Elaborazione di record del log di flusso in CloudWatch Logs - Amazon Virtual Private Cloud
Esempio: creazione di un filtro CloudWatch parametri e di un allarme per un log di flusso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elaborazione di record del log di flusso in CloudWatch Logs

Puoi elaborare record di log di flusso come qualsiasi altro evento di log raccolto da CloudWatch Logs. Per ulteriori informazioni sul monitoraggio dei dati di log e i filtri parametri, consulta la sezione relativa alla Ricerca e filtraggio di dati di log nella Guida per CloudWatch l'utente di Amazon.

Esempio: creazione di un filtro CloudWatch parametri e di un allarme per un log di flusso

In questo esempio, si dispone di un log di flusso per eni-1a2b3c4d. Si desidera creare un allarme che avvisa se si sono verificati almeno 10 tentativi di connessione all'istanza sulla TCP porta 22 (SSH) entro un periodo di tempo di 1 ora. Innanzitutto, crea un filtro parametri che corrisponde al modello di traffico per il quale creare l'allarme. Quindi, puoi creare un allarme per il filtro parametri.

Per creare il filtro parametri per SSH traffico rifiutato e creare un allarme per il filtro

  1. Apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione a sinistra, scegli Logs (Registri), Log groups (Gruppi di registri).

  3. Seleziona la casella di controllo per il gruppo di log e scegli Actions (Operazioni), poi Create metric filter (Crea filtri parametri).

  4. Per Filter pattern (Modello di filtro), immetti la seguente stringa.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. Per Select Log Data to Test (Seleziona i dati di log per il test), seleziona il flusso di log per l'interfaccia di rete. (Facoltativo) Per visualizzare le righe di dati di log che corrispondono al modello di filtro, scegli Test Pattern (Modello di test).

  6. Al termine, scegli Next (Successivo).

  7. Inserisci un nome per il filtro, uno spazio dei nomi dei parametri e il nome del parametro. Imposta il valore del parametro su 1. Al termine, scegli Next (Successivo) e in seguito Create metric filter (Crea filtri parametri).

  8. Nel pannello di navigazione, seleziona Alarms (Allarmi), All alarms (Tutti gli allarmi).

  9. Scegli Crea allarme.

  10. Selezionare il nome del parametro creato e scegliere Next (Successivo).

  11. Configura l'allarme come segue, quindi scegli Next (Successivo):

    • Per Statistic (Statistica), scegliere Sum (Somma). Ciò ti garantisce di acquisire il numero totale di punti di dati per il periodo di tempo specificato.

    • Per Period (Periodo), scegli 1 Hour (1 ora).

    • Per Whenever is TimeSinceLastActive ... , scegli Greater/Equal (Maggiore di/Uguale a) e inserisci 10 come soglia.

    • In Additional configuration (Configurazione aggiuntiva), Datapoints to alarm (Punti dati ad allarme) lascia il valore di default 1.

  12. Scegli Next (Successivo).

  13. Per Notification (Notifica), scegli un SNS argomento esistente oppure Create new topic (Crea nuovo argomento) per crearne uno nuovo. Scegli Next (Successivo).

  14. Inserisci un nome e una descrizione per l'allarme, quindi scegli Next (Successivo).

  15. Al termine dell'anteprima dell'allarme, scegli Create alarm (Crea allarme).