Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Transit Gateway Flow Logs-Datensätze in Amazon CloudWatch Logs verarbeiten
<a name="process-records-cwl"></a>

Sie können mit Flow-Protokolldatensätzen genauso arbeiten wie mit allen anderen Protokollereignissen, die von CloudWatch Logs erfasst werden. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter [Metriken aus Protokollereignissen mithilfe von Filtern erstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) im * CloudWatch Amazon-Benutzerhandbuch*.

## Beispiel: Erstellen Sie einen CloudWatch metrischen Filter und einen Alarm für ein Flow-Protokoll
<a name="flow-logs-cw-alarm-example"></a>

In diesem Beispiel haben Sie ein Flow-Protokoll für `tgw-123abc456bca`. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.

**So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs (Protokolle)**, **Log groups (Protokollgruppen)** aus.

1. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann **Aktionen**, **Metrikfilter erstellen** aus.

1. Geben Sie für **Filter Pattern (Filtermuster)** folgende Informationen ein.

   ```
   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
   ```

1. Wählen Sie für **Select Log Data to Test** (Die zu testenden Protokolldaten auswählen) den Protokollstream Ihres Transit-Gateways aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie **Test Pattern (Testmuster)**. Wählen Sie danach **Next (Weiter)** aus.

1. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf **1** fest. Wenn Sie fertig sind, wählen Sie **Next (Weiter)** und dann **Create metric filter (Metrikfilter erstellen)** aus.

1. Wählen Sie im Navigationsbereich **Alarms (Alarme)** und **All alarms (Alle Alarme)** aus.

1. Wählen Sie **Create alarm** (Alarm erstellen) aus.

1. Wählen Sie den Namespace für den Metrikfilter aus, den Sie erstellt haben.

   Es kann einige Minuten dauern, bis neu erstellte Metriken in der Konsole angezeigt werden.

1. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf **Select metric (Metrik auswählen)**.

1. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann **Weiter**:
   + Wählen Sie für **Statistic (Statistik)** **Sum (Summe)** aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.
   + Wählen Sie als **Period (Zeitraum)** **1 Hour (1 Stunde)** aus.
   + Wählen Sie für **Whenever (Jederzeit)** **Greater/Equal (Größer/Gleich)** aus und geben Sie **10** für den Schwellenwert ein.
   + Belassen Sie für **Additional configuration** (Zusätzliche Konfiguration), **Datapoints to alarm** (Zu alarmierende Datenpunkte) den Standardwert **1**.

1. Wählen Sie für **Notification** (Benachrichtigung) ein vorhandenes SNS-Thema aus oder wählen Sie **Create new topic** (Neues Thema erstellen), um ein neues zu erstellen. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie **Next (Weiter)**.

1. Wenn Sie mit der Konfiguration des Alarms fertig sind, wählen Sie **Create alarm (Alarm erstellen)**.