本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搜尋流量日誌記錄
<a name="search-flow-log-records-cwl"></a>

您可以使用 CloudWatch Logs 主控台，搜尋發佈至 CloudWatch Logs 的流程日誌記錄。您可以使用[指標篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html)來篩選流量日誌記錄。流量日誌記錄是以空格分隔。

**使用 CloudWatch Logs 主控台搜尋流量日誌記錄**

1. 在 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。

1. 在導覽窗格中依序選擇 **Logs** (日誌)、**Log groups** (日誌群組)。

1. 如果您知道要搜尋的網路介面，請選取包含您流程日誌的日誌群組，然後選取日誌串流。或者，選擇 **Search log group** (搜尋日誌群組)。如果您的日誌群組中有許多網路介面，這可能需要一些時間，視您選取的時間範圍而定。

1. 在**篩選事件**下，輸入下面的字串。這會假設流量日誌記錄使用[預設格式](flow-log-records.md#flow-logs-default)。

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

1. 根據需要透過指定欄位值來修改篩選條件。下列範例會依特定來源 IP 地址進行篩選。

   ```
   [version, accountid, interfaceid, srcaddr = 10.0.0.1, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr = 10.0.2.*, dstaddr, srcport, dstport, protocol, packets, bytes, start, end, action, logstatus]
   ```

   下列範例會依目標連接埠、位元組數目，以及是否拒絕流量進行篩選。

   ```
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes, start, end, action, logstatus]
   [version, accountid, interfaceid, srcaddr, dstaddr, srcport, dstport = 80 || dstport = 8080, protocol, packets, bytes >= 400, start, end, action = REJECT, logstatus]
   ```