本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 处理 Amazon 日志中的 AWS Transit Gateway 流量 CloudWatch 日志记录
<a name="process-records-cwl"></a>

您可以像处理日志收集的任何其他日志事件一样处理流 CloudWatch 日志记录。有关监控日志数据和指标筛选条件的更多信息，请参阅 *Amazon CloudWatch 用户指南*中的[使用筛选条件根据日志事件创建指标](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)。

## 示例：为流日志创建 CloudWatch 指标筛选器和警报
<a name="flow-logs-cw-alarm-example"></a>

在此示例中，您有一个适用于 `tgw-123abc456bca` 的流日志。您要创建一个警报，如果 1 小时内有 10 次或超过 10 次通过 TCP 端口 22（SSH） 连接到您的实例的尝试遭到拒绝，该警报将向您发出提醒。首先，您必须创建一个指标筛选条件，该指标筛选条件与为其创建警报的流量的模式相匹配。然后，您可以为该指标筛选条件创建警报。

**为已拒绝的 SSH 流量创建指标筛选条件并为该筛选条件创建警报**

1. 打开 CloudWatch 控制台，网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。

1. 在导航窗格中，依次选择**日志**和**日志组**。

1. 选中日志组对应的复选框，然后选择 **Actions**（操作）、**Create metric filter**（创建指标筛选条件）。

1. 对于**Filter Pattern**（筛选模式），输入以下内容：

   ```
   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
   ```

1. 对于 **Select log data to test**（选择要测试的日志数据），选择您的中转网关对应的日志流。（可选）要查看与筛选条件模式匹配的日志数据行，请选择 **Test pattern**（测试模式）。准备就绪后，选择 **Next**（下一步）。

1. 输入筛选条件名称、指标命名空间和指标名称。将指标值设置为 **1**。完成后，选择 **Next**（下一步），然后选择 **Create metric filter**（创建指标筛选条件）。

1. 在导航窗格中，依次选择 **Alarms**（警报）和 **All alarms**（所有警报）。

1. 选择**Create alarm（创建警报）**。

1. 为您创建的指标筛选条件选择命名空间。

   新指标可能需要几分钟才会在控制台中显示。

1. 选择您创建的指标名称，然后选择 **Select metric**（选择指标）。

1. 按如下所示配置警报，然后选择 **Next**（下一步）：
   + 对于 **Statistic（统计数据）**，选择 **Sum（总计）**。这可以确保您捕获指定时间段内的数据点的总数。
   + 对于 **Period**（周期），选择 **1 hour**（1 小时）。
   + 对于 **Whenever（每当）**，选择 **Greater/Equal（大于/等于，>=）**，然后输入 **10** 作为阈值。
   + 对于 **Additional configuration**（其他配置），**Datapoints to alarm**（警报的数据点数），将默认值设为 **1**。

1. 对于 **Notification**（通知），选择现有的 SNS 主题，或选择 **Create new topic**（新建主题）创建一个新主题。选择 **Next（下一步）**。

1. 输入警报的名称和描述，然后选择 **Next**（下一步）。

1. 配置完警报后，选择 **Create alarm**（创建警报）。