Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Protokolldatensätze für den Prozessablauf in CloudWatch Logs
Sie können Flow-Protokolldatensätze wie alle anderen von CloudWatch Logs erfassten Protokollereignisse verarbeiten. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*.
## Beispiel: Erstellen Sie einen CloudWatch Metrikfilter und einen Alarm für ein Flow-Protokoll
In diesem Beispiel haben Sie ein Flow-Protokoll für `eni-1a2b3c4d`. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.
**So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter**
1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.
1. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann **Actions (Aktionen)**, **Create metric filter (Metrikfilter erstellen)**.
1. Geben Sie für **Filter pattern** (Filtermuster) folgende Informationen ein.
```
[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
```
1. Wählen Sie für **Select Log Data to Test (Die zu testenden Protokolldaten auswählen)** den Protokollstream Ihrer Netzwerkschnittstelle aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie **Test Pattern (Testmuster)**.
1. Wählen Sie danach **Next (Weiter)** aus.
1. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf 1 fest. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** und dann **Create metric filter (Metrikfilter erstellen)** aus.
1. Wählen Sie im Navigationsbereich **Alarms (Alarme)** und **All alarms (Alle Alarme)** aus.
1. Wählen Sie **Create alarm** (Alarm erstellen) aus.
1. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf **Metrik auswählen**.
1. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann **Weiter**:
+ Wählen Sie für **Statistic (Statistik)** **Sum (Summe)** aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.
+ Wählen Sie als **Period (Zeitraum)** **1 Hour (1 Stunde)** aus.
+ Denn **wann immer TimeSinceLastActive ist...** , wählen Sie **Größer/Gleich** und geben Sie 10 als Schwellenwert ein.
+ Belassen Sie für **Additional configuration (Zusätzliche Konfiguration)**, **Datapoints to alarm (Zu alarmierende Datenpunkte)** den Standardwert 1.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie für **Notification (Benachrichtigung)** ein vorhandenes SNS-Thema aus oder wählen Sie **Create new topic (Neues Thema erstellen)**, um ein neues zu erstellen. Wählen Sie **Weiter** aus.
1. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie **Next (Weiter)**.
1. Wenn Sie mit der Vorschau des Alarms fertig sind, wählen Sie **Alarm erstellen** aus.