处理 CloudWatch Logs 中的流日志记录 - Amazon Virtual Private Cloud
示例:为流日志创建 CloudWatch 指标筛选条件和警报

处理 CloudWatch Logs 中的流日志记录

您可以像处理由 CloudWatch Logs 收集的其余日志事件一样处理流日志记录。有关监视日志数据和指标筛选条件的更多信息,请参阅《Amazon CloudWatch 用户指南》中的搜索和筛选日志数据

示例:为流日志创建 CloudWatch 指标筛选条件和警报

在此示例中,您有一个适用于 eni-1a2b3c4d 的流日志。您要创建一个警报,如果 1 小时内有 10 次或超过 10 次通过 TCP 端口 22(SSH) 连接到您的实例的尝试遭到拒绝,该警报将向您发出提醒。首先,您必须创建一个指标筛选条件,该指标筛选条件与为其创建警报的流量的模式相匹配。然后,您可以为该指标筛选条件创建警报。

为已拒绝的 SSH 流量创建指标筛选条件并为该筛选条件创建警报

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,依次选择 Logs(日志)和 Log groups(日志组)。

  3. 选中日志组对应的复选框,然后选择 Actions(操作)、Create metric filter(创建指标筛选条件)。

  4. 对于 Filter Pattern(筛选条件模式),输入以下字符串。

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. 对于 Select log data to test(选择要测试的日志数据),选择您的网络接口对应的日志流。(可选)要查看与筛选条件模式匹配的日志数据行,请选择 Test pattern(测试模式)。

  6. 准备就绪后,选择 Next(下一步)。

  7. 输入筛选条件名称、指标命名空间和指标名称。将指标值设置为 1。完成后,选择 Next(下一步),然后选择 Create metric filter(创建指标筛选条件)。

  8. 在导航窗格中,依次选择 Alarms(警报)和 All alarms(所有警报)。

  9. 选择Create alarm(创建警报)

  10. 选择您创建的指标名称,然后选择选择指标

  11. 按如下所示配置警报,然后选择 Next(下一步):

    • 对于 Statistic(统计数据),选择 Sum(总计)。这可以确保您捕获指定时间段内的数据点的总数。

    • 对于 Period(周期),选择 1 hour(1 小时)。

    • 对于每当 TimeSinceLastActive...,选择大于/等于,然后输入 10 作为阈值。

    • 对于 Additional configuration(其他配置)、Datapoints to alarm(警报的数据点数),将默认值设为 1。

  12. 选择下一步

  13. 对于 Notification(通知),选择现有的 SNS 主题,或选择 Create new topic(新建主题)创建一个新主题。选择 Next(下一步)。

  14. 输入警报的名称和描述,然后选择 Next(下一步)。

  15. 预览完警报后,选择创建警报