# 搜索流日志记录
<a name="search-flow-log-records-cwl"></a>

您可以使用 CloudWatch Logs 控制台搜索发布到 CloudWatch Logs 的流日志记录。您可以使用[度量筛选器](https://docs.amazonaws.cn/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html)筛选流日志记录。流日志记录用空格分隔。

**使用 CloudWatch Logs 控制台搜索流日志记录**

1. 通过以下网址打开 CloudWatch 控制台：[https://console.aws.amazon.com/cloudwatch/](https://console.amazonaws.cn/cloudwatch/)。

1. 在导航窗格中，依次选择 **Logs**（日志）和 **Log groups**（日志组）。

1. 如果您知道要搜索的网络接口，请选择包含流日志的日志组，然后选择日志流。或者，选择 **Search log group**（搜索日志组）。如果日志组中有许多网络接口，或者根据您选择的时间范围，这可能需要一些时间。

1. 在**筛选事件**下，输入以下字符串。这假定流日志记录使用[默认格式](flow-log-records.md#flow-logs-default)。

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

1. 通过为字段指定值，根据需要修改筛选器。以下示例按特定的源 IP 地址进行筛选。

   ```
   [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

   以下示例按目标端口、字节数以及流量是否被拒绝进行筛选。

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
   ```