Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Traitez les enregistrements des journaux de flux de AWS Transit Gateway dans Amazon CloudWatch Logs
Vous pouvez utiliser les enregistrements des journaux de flux comme vous le feriez avec tout autre événement de journal collecté par CloudWatch Logs. Pour plus d'informations sur la surveillance des données des journaux et des filtres de mesures, consultez la section [Création de métriques à partir d'événements de journal à l'aide de filtres](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html) dans le *guide de CloudWatch l'utilisateur Amazon*.
## Exemple : création d'un filtre CloudWatch métrique et d'une alarme pour un journal de flux
Dans cet exemple, vous avez un journal de flux pour `tgw-123abc456bca`. Vous souhaitez créer une alarme qui vous alerte si au moins 10 tentatives de connexion à votre instance via le port TCP 22 (SSH) sont refusées dans un laps de temps d'une heure. Tout d'abord, vous devez créer un filtre de métrique qui correspond au modèle de trafic pour lequel créer l'alarme. Vous pouvez ensuite créer une alarme pour le filtre de métrique.
**Pour créer un filtre de métrique pour le trafic SSH refusé et une alarme pour ce filtre :**
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation de gauche, choisissez **Logs** (Journaux), **Log groups** (Groupes de journaux).
1. Cochez la case correspondant au groupe de journaux, puis choisissez **Actions**, **Créer un filtre métrique**.
1. Pour **Modèle de filtre**, fournissez les informations suivantes.
```
[version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
```
1. Pour **Select log data to test** (Sélectionner les données de journal à tester), sélectionnez le flux de journal de votre passerelle de transit. (Facultatif) Pour afficher les lignes de données de journal qui correspondent au modèle de filtre, choisissez **Test pattern** (Tester le modèle). Lorsque vous avez terminé, choisissez **Next** (Suivant).
1. Entrez un nom de filtre, un espace de noms de mesure et un nom de métrique. Définissez la valeur de métrique sur **1**. Lorsque vous avez terminé, choisissez **Next** (Suivant), puis **Create metric filter** (Créer un filtre de métrique).
1. Dans le panneau de navigation, choisissez **Alarms** (Alarmes), **All alarms** (Toutes les alarmes).
1. Choisissez **Create alarm**. (Créer une alarme).
1. Choisissez l'espace de noms du filtre de métrique que vous avez créé.
Il peut s'écouler quelques minutes avant qu'une nouvelle métrique ne s'affiche dans la console.
1. Sélectionnez le nom de la métrique que vous avez créée, puis choisissez **Select metric** (Sélectionner une métrique).
1. Configurez l'alarme comme suit, puis choisissez **Next** (Suivant) :
+ Pour **Statistics** (Statistique), choisissez **Sum** (Somme). Ainsi, vous capturez le nombre total de points de données pour la période spécifiée.
+ Pour **Period** (Période), choisissez **1 hour** (1 heure).
+ Pour **Chaque fois**, choisissez **Supérieur à/Égal à** et saisissez **10** pour le seuil.
+ Sous **Additional configuration** (Configuration supplémentaire), conservez la valeur **1** pour **Datapoints to alarm** (Points de données à signaler).
1. Pour **Notification**, sélectionnez une rubrique SNS existante ou choisissez **Create new topic** (Créer une rubrique) pour en créer une nouvelle. Choisissez **Suivant**.
1. Saisissez le nom et la description de l'alarme, puis choisissez **Next** (Suivant).
1. Lorsque vous avez terminé de configurer l'alarme, choisissez **Create alarm** (Créer une alarme).