Logs da pubblicare su Amazon Data Firehose
Crea un Transit Gateway Flow Log da pubblicare su Amazon Data Firehose. Prima di creare il log di flusso, assicurati di aver impostato i ruoli dell'account IAM di origine e di destinazione per la distribuzione tra account e di aver creato il flusso di distribuzione Firehose. Per ulteriori informazioni, consulta [Registri di flusso di Amazon Data Firehose](flow-logs-kinesis.md). È possibile creare un log di flusso Firehose utilizzando la console Amazon VPC o la CLI. AWS
**Per creare un log di flusso del gateway di transito da pubblicare su Firehose utilizzando la console**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegliere **Transit Gateway** (Gateway di transito) o **Transit Gateway Attachments** (Collegamenti del gateway di transito alla VPN).
1. Selezionare le caselle di controllo per uno o più gateway di transito o collegamenti del gateway di transito alla VPN.
1. Scegli **Actions (Operazioni)**, **Create flow log (Crea flusso di log)**.
1. Per **Destination** (Destinazione), scegli **Send to a Firehose Delivery System** (Invia a un sistema di consegna Firehose).
1. Per **Firehose Delivery Stream ARN** (ARN flusso di consegna Firehose), scegli l'ARN di un flusso di consegna che hai creato dove deve essere pubblicato il log di flusso.
1. Per **Log record format (Formato registro di log)**, seleziona il formato per il registro del flusso di log.
+ Per utilizzare il formato di record di log di flusso predefinito, seleziona **Formato predefinito AWS **.
+ Per creare un formato personalizzato, scegliere **Custom format (Formato personalizzato)**. Per **Log format (Formato log)**, scegliere i campi da includere nel record di log di flusso.
1. (Facoltativo) Per aggiungere un tag al flusso di log, scegli **Add new tag (Aggiungi nuovo tag)** e specifica la chiave e il valore del tag.
1. Selezionare **Create flow log (Crea log di flusso)**.
**Per creare un log di flusso da pubblicare su Firehose utilizzando lo strumento da riga di comando**
Utilizzare uno dei seguenti comandi:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (CLI)AWS
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
Il seguente esempio AWS CLI crea un log di flusso che acquisisce le informazioni sul gateway di transito e invia il log di flusso al flusso di distribuzione Firehose specificato.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids tgw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream
```
Il seguente esempio AWS CLI crea un log di flusso che acquisisce le informazioni sul gateway di transito e invia il log di flusso a un flusso di consegna Firehose diverso dall'account di origine.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids gw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
# Crea e gestisci i log di flusso del AWS Transit Gateway utilizzando APIs o la CLI
Puoi eseguire le attività descritte in questa pagina tramite la riga di comando.
Le seguenti limitazioni si applicano all'utilizzo del comando: [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)
+ `--resource-ids` ha un vincolo massimo di 25 tipi di risorse `TransitGateway` o `TransitGatewayAttachment`.
+ `--traffic-type` non è un campo obbligatorio per impostazione predefinita. Se lo si fornisce per i tipi di risorse del gateway di transito, viene restituito un errore. Questo limite si applica solo ai tipi di risorsa del gateway di transito.
+ `--max-aggregation-interval` ha un valore predefinito di `60`, ed è l'unico valore accettato per i tipi di risorse del gateway di transito. Se si tenta di passare qualsiasi altro valore, viene restituito un errore. Questo limite si applica solo ai tipi di risorsa del gateway di transito.
+ `--resource-type` supporta due nuovi tipi di risorsa, il `TransitGateway` e il `TransitGatewayAttachment`.
+ Se non si impostano i campi che si desiderano includere, `--log-format` include tutti i campi di log per i tipi di risorsa del gateway di transito. Questo vale solo per i tipi di risorse del gateway di transito.
**Creazione di un log di flusso**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Descrizione dei log di flusso**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Visualizzazione dei record del log di flusso (eventi di log)**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [Get- CWLLog Event](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)
**Eliminazione di un log di flusso**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# Visualizza i record dei log del AWS Transit Gateway Flow
Visualizza le informazioni sui log di flusso del tuo gateway di transito tramite Amazon VPC. Quando scegli una risorsa, vengono elencati tutti i log di flusso relativi a quella risorsa. Le informazioni visualizzate includono l'ID del log di flusso, la configurazione del log di flusso e le informazioni relative allo stato del log di flusso.
**Per visualizzare informazioni sui registri di flusso per i gateway di transito**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegliere **Transit Gateway** (Gateway di transito) o **Transit Gateway Attachments** (Collegamenti del gateway di transito alla VPN).
1. Selezionare un gateway di transito o un collegamento del gateway di transito alla VPN e scegliere **Flow Logs** (Registri di flusso). Le informazioni relative ai log di flusso vengono visualizzate nella scheda. La colonna **Destination type (Tipo di destinazione)** indica la destinazione in cui i log di flusso vengono pubblicati.
# Gestione dei AWS tag Transit Gateway Flow Logs
Puoi aggiungere o rimuovere tag per un log di flusso nelle console Amazon EC2 e Amazon VPC.
**Per aggiungere o rimuovere tag per un log di flusso del gateway di transito**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione, scegliere **Transit Gateway** (Gateway di transito) o **Transit Gateway Attachments** (Collegamenti del gateway di transito alla VPN).
1. Selezionare un gateway di transito o un collegamento del gateway di transito alla VPN
1. Scegliere **Manage tags (Gestisci tag)** per il log di flusso richiesto.
1. Per aggiungere un nuovo tag, scegliere **Create Tag (Crea tag)**. Per rimuovere un tag, scegliere il pulsante Elimina (x).
1. Scegli **Save** (Salva).
# Cerca nei record di AWS Transit Gateway Flow Logs
Puoi cercare i record dei log di flusso pubblicati su CloudWatch Logs utilizzando la CloudWatch console Logs. È possibile utilizzare [filtri metrici](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) per filtrare i record del log di flusso. I record del log di flusso sono delimitati da spazio.
**Per cercare i record del log di flusso utilizzando la CloudWatch console Logs**
1. Apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Nel pannello di navigazione scegli **Log**, quindi **Gruppi di log**.
1. Selezionare il gruppo di flussi di log contenente il registro di flusso. Viene mostrato un elenco di flussi di log per ogni gateway di transito.
1. Selezionare il singolo flusso di log se si conosce il gateway di transito che si sta cercando. In alternativa, scegliere **Cerca gruppo di log** per cercare l'intero gruppo di log. Ciò potrebbe richiedere del tempo se nel gruppo di flussi di log sono presenti molti gateway di transito, o in base all'intervallo di tempo selezionato.
1. Per gli **Eventi Filtro**, immettere la stringa seguente. Ciò presuppone che il record del log di flusso utilizzi il [formato predefinito](tgw-flow-logs.md#flow-logs-default).
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Modificare il filtro in base alle esigenze specificando i valori per i campi. Negli esempi seguenti il filtro viene applicato in base a specifici indirizzi IP di origine.
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
L'esempio seguente filtra in base all'ID del gateway di transito tgw-123abc456bca, alla porta di destinazione e al numero di byte.
```
[version, resource_type, account_id,tgw_id=tgw-123abc456bca, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 500,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
# Eliminare un record AWS Transit Gateway Flow Logs
È possibile eliminare un log di flusso del gateway di transito usando la console Amazon VPC.
Queste procedure disabilitano il servizio del log di flusso per una risorsa. L'eliminazione di un log di flusso non elimina i flussi di log esistenti da CloudWatch Logs o i file di log da Amazon S3. I dati del log di flusso esistenti devono essere eliminati utilizzando la rispettiva console del servizio. Inoltre, l'eliminazione di un log di flusso pubblicato su Amazon S3 non rimuove le policy dei bucket e gli elenchi di controllo degli accessi ai file di registro (). ACLs
**Per eliminare un log di flusso del gateway di transito**
1. Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Nel riquadro di navigazione selezionare **Transit gateways (Gateway di transito)**.
1. Scegliere un **Transit gateway ID** (ID gateway di transito).
1. Nella sezione Flow logs (Registri di flusso), scegliere i registri di flusso che si desiderano eliminare.
1. Scegliere **Actions** (Operazioni), quindi scegliere **Delete flow logs** (Elimina registri di flusso).
1. Confermare che si desidera eliminare il flusso scegliendo **Delete** (Elimina).