处理 Amazon 日志中的 Transit Gateway 流量 CloudWatch 日志记录 - Amazon VPC
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

处理 Amazon 日志中的 Transit Gateway 流量 CloudWatch 日志记录

您可以像处理日志收集的任何其他日志事件一样处理流 CloudWatch 日志记录。有关监控日志数据和指标筛选条件的更多信息,请参阅 Amazon CloudWatch 用户指南中的搜索和筛选日志数据

示例:为流日志创建 CloudWatch 指标筛选器和警报

在此示例中,您有一个适用于 tgw-123abc456bca 的流日志。如果在 1 小时内有 10 次或更多通过TCP端口 22 (SSH) 连接到您的实例的尝试被拒绝,则您想要创建一个警报,提醒您。首先,您必须创建一个指标筛选条件,该指标筛选条件与为其创建警报的流量的模式相匹配。然后,您可以为该指标筛选条件创建警报。

为被拒绝的SSH流量创建指标筛选器并为过滤器创建警报
  1. 打开 CloudWatch 控制台,网址为https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,依次选择日志日志组

  3. 选中日志组的复选框,然后选择操作创建指标筛选器

  4. 对于Filter Pattern(筛选模式),输入以下内容:

    [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
  5. 对于 Select log data to test(选择要测试的日志数据),选择您的中转网关对应的日志流。(可选)要查看与筛选条件模式匹配的日志数据行,请选择 Test pattern(测试模式)。准备就绪后,选择 Next(下一步)。

  6. 输入筛选条件名称、指标命名空间和指标名称。将指标值设置为 1。完成后,选择 Next(下一步),然后选择 Create metric filter(创建指标筛选条件)。

  7. 在导航窗格中,依次选择 Alarms(警报)和 All alarms(所有警报)。

  8. 选择Create alarm(创建警报)

  9. 为您创建的指标筛选条件选择命名空间。

    新指标可能需要几分钟才会在控制台中显示。

  10. 选择您创建的指标名称,然后选择 Select metric(选择指标)。

  11. 按如下所示配置警报,然后选择 Next(下一步):

    • 对于 Statistic(统计数据),选择 Sum(总计)。这可以确保您捕获指定时间段内的数据点的总数。

    • 对于 Period(周期),选择 1 hour(1 小时)。

    • 对于 Whenever(每当),选择 Greater/Equal(大于/等于,>=),然后输入 10 作为阈值。

    • 对于 Additional configuration(其他配置),Datapoints to alarm(警报的数据点数),将默认值设为 1

  12. 在 “通知” 中,选择现有SNS主题,或选择 “创建新主题” 来创建新主题。选择 Next(下一步)

  13. 输入警报的名称和描述,然后选择 Next(下一步)。

  14. 配置完警报后,选择 Create alarm(创建警报)。