フローログレコードは、CloudWatch Logs で収集した他のログイベントのように処理することができます。モニタリングログデータとメトリックフィルターの詳細については、Amazon CloudWatch Logs ユーザーガイドの「フィルターを使用したログイベントからのメトリクスの作成」を参照してください。
例: フローログの CloudWatch メトリクスフィルターとアラームの作成
この例では、eni-1a2b3c4d のフローログがあります。1 時間以内の期間に TCP ポート 22 (SSH) 経由でインスタンスに接続しようとする試みが 10 個以上拒否された場合に、アラームを作成するとします。最初に、アラームを作成するトラフィックのパターンと一致するメトリクスフィルターを作成する必要があります。次に、メトリクスフィルターのアラームを作成できます。
拒否された SSH トラフィックのメトリクスフィルターを作成し、フィルタのアラームを作成するには
CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/
) を開きます。 -
ナビゲーションペインで、[ログ]、[ロググループ] の順に選択します。
-
ロググループのチェックボックスをオンにしてから、[アクション]、[メトリクスフィルターの作成] を選択します。
-
[Filter pattern] (フィルターパターン) で、次の文字列を入力します。
[version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus] -
[テストするログデータの選択] で、ネットワークインターフェイスのログストリームを選択します。(オプション) フィルタパターンと一致するログデータの行を表示するには、[テストパターン] を選択します。
-
準備ができたら、[次へ] を選択します。
-
フィルター名、メトリクス名前空間、およびメトリック名を入力します。メトリクス値を 1 に設定します。完了したら、[次へ] を選択し、その後 [Create metric filter] を選択します。
-
ナビゲーションペインで、[アラーム]、[すべてのアラーム] の順に選択します。
-
[アラームの作成] を選択します。
-
作成したメトリクス名を選択し、その後 [メトリクスの選択] を選択します。
-
アラームを以下のように設定して、[次へ] をクリックします。
-
[統計] で、[合計] を選択します。これにより、指定された期間のデータポイントの総数をキャプチャしていることを確認できます。
-
[期間] で、[1 時間] を選択します。
-
[TimeSinceLastActive が次の場合...] で、[以上] を選択し、しきい値は「10」と入力します。
-
[追加設定]、[Datapoints to alarm] はデフォルトの「1」のままにしておきます。
-
-
[Next] を選択します。
-
[Notification] で、既存の SNS トピックを選択するか、[Create new topic] を選択して新しいトピックを作成します。[Next] を選択します。
-
次のページで、アラームの名前と説明を入力し、[次へ] を選択します。
-
アラームの設定が終わったら、[アラームの作成] を選択します。
