# 处理 CloudWatch Logs 中的流日志记录
<a name="process-records-cwl"></a>

您可以像处理由 CloudWatch Logs 收集的其余日志事件一样处理流日志记录。有关监控日志数据和指标筛选条件的更多信息，请参阅《*Amazon CloudWatch Logs 用户指南*》中的 [Creating metrics from log events using filter](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/MonitoringLogData.html)。

## 示例：为流日志创建 CloudWatch 指标筛选条件和警报
<a name="flow-logs-cw-alarm-example"></a>

在此示例中，您有一个适用于 `eni-1a2b3c4d` 的流日志。您要创建一个警报，如果 1 小时内有 10 次或超过 10 次通过 TCP 端口 22（SSH） 连接到您的实例的尝试遭到拒绝，该警报将向您发出提醒。首先，您必须创建一个指标筛选条件，该指标筛选条件与为其创建警报的流量的模式相匹配。然后，您可以为该指标筛选条件创建警报。

**为已拒绝的 SSH 流量创建指标筛选条件并为该筛选条件创建警报**

1. 通过以下网址打开 CloudWatch 控制台：[https://console.aws.amazon.com/cloudwatch/](https://console.amazonaws.cn/cloudwatch/)。

1. 在导航窗格中，依次选择 **Logs**（日志）和 **Log groups**（日志组）。

1. 选中日志组对应的复选框，然后选择 **Actions**（操作）、**Create metric filter**（创建指标筛选条件）。

1. 对于 **Filter Pattern**（筛选条件模式），输入以下字符串。

   ```
   [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
   ```

1. 对于 **Select log data to test**（选择要测试的日志数据），选择您的网络接口对应的日志流。（可选）要查看与筛选条件模式匹配的日志数据行，请选择 **Test pattern**（测试模式）。

1. 准备就绪后，选择 **Next**（下一步）。

1. 输入筛选条件名称、指标命名空间和指标名称。将指标值设置为 1。完成后，选择 **Next**（下一步），然后选择 **Create metric filter**（创建指标筛选条件）。

1. 在导航窗格中，依次选择 **Alarms**（警报）和 **All alarms**（所有警报）。

1. 选择**Create alarm（创建警报）**。

1. 选择您创建的指标名称，然后选择**选择指标**。

1. 按如下所示配置警报，然后选择 **Next**（下一步）：
   + 对于 **Statistic（统计数据）**，选择 **Sum（总计）**。这可以确保您捕获指定时间段内的数据点的总数。
   + 对于 **Period**（周期），选择 **1 hour**（1 小时）。
   + 对于**每当 TimeSinceLastActive...**，选择**大于/等于**，然后输入 10 作为阈值。
   + 对于 **Additional configuration**（其他配置）、**Datapoints to alarm**（警报的数据点数），将默认值设为 1。

1. 选择**下一步**。

1. 对于 **Notification**（通知），选择现有的 SNS 主题，或选择 **Create new topic**（新建主题）创建一个新主题。选择 **Next**（下一步）。

1. 输入警报的名称和描述，然后选择 **Next**（下一步）。

1. 预览完警报后，选择**创建警报**。