搜索流日志记录 - Amazon Virtual Private Cloud

搜索流日志记录

您可以使用 CloudWatch Logs 控制台搜索发布到 CloudWatch Logs 的流日志记录。您可以使用度量筛选器筛选流日志记录。流日志记录用空格分隔。

使用 CloudWatch Logs 控制台搜索流日志记录

  1. 通过以下网址打开 CloudWatch 控制台:https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,依次选择 Logs(日志)和 Log groups(日志组)。

  3. 如果您知道要搜索的网络接口,请选择包含流日志的日志组,然后选择日志流。或者,选择 Search log group(搜索日志组)。如果日志组中有许多网络接口,或者根据您选择的时间范围,这可能需要一些时间。

  4. 筛选事件下,输入以下字符串。这假定流日志记录使用默认格式

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

  5. 通过为字段指定值,根据需要修改筛选器。以下示例按特定的源 IP 地址进行筛选。

    [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]

    以下示例按目标端口、字节数以及流量是否被拒绝进行筛选。

    [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
[version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]