# Processar registros de log de fluxo no CloudWatch Logs
<a name="process-records-cwl"></a>

É possível processar registros de log de fluxo do mesmo modo que você trabalharia com outros eventos de coletados pelo CloudWatch Logs. Para obter mais informações sobre como monitorar dados de log e filtros de métricas, consulte [Creating metrics from log events using filter](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) no * Guia do usuário do Amazon CloudWatch Logs*.

## Exemplo: criação de um filtro de métricas no CloudWatch e um alarme para um log de fluxo
<a name="flow-logs-cw-alarm-example"></a>

Neste exemplo, há um log de fluxo para `eni-1a2b3c4d`. Pode ser útil criar um alarme que o alerte se houver 10 ou mais tentativas rejeitadas de conexão à sua instância pela porta TCP 22 (SSH) no período de 1 hora. Primeiro, você deve criar um filtro de métrica que corresponda ao padrão do tráfego para o qual o alarme será criado. Depois, você pode criar um alarme para o filtro de métricas.

**Como criar um filtro de métricas para tráfego SSH rejeitado e um alarme para o filtro**

1. Abra o console do CloudWatch, em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. No painel de navegação, escolha **Logs**, **Log groups** (Grupos de log).

1. Marque a caixa de seleção do grupo de log e, em seguida, escolha **Actions** (Ações), **Create metric filter** (Criar filtro de métrica).

1. Em **Filter Pattern** (Padrão de filtro), insira a seguinte string.

   ```
   [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
   ```

1. Em **Select Log Data to Test** (Selecionar dados de log para teste), selecione o fluxo de logs da interface de rede. (Opcional) Para visualizar as linhas de dados de log que correspondem ao padrão do filtro, escolha **Test Pattern** (Padrão de teste).

1. Quando estiver pronto, selecione **Avançar**.

1. Insira um nome de filtro, um namespace de métrica e o nome da métrica. Defina o valor da métrica como 1. Quando terminar, escolha **Next** (Avançar) e, em seguida, escolha **Create metric filter** (Criar filtro de métrica).

1. No painel de navegação, selecione **Alarmes**, **Todos os alarmes**.

1. Selecione **Criar alarme**.

1. Selecione o nome da métrica que você criou e, em seguida. escolha **Selecionar métrica**.

1. Configure o alarme como indicado a seguir e, em seguida, selecione **Avançar**:
   + Em **Estatística**, selecione **Soma**. Isso garante que o número total de pontos de dados do período especificado seja capturado.
   + Em **Período**, selecione **1 hora**.
   + Em **Sempre que TimeSinceLastActive for...**, escolha **Maior que/igual a** e insira 10 como limite.
   + Em **Additional configuration** (Configuração adicional), **Datapoints to alarm** (Pontos de dados para alarme), deixe o padrão de 1.

1. Escolha **Próximo**.

1. Em **Notification** (Notificação), escolha um tópico existente do SNS ou **Create new topic** (Criar tópico) para criar um. Escolha **Próximo**.

1. Insira um nome e uma descrição para o alarme e selecione **Avançar**.

1. Quando terminar de pré-visualizar o alarme, escolha **Criar alarme**.