Ricerca dei record dei log di flusso

Per cercare i record dei log di flusso utilizzando la console CloudWatch Logs

1. Apri la console CloudWatch all’indirizzo https://console.aws.amazon.com/cloudwatch/.

2. Nel pannello di navigazione a sinistra, scegli Log, Gruppi di log.

3. Seleziona il gruppo di log contenente il log di flusso, quindi seleziona il flusso di log, se conosci l’interfaccia di rete che stai cercando. In alternativa, scegli Search log group (Cerca nel gruppo di log). Questo potrebbe richiedere del tempo se nel gruppo di log sono presenti molte interfacce di rete o in base all’intervallo di tempo selezionato.

4. In Filtra eventi, inserisci la stringa seguente. Ciò presuppone che il record del log di flusso utilizzi il formato predefinito.

   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

5. Modificare il filtro in base alle esigenze specificando i valori per i campi. Negli esempi seguenti il filtro viene applicato in base a specifici indirizzi IP di origine.

   [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

   Negli esempi seguenti il filtro viene applicato in base alla porta di destinazione, al numero di byte e all’eventuale rifiuto del traffico.

   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]