As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Registros de registros de fluxo do Transit Gateway no Amazon S3
Os logs de fluxo podem publicar dados de log de fluxo no Amazon S3.
Quando é feita uma publicação no Amazon S3, os dados de log de fluxo são publicados no bucket existente do Amazon S3 especificado. Os registros de log de fluxo para todos os gateways de trânsito monitorados são publicados em uma série de objetos de arquivos de log armazenados no bucket.
As taxas de ingestão e arquivamento de dados são aplicadas Amazon CloudWatch pelos registros vendidos quando você publica registros de fluxo no Amazon S3. Para obter mais informações sobre CloudWatch preços de registros vendidos, abra [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), escolha **Logs** e, em seguida, encontre **Vended** Logs.
Para criar um bucket do Amazon S3 para usar com logs de fluxo, consulte [Criação de um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon S3*.
Para obter mais informações sobre o registro em log de várias contas, consulte [Logs centralizados](https://aws.amazon.com/solutions/implementations/centralized-logging/) na Biblioteca de soluções AWS .
Para obter mais informações sobre CloudWatch registros, consulte [Registros enviados para o Amazon S3 no Guia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) *do usuário do Amazon CloudWatch Logs*.
**Topics**
+ [Arquivos de log de fluxo](#flow-logs-s3-path)
+ [Política do IAM para entidades principais do IAM que publicam logs de fluxo no Amazon S3](#flow-logs-s3-iam)
+ [Permissões do bucket do Amazon S3 para logs de fluxo](#flow-logs-s3-permissions)
+ [Política de chaves obrigatórias para uso com SSE-KMS](#flow-logs-s3-cmk-policy)
+ [Permissões de arquivo de log do Amazon S3](#flow-logs-file-permissions)
+ [Criar a função da conta de origem](flowlog-s3-create-source.md)
+ [Criar um log de fluxo para publicação no Amazon S3](flowlog-s3-create.md)
+ [Visualizar registros de logs de fluxos](view-flow-log-records-s3.md)
+ [Registros processados AWS de registros de fluxo do Transit Gateway no Amazon S3](#process-records-s3)
## Arquivos de log de fluxo
Os logs de fluxo da VPC são um recurso que coleta registros de log de fluxo, consolida-os em arquivos de log e publica os arquivos de log no bucket do Amazon S3 a intervalos de cinco minutos. Cada arquivo de log contém os registros de log de fluxo para o tráfego de IP registrado nos últimos cinco minutos.
O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho no período de 5 minutos, o log de fluxo deixará de adicionar registros de log de fluxo. Depois, ele publicará o log de fluxo no bucket do Amazon S3 e criará um novo arquivo de log.
No Amazon S3, o campo **Última modificação** do arquivo de log de fluxo indica a data e hora em que o arquivo foi carregado no bucket do Amazon S3. Esta indicação é posterior à data/hora no nome do arquivo e difere pela quantidade de tempo necessária para carregar o arquivo para o bucket do Amazon S3.
**Formato do arquivo de log**
É possível especificar um dos formatos a seguir para os arquivos de log. Cada arquivo é compactado em um único arquivo Gzip.
+ **Texto**: texto sem formatação. Esse é o formato padrão.
+ **Parquet**: Apache Parquet é um formato colunar de dados. Consultas sobre dados no formato Parquet são 10 a 100 vezes mais rápidas em comparação com consultas em dados em texto simples. Dados em formato Parquet com compressão Gzip ocupam 20% menos espaço de armazenamento do que o texto simples com compactação Gzip.
**Opções do arquivo de log**
Opcionalmente, é possível especificar as seguintes opções.
+ **Prefixos S3 compatíveis com Hive**: habilite prefixos compatíveis com o Hive em vez de importar partições para as ferramentas compatíveis com o Hive. Antes de executar consultas, use o comando **MSCK REPAIR TABLE**.
+ **Partições por hora**: se houver um grande volume de logs e tipicamente direcionar consultas para uma hora específica, pode-se obter resultados mais rápidos e economizar em custos de consulta ao particionar os logs a cada hora.
**Estrutura do arquivo de log do bucket do S3**
Os arquivos de log são salvos no bucket do Amazon S3 especificado por meio de uma estrutura de pastas determinada pelo ID do log de fluxo, pela região, pela data de criação e pelas opções de destino.
Por padrão, os arquivos são entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Ao habilitar prefixos S3 compatíveis com HIVE, os arquivos serão entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Ao habilitar partições por hora, os arquivos serão entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Ao habilitar partições compatíveis com o Hive e particionar o log de fluxo por hora, os arquivos serão entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nomes do arquivo de log**
O nome de um arquivo de log é baseado na ID do log de fluxo, na região e na data e na hora de criação. Os nomes de arquivo usam o seguinte formato.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Veja a seguir um exemplo de arquivo de log para um log de fluxo criado pela 123456789012 da Conta da AWS para um recurso na região us-east-1 em June 20, 2018 às 16:20 UTC. O arquivo contém os registros de log de fluxo com um horário de término entre 16:20:00 e 16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
## Política do IAM para entidades principais do IAM que publicam logs de fluxo no Amazon S3
A entidade principal do IAM que cria o log de fluxo deve ter as permissões a seguir, necessárias para publicar logs de fluxo no bucket de destino do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
## Permissões do bucket do Amazon S3 para logs de fluxo
Por padrão, os buckets do Amazon S3 e os objetos que eles contêm são privados. Somente o proprietário do bucket pode acessá-los. No entanto, o proprietário do bucket pode conceder acesso a outros recursos e usuários por meio da criação de uma política de acesso.
Se o usuário que cria um log de fluxo for proprietário do bucket e tiver as permissões `PutBucketPolicy` e `GetBucketPolicy` para este bucket, as políticas a seguir serão automaticamente anexadas. Essa nova política gerada automaticamente é anexada à política original.
Caso contrário, o proprietário do bucket deve adicionar essa política ao bucket, especificando o ID da Conta da AWS do criador de log de fluxo ou falha na criação do log de fluxo. Para obter mais informações, consulte [Políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
O ARN que você especifica *my-s3-arn* depende do uso de prefixos S3 compatíveis com o Hive.
+ Prefixos padrão
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Prefixos S3 compatíveis com Hive
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Como prática recomendada, recomendamos que você conceda essas permissões ao responsável pelo serviço de entrega de registros, em vez de individualmente Conta da AWS ARNs. Outra prática recomendada é o uso das chaves de condição `aws:SourceAccount` e `aws:SourceArn` para se proteger contra [O problema do agente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). A conta de origem é o proprietário do log de fluxo e o ARN de origem é o ARN curinga (\$1) do serviço de logs.
## Política de chaves obrigatórias para uso com SSE-KMS
É possível proteger os dados no bucket do Amazon S3 habilitando a criptografia no lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia no lado do servidor com chaves do KMS (SSE-KMS). Para obter mais informações, consulte [Proteger dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no *Manual do usuário do Amazon S3*.
Com o SSE-KMS, você pode usar uma chave gerenciada ou uma chave AWS gerenciada pelo cliente. Com uma chave AWS gerenciada, você não pode usar a entrega entre contas. Os logs de fluxo são entregues a partir da conta de entrega de log, portanto, é necessário conceder acesso para entrega entre contas. Para conceder acesso entre contas ao bucket do S3, use uma chave gerenciada pelo cliente e especifique o nome do recurso da Amazon (ARN) da chave gerenciada pelo cliente quando habilitar a criptografia de bucket. Para obter mais informações, consulte [Especificação de criptografia no lado do servidor com o AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) no *Manual do usuário do Amazon S3*.
Ao usar o SSE-KMS com uma chave gerenciada pelo cliente, deve-se adicionar o seguinte à política de chave da chave (não à política de bucket do bucket do S3) para que o VPC Flow Logs possa gravar no bucket do S3.
**nota**
O uso do S3 Bucket Keys permite que você economize nos custos de solicitação AWS Key Management Service (AWS KMS) diminuindo suas solicitações AWS KMS para as operações Encrypt, GenerateDataKey, e Decrypt por meio do uso de uma chave em nível de bucket. Por definição, as solicitações subsequentes que aproveitam essa chave em nível de bucket não resultam em solicitações de AWS KMS API nem validam o acesso em relação à AWS KMS política de chaves.
```
{
"Sid": "Allow Transit Gateway Flow Logs to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Permissões de arquivo de log do Amazon S3
Além das políticas de bucket necessárias, o Amazon S3 usa listas de controle de acesso (ACLs) para gerenciar o acesso aos arquivos de log criados por um log de fluxo. Por padrão, o proprietário do bucket tem permissões `FULL_CONTROL` em cada arquivo de log. O proprietário da entrega de logs, se é diferente do proprietário do bucket, não tem nenhuma permissão. A conta de entrega de logs tem permissões `READ` e `WRITE`. Para obter mais informações, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Crie a função da conta de origem do AWS Transit Gateway Flow Logs para o Amazon S3
Na conta de origem, crie a função de origem no AWS Identity and Access Management console.
**Como criar a função da conta de origem**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Selecione **Criar política**.
1. Na página Criar política siga estes passos:
1. Escolha **JSON**.
1. Substitua o conteúdo dessa janela pela política de permissões no início desta seção.
1. Selecione **Avançar: tags** e **Avançar: revisar**.
1. Insira um nome e uma descrição opcional para a política e selecione **Criar política**.
1. No painel de navegação, selecione **Perfis**.
1. Escolha **Criar Perfil**.
1. Na opção **Tipo de entidade confiável**, escolha **Política de confiança personalizada**. Em **Política de confiança personalizada**, substitua `"Principal": {},` pelo seguinte, que especifica o serviço de entrega de logs. Selecione **Avançar**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Na página **Adicionar permissões**, marque a caixa de seleção correspondente à política criada anteriormente neste procedimento e, em seguida, escolha **Avançar**.
1. Insira um nome para a função e, opcionalmente, uma descrição.
1. Selecione **Criar perfil**.
# Crie um registro de registros de fluxo do AWS Transit Gateway que publique no Amazon S3
Depois de criar e configurar o bucket do Amazon S3, pode-se criar logs de fluxo para gateways de trânsito. É possível criar um log de fluxos do Amazon S3 usando o console do Amazon VPC ou a AWS CLI.
**Como criar um log de fluxo de gateway de trânsito que publique no Amazon S3 usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito** ou **Anexos do gateway de trânsito**.
1. Marque a caixa de seleção de um ou mais gateways de trânsito ou anexos do gateway de trânsito.
1. Selecione **Ações**, **Criar log de fluxo**.
1. Defina as configurações do log de fluxo. Para obter mais informações, consulte [Para definir as configurações do log de fluxo](#configure-flow-log).
**Como definir as configurações do log de fluxo usando o console**
1. Em **Destino**, selecione **Enviar para um bucket do S3**.
1. Em **ARN do bucket do S3**, especifique o nome de recurso da Amazon (ARN) de um bucket existente do Amazon S3. Opcionalmente, é possível incluir uma subpasta. Por exemplo, para especificar uma subpasta chamada `my-logs` em um bucket chamado `my-bucket`, use o seguinte ARN:
`arn:aws::s3:::my-bucket/my-logs/`
O bucket não pode usar `AWSLogs` como um nome de subpasta, pois se trata de um termo reservado.
Se você for o proprietário do bucket, uma política de recurso será automaticamernte criada e anexada ao bucket. Para obter mais informações, consulte [Permissões do bucket do Amazon S3 para logs de fluxo](flow-logs-s3.md#flow-logs-s3-permissions).
1. Em **Formato de registro de log**, selecione o formato para o registro de log de fluxo.
+ Para usar o formato de registro de log de fluxo padrão, escolha **AWS Formato padrão**.
+ Para criar um formato personalizado, escolha **Formato personalizado**. Em **Formato de log**, selecione os campos a serem incluídos no registro de log de fluxo.
1. Em **Formato de registro de log**, especifique o formato do arquivo de log.
+ **Texto**: texto sem formatação. Esse é o formato padrão.
+ **Parquet**: Apache Parquet é um formato colunar de dados. Consultas sobre dados no formato Parquet são 10 a 100 vezes mais rápidas em comparação com consultas em dados em texto simples. Dados em formato Parquet com compressão Gzip ocupam 20% menos espaço de armazenamento do que o texto simples com compactação Gzip.
1. (Opcional) Para usar prefixos S3 compatíveis com o Hive, escolha **Prefixo do S3 compatível com Hive**, **Habilitar**.
1. (Opcional) Para particionar seus logs de fluxo por hora, selecione **A cada 1 hora (60 minutos)**.
1. (Opcional) Para adicionar uma etiqueta ao log de fluxo, escolha **Adicionar nova tag** e especifique a chave e o valor da tag.
1. Selecione **Criar log de fluxo**.
**Como criar um log de fluxo publicado no Amazon S3 usando uma ferramenta de linha de comando**
Use um dos seguintes comandos.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
O AWS CLI exemplo a seguir cria um log de fluxo que captura todo o tráfego do gateway de trânsito para a `tgw-00112233344556677` VPC e entrega os registros de fluxo para um bucket do Amazon S3 chamado. `flow-log-bucket` O parâmetro `--log-format` especifica um formato personalizado para os registros de log de fluxo.
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-00112233344556677 --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/'
```
# Visualize registros de registros de fluxo do AWS Transit Gateway no Amazon S3
**Como visualizar os registros de log de fluxo publicados no Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Em **Nome do bucket**, selecione o bucket no qual os logs de fluxo são publicados.
1. Em **Nome**, marque a caixa de seleção ao lado do arquivo de log. No painel de visão geral do objeto, selecione **Baixar**.
## Registros processados AWS de registros de fluxo do Transit Gateway no Amazon S3
Os arquivos de log são compactados. Quando os arquivos de log são abertos usando o console do Amazon S3, eles serão descompactados, e os registros de log de fluxo serão exibidos. Se os arquivos forem baixados, será necessário descompactá-los para visualizar os registros de log de fluxo.