# Procesar entradas de registro de flujo en CloudWatch Logs
<a name="process-records-cwl"></a>

Puede procesar los registros de flujo de la misma forma que cualquier otro evento de registro que recopile Registros de CloudWatch. Para obtener más información sobre cómo supervisar los datos de registro y los filtros de métricas, consulte [Creación de métricas con filtros a partir de eventos de registro](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) en la *Guía del usuario de Registros de Amazon CloudWatch*.

## Ejemplo: crear un filtro de métrica y una alarma de CloudWatch para un registro de flujo
<a name="flow-logs-cw-alarm-example"></a>

En este ejemplo, tiene un log de flujo para `eni-1a2b3c4d`. Desea crear una alarma que le avise si ha habido 10 o más intentos rechazados para conectar con su instancia a través del puerto TCP 22 (SSH) en un periodo de 1 hora. En primer lugar, debe crear un filtro de métrica que coincida con el patrón de tráfico para el que va a crear la alarma. A continuación, puede crear una alarma para el filtro de métrica.

**Para crear un filtro de métrico para el tráfico SSH rechazado y una alarma para el filtro**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registros).

1. Seleccione la casilla de verificación para el grupo de registro y, a continuación, elija **Actions** (Acciones), **Create metric filter** (Crear filtro de métricas).

1. En **Filter Pattern** (Patrón de filtro), ingrese la siguiente cadena.

   ```
   [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
   ```

1. En **Select Log Data to Test** (Seleccionar datos de registro para prueba), seleccione el flujo de registro para la interfaz de red. (Opcional) Para ver las líneas de los datos de registro que concuerdan con el patrón de filtro, elija **Test Pattern** (Probar patrón).

1. Cuando esté preparado para continuar, seleccione **Next** (Siguiente).

1. Ingrese un nombre de filtro, un espacio de nombres de métrica y un nombre de métrica. Establezca el valor de la métrica en 1. Cuando haya terminado, elija **Next** (Siguiente) y, luego, elija **Create metric filter** (Crear filtro de métricas).

1. En el panel de navegación, elija **Alarms** (Alarmas), **Create Alarm** (Crear alarma).

1. Elija **Crear alarma**.

1. Seleccione el nombre de métrica que ha creado y elija **Select metric** (Seleccionar métrica).

1. Configure la alarma como se indica a continuación y, luego, elija **Next** (Siguiente):
   + En **Statistic** (Estadística), elija **Sum** (Suma). Asegura que esté capturando el número total de puntos de datos para el período especificado.
   + En **Period** (Período), seleccione **1 Hour** (1 hora).
   + En **Whenever TimeSinceLastActive is...** (Siempre LaÚltimaVezActivo es…), elija **Greater/Equal** (Mayor o igual) e ingrese 10 en el umbral.
   + En **Additional configuration** (Configuración adicional), **Datapoints to alarm** (Puntos de datos para alarma), deje el valor predeterminado 1.

1. Elija **Siguiente**.

1. Para **Notification** (Notificación), seleccione un tema de SNS existente o elija **Create new topic** (Crear tema nuevo) para crear uno nuevo. Elija **Next** (Siguiente).

1. Ingrese un nombre y una descripción para la alarma y, a continuación, elija **Next** (Siguiente).

1. Cuando haya terminado de obtener una vista previa de la alarma, elija **Create alarm** (Crear alarma).