CloudWatch Logs でのフローログレコードの処理 - Amazon Virtual Private Cloud
例: フローログの CloudWatch メトリクスフィルターとアラームの作成

CloudWatch Logs でのフローログレコードの処理

フローログレコードは、CloudWatch Logs で収集した他のログイベントのように処理することができます。ログデータとメトリクスフィルタのモニタリングの詳細については、Amazon CloudWatch ユーザーガイドの「ログデータの検索およびフィルタリング」を参照してください。

例: フローログの CloudWatch メトリクスフィルターとアラームの作成

この例では、eni-1a2b3c4d のフローログがあります。1 時間以内の期間に TCP ポート 22 (SSH) 経由でインスタンスに接続しようとする試みが 10 個以上拒否された場合に、アラームを作成するとします。最初に、アラームを作成するトラフィックのパターンと一致するメトリクスフィルターを作成する必要があります。次に、メトリクスフィルターのアラームを作成できます。

拒否された SSH トラフィックのメトリクスフィルターを作成し、フィルタのアラームを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで、[ログ][ロググループ] の順に選択します。

  3. ロググループのチェックボックスをオンにしてから、[アクション][メトリクスフィルターの作成] を選択します。

  4. [Filter pattern] (フィルターパターン) で、次の文字列を入力します。

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. [テストするログデータの選択] で、ネットワークインターフェイスのログストリームを選択します。(オプション) フィルタパターンと一致するログデータの行を表示するには、[テストパターン] を選択します。

  6. 準備ができたら、[次へ] を選択します。

  7. フィルター名、メトリクス名前空間、およびメトリック名を入力します。メトリクス値を 1 に設定します。完了したら、[次へ] を選択し、その後 [Create metric filter] を選択します。

  8. ナビゲーションペインで、[アラーム][すべてのアラーム] の順に選択します。

  9. [アラームの作成] を選択します。

  10. 作成したメトリクス名を選択し、その後 [メトリクスの選択] を選択します。

  11. アラームを以下のように設定して、[次へ] をクリックします。

    • [統計] で、[合計] を選択します。これにより、指定された期間のデータポイントの総数をキャプチャしていることを確認できます。

    • [期間] で、[1 時間] を選択します。

    • [TimeSinceLastActive が次の場合...] で、[以上] を選択し、しきい値は「10」と入力します。

    • [追加設定]、[Datapoints to alarm] はデフォルトの「1」のままにしておきます。

  12. [Next] を選択します。

  13. [Notification] で、既存の SNS トピックを選択するか、[Create new topic] を選択して新しいトピックを作成します。[Next] を選択します。

  14. 次のページで、アラームの名前と説明を入力し、[次へ] を選択します。

  15. アラームの設定が終わったら、[アラームの作成] を選択します。