什么是 VPC FlowLog？

• VPC FlowLog 是 aws 的一项功能，用于捕获有关进出 VPC 中网络接口的 IP 流量的信息。
• Amazon FlowLog 数据可以使用 Amazon CloudWatchLogs 或 Amazon S3 存储桶进行存储。
• 创建 FlowLog 后，您可以从 Amazon CloudWatch Logs 中查看和检索数据。
• 简而言之，我们可以说 VPC FlowLog 是一种存储 VPC 中流量的方式。
• FlowLog 有多种用途
  • 排除问题“为什么特定流量无法到达实例”。
  • VPC FlowLog 也可以用作安全工具来监控到达您实例的流量。

VPC FlowLog 的限制

• 除非与同一账户中的 VPC 对等互连，否则您无法启用与您的 VPC 对等互连的 VPC 的 FlowLog。
• 创建 FlowLog 时，您无法标记 FlowLog。
• 创建 FlowLog 后，您无法更改其配置。例如，如果您将 IAM 角色关联到 FlowLog，则无法更改 IAM 角色。在这种情况下，您需要删除 FlowLog 并使用所需的配置创建新的 FlowLog。

VPC FlowLog 级别

VPC FlowLog 可以在三个级别创建

• VPC
• 子网
• 网络接口级别

如何创建 VPC FlowLog

• 登录 AWS 管理控制台。
• 移至 VPC 服务，我们可以从下面的屏幕中看到，名为 javatpointvpc 的 VPC 已经创建。

• 单击自定义 VPC，然后单击“操作”下拉菜单。单击“创建 FlowLog”。

• 填写以下详细信息以创建 FlowLog。

其中，

筛选器：它确定要记录的流量类型。有三种类型的筛选器：全部、接受和拒绝。“全部”用于记录已接受和已拒绝的流量。“接受”仅用于记录已接受的流量，而“拒绝”仅记录已拒绝的流量。

目的地：目的地确定您希望将流量发送到哪里。有两种类型的目的地可用：发送到 CloudWatch Logs 和发送到 S3 存储桶。我选择“发送到 CloudWatch Logs”作为目的地。

目的地日志组：它确定目的地的名称。到目前为止，我们还没有创建 CloudWatch Log。首先，我们创建 CloudWatch Log，然后将 Log 的名称添加到此 Log 组。

• 单击 CloudWatch。

• 单击控制台左侧出现的日志。

• 单击“让我们开始吧”按钮。

• 单击创建日志组按钮。

• 输入日志组名称。

• 最后，创建 CloudWatch 日志。在 FlowLog 控制台中输入日志名称。

从上面的屏幕中，我们观察到“未选择 IAM 角色”。要选择 IAM 角色，我们需要先创建一个 IAM 角色。单击设置权限。

• 要创建 IAM 角色，请输入角色名称，然后单击允许按钮。

• 创建 IAM 角色后，在 FlowLog 控制台中输入 IAM 角色。

• 下面的屏幕显示已创建 flowlog。