Amazon CloudWatch Logs에서 Transit Gateway 흐름 로그 기록 처리

거부된 SSH 트래픽에 대한 지표 필터와 필터에 대한 경보를 만들려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

2. 탐색 창에서 Logs, Log groups를 선택합니다.

3. 로그 그룹에 대한 확인란을 선택한 다음 작업,지표 필터 생성을 선택합니다.

4. 필터 패턴(Filter Pattern)에 다음을 입력합니다.

   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]

5. 테스트할 로그 데이터 선택(Select log data to test)에서 전송 게이트웨이에 대한 로그 스트림을 선택합니다. (선택 사항) 필터 패턴과 일치하는 로그 데이터 행을 보려면 패턴 테스트를 선택합니다. 준비가 되면 다음을 선택합니다.

6. 필터 이름, 지표 네임스페이스 및 지표 이름을 입력합니다. 지표 값을 1로 설정합니다. 완료되면 다음을 선택하고 지표 필터 생성을 선택합니다.

7. 탐색 창에서 Alarms, All alarms를 선택합니다.

8. Create alarm(경보 생성)을 선택하세요.

9. 앞에서 생성한 지표 필터에 대한 네임스페이스를 선택합니다.

   새로운 지표가 콘솔에 표시될 때까지 몇 분 정도 걸릴 수 있습니다.

10. 생성한 지표 이름을 선택한 후 지표 선택을 선택합니다.

11. 경보를 다음과 같이 구성한 후 다음(Next)을 선택합니다.

    • Statistic(통계)에서 Sum(합계)를 선택합니다. 이것으로 지정된 기간 동안 데이터 포인트의 총 수를 캡처할 수 있습니다.

    • 기간에서 1시간을 선택합니다.

    • 항상에서 초과/같음을 선택하고 임계값으로 10을 입력합니다.

    • 추가 구성(Additional configuration)에서 경보에 대한 데이터 포인트(Datapoints to alarm)를 기본값 1로 남겨둡니다.

12. 알림(Notification)에서 기존 SNS 주제를 선택하거나 새 주제 생성(Create new topic)을 선택하여 새로 생성합니다. 다음(Next)을 선택합니다.

13. 경보의 이름과 설명을 입력하고 다음을 선택합니다.

14. 경보 구성이 완료되면 경보 생성을 선택합니다.