本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 處理 CloudWatch Logs 中的流量日誌記錄
<a name="process-records-cwl"></a>

在處理流量日誌記錄時，您可以您使用其他由 CloudWatch Logs 收集之日誌事件的相同方式。如需有關監控日誌資料與指標篩選條件的詳細資訊，請參閱《Amazon CloudWatch Logs 使用者指南》**中的[使用篩選條件根據日誌事件建立指標](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/MonitoringLogData.html)。

## 範例：建立流量日誌的 CloudWatch 指標篩選條件和警報
<a name="flow-logs-cw-alarm-example"></a>

在此範例中，您有一個 `eni-1a2b3c4d` 的流量日誌。您希望建立警示，在 1 個小時期間內嘗試透過 TCP 連接埠 22 (SSH) 連線到您的執行個體，其中有 10 次或超過 10 次嘗試遭到拒絕時提醒您。首先，您必須建立符合要建立警示之流量模式的指標篩選條件。然後，您可以建立指標篩選條件的警示。

**建立拒絕 SSH 流量的指標篩選條件，及建立篩選條件的警示**

1. 前往 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中依序選擇 **Logs** (日誌)、**Log groups** (日誌群組)。

1. 選取日誌群組的核取方塊，然後選擇 **Actions** (動作)、**Create metric filter** (建立指標篩選條件)。

1. 針對 **Filter Pattern** (篩選條件模式)，請輸入下列字串。

   ```
   [version, account, eni, source, destination, srcport, destport="22", protocol="6", packets, bytes, windowstart, windowend, action="REJECT", flowlogstatus]
   ```

1. 對於 **Select Log Data to Test** (選取要測試的日誌資料)，選取網路介面的日誌串流。(選用) 若要檢視符合篩選條件模式的日誌資料行，請選擇 **Test Pattern** (測試模式)。

1. 就緒後，請選擇 **Next** (下一步)。

1. 輸入篩選條件名稱、指標命名空間和指標名稱。將指標值設定為 1。完成後，請選擇 **Next** (下一步)，然後選擇 **Create metric filter** (建立指標篩選條件)。

1. 在導覽窗格中，選擇 **Alarms** (警示)、**All alarms** (所有警示)。

1. 選擇 **Create alarm** (建立警示)。

1. 選取您建立的指標名稱，然後選擇 **選取指標**。

1. 如下設定警示，然後選擇 **Next** (下一步)。
   + 在 **Statistic (統計資料)** 中選擇 **Sum (總和)**。這可確保您擷取的是指定時間段的資料點總數。
   + 在 **Period** (時段) 中選擇 **1 hour** (1 小時)。
   + 在 **只要 TimeSinceLastActive 為…** 中，選擇 **大於/等於**，然後輸入 10 作為閾值。
   + 對於 **Additional configuration** (其他組態)、**Datapoints to alarm** (要警示的資料點)，保留預設值 1。

1. 選擇**下一步**。

1. 對於 **Notification** (通知)，請選取現有的 SNS 主題，或選擇 **Create new topic** (建立新主題) 來建立新主題。選擇**下一步**。

1. 輸入警示的名稱和說明，然後選擇 **Next** (下一步)。

1. 完成預覽警示之後，請選擇 **建立警示**。