Protokolldatensätze für den Prozessablauf in CloudWatch Logs - Amazon Virtual Private Cloud
Beispiel: Erstellen Sie einen CloudWatch Metrikfilter und einen Alarm für ein Flow-Protokoll

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokolldatensätze für den Prozessablauf in CloudWatch Logs

Sie können Flow-Protokolldatensätze wie alle anderen von CloudWatch Logs erfassten Protokollereignisse verarbeiten. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter Metriken aus Protokollereignissen mithilfe von Filtern erstellen im Amazon CloudWatch Logs-Benutzerhandbuch.

Beispiel: Erstellen Sie einen CloudWatch Metrikfilter und einen Alarm für ein Flow-Protokoll

In diesem Beispiel haben Sie ein Flow-Protokoll für eni-1a2b3c4d. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.

So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Logs (Protokolle), Log groups (Protokollgruppen) aus.

  3. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann Actions (Aktionen), Create metric filter (Metrikfilter erstellen).

  4. Geben Sie für Filter pattern (Filtermuster) folgende Informationen ein.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. Wählen Sie für Select Log Data to Test (Die zu testenden Protokolldaten auswählen) den Protokollstream Ihrer Netzwerkschnittstelle aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie Test Pattern (Testmuster).

  6. Wählen Sie danach Next (Weiter) aus.

  7. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf 1 fest. Wenn Sie fertig sind, wählen Sie Next (Weiter) und dann Create metric filter (Metrikfilter erstellen) aus.

  8. Wählen Sie im Navigationsbereich Alarms (Alarme) und All alarms (Alle Alarme) aus.

  9. Wählen Sie Create alarm (Alarm erstellen) aus.

  10. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf Metrik auswählen.

  11. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann Weiter:

    • Wählen Sie für Statistic (Statistik) Sum (Summe) aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.

    • Wählen Sie als Period (Zeitraum) 1 Hour (1 Stunde) aus.

    • Denn wann TimeSinceLastActive immer... , wählen Sie Größer/Gleich und geben Sie 10 als Schwellenwert ein.

    • Belassen Sie für Additional configuration (Zusätzliche Konfiguration), Datapoints to alarm (Zu alarmierende Datenpunkte) den Standardwert 1.

  12. Wählen Sie Weiter.

  13. Wählen Sie für Notification (Benachrichtigung) ein vorhandenes SNS-Thema aus oder wählen Sie Create new topic (Neues Thema erstellen), um ein neues zu erstellen. Wählen Sie Weiter.

  14. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie Next (Weiter).

  15. Wenn Sie mit der Vorschau des Alarms fertig sind, wählen Sie Alarm erstellen aus.