As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Registros de fluxo do Transit Gateway
O Transit Gateway Flow Logs é um recurso do AWS Transit Gateway que permite capturar informações sobre o tráfego IP que entra e sai de seus gateways de trânsito. Os dados do log de fluxo podem ser publicados no Amazon CloudWatch Logs, no Amazon S3 ou no Firehose. Após criar um log de fluxo, será possível recuperar e visualizar seus dados no destino selecionado. Os dados do log de fluxo são coletados fora do caminho do tráfego de rede e, portanto, não afetam o throughput nem a latência da rede. É possível criar ou excluir logs de fluxo sem qualquer risco de impacto na performance da rede. Os logs de fluxo de gateway de trânsito capturam informações relacionadas exclusivamente aos gateways de trânsito, descritas em [Registros de log de fluxo de gateway de trânsito](#flow-log-records). Se você quiser capturar informações sobre o tráfego IP de e para as interfaces de rede em sua VPCs, use os registros de fluxo de VPC. Consulte [Como registrar tráfego IP em log com logs de fluxo da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) no *Guia do usuário do Amazon VPC*.
**nota**
Para criar um log de fluxo de gateway de trânsito, é necessário ser o proprietário do gateway de trânsito. O proprietário do gateway de trânsito deve conceder permissão ao usuário.
Os dados de log de fluxo para um gateway de trânsito monitorado são registrados como *registros de log de fluxo*, que são eventos de logs que consistem em campos que descrevem o fluxo de tráfego. Para obter mais informações, consulte [Registros de log de fluxo de gateway de trânsito](#flow-log-records).
Para criar um log de fluxo, especifique:
+ O recurso para o qual criar o log de fluxo
+ Os destinos em que deseja publicar os dados de log de fluxo
Depois de criar um log de fluxo, pode demorar alguns minutos para começar a coletar e publicar dados nos destinos selecionados. Os logs de fluxo não capturam fluxos de logs em tempo real para as interfaces de rede.
É possível aplicar tags aos logs de fluxo. Cada tag consiste de uma chave e um valor opcional, que podem ser definidos. As tags podem ajudar a organizar os logs de fluxo. Por exemplo, por finalidade ou proprietário.
Caso não precise mais de um log de fluxo, é possível excluí-lo. A exclusão de um log de fluxo desativa o serviço de log de fluxo para o recurso, e nenhum novo registro de log de fluxo é criado ou publicado no CloudWatch Logs ou no Amazon S3. A exclusão do registro de fluxo não exclui nenhum registro ou fluxo de log existente (para CloudWatch Logs) ou objetos de arquivo de log (para Amazon S3) para um gateway de trânsito. Para excluir um stream de registros existente, use o console de CloudWatch registros. Para excluir objetos de arquivo de log existentes, use o console do Amazon S3. Após excluir um log de fluxo, pode levar vários minutos para a coleta de dados se encerrar. Para obter mais informações, consulte [Excluir um registro de registros de fluxo do AWS Transit Gateway](delete-flow-log.md).
Você pode criar registros de fluxo para seus gateways de trânsito que podem publicar dados no CloudWatch Logs, no Amazon S3 ou no Amazon Data Firehose. Para saber mais, consulte:
+ [Crie um registro de fluxo que publique no Logs CloudWatch ](flow-logs-cwl-create-flow-log.md)
+ [Criar um log de fluxo para publicação no Amazon S3](flowlog-s3-create.md)
+ [Criar um log de fluxo para publicação no Firehose](flow-logs-kinesis-create.md)
## Limitações
As limitações a seguir se aplicam aos logs de fluxo de gateway de trânsito:
+ Não há compatibilidade com o tráfego multicast.
+ Não há compatibilidade com os anexos do Connect. Todos os registros de fluxo do Connect aparecem sob o anexo de transporte e, portanto, devem ser habilitados no gateway de trânsito ou no anexo de transporte do Connect.
## Registros de log de fluxo de gateway de trânsito
Um registro de log de fluxo representa um fluxo de rede no gateway de trânsito. Cada registro é uma string com campos separados por espaços. Um registro inclui valores para os diferentes componentes do fluxo de tráfego como, por exemplo, a origem, o destino e o protocolo.
Ao criar um log de fluxo, é possível usar o formato padrão do registro de log de fluxo ou especificar um formato personalizado.
**Topics**
+ [Formato padrão](#flow-logs-default)
+ [Formato personalizado](#flow-logs-custom)
+ [Campos disponíveis](#flow-logs-fields)
### Formato padrão
Com o formato padrão, os registros de log de fluxo incluem todos os campos da versão 2 à versão 6, na ordem mostrada na tabela de [campos disponíveis](#flow-logs-fields). Não é possível personalizar ou alterar o formato padrão. Para capturar campos adicionais disponíveis ou um subconjunto de campos diferente, especifique um formato personalizado em vez disso.
### Formato personalizado
Com um formato personalizado, é possível especificar quais campos estão incluídos nos registros de log de fluxo e em qual ordem. Isso permite a criação de logs de fluxo específicos para as necessidades específicas, omitindo os campos que não forem relevantes. Usar um formato personalizado pode diminuir a necessidade de processos separados para extrair informações específicas dos logs de fluxo publicados. É possível especificar qualquer quantidade de campos disponíveis do log de fluxo, mas deve-se especificar pelo menos um.
### Campos disponíveis
A tabela a seguir descreve todos os campos disponíveis para um registro de log de fluxo de gateway de trânsito. A coluna **Versão** indica em qual versão o campo foi introduzido.
Ao publicar dados de log de fluxo no Amazon S3, o tipo de dados para os campos dependerá do formato do log de fluxo. Se o formato estiver como texto sem formatação, todos os campos serão do tipo STRING. Se o formato for Parquet, consulte a tabela para os tipos de dados de campo.
Se um campo não for aplicável ou não puder ser computado para um registro específico, o registro exibirá o símbolo '-' para essa entrada. Os campos de metadados que não vêm diretamente do cabeçalho do pacote são aproximações e seus valores podem estar ausentes ou imprecisos.
| Campo | Descrição | Versão |
| --- | --- | --- |
| version | Indica a versão na qual o campo foi introduzido. O formato padrão inclui todos os campos da versão 2, na mesma ordem em que aparecem na tabela. **Tipo de dados em Parquet:** INT\$132 | 2 |
| resource-type | O tipo de recurso no qual a assinatura é criada. Para os logs de fluxo do Transit Gateway, será TransitGateway.Tipo de dados em Parquet: STRING | 6 |
| account-id | O Conta da AWS ID do proprietário do gateway de trânsito de origem. **Tipo de dados em Parquet:** STRING | 2 |
| tgw-id | O ID do gateway de trânsito para o qual o tráfego está sendo registrado.**Tipo de dados em Parquet: ** STRING | 6 |
| tgw-attachment-id | O ID do anexo do gateway de trânsito para o qual o tráfego está sendo registrado.**Tipo de dados em Parquet: ** STRING | 6 |
| tgw-src-vpc-account-id | O Conta da AWS ID do tráfego VPC de origem. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-dst-vpc-account-id | O Conta da AWS ID do tráfego VPC de destino. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-src-vpc-id | O ID da VPC de origem para o gateway de trânsito **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-dst-vpc-id | O ID da VPC de destino para o gateway de trânsito. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-src-subnet-id | O ID da VPC da sub-rede para o tráfego de origem do gateway de trânsito. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-dst-subnet-id | O ID da VPC da sub-rede para o tráfego de destino do gateway de trânsito. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-src-eni | O ID da ENI do anexo do gateway de trânsito de origem para o fluxo. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-dst-eni | O ID da ENI do anexo do gateway de trânsito de destino para o fluxo.**Tipo de dados em Parquet: ** STRING | 6 |
| tgw-src-az-id | O ID da zona de disponibilidade que contém o gateway de trânsito de origem para o qual o tráfego é registrado. Se o tráfego for de uma sublocalização, o registro exibirá um símbolo '-' para este campo. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-dst-az-id | O ID da zona de disponibilidade que contém o gateway de trânsito de destino para o qual o tráfego é registrado. **Tipo de dados em Parquet: ** STRING | 6 |
| tgw-pair-attachment-id | Dependendo da direção do fluxo, esse é o ID do anexo de saída ou entrada do fluxo. **Tipo de dados em Parquet: ** STRING | 6 |
| srcaddr | O endereço de origem do tráfego de entrada. **Tipo de dados em Parquet: ** STRING | 2 |
| dstaddr | O endereço de destino do tráfego de saída. **Tipo de dados em Parquet: ** STRING | 2 |
| srcport | A porta de origem do tráfego. **Tipo de dados em Parquet:** INT\$132 | 2 |
| dstport | A porta de destino do tráfego. **Tipo de dados em Parquet:** INT\$132 | 2 |
| protocol | O número do protocolo IANA do tráfego. Para obter mais informações, consulte [Números de Protocolo da Internet Designados](http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml). **Tipo de dados em Parquet:** INT\$132 | 2 |
| packets | O número de pacotes transferidos durante o fluxo. **Tipo de dados em Parquet:** INT\$164 | 2 |
| bytes | O número de bytes transferidos durante o fluxo. **Tipo de dados em Parquet:** INT\$164 | 2 |
| start | O tempo, em segundos Unix, quando o primeiro pacote de fluxo foi recebido no intervalo de agregação. Este valor pode ser até 60 segundos após o pacote ter sido transmitido ou recebido no gateway de trânsito. **Tipo de dados em Parquet:** INT\$164 | 2 |
| end | O tempo, em segundos Unix, quando o último pacote de fluxo foi recebido dentro do intervalo de agregação. Isso pode ser até 60 segundos após o pacote ter sido transmitido ou recebido no gateway de trânsito. **Tipo de dados em Parquet:** INT\$164 | 2 |
| log-status | O status do log de fluxo: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/tgw-flow-logs.html) **Tipo de dados em Parquet:** STRING | 2 |
| type | O tipo de tráfego. Os valores possíveis são IPv4 \$1 IPv6 \$1 EFA. Para obter mais informações, consulte [Elastic Fabric Adapter](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa.html) no *Manual do usuário do Amazon EC2*. **Tipo de dados em Parquet:** STRING | 3 |
| packets-lost-no-route | Os pacotes foram perdidos devido a nenhuma rota ter sido especificada. **Tipo de dados em Parquet:** INT\$164 | 6 |
| packets-lost-blackhole | Os pacotes foram perdidos devido a um buraco negro. **Tipo de dados em Parquet:** INT\$164 | 6 |
| packets-lost-mtu-exceeded | Os pacotes foram perdidos devido ao tamanho exceder a MTU. **Tipo de dados em Parquet:** INT\$164 | 6 |
| packets-lost-ttl-expired | Os pacotes foram perdidos devido à expiração do time-to-live. **Tipo de dados em Parquet:** INT\$164 | 6 |
| tcp-flags | O valor da máscara de bits para os seguintes sinalizadores TCP: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/vpc/latest/tgw/tgw-flow-logs.html) Quando uma entrada de log de fluxo é formada somente por pacotes ACK, o valor do sinalizador é 0, e não 16. Para obter informações gerais sobre sinalizadores TCP (por exemplo, o significado de sinalizadores FIN, SYN e ACK), consulte [Estrutura de segmentos TCP](https://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structure), na Wikipédia. Os sinalizadores TCP podem ser processados com o operador OR durante o intervalo de agregação. Para conexões curtas, os sinalizadores podem ser definidos na mesma linha no registro de log de fluxo, por exemplo, 19 para SYN-ACK e FIN, e 3 para SYN e FIN. **Tipo de dados em Parquet:** INT\$132 | 3 |
| region | A região que contém o gateway de trânsito no qual o tráfego é registrado. **Tipo de dados em Parquet:** STRING | 4 |
| flow-direction | O sentido do fluxo em relação à interface onde o tráfego é capturado. Os valores possíveis são: ingress \$1 egress. **Tipo de dados em Parquet:** STRING | 5 |
| pkt-src-aws-service | O nome do subconjunto de [intervalos de endereços IP](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) para o srcaddr se o endereço IP de origem for para um AWS serviço. Os valores possíveis são: AMAZON \$1 AMAZON\$1APPFLOW \$1 AMAZON\$1CONNECT \$1 API\$1GATEWAY \$1 CHIME\$1MEETINGS \$1 CHIME\$1VOICECONNECTOR \$1 CLOUD9 \$1 CLOUDFRONT \$1 CODEBUILD \$1 DYNAMODB \$1 EBS \$1 EC2 \$1 EC2\$1INSTANCE\$1CONNECT \$1 GLOBALACCELERATOR \$1 KINESIS\$1VIDEO\$1STREAMS \$1 ROUTE53 \$1 ROUTE53\$1HEALTHCHECKS \$1 ROUTE53\$1HEALTHCHECKS\$1PUBLISHING \$1 ROUTE53\$1RESOLVER \$1 S3 \$1 WORKSPACES\$1GATEWAYS. **Tipo de dados em Parquet:** STRING | 5 |
| pkt-dst-aws-service | O nome do subconjunto de intervalos de endereços IP para o dstaddr campo, se o endereço IP de destino for para um AWS serviço. Para uma lista de valores possíveis, consulte o campo pkt-src-aws-service.Tipo de dados em Parquet: STRING | 5 |
## Controlar o uso de logs de fluxo
Por padrão, os usuários do não têm permissão para trabalhar com logs de fluxo. É possível criar uma política de usuário que conceda permissões aos usuários para criar, descrever e excluir logs de fluxo. Para obter mais informações, consulte [Conceder aos usuários do IAM as permissões necessárias para os recursos do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html) na *Referência de API do Amazon EC2*.
Veja a seguir uma política de exemplo que concede aos usuários as permissões totais para criar, descrever e excluir logs de fluxo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteFlowLogs",
"ec2:CreateFlowLogs",
"ec2:DescribeFlowLogs"
],
"Resource": "*"
}
]
}
```
------
Algumas configurações adicionais de funções e permissões do IAM são necessárias, dependendo se você está publicando no CloudWatch Logs ou no Amazon S3. Para obter mais informações, consulte [AWS Registros de registros de fluxo do Transit Gateway no Amazon CloudWatch Logs](flow-logs-cwl.md) e [AWS Registros de registros de fluxo do Transit Gateway no Amazon S3](flow-logs-s3.md).
## Preços dos logs de fluxo do Transit Gateway
As cobranças por ingestão de dados e armazenamento de dados para logs fornecidos são aplicáveis ao publicar logs de fluxo do gateway de trânsito. Para obter mais informações sobre preços ao publicar registros vendidos, abra [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/) e, em **Nível pago**, selecione **Logs e encontre **Vended** Logs**.
# Criar ou atualizar uma função do IAM para AWS Transit Gateway Flow Logs
Você pode atualizar uma função existente ou usar o procedimento a seguir para criar uma nova função para uso com registros de fluxo usando o AWS Identity and Access Management console.
**Como criar um perfil do IAM para logs de fluxos**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Perfil** e então, **Criar perfil**.
1. Em **Selecionar tipo de entidade confiável**, selecione **serviço da AWS **. Em **Caso de uso**, selecione **EC2**. Escolha **Próximo**.
1. Na página **Adicionar permissões**, selecione **Avançar: Tags** e, se desejar, adicione tags. Escolha **Próximo**.
1. Na página Nomear, revisar e criar, insira um nome para o perfil e, opcionalmente, forneça uma **descrição**. Selecione **Criar perfil**.
1. Escolha o nome do seu perfil. Em **Adicionar permissões**, selecione **Criar política em linha** e, em seguida, selecione a guia **JSON**.
1. Copie a primeira política de [Funções do IAM para publicar registros de fluxo em CloudWatch registros](flow-logs-cwl.md#flow-logs-iam) e cole-a na janela. Selecione **Revisar política**.
1. Insira um nome para a política e selecione **Criar política**.
1. Selecione o nome do perfil. Em **Relacionamentos de confiança**, selecione **Editar relacionamento de confiança**. No documento da política existente, altere o serviço de `ec2.amazonaws.com` para `vpc-flow-logs.amazonaws.com`. Selecione **Atualizar política de confiança**.
1. Na página **Resumo**, anote o ARN do perfil. Esse ARN é necessário para criar o log de fluxo.
# AWS Registros de registros de fluxo do Transit Gateway no Amazon CloudWatch Logs
Os registros de fluxo podem publicar dados de registros de fluxo diretamente na Amazon CloudWatch.
Quando publicados no CloudWatch Logs, os dados do log de fluxo são publicados em um grupo de registros, e cada gateway de trânsito tem um fluxo de log exclusivo no grupo de registros. Os fluxos de logs contêm registros do log de fluxos. Você pode criar vários logs de fluxos que publicam dados no mesmo grupo de logs. Se um mesmo gateway de trânsito estiver presente em um ou mais logs de fluxo no mesmo grupo de logs, ele terá um único fluxo de logs combinado. Se for especificado que um log de fluxos deve capturar o tráfego rejeitado e outro log de fluxos deve capturar o tráfego aceito, o fluxo de logs combinado capturará todo o tráfego.
As cobranças de ingestão e arquivamento de dados para registros vendidos se aplicam quando você publica registros de fluxo no Logs. CloudWatch Para obter mais informações, consulte [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
Em CloudWatch Registros, o campo de **carimbo de data/hora** corresponde à hora de início capturada no registro do log de fluxo. O campo **IngestionTime** fornece a data e a hora em que o registro do log de fluxo foi recebido pelo Logs. CloudWatch A data/hora é posterior à hora de término capturada no registro de log do fluxo.
Para obter mais informações sobre CloudWatch registros, consulte [Registros enviados para CloudWatch registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-CWL) no *Guia do usuário do Amazon CloudWatch Logs*.
**Topics**
+ [Funções do IAM para publicar registros de fluxo em CloudWatch registros](#flow-logs-iam)
+ [Permissões para que os usuários do IAM passem um perfil](#flow-logs-iam-user)
+ [Crie um registro de fluxo que publique no Logs CloudWatch](flow-logs-cwl-create-flow-log.md)
+ [Visualizar registros de logs de fluxos](view-flow-log-records.md)
+ [Processar registros de log de fluxo](process-records-cwl.md)
## Funções do IAM para publicar registros de fluxo em CloudWatch registros
A função do IAM associada ao seu registro de fluxo deve ter permissões suficientes para publicar registros de fluxo no grupo de registros especificado em CloudWatch Registros. A função do IAM deve pertencer à sua Conta da AWS.
A política do IAM anexada ao seu perfil do IAM deve incluir pelo menos as permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Resource": "*"
}
]
}
```
------
Além disso, verifique se o seu perfil tem um relacionamento de confiança que permite que o serviço de logs de fluxo assuma o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Recomendamos o uso das chaves de condição `aws:SourceAccount` e `aws:SourceArn` para se proteger contra [O problema do agente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Por exemplo, você poderia adicionar o bloco de condições a seguir na política de confiança anterior. A conta de origem é o proprietário do log de fluxo e o ARN de origem é o ARN do log de fluxo. Se você não souber o ID do log de fluxos, poderá substituir essa parte do ARN por um caractere curinga (\$1) e, em seguida, atualizar a política depois de criar o log de fluxos.
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:region:account_id:vpc-flow-log/flow-log-id"
}
}
```
## Permissões para que os usuários do IAM passem um perfil
Os usuários também devem ter permissões para usar a ação `iam:PassRole` para o perfil do IAM associado ao log de fluxos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::111122223333:role/flow-log-role-name"
}
]
}
```
------
# Crie um registro de registros de fluxo do AWS Transit Gateway que seja publicado no Amazon CloudWatch Logs
É possível criar logs de fluxos para gateways de trânsito. Se executar essas etapas como um usuário do IAM, verifique se você tem permissões para usar a ação `iam:PassRole`. Para obter mais informações, consulte [Permissões para que os usuários do IAM passem um perfil](flow-logs-cwl.md#flow-logs-iam-user).
Você pode criar um registro de CloudWatch fluxo da Amazon usando o console Amazon VPC ou a CLI AWS .
**Como criar um log de fluxos do gateway de trânsito usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console da Amazon VPC em. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Marque as caixas de seleção de um ou mais gateways de trânsito e selecione **Ações**, **Criar log de fluxos**.
1. Em **Destino**, escolha **Enviar para CloudWatch registros**.
1. Para **Grupo de log de destino**, escolha o nome do grupo de log de destino que você criou.
**nota**
Se o grupo de logs de destino ainda não existir, inserir um novo nome nesse campo criará um novo grupo de logs de destino.
1. Para a **função do IAM**, especifique o nome da função que tem permissões para publicar registros no CloudWatch Logs.
1. Em **Formato de registro do log** , selecione o formato para o registro de log de fluxo.
+ Para usar o formato padrão, escolha **AWS Formato padrão**.
+ Para usar um formato personalizado, escolha **Formato personalizado** e, em seguida, selecione os campos de **Formato de log**.
1. (Opcional) Selecione **Adicionar nova tag** para aplicar tags ao log de fluxo.
1. Selecione **Criar log de fluxo**.
**Como criar um log de fluxo usando a linha de comando**
Use um dos seguintes comandos.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
O AWS CLI exemplo a seguir cria um registro de fluxo que captura as informações do gateway de trânsito. Os registros de fluxo são entregues a um grupo de CloudWatch registros em Logs chamado`my-flow-logs`, na conta 123456789101, usando a função do IAM. `publishFlowLogs`
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs
```
# Veja os registros de registros de fluxo do AWS Transit Gateway na Amazon CloudWatch
Você pode visualizar seus registros de log de fluxo usando o console CloudWatch Logs ou o console Amazon S3, dependendo do tipo de destino escolhido. Depois que o log de fluxo é criado, pode levar alguns minutos para ele ficar visível no console.
**Para ver os registros do log de fluxo publicados no CloudWatch Logs**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Logs** e o grupo de logs que contém o seu log de fluxos. É exibida uma lista de fluxos de logs para cada gateway de trânsito.
1. Selecione o fluxo de logs que contém o ID do gateway de trânsito para o qual você deseja visualizar os registros de log de fluxo. Para obter mais informações, consulte [Registros de log de fluxo de gateway de trânsito](tgw-flow-logs.md#flow-log-records).
# Processar registros de registros de fluxo do AWS Transit Gateway no Amazon CloudWatch Logs
Você pode trabalhar com registros de log de fluxo da mesma forma que faria com qualquer outro evento de log coletado pelo CloudWatch Logs. Para obter mais informações sobre o monitoramento de dados de log e filtros métricos, consulte [Criação de métricas a partir de eventos de log usando filtros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) no *Guia CloudWatch do usuário da Amazon*.
## Exemplo: criar um filtro CloudWatch métrico e um alarme para um registro de fluxo
Neste exemplo, há um log de fluxo para `tgw-123abc456bca`. Pode ser útil criar um alarme que o alerte se houver 10 ou mais tentativas rejeitadas de conexão à sua instância pela porta TCP 22 (SSH) no período de 1 hora. Primeiro, você deve criar um filtro de métrica que corresponda ao padrão do tráfego para o qual o alarme será criado. Depois, você pode criar um alarme para o filtro de métricas.
**Como criar um filtro de métricas para tráfego SSH rejeitado e um alarme para o filtro**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, selecione **Logs**, **Grupos de log**.
1. Marque a caixa de seleção do grupo de logs e, em seguida, selecione **Ações**, **Criar filtro de métrica**.
1. Em **Padrão do filtro**, insira o seguinte.
```
[version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Em **Selecionar dados de log para teste**, selecione o fluxo de logs do gateway de trânsito. (Opcional) Para visualizar as linhas de dados de log que correspondem ao padrão do filtro, selecione **Testar padrão**. Quando estiver pronto, selecione **Avançar**.
1. Insira um nome de filtro, um namespace para a métrica e o nome da métrica. Defina o valor da métrica como **1**. Quando terminar, selecione **Avançar** e, em seguida, selecione **Criar filtro de métrica**.
1. No painel de navegação, selecione **Alarmes**, **Todos os alarmes**.
1. Selecione **Criar alarme**.
1. Escolha o namespace do filtro de métrica que você criou.
Pode levar alguns minutos para uma nova métrica ser exibida no console.
1. Selecione o nome da métrica que você criou e, em seguida. escolha **Selecionar métrica**.
1. Configure o alarme como indicado a seguir e, em seguida, selecione **Avançar**:
+ Em **Estatística**, selecione **Soma**. Isso garante que o número total de pontos de dados do período especificado seja capturado.
+ Em **Período**, selecione **1 hora**.
+ Em **Sempre que**, selecione **Maior que/igual a** e insira **10** como limite.
+ Em **Configurações adicionais**, **Pontos de dados para alarme**, deixe o padrão de **1**.
1. Em **Notificação**, selecione um tópico do SNS existente ou **Criar novo tópico**, para criar um novo. Escolha **Próximo**.
1. Insira um nome e uma descrição para o alarme e selecione **Avançar**.
1. Quando terminar de configurar o alarme, selecione **Criar alarme**.
# AWS Registros de registros de fluxo do Transit Gateway no Amazon S3
Os logs de fluxo podem publicar dados de log de fluxo no Amazon S3.
Quando é feita uma publicação no Amazon S3, os dados de log de fluxo são publicados no bucket existente do Amazon S3 especificado. Os registros de log de fluxo para todos os gateways de trânsito monitorados são publicados em uma série de objetos de arquivos de log armazenados no bucket.
As taxas de ingestão e arquivamento de dados são aplicadas Amazon CloudWatch pelos registros vendidos quando você publica registros de fluxo no Amazon S3. Para obter mais informações sobre CloudWatch preços de registros vendidos, abra [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), escolha **Logs** e, em seguida, encontre **Vended** Logs.
Para criar um bucket do Amazon S3 para usar com logs de fluxo, consulte [Criação de um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) no *Guia do usuário do Amazon S3*.
Para obter mais informações sobre o registro em log de várias contas, consulte [Logs centralizados](https://aws.amazon.com/solutions/implementations/centralized-logging/) na Biblioteca de soluções AWS .
Para obter mais informações sobre CloudWatch registros, consulte [Registros enviados para o Amazon S3 no Guia](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-infrastructure-S3) *do usuário do Amazon CloudWatch Logs*.
**Topics**
+ [Arquivos de log de fluxo](#flow-logs-s3-path)
+ [Política do IAM para entidades principais do IAM que publicam logs de fluxo no Amazon S3](#flow-logs-s3-iam)
+ [Permissões do bucket do Amazon S3 para logs de fluxo](#flow-logs-s3-permissions)
+ [Política de chaves obrigatórias para uso com SSE-KMS](#flow-logs-s3-cmk-policy)
+ [Permissões de arquivo de log do Amazon S3](#flow-logs-file-permissions)
+ [Criar a função da conta de origem](flowlog-s3-create-source.md)
+ [Criar um log de fluxo para publicação no Amazon S3](flowlog-s3-create.md)
+ [Visualizar registros de logs de fluxos](view-flow-log-records-s3.md)
+ [Registros processados AWS de registros de fluxo do Transit Gateway no Amazon S3](#process-records-s3)
## Arquivos de log de fluxo
Os logs de fluxo da VPC são um recurso que coleta registros de log de fluxo, consolida-os em arquivos de log e publica os arquivos de log no bucket do Amazon S3 a intervalos de cinco minutos. Cada arquivo de log contém os registros de log de fluxo para o tráfego de IP registrado nos últimos cinco minutos.
O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho no período de 5 minutos, o log de fluxo deixará de adicionar registros de log de fluxo. Depois, ele publicará o log de fluxo no bucket do Amazon S3 e criará um novo arquivo de log.
No Amazon S3, o campo **Última modificação** do arquivo de log de fluxo indica a data e hora em que o arquivo foi carregado no bucket do Amazon S3. Esta indicação é posterior à data/hora no nome do arquivo e difere pela quantidade de tempo necessária para carregar o arquivo para o bucket do Amazon S3.
**Formato do arquivo de log**
É possível especificar um dos formatos a seguir para os arquivos de log. Cada arquivo é compactado em um único arquivo Gzip.
+ **Texto**: texto sem formatação. Esse é o formato padrão.
+ **Parquet**: Apache Parquet é um formato colunar de dados. Consultas sobre dados no formato Parquet são 10 a 100 vezes mais rápidas em comparação com consultas em dados em texto simples. Dados em formato Parquet com compressão Gzip ocupam 20% menos espaço de armazenamento do que o texto simples com compactação Gzip.
**Opções do arquivo de log**
Opcionalmente, é possível especificar as seguintes opções.
+ **Prefixos S3 compatíveis com Hive**: habilite prefixos compatíveis com o Hive em vez de importar partições para as ferramentas compatíveis com o Hive. Antes de executar consultas, use o comando **MSCK REPAIR TABLE**.
+ **Partições por hora**: se houver um grande volume de logs e tipicamente direcionar consultas para uma hora específica, pode-se obter resultados mais rápidos e economizar em custos de consulta ao particionar os logs a cada hora.
**Estrutura do arquivo de log do bucket do S3**
Os arquivos de log são salvos no bucket do Amazon S3 especificado por meio de uma estrutura de pastas determinada pelo ID do log de fluxo, pela região, pela data de criação e pelas opções de destino.
Por padrão, os arquivos são entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/
```
Ao habilitar prefixos S3 compatíveis com HIVE, os arquivos serão entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/
```
Ao habilitar partições por hora, os arquivos serão entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/account_id/vpcflowlogs/region/year/month/day/hour/
```
Ao habilitar partições compatíveis com o Hive e particionar o log de fluxo por hora, os arquivos serão entregues no local a seguir.
```
bucket-and-optional-prefix/AWSLogs/aws-account-id=account_id/service=vpcflowlogs/aws-region=region/year=year/month=month/day=day/hour=hour/
```
**Nomes do arquivo de log**
O nome de um arquivo de log é baseado na ID do log de fluxo, na região e na data e na hora de criação. Os nomes de arquivo usam o seguinte formato.
```
aws_account_id_vpcflowlogs_region_flow_log_id_YYYYMMDDTHHmmZ_hash.log.gz
```
Veja a seguir um exemplo de arquivo de log para um log de fluxo criado pela 123456789012 da Conta da AWS para um recurso na região us-east-1 em June 20, 2018 às 16:20 UTC. O arquivo contém os registros de log de fluxo com um horário de término entre 16:20:00 e 16:24:59.
```
123456789012_vpcflowlogs_us-east-1_fl-1234abcd_20180620T1620Z_fe123456.log.gz
```
## Política do IAM para entidades principais do IAM que publicam logs de fluxo no Amazon S3
A entidade principal do IAM que cria o log de fluxo deve ter as permissões a seguir, necessárias para publicar logs de fluxo no bucket de destino do Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*"
}
]
}
```
------
## Permissões do bucket do Amazon S3 para logs de fluxo
Por padrão, os buckets do Amazon S3 e os objetos que eles contêm são privados. Somente o proprietário do bucket pode acessá-los. No entanto, o proprietário do bucket pode conceder acesso a outros recursos e usuários por meio da criação de uma política de acesso.
Se o usuário que cria um log de fluxo for proprietário do bucket e tiver as permissões `PutBucketPolicy` e `GetBucketPolicy` para este bucket, as políticas a seguir serão automaticamente anexadas. Essa nova política gerada automaticamente é anexada à política original.
Caso contrário, o proprietário do bucket deve adicionar essa política ao bucket, especificando o ID da Conta da AWS do criador de log de fluxo ou falha na criação do log de fluxo. Para obter mais informações, consulte [Políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::bucket_name/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
},
{
"Sid": "AWSLogDeliveryCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::bucket_name",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:logs:us-east-1:123456789012:*"
}
}
}
]
}
```
------
O ARN que você especifica *my-s3-arn* depende do uso de prefixos S3 compatíveis com o Hive.
+ Prefixos padrão
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/account_id/*
```
+ Prefixos S3 compatíveis com Hive
```
arn:aws:s3:::bucket_name/optional_folder/AWSLogs/aws-account-id=account_id/*
```
Como prática recomendada, recomendamos que você conceda essas permissões ao responsável pelo serviço de entrega de registros, em vez de individualmente Conta da AWS ARNs. Outra prática recomendada é o uso das chaves de condição `aws:SourceAccount` e `aws:SourceArn` para se proteger contra [O problema do agente confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). A conta de origem é o proprietário do log de fluxo e o ARN de origem é o ARN curinga (\$1) do serviço de logs.
## Política de chaves obrigatórias para uso com SSE-KMS
É possível proteger os dados no bucket do Amazon S3 habilitando a criptografia no lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3) ou a criptografia no lado do servidor com chaves do KMS (SSE-KMS). Para obter mais informações, consulte [Proteger dados usando criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) no *Manual do usuário do Amazon S3*.
Com o SSE-KMS, você pode usar uma chave gerenciada ou uma chave AWS gerenciada pelo cliente. Com uma chave AWS gerenciada, você não pode usar a entrega entre contas. Os logs de fluxo são entregues a partir da conta de entrega de log, portanto, é necessário conceder acesso para entrega entre contas. Para conceder acesso entre contas ao bucket do S3, use uma chave gerenciada pelo cliente e especifique o nome do recurso da Amazon (ARN) da chave gerenciada pelo cliente quando habilitar a criptografia de bucket. Para obter mais informações, consulte [Especificação de criptografia no lado do servidor com o AWS KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html) no *Manual do usuário do Amazon S3*.
Ao usar o SSE-KMS com uma chave gerenciada pelo cliente, deve-se adicionar o seguinte à política de chave da chave (não à política de bucket do bucket do S3) para que o VPC Flow Logs possa gravar no bucket do S3.
**nota**
O uso do S3 Bucket Keys permite que você economize nos custos de solicitação AWS Key Management Service (AWS KMS) diminuindo suas solicitações AWS KMS para as operações Encrypt, GenerateDataKey, e Decrypt por meio do uso de uma chave em nível de bucket. Por definição, as solicitações subsequentes que aproveitam essa chave em nível de bucket não resultam em solicitações de AWS KMS API nem validam o acesso em relação à AWS KMS política de chaves.
```
{
"Sid": "Allow Transit Gateway Flow Logs to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
## Permissões de arquivo de log do Amazon S3
Além das políticas de bucket necessárias, o Amazon S3 usa listas de controle de acesso (ACLs) para gerenciar o acesso aos arquivos de log criados por um log de fluxo. Por padrão, o proprietário do bucket tem permissões `FULL_CONTROL` em cada arquivo de log. O proprietário da entrega de logs, se é diferente do proprietário do bucket, não tem nenhuma permissão. A conta de entrega de logs tem permissões `READ` e `WRITE`. Para obter mais informações, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do usuário do Amazon Simple Storage Service*.
# Crie a função da conta de origem do AWS Transit Gateway Flow Logs para o Amazon S3
Na conta de origem, crie a função de origem no AWS Identity and Access Management console.
**Como criar a função da conta de origem**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Selecione **Criar política**.
1. Na página Criar política siga estes passos:
1. Escolha **JSON**.
1. Substitua o conteúdo dessa janela pela política de permissões no início desta seção.
1. Selecione **Avançar: tags** e **Avançar: revisar**.
1. Insira um nome e uma descrição opcional para a política e selecione **Criar política**.
1. No painel de navegação, selecione **Perfis**.
1. Escolha **Criar Perfil**.
1. Na opção **Tipo de entidade confiável**, escolha **Política de confiança personalizada**. Em **Política de confiança personalizada**, substitua `"Principal": {},` pelo seguinte, que especifica o serviço de entrega de logs. Selecione **Avançar**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Na página **Adicionar permissões**, marque a caixa de seleção correspondente à política criada anteriormente neste procedimento e, em seguida, escolha **Avançar**.
1. Insira um nome para a função e, opcionalmente, uma descrição.
1. Selecione **Criar perfil**.
# Crie um registro de registros de fluxo do AWS Transit Gateway que publique no Amazon S3
Depois de criar e configurar o bucket do Amazon S3, pode-se criar logs de fluxo para gateways de trânsito. É possível criar um log de fluxos do Amazon S3 usando o console do Amazon VPC ou a AWS CLI.
**Como criar um log de fluxo de gateway de trânsito que publique no Amazon S3 usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito** ou **Anexos do gateway de trânsito**.
1. Marque a caixa de seleção de um ou mais gateways de trânsito ou anexos do gateway de trânsito.
1. Selecione **Ações**, **Criar log de fluxo**.
1. Defina as configurações do log de fluxo. Para obter mais informações, consulte [Para definir as configurações do log de fluxo](#configure-flow-log).
**Como definir as configurações do log de fluxo usando o console**
1. Em **Destino**, selecione **Enviar para um bucket do S3**.
1. Em **ARN do bucket do S3**, especifique o nome de recurso da Amazon (ARN) de um bucket existente do Amazon S3. Opcionalmente, é possível incluir uma subpasta. Por exemplo, para especificar uma subpasta chamada `my-logs` em um bucket chamado `my-bucket`, use o seguinte ARN:
`arn:aws::s3:::my-bucket/my-logs/`
O bucket não pode usar `AWSLogs` como um nome de subpasta, pois se trata de um termo reservado.
Se você for o proprietário do bucket, uma política de recurso será automaticamernte criada e anexada ao bucket. Para obter mais informações, consulte [Permissões do bucket do Amazon S3 para logs de fluxo](flow-logs-s3.md#flow-logs-s3-permissions).
1. Em **Formato de registro de log**, selecione o formato para o registro de log de fluxo.
+ Para usar o formato de registro de log de fluxo padrão, escolha **AWS Formato padrão**.
+ Para criar um formato personalizado, escolha **Formato personalizado**. Em **Formato de log**, selecione os campos a serem incluídos no registro de log de fluxo.
1. Em **Formato de registro de log**, especifique o formato do arquivo de log.
+ **Texto**: texto sem formatação. Esse é o formato padrão.
+ **Parquet**: Apache Parquet é um formato colunar de dados. Consultas sobre dados no formato Parquet são 10 a 100 vezes mais rápidas em comparação com consultas em dados em texto simples. Dados em formato Parquet com compressão Gzip ocupam 20% menos espaço de armazenamento do que o texto simples com compactação Gzip.
1. (Opcional) Para usar prefixos S3 compatíveis com o Hive, escolha **Prefixo do S3 compatível com Hive**, **Habilitar**.
1. (Opcional) Para particionar seus logs de fluxo por hora, selecione **A cada 1 hora (60 minutos)**.
1. (Opcional) Para adicionar uma etiqueta ao log de fluxo, escolha **Adicionar nova tag** e especifique a chave e o valor da tag.
1. Selecione **Criar log de fluxo**.
**Como criar um log de fluxo publicado no Amazon S3 usando uma ferramenta de linha de comando**
Use um dos seguintes comandos.
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
O AWS CLI exemplo a seguir cria um log de fluxo que captura todo o tráfego do gateway de trânsito para a `tgw-00112233344556677` VPC e entrega os registros de fluxo para um bucket do Amazon S3 chamado. `flow-log-bucket` O parâmetro `--log-format` especifica um formato personalizado para os registros de log de fluxo.
```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-00112233344556677 --log-destination-type s3 --log-destination arn:aws:s3:::flow-log-bucket/my-custom-flow-logs/'
```
# Visualize registros de registros de fluxo do AWS Transit Gateway no Amazon S3
**Como visualizar os registros de log de fluxo publicados no Amazon S3**
1. Abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Em **Nome do bucket**, selecione o bucket no qual os logs de fluxo são publicados.
1. Em **Nome**, marque a caixa de seleção ao lado do arquivo de log. No painel de visão geral do objeto, selecione **Baixar**.
## Registros processados AWS de registros de fluxo do Transit Gateway no Amazon S3
Os arquivos de log são compactados. Quando os arquivos de log são abertos usando o console do Amazon S3, eles serão descompactados, e os registros de log de fluxo serão exibidos. Se os arquivos forem baixados, será necessário descompactá-los para visualizar os registros de log de fluxo.
# AWS Transit Gateway, registros de registros de fluxo no Amazon Data Firehose
**Topics**
+ [Perfis do IAM para entrega entre contas](#flow-logs-kinesis-iam)
+ [Criar a função da conta de origem](flowlog-fh-create-source.md)
+ [Criar a função da conta de destino](flowlog-fh-create-destination.md)
+ [Criar um log de fluxo para publicação no Firehose](flow-logs-kinesis-create.md)
Os logs de fluxo podem publicar dados de log de fluxo diretamente no Firehose. É possível optar por publicar logs de fluxo na mesma conta do monitor de recursos ou em uma conta diferente.
**Pré-requisitos**
Ao publicar no Firehose, os dados de logs de fluxo são publicados em um fluxo de entrega do Firehose, em formato de texto sem formatação. É necessário primeiro ter criado um fluxo de entrega do Firehose. Para saber as etapas de criação de fluxos de entrega, consulte [Como criar um fluxo de entrega do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) no *Guia do desenvolvedor do Amazon Data Firehose*.
**Preços**
São aplicadas as taxas padrão de ingestão e entrega. Para obter mais informações, abra o [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/), selecione **Logs** e encontre **Vended Logs**.
## Perfis do IAM para entrega entre contas
Ao publicar no Kinesis Data Firehose, é possível escolher um fluxo de entrega que esteja na mesma conta que o recurso a ser monitorado (a conta de origem) ou em uma conta diferente (a conta de destino). Para permitir a entrega de logs de fluxo entre contas para o Firehose, é necessário criar um perfil do IAM na conta de origem e um perfil do IAM na conta de destino.
**Topics**
+ [Perfil da conta de origem](#flow-logs-kinesis-iam-role-source)
+ [Perfil da conta de destino](#flow-logs-kinesis-iam-role-destination)
### Perfil da conta de origem
Na conta de origem, crie um perfil que conceda as seguintes permissões. Neste exemplo, o nome do perfil é `mySourceRole`, mas é possível escolher um nome diferente para este perfil. A última instrução permite que o perfil na conta de destino assuma este perfil. As instruções de condição garantem que esse perfil seja passado somente para o serviço de entrega de logs e somente ao monitorar o recurso especificado. Ao criar sua política, especifique as VPCs interfaces de rede ou sub-redes que você está monitorando com a chave de condição. `iam:AssociatedResourceARN`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/mySourceRole",
"Condition": {
"StringEquals": {
"iam:PassedToService": "delivery.logs.amazonaws.com"
},
"StringLike": {
"iam:AssociatedResourceARN": [
"arn:aws:ec2:us-east-1:source-account:transit-gateway/tgw-0fb8421e2da853bf"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:ListLogDeliveries",
"logs:GetLogDelivery"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::111122223333:role/AWSLogDeliveryFirehoseCrossAccountRole"
}
]
}
```
------
Verifique se esse perfil tem a política de confiança a seguir, que permite que o serviço de entrega de logs assuma o perfil.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### Perfil da conta de destino
Na conta de destino, crie uma função com um nome que comece com **AWSLogDeliveryFirehoseCrossAccountRole**. Esse perfil deve conceder as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"firehose:TagDeliveryStream"
],
"Resource": "*"
}
]
}
```
------
Certifique-se de que esse perfil tenha a seguinte política de confiança, que permite que este perfil seja assumido pelo perfil criado na conta de origem.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/mySourceRole"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Crie a função da conta de origem do AWS Transit Gateway Flow Logs para o Amazon Data Firehose
Na conta de origem, crie a função de origem no AWS Identity and Access Management console.
**Como criar a função da conta de origem**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Selecione **Criar política**.
1. Na página Criar política siga estes passos:
1. Escolha **JSON**.
1. Substitua o conteúdo dessa janela pela política de permissões no início desta seção.
1. Selecione **Avançar: tags** e **Avançar: revisar**.
1. Insira um nome e uma descrição opcional para a política e selecione **Criar política**.
1. No painel de navegação, selecione **Perfis**.
1. Escolha **Criar Perfil**.
1. Na opção **Tipo de entidade confiável**, escolha **Política de confiança personalizada**. Em **Política de confiança personalizada**, substitua `"Principal": {},` pelo seguinte, que especifica o serviço de entrega de logs. Selecione **Avançar**.
```
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
```
1. Na página **Adicionar permissões**, marque a caixa de seleção correspondente à política criada anteriormente neste procedimento e, em seguida, escolha **Avançar**.
1. Insira um nome para a função e, opcionalmente, uma descrição.
1. Selecione **Criar perfil**.
# Crie a função de conta de destino do AWS Transit Gateway Flow Logs para o Amazon Data Firehose
Na conta de destino, crie a função de destino no AWS Identity and Access Management console.
**Para criar a função da conta de destino**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, selecione **Políticas**.
1. Selecione **Criar política**.
1. Na página Criar política siga estes passos:
1. Escolha **JSON**.
1. Substitua o conteúdo dessa janela pela política de permissões no início desta seção.
1. Selecione **Avançar: tags** e **Avançar: revisar**.
1. Insira um nome para sua política que comece com e **AWSLogDeliveryFirehoseCrossAccountRole**, em seguida, escolha **Criar política**.
1. No painel de navegação, escolha **Perfis**.
1. Escolha **Criar Perfil**.
1. Na opção **Tipo de entidade confiável**, escolha **Política de confiança personalizada**. Em **Política de confiança personalizada**, substitua `"Principal": {},` pelo seguinte, que especifica o serviço de entrega de logs. Selecione **Avançar**.
```
"Principal": {
"AWS": "arn:aws:iam::source-account:role/mySourceRole"
},
```
1. Na página **Adicionar permissões**, marque a caixa de seleção correspondente à política criada anteriormente neste procedimento e, em seguida, escolha **Avançar**.
1. Insira um nome para a função e, opcionalmente, uma descrição.
1. Selecione **Criar perfil**.
# Crie um registro de registros de fluxo do AWS Transit Gateway que publique no Amazon Data Firehose
Crie um log de fluxos do gateway de trânsito que seja publicado no Amazon Data Firehose. Antes de criar o log de fluxo, certifique-se de ter configurado as funções da conta IAM de origem e destino para entrega entre contas e de ter criado o stream de entrega do Firehose. Consulte [Logs de fluxo no Amazon Data Firehose](flow-logs-kinesis.md) para obter mais informações. Você pode criar um registro de fluxo do Firehose usando o console Amazon VPC ou a CLI. AWS
**Como criar um log de fluxo de gateway de trânsito que publique no Firehose usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito** ou **Anexos do gateway de trânsito**.
1. Marque a caixa de seleção de um ou mais gateways de trânsito ou anexos do gateway de trânsito.
1. Selecione **Ações**, **Criar log de fluxo**.
1. Em **Destino**, escolha Enviar para um **Sistema de entrega Firehose**.
1. Em **ARN do fluxo de entrega do Firehose**, escolha o ARN de um fluxo de entrega criado e no qual o log de fluxo deverá ser publicado.
1. Em **Formato de registro de log**, selecione o formato para o registro de log de fluxo.
+ Para usar o formato de registro de log de fluxo padrão, escolha **AWS Formato padrão**.
+ Para criar um formato personalizado, escolha **Formato personalizado**. Em **Formato de log**, selecione os campos a serem incluídos no registro de log de fluxo.
1. (Opcional) Para adicionar uma etiqueta ao log de fluxo, escolha **Adicionar nova tag** e especifique a chave e o valor da tag.
1. Selecione **Criar log de fluxo**.
**Como criar um log de fluxo publicado no Firehose usando a ferramenta de linha de comando**
Use um dos seguintes comandos:
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (CLI)AWS
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
O exemplo de AWS CLI a seguir cria um log de fluxo que captura informações do gateway de trânsito e entrega o log de fluxo ao stream de entrega especificado do Firehose.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids tgw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream
```
O exemplo de AWS CLI a seguir cria um log de fluxo que captura as informações do gateway de trânsito e entrega o log de fluxo para um stream de entrega do Firehose diferente da conta de origem.
```
aws ec2 create-flow-logs \
--resource-type TransitGateway \
--resource-ids gw-1a2b3c4d \
--log-destination-type kinesis-data-firehose \
--log-destination arn:aws:firehose:us-east-1:123456789012:deliverystream:flowlogs_stream \
--deliver-logs-permission-arn arn:aws:iam::source-account:role/mySourceRole \
--deliver-cross-account-role arn:aws:iam::destination-account:role/AWSLogDeliveryFirehoseCrossAccountRole
```
# Crie e gerencie registros de fluxo do AWS Transit Gateway usando APIs ou a CLI
É possível executar as tarefas descritas nesta página por meio da linha de comando.
As seguintes limitações se aplicam ao usar o [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html)comando:
+ `--resource-ids` tem uma restrição máxima de 25 tipos de recurso `TransitGateway` ou `TransitGatewayAttachment`.
+ `--traffic-type` não é um campo obrigatório por padrão. Uma mensagem de erro será exibida se esse valor for fornecido para recursos do tipo gateway de trânsito. Esse limite se aplica apenas a recursos do tipo gateway de trânsito.
+ `--max-aggregation-interval` tem um valor padrão de `60` e é o único valor aceito para recursos do tipo gateway de trânsito. Uma mensagem de erro será exibida se qualquer outro valor for fornecido. Esse limite se aplica apenas a recursos do tipo gateway de trânsito.
+ `--resource-type` é compatível com dois tipos de recursos novos, `TransitGateway` e `TransitGatewayAttachment`.
+ `--log-format` inclui todos os campos de log para os recursos do tipo gateway de trânsito se os campos a serem incluidos não forem definidos. Esse limite se aplica apenas a recursos do tipo gateway de trânsito.
**Criar um log de fluxos**
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Descrever logs de fluxo**
+ [describe-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-flow-logs.html) (AWS CLI)
+ [Get-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
**Visualizar seus registros de log de fluxo (eventos de log)**
+ [get-log-events](https://docs.aws.amazon.com/cli/latest/reference/logs/get-log-events.html) (AWS CLI)
+ [Obter- CWLLog Evento](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-CWLLogEvent.html) (AWS Tools for Windows PowerShell)
**Excluir um log de fluxo**
+ [delete-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-flow-logs.html) (AWS CLI)
+ [Remove-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2FlowLog.html) (AWS Tools for Windows PowerShell)
# Exibir registros de registros de fluxo do AWS Transit Gateway
Exiba informações sobre os registros de logs fluxo do seu gateway de trânsito por meio do Amazon VPC. Ao escolher um recurso, todos os logs de fluxo desse recurso são listados. As informações exibidas incluem o ID do log de fluxo, a configuração do log de fluxo e o status do log de fluxo.
**Como visualizar informações sobre logs de fluxo para gateways de trânsito**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit gateways** (Gateways de trânsito) ou **Transit gateway attachments** (Anexos do gateway de trânsito).
1. Escolha um gateway de trânsito ou um anexo do gateway de trânsito e selecione **Logs de fluxo**. As informações sobre os logs de fluxo são exibidas nessa guia. A coluna **Tipo de destino** indica o destino no qual os logs de fluxo são publicados.
# Gerenciar tags de registros de fluxo do AWS Transit Gateway
É possível adicionar ou remover tags para um log de fluxo nos consoles do Amazon EC2 e da Amazon VPC.
**Como adicionar ou remover tags de um log de fluxo do gateway de trânsito**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Transit gateways** (Gateways de trânsito) ou **Transit gateway attachments** (Anexos do gateway de trânsito).
1. Selecione um gateway de trânsito ou um anexo do gateway de trânsito
1. Escolha **Gerenciar tags** para o log de fluxo necessário.
1. Para adicionar uma nova tag, escolha **Criar tag**. Para remover uma tag, seelcione o botão de exclusão (x).
1. Selecione **Salvar**.
# Pesquisar registros de registros de fluxo do AWS Transit Gateway
Você pode pesquisar seus registros de registro de fluxo que são publicados no CloudWatch Logs usando o console do CloudWatch Logs. Os [filtros de métrica](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) podem ser usados para filtrar registros de log de fluxo. Os registros de log de fluxo são delimitados por espaço.
**Para pesquisar registros de registros de fluxo usando o console CloudWatch de registros**
1. Abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. No painel de navegação, escolha **Logs** e, em seguida, escolha **Grupos de logs**.
1. Selecione o grupo de logs que contém o log de fluxo desejado. É exibida uma lista de fluxos de logs para cada gateway de trânsito.
1. Selecione o fluxo de logs individual se souber qual é o gateway de trânsito que está procurando. Como alternativa, escolha **Pesquisar grupo de logs** para pesquisar todo o grupo de logs. Isso pode levar algum tempo se houver muitos gateways de trânsito no grupo de logs ou dependendo do intervalo de tempo selecionado.
1. Em **Filtrar eventos**, insira a string a seguir. Isso pressupõe que o registro de log de fluxo usa o [formato padrão](tgw-flow-logs.md#flow-logs-default).
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Modifique o filtro conforme necessário especificando valores para os campos. Os exemplos a seguir filtram por endereços IP de origem específicos.
```
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
[version, resource_type, account_id,tgw_id, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
O exemplo a seguir filtra por ID de gateway de trânsito tgw-123abc456bca, porta de destino e número de bytes.
```
[version, resource_type, account_id,tgw_id=tgw-123abc456bca, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 500,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
# Excluir um registro de registros de fluxo do AWS Transit Gateway
É possível excluir um log de fluxo de gateway de trânsito usando o console da Amazon VPC.
Esses procedimentos desabilitam o serviço de log de fluxo para um recurso. A exclusão de um log de fluxo não exclui os fluxos de log existentes dos CloudWatch Logs ou dos arquivos de log do Amazon S3. Os dados de log de fluxo existentes devem ser excluídos por meio do respectivo console de serviço. Além disso, a exclusão de um log de fluxo que é publicado no Amazon S3 não remove as políticas do bucket e as listas de controle de acesso ao arquivo de log (). ACLs
**Como excluir um log de fluxo de gateway de trânsito**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Gateways de trânsito**.
1. Escolha um **ID de gateway de trânsito**.
1. Na seção Logs de fluxos, escolha os logs de fluxos que deseja excluir.
1. Escolha **Ações** e depois **Excluir grupo de logs**.
1. Confirme a exclusão do fluxo selecionando **Excluir**.