Suche nach Flow-Protokoll-Datensätzen

So durchsuchen Sie Flow-Protokolldatensätze mithilfe der CloudWatch Logs-Konsole

1. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie im Navigationsbereich Logs (Protokolle), Log groups (Protokollgruppen) aus.

3. Wählen Sie die Protokollgruppe mit Ihrem Flow-Protokoll und danach den Protokollstream aus, wenn Sie die Netzwerkschnittstelle kennen, nach der Sie suchen. Als alternative Vorgehensweise wählen Sie Search log group (Protokollgruppe suchen). Dies kann einige Zeit in Anspruch nehmen, wenn sich viele Netzwerkschnittstellen in Ihrer Protokollgruppe befinden oder je nach ausgewähltem Zeitbereich.

4. Geben Sie unter Ereignisse filtern die folgende Zeichenfolge ein. Hierbei wird davon ausgegangen, dass der Flow-Protokolldatensatz das Standardformat verwendet.

   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

5. Ändern Sie den Filter nach Bedarf, indem Sie Werte für die Felder angeben. In den folgenden Beispielen wird nach bestimmten Quell-IP-Adressen gefiltert.

   [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

   Die folgenden Beispiele filtern nach Zielport, Anzahl der Bytes und ob der Datenverkehr abgelehnt wurde.

   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]