在 Amazon CloudWatch Logs 中處理 Transit Gateway Flow Logs 記錄

您可以您使用其他由 CloudWatch Logs 收集之日誌事件的相同方式，使用流量日誌記錄。如需監控日誌資料和指標篩選條件的詳細資訊，請參閱《Amazon CloudWatch 使用者指南》中的使用篩選條件從日誌事件建立指標。

範例：建立流量日誌的 CloudWatch 指標篩選條件和警報

在此範例中，您有一個 tgw-123abc456bca 的流量日誌。您希望建立警示，在 1 個小時期間內嘗試透過 TCP 連接埠 22 (SSH) 連線到您的執行個體，其中有 10 次或超過 10 次嘗試遭到拒絕時提醒您。首先，您必須建立符合要建立警示之流量模式的指標篩選條件。然後，您可以建立指標篩選條件的警示。

建立拒絕 SSH 流量的指標篩選條件，及建立篩選條件的警示

1. 前往 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

2. 在導覽窗格中依序選擇 Logs (日誌)、Log groups (日誌群組)。

3. 選取日誌群組的核取方塊，然後選擇動作、建立指標篩選條件。

4. 針對 Filter Pattern (篩選條件模式)，輸入：

   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]

5. 對於 Select Log Data to Test (選取要測試的日誌資料)，選取傳輸閘道的日誌串流。(選用) 若要檢視符合篩選條件模式的日誌資料行，請選擇 Test Pattern (測試模式)。就緒後，請選擇 Next (下一步)。

6. 輸入篩選條件名稱、指標命名空間和指標名稱。將指標值設定為 1。完成後，請選擇 Next (下一步)，然後選擇 Create metric filter (建立指標篩選條件)。

7. 在導覽窗格中，選擇 Alarms (警示)、All alarms (所有警示)。

8. 選擇 Create alarm (建立警示)。

9. 選擇您建立之指標篩選條件的命名空間。

   可能要過幾分鐘時間，主控台中才會顯示新的指標。

10. 選取您建立的指標名稱，然後選擇 Select metric (選取指標)。

11. 如下設定警示，然後選擇 Next (下一步)。

    • 在 Statistic (統計資料) 中選擇 Sum (總和)。這可確保您擷取的是指定時間段的資料點總數。

    • 在 Period (時段) 中選擇 1 hour (1 小時)。

    • 對於 Whenever (隨時)，選擇 Greater/Equal (大於/等於)，然後輸入 10 作為閾值。

    • 對於 Additional configuration (其他組態)、Datapoints to alarm (要警示的資料點)，保留預設值 1。

12. 對於 Notification (通知)，請選取現有的 SNS 主題，或選擇 Create new topic (建立新主題) 來建立新主題。選擇 Next (下一步)。

13. 輸入警示的名稱和說明，然後選擇 Next (下一步)。

14. 完成設定警示之後，請選擇 Create alarm (建立警示)。