# Buscar entradas de registros de flujo
<a name="search-flow-log-records-cwl"></a>

Puede buscar las entradas de registro de flujo que se publican en CloudWatch Logs mediante la consola de CloudWatch Logs. Puede utilizar [filtros de métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html) para filtrar entradas de registro de flujo. Los registros de log de flujo están delimitados por espacios.

**Para buscar entradas de registro de flujo mediante la consola de CloudWatch Logs**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Logs** (Registros), **Log groups** (Grupos de registro).

1. Seleccione el grupo de registro que contiene el registro de flujo y, a continuación, seleccione el flujo de registro si conoce la interfaz de red que está buscando. De manera alternativa, elija **Search log group** (Buscar el grupo de registros). Esto puede tardar algún tiempo si hay muchas interfaces de red en el grupo de registro o en función del intervalo de tiempo que seleccione.

1. En **Filtrar eventos**, introduzca la siguiente cadena. Esto supone que el registro de log de flujo utiliza el [formato predeterminado](flow-log-records.md#flow-logs-default).

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

1. Modifique el filtro según sea necesario especificando valores para los campos. En los siguientes ejemplos se filtra por direcciones IP de origen específicas.

   ```
   [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

   En los siguientes ejemplos se filtra por puerto de destino, el número de bytes y si se ha rechazado el tráfico.

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
   ```