本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建发布到 T AWS ransit Gateway 流日志记录 Amazon CloudWatch Logs
<a name="flow-logs-cwl-create-flow-log"></a>

您可以为中转网关创建流日志。如果以 IAM 用户身份执行这些步骤，请确保您具有使用 `iam:PassRole` 操作的权限。有关更多信息，请参阅 [IAM 用户传递角色的权限](flow-logs-cwl.md#flow-logs-iam-user)。

您可以使用 Amazon VPC 控制台或 AWS CLI 创建亚马逊 CloudWatch 流日志。

**使用控制台创建中转网关流日志**

1. 登录 AWS 管理控制台 并打开 Amazon VPC 控制台，网址为[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)。

1. 在导航窗格中，选择 **Transit gateways（中转网关）**。

1. 选择一个或多个中转网关的复选框，然后选择 **Actions**（操作）、**Creat flow log**（创建流日志）。

1. 对于 “**目标**”，选择 “**发送到 CloudWatch日志**”。

1. 对于 **Destination log group**（目的地日志组），选择当前的目的地日志组的名称。
**注意**  
如果目的地日志组尚不存在，则在此字段中输入新名称将创建新的目标日志组。

1. 对于 **IAM 角色**，请指定有权向 CloudWatch 日志发布日志的角色的名称。

1. 对于**Log record format（日志记录格式）**，选定流日志记录的格式。
   + 要使用默认格式，请选择**AWS default format（亚马逊云科技默认格式）**。
   + 要使用自定义格式，请选择**Custom format（自定义格式）**然后从**Log format（日志格式）**选择字段。

1. （可选）选择**Add new tag（添加新标签）**以将标签应用于流日志。

1. 选择 **Create flow log（创建流日志）**。

**使用命令行创建流日志**

使用以下命令之一。
+ [create-flow-logs](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-flow-logs.html) (AWS CLI)
+ [New-EC2FlowLog](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2FlowLog.html) (AWS Tools for Windows PowerShell)

以下 AWS CLI 示例创建了一个用于捕获传输网关信息的流日志。流日志使用 IAM 角色传送到账户 123456789101 中名为 “ CloudWatch `my-flow-logs`日志” 的日志组。`publishFlowLogs`

```
aws ec2 create-flow-logs --resource-type TransitGateway --resource-ids tgw-1a2b3c4d --log-group-name my-flow-logs --deliver-logs-permission-arn arn:aws:iam::123456789101:role/publishFlowLogs 
```