搜索流日志记录 - Amazon Virtual Private Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

搜索流日志记录

您可以使用 CloudWatch Logs 控制台搜索发布到 CloudWatch Logs 的流日志记录。您可以使用度量筛选器筛选流日志记录。流日志记录用空格分隔。

使用 CloudWatch Logs 控制台搜索流日志记录
  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,依次选择 Logs(日志)和 Log groups(日志组)。

  3. 如果您知道要搜索的网络接口,请选择包含流日志的日志组,然后选择日志流。或者,选择 Search log group(搜索日志组)。如果日志组中有许多网络接口,或者根据您选择的时间范围,这可能需要一些时间。

  4. 筛选事件下,输入以下字符串。这假定流日志记录使用默认格式

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
  5. 通过为字段指定值,根据需要修改筛选器。以下示例按特定的源 IP 地址进行筛选。

    [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

    以下示例按目标端口、字节数以及流量是否被拒绝进行筛选。

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus] [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]