Procesa los registros de flujos de Transit Gateway en Amazon CloudWatch Logs

Puede trabajar con los registros de flujo del mismo modo que lo haría con cualquier otro evento de registro recopilado por CloudWatch Logs. Para obtener más información sobre la supervisión de los filtros de métricas y datos de registro, consulte Creación de métricas a partir de eventos de registro mediante filtros en la Guía del CloudWatch usuario de Amazon.

Ejemplo: crear un filtro CloudWatch métrico y una alarma para un registro de flujo

En este ejemplo, tiene un log de flujo para tgw-123abc456bca. Desea crear una alarma que le avise si ha habido 10 o más intentos rechazados para conectar con su instancia a través del puerto TCP 22 (SSH) en un periodo de 1 hora. En primer lugar, debe crear un filtro de métrica que coincida con el patrón de tráfico para el que va a crear la alarma. A continuación, puede crear una alarma para el filtro de métrica.

Para crear un filtro de métrico para el tráfico SSH rechazado y una alarma para el filtro

1. Abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

2. En el panel de navegación, elija Logs (Registros), Log groups (Grupos de registro).

3. Marque la casilla de verificación del grupo de registro y, a continuación, seleccione Acciones, Crear filtro de métricas.

4. En Filter Pattern (Patrón de filtro), escriba lo siguiente.

   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]

5. En Select Log Data to Test (Seleccionar datos de registro para prueba), seleccione el flujo de registro para la puerta de enlace de tránsito. (Opcional) Para ver las líneas de los datos de registro que concuerdan con el patrón de filtro, elija Test Pattern (Probar patrón). Cuando esté preparado para continuar, seleccione Next (Siguiente).

6. Ingrese un nombre de filtro, un espacio de nombres de métrica y un nombre de métrica. Establezca el valor de la métrica en 1. Cuando haya terminado, elija Next (Siguiente) y, luego, elija Create metric filter (Crear filtro de métricas).

7. En el panel de navegación, elija Alarms (Alarmas), Create Alarm (Crear alarma).

8. Elija Create alarm (Crear alarma).

9. Elija el espacio de nombres para el filtro de métricas que ha creado.

   Puede que la nueva métrica tarde unos minutos en mostrarse en la consola.

10. Seleccione el nombre de métrica que ha creado y elija Next (Siguiente).

11. Configure la alarma como se indica a continuación y, luego, elija Next (Siguiente):

    • En Statistic (Estadística), elija Sum (Suma). Asegura que esté capturando el número total de puntos de datos para el período especificado.

    • En Period (Período), seleccione 1 Hour (1 hora).

    • En Whenever (Cada vez que), elija Greater/Equal (Mayor o igual) e ingrese 10 para el umbral.

    • En Additional configuration (Configuración adicional), Datapoints to alarm (Puntos de datos para alarma), deje el valor predeterminado 1.

12. Para Notification (Notificación), seleccione un tema de SNS existente o elija Create new topic (Crear tema nuevo) para crear uno nuevo. Elija Next (Siguiente).

13. Ingrese un nombre y una descripción para la alarma y, a continuación, elija Next (Siguiente).

14. Cuando haya terminado de configurar la alarma, elija Create alarm (Crear alarma).