Traiter des enregistrements du journal de flux dans CloudWatch Logs - Amazon Virtual Private Cloud
Exemple : créer un filtre de métrique et d'une alarme CloudWatch pour un journal de flux

Traiter des enregistrements du journal de flux dans CloudWatch Logs

Vous pouvez traiter les enregistrements de journal de flux comme vous le feriez avec tout autre événement de journal collecté par CloudWatch Logs. Pour plus d’informations sur la surveillance des données de journaux et des filtres de métriques, consultez Creating metrics from log events using filter dans le Guide d’utilisation d’Amazon CloudWatch Logs.

Exemple : créer un filtre de métrique et d'une alarme CloudWatch pour un journal de flux

Dans cet exemple, vous avez un journal de flux pour eni-1a2b3c4d. Vous souhaitez créer une alarme qui vous alerte si au moins 10 tentatives de connexion à votre instance via le port TCP 22 (SSH) sont refusées dans un laps de temps d'une heure. Tout d'abord, vous devez créer un filtre de métrique qui correspond au modèle de trafic pour lequel créer l'alarme. Vous pouvez ensuite créer une alarme pour le filtre de métrique.

Pour créer un filtre de métrique pour le trafic SSH refusé et une alarme pour ce filtre :

  1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation de gauche, choisissez Logs (Journaux), Log groups (Groupes de journaux).

  3. Cochez la case en regard du groupe de journaux, puis choisissez Actions, Create metric filter ( Créer un filtre de métrique).

  4. Pour Filter pattern (Modèle de filtre), entrez la chaîne suivante.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. Pour Select log data to test (Sélectionner les données de journal à tester), sélectionnez le flux de journal de votre interface réseau. (Facultatif) Pour afficher les lignes de données de journal qui correspondent au modèle de filtre, choisissez Test pattern (Tester le modèle).

  6. Lorsque vous avez terminé, choisissez Next (Suivant).

  7. Entrez un nom de filtre, un espace de noms de mesure et un nom de métrique. Définissez la valeur de métrique sur 1. Lorsque vous avez terminé, choisissez Next (Suivant), puis Create metric filter (Créer un filtre de métrique).

  8. Dans le panneau de navigation, choisissez Alarms (Alarmes), All alarms (Toutes les alarmes).

  9. Choisissez Create alarm (Créer une alerte).

  10. Sélectionnez le nom de la métrique que vous avez créée, puis choisissez Sélectionner une métrique.

  11. Configurez l'alarme comme suit, puis choisissez Next (Suivant) :

    • Pour Statistics (Statistique), choisissez Sum (Somme). Ainsi, vous capturez le nombre total de points de données pour la période spécifiée.

    • Pour Period (Période), choisissez 1 hour (1 heure).

    • Pour Chaque fois que TimeSinceLastActive est..., choisissez Supérieur à/Égal à et saisissez 10 comme seuil.

    • Sous Additional configuration (Configuration supplémentaire), conservez la valeur 1 pour Datapoints to alarm (Points de données à signaler).

  12. Choisissez Suivant.

  13. Pour Notification, sélectionnez une rubrique SNS existante ou choisissez Create new topic (Créer une rubrique) pour en créer une nouvelle. Choisissez Next (Suivant).

  14. Saisissez le nom et la description de l'alarme, puis choisissez Next (Suivant).

  15. Lorsque vous avez terminé de prévisualiser l’alarme, choisissez Créer une alarme.