搜索流日志记录
您可以使用 CloudWatch Logs 控制台搜索发布到 CloudWatch Logs 的流日志记录。您可以使用度量筛选器筛选流日志记录。流日志记录用空格分隔。
使用 CloudWatch Logs 控制台搜索流日志记录
通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/
。 -
在导航窗格中,依次选择 Logs(日志)和 Log groups(日志组)。
-
如果您知道要搜索的网络接口,请选择包含流日志的日志组,然后选择日志流。或者,选择 Search log group(搜索日志组)。如果日志组中有许多网络接口,或者根据您选择的时间范围,这可能需要一些时间。
-
在筛选事件下,输入以下字符串。这假定流日志记录使用默认格式。
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
-
通过为字段指定值,根据需要修改筛选器。以下示例按特定的源 IP 地址进行筛选。
[version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
以下示例按目标端口、字节数以及流量是否被拒绝进行筛选。
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]