Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Crea un log di flusso da pubblicare su Logs CloudWatch È possibile creare log di flusso per VPC, sottoreti o interfacce di rete. Se esegui questa procedura come utente che utilizza un particolare ruolo IAM, assicurati che il ruolo disponga delle autorizzazioni per utilizzare l’operazione `iam:PassRole`. **Prerequisito** Verifica che il principale IAM che stai utilizzando per effettuare la richiesta disponga delle autorizzazioni per richiamare l’operazione `iam:PassRole`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::{{111122223333}}:role/{{flow-log-role-name}}" } ] } ``` ------ **Creazione di un flusso di log tramite la console** 1. Esegui una delle seguenti operazioni: + Apri la console Amazon EC2 all'indirizzo [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/). Nel riquadro di navigazione, selezionare **Network Interfaces (Interfacce di rete)**. Seleziona la casella di controllo relativa all'interfaccia di rete. + Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel pannello di navigazione, scegli **Your VPCs (I tuoi VPC)**. Selezionare la casella di controllo relativa al VPC. + Apri la console Amazon VPC all'indirizzo [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/). Nel riquadro di navigazione, seleziona **Sottoreti**. Seleziona la casella di controllo della sottorete. 1. Scegli **Actions (Operazioni)**, **Create flow log (Crea flusso di log)**. 1. Per **Filtra**, specifica il tipo di traffico di cui eseguire il log. Seleziona **All (Tutti)** per registrare il traffico accettato e rifiutato, **Reject (Rifiutato)** per eseguire il log solo del traffico rifiutato oppure **Accept (Accettato)** per eseguirlo solo sul traffico accettato. 1. Per **Maximum aggregation interval (Intervallo di aggregazione massimo)**, scegliere il periodo di tempo massimo durante il quale un flusso viene acquisito e aggregato in un record di log di flusso. 1. Per **Destinazione**, scegli **Invia ai registri. CloudWatch** 1. Per **Gruppo di log di destinazione**, scegli il nome di un gruppo di log esistente o inserisci il nome di un nuovo gruppo di log. Se inserisci un nome, creiamo il gruppo di log quando è presente traffico da registrare. 1. Per **l'accesso al servizio**, scegli un [ruolo di servizio IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) esistente con le autorizzazioni per pubblicare i log nei CloudWatch registri o scegli di creare un nuovo ruolo di servizio. 1. Per **Formato record di log**, seleziona il formato per il record del log di flusso. + Per utilizzare il formato del record di log di flusso predefinito, seleziona **Formato predefinito AWS **. + Per utilizzare un formato personalizzato, scegli **Formato personalizzato**, quindi seleziona i campi da **Formato di log** . 1. Per **Metadati aggiuntivi**, seleziona se desideri includere i metadati di Amazon ECS nel formato di log. 1. (Facoltativo) Seleziona **Aggiungi tag** per applicare i tag al log di flusso. 1. Selezionare **Create flow log (Crea log di flusso)**. **Per creare un log di flusso utilizzando la riga di comando** Utilizzare uno dei seguenti comandi. + [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI) + [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell) L' AWS CLI esempio seguente crea un log di flusso che acquisisce tutto il traffico accettato per la sottorete specificata. I log di flusso vengono consegnati al gruppo di log specificato. Il `--deliver-logs-permission-arn` parametro specifica il ruolo IAM richiesto per la pubblicazione su Logs. CloudWatch ``` aws ec2 create-flow-logs --resource-type {{Subnet}} --resource-ids {{subnet-1a2b3c4d}} --traffic-type ACCEPT --log-group-name {{my-flow-logs}} --deliver-logs-permission-arn arn:aws:iam::{{123456789101}}:role/{{publishFlowLogs}} ```