本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Amazon CloudWatch Logs 中處理 AWS 傳輸閘道流程日誌記錄
<a name="process-records-cwl"></a>

您可以您使用其他由 CloudWatch Logs 收集之日誌事件的相同方式，使用流量日誌記錄。如需監控日誌資料和指標篩選條件的詳細資訊，請參閱《*Amazon CloudWatch 使用者指南*》中的[使用篩選條件從日誌事件建立指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)。

## 範例：建立流量日誌的 CloudWatch 指標篩選條件和警報
<a name="flow-logs-cw-alarm-example"></a>

在此範例中，您有一個 `tgw-123abc456bca` 的流量日誌。您希望建立警示，在 1 個小時期間內嘗試透過 TCP 連接埠 22 (SSH) 連線到您的執行個體，其中有 10 次或超過 10 次嘗試遭到拒絕時提醒您。首先，您必須建立符合要建立警示之流量模式的指標篩選條件。然後，您可以建立指標篩選條件的警示。

**建立拒絕 SSH 流量的指標篩選條件，及建立篩選條件的警示**

1. 前往 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中依序選擇 **Logs** (日誌)、**Log groups** (日誌群組)。

1. 選取日誌群組的核取方塊，然後選擇**動作**、**建立指標篩選條件**。

1. 針對 **Filter Pattern** (篩選條件模式)，輸入：

   ```
   [version, resource_type, account_id,tgw_id="tgw-123abc456bca”, tgw_attachment_id, tgw_src_vpc_account_id, tgw_dst_vpc_account_id, tgw_src_vpc_id, tgw_dst_vpc_id, tgw_src_subnet_id, tgw_dst_subnet_id, tgw_src_eni, tgw_dst_eni, tgw_src_az_id, tgw_dst_az_id, tgw_pair_attachment_id, srcaddr= "10.0.0.1", dstaddr, srcport=“80”, dstport, protocol=“6”, packets, bytes,start,end, log_status, type,packets_lost_no_route, packets_lost_blackhole, packets_lost_mtu_exceeded, packets_lost_ttl_expired, tcp_flags,region, flow_direction, pkt_src_aws_service, pkt_dst_aws_service]
   ```

1. 對於 **Select Log Data to Test** (選取要測試的日誌資料)，選取傳輸閘道的日誌串流。(選用) 若要檢視符合篩選條件模式的日誌資料行，請選擇 **Test Pattern** (測試模式)。就緒後，請選擇 **Next** (下一步)。

1. 輸入篩選條件名稱、指標命名空間和指標名稱。將指標值設定為 **1**。完成後，請選擇 **Next** (下一步)，然後選擇 **Create metric filter** (建立指標篩選條件)。

1. 在導覽窗格中，選擇 **Alarms** (警示)、**All alarms** (所有警示)。

1. 選擇 **Create alarm** (建立警示)。

1. 選擇您建立之指標篩選條件的命名空間。

   可能要過幾分鐘時間，主控台中才會顯示新的指標。

1. 選取您建立的指標名稱，然後選擇 **Select metric** (選取指標)。

1. 如下設定警示，然後選擇 **Next** (下一步)。
   + 在 **Statistic (統計資料)** 中選擇 **Sum (總和)**。這可確保您擷取的是指定時間段的資料點總數。
   + 在 **Period** (時段) 中選擇 **1 hour** (1 小時)。
   + 對於 **Whenever** (隨時)，選擇 **Greater/Equal** (大於/等於)，然後輸入 **10** 作為閾值。
   + 對於 **Additional configuration** (其他組態)、**Datapoints to alarm** (要警示的資料點)，保留預設值 **1**。

1. 對於 **Notification** (通知)，請選取現有的 SNS 主題，或選擇 **Create new topic** (建立新主題) 來建立新主題。選擇**下一步**。

1. 輸入警示的名稱和說明，然後選擇 **Next** (下一步)。

1. 完成設定警示之後，請選擇 **Create alarm** (建立警示)。