Elaborazione dei record di log di flusso in CloudWatch Logs - Amazon Virtual Private Cloud
Esempio: creazione di un filtro parametri CloudWatch e di un allarme per un log di flusso

Elaborazione dei record di log di flusso in CloudWatch Logs

Puoi elaborare record di log di flusso come qualsiasi altro evento di log raccolto da CloudWatch Logs. Per ulteriori informazioni sul monitoraggio dei dati di log e sui filtri di parametri, consulta Creazione di parametri da eventi di log tramite filtri nella Guida per l’utente di Amazon CloudWatch Logs.

Esempio: creazione di un filtro parametri CloudWatch e di un allarme per un log di flusso

In questo esempio, si dispone di un log di flusso per eni-1a2b3c4d. Si desidera creare un allarme che avvisa se si sono verificati almeno 10 tentativi di connessione all’istanza sulla porta TCP 22 (SSH) entro un periodo di tempo di 1 ora. Innanzitutto, crea un filtro parametri che corrisponde al modello di traffico per il quale creare l’allarme. Quindi, puoi creare un allarme per il filtro parametri.

Per creare il filtro parametri per traffico SSH rifiutato e creare un allarme per il filtro

  1. Apri la console CloudWatch all’indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione a sinistra, scegli Logs (Registri), Log groups (Gruppi di registri).

  3. Seleziona la casella di controllo per il gruppo di log e scegli Actions (Operazioni), poi Create metric filter (Crea filtri parametri).

  4. Per Filter pattern (Modello di filtro), immetti la seguente stringa.

    [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]

  5. Per Select Log Data to Test (Seleziona i dati di log per il test), seleziona il flusso di log per l’interfaccia di rete. (Facoltativo) Per visualizzare le righe di dati di log che corrispondono al modello di filtro, scegli Test Pattern (Modello di test).

  6. Al termine, scegli Next (Successivo).

  7. Inserisci un nome per il filtro, uno spazio dei nomi dei parametri e il nome del parametro. Imposta il valore del parametro su 1. Al termine, scegli Next (Successivo) e in seguito Create metric filter (Crea filtri parametri).

  8. Nel pannello di navigazione, seleziona Alarms (Allarmi), All alarms (Tutti gli allarmi).

  9. Scegli Crea allarme.

  10. Seleziona il nome del parametro creato e scegli Seleziona parametro.

  11. Configura l’allarme come segue, quindi scegli Next (Successivo):

    • Per Statistic (Statistica), scegliere Sum (Somma). Ciò ti garantisce di acquisire il numero totale di punti di dati per il periodo di tempo specificato.

    • Per Period (Periodo), scegli 1 Hour (1 ora).

    • Per Ogni volta che TimeSinceLastActive è…, scegli Maggiore di/Uguale a e inserisci 10 come soglia.

    • In Additional configuration (Configurazione aggiuntiva), Datapoints to alarm (Punti dati ad allarme) lascia il valore di default 1.

  12. Scegli Next (Successivo).

  13. Per Notification (Notifica) scegli un argomento SNS esistente oppure Create new topic (Crea nuovo argomento), per crearne uno nuovo. Scegli Next (Successivo).

  14. Inserisci un nome e una descrizione per l’allarme, quindi scegli Next (Successivo).

  15. Una volta terminata l’anteprima dell’allarme, scegli Crea allarme.