Verarbeiten von Flow-Protokolldatensätzen in CloudWatch Logs - Amazon Virtual Private Cloud
Beispiel: Erstellen eines CloudWatch-Metrikfilters und Alarms für ein Flow-Protokoll

Verarbeiten von Flow-Protokolldatensätzen in CloudWatch Logs

Sie können Flow-Protokolldatensätze genauso verarbeiten wie andere Protokollereignisse, die von CloudWatch Logs erfasst werden. Weitere Informationen zur Überwachung von Protokolldaten und Metrikfiltern finden Sie unter Erstellen von Metriken aus Protokollereignissen mithilfe von Filtern im Benutzerhandbuch zu Amazon CloudWatch Logs.

Beispiel: Erstellen eines CloudWatch-Metrikfilters und Alarms für ein Flow-Protokoll

In diesem Beispiel haben Sie ein Flow-Protokoll für eni-1a2b3c4d. Sie möchten einen Alarm erstellen, um benachrichtigt zu werden, wenn ein Verbindungsversuch zu Ihrer Instance über den TCP-Port 22 (SSH) innerhalb einer Stunde mindestens 10 Mal fehlschlägt. Zuerst müssen Sie einen Metrikfilter erstellen, der mit dem Datenverkehrsmuster übereinstimmt, für das Sie den Alarm erstellen möchten. Danach können Sie einen Alarm für den Metrikfilter erstellen.

So erstellen Sie einen Metrikfilter für abgelehnten SSH-Datenverkehr und einen Alarm für den Filter

  1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Logs (Protokolle), Log groups (Protokollgruppen) aus.

  3. Aktivieren Sie das Kontrollkästchen für die Protokollgruppe und wählen Sie dann Actions (Aktionen), Create metric filter (Metrikfilter erstellen).

  4. Geben Sie für Filter pattern (Filtermuster) folgende Informationen ein.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. Wählen Sie für Select Log Data to Test (Die zu testenden Protokolldaten auswählen) den Protokollstream Ihrer Netzwerkschnittstelle aus. (Optional) Um die Zeilen der Protokolldaten anzuzeigen, die mit dem Filtermuster übereinstimmen, wählen Sie Test Pattern (Testmuster).

  6. Wählen Sie danach Next (Weiter) aus.

  7. Geben Sie einen Filternamen, einen Metrik-Namespace und einen Metriknamen ein. Legen Sie den Metrikwert auf 1 fest. Wenn Sie fertig sind, wählen Sie Next (Weiter) und dann Create metric filter (Metrikfilter erstellen) aus.

  8. Wählen Sie im Navigationsbereich Alarms (Alarme) und All alarms (Alle Alarme) aus.

  9. Wählen Sie Create alarm (Alarm erstellen) aus.

  10. Wählen Sie den Metriknamen aus, den Sie erstellt haben, und klicken Sie dann auf Metrik auswählen.

  11. Konfigurieren Sie den Alarm wie folgt, und wählen Sie dann Weiter:

    • Wählen Sie für Statistic (Statistik) Sum (Summe) aus. Dadurch wird sichergestellt, dass Sie die Gesamtzahl der Datenpunkte für den angegebenen Zeitraum erfassen.

    • Wählen Sie als Period (Zeitraum) 1 Hour (1 Stunde) aus.

    • Wählen Sie für Immer wenn TimeSinceLastActive ist gleich … Größer/Gleich aus und geben Sie 10 für den Schwellenwert ein.

    • Belassen Sie für Additional configuration (Zusätzliche Konfiguration), Datapoints to alarm (Zu alarmierende Datenpunkte) den Standardwert 1.

  12. Wählen Sie Weiter aus.

  13. Wählen Sie für Notification (Benachrichtigung) ein vorhandenes SNS-Thema aus oder wählen Sie Create new topic (Neues Thema erstellen), um ein neues zu erstellen. Wählen Sie Weiter aus.

  14. Geben Sie einen Namen und eine Beschreibung für den Alarm ein und wählen Sie Next (Weiter).

  15. Wenn Sie mit der Vorschau des Alarms fertig sind, wählen Sie Alarm erstellen aus.