Comment utiliser CloudWatch Logs Insights pour interroger les journaux de flux de mon VPC ?

Résolution

Pour obtenir un aperçu de la syntaxe que vous utilisez, consultez la section Syntaxe des requêtes du langage CloudWatch Logs Insights.

Utiliser des exemples de requête

Utilisez la console CloudWatch pour exécuter un exemple de requête CloudWatch Logs Insights. Pour exécuter une requête que vous avez déjà exécutée, sélectionnez Historique. Pour exporter vos résultats, sélectionnez Exporter les résultats, puis choisissez un format.

Scénario 1

Vous disposez d'un serveur Web, d'un serveur d'applications et d'un serveur de base de données. Vous recevez une erreur de délai d’attente ou HTTP 503 et vous souhaitez en déterminer la cause.

Exécutez une requête avec les exemples de variables suivants :

• Définissez ** Action ** sur ** REJECT ** afin que la requête ne renvoie que les connexions rejetées.
• Incluez uniquement les réseaux internes dans la requête.
• La liste d’adresses IP du serveur affiche les connexions entrantes et sortantes (srcAddr et dstAddr).
• Définissez la ** limite ** sur ** 5 ** afin que la requête n'affiche que les cinq premières entrées.
• L'adresse IP du serveur Web est 10.0.0.4.
• L'adresse IP du serveur d'applications est 10.0.0.5.
• L'adresse IP du serveur de base de données est 10.0.0.6.

Exemple de requête :

filter(   action="REJECT" and
   dstAddr like /^(10\.|192\.168\.)/ and
   srcAddr like /^(10\.|192\.168\.)/ and
   (srcAddr = "10.0.0.4" or dstAddr = "10.0.0.4" or srcAddr = "10.0.0.5" or dstAddr = "10.0.0.5" or srcAddr = "10.0.0.6" or dstAddr = "10.0.0.6")
)
| stats count(*) as records by srcAddr,dstAddr,dstPort,protocol
| sort records desc
| limit 5

Scénario 2

Vous rencontrez des délais d'attente intermittents sur une interface réseau. Pour vérifier les rejets sur l'interface réseau sur une période donnée, exécutez la requête suivante :

fields @timestamp, interfaceId, srcAddr, dstAddr, action| filter (interfaceId = 'eni-05012345abcd' and action = 'REJECT')
| sort @timestamp desc
| limit 5

Scénario 3

Pour générer un rapport sur une interface réseau spécifique, exécutez la requête suivante :

fields @timestamp, @message | stats count(*) as records by dstPort, srcAddr, dstAddr as Destination
 | filter interfaceId="eni-05012345abcd"
 | filter dstPort="80" or dstPort="443" or dstPort="22" or dstPort="25"
 | sort HitCount desc
 | limit 10

La requête précédente vérifie le volume de trafic envoyé aux différents ports.

Scénario 4

Pour répertorier les adresses IP qui tentent de se connecter à une adresse IP spécifique, exécutez la requête suivante :

fields @timestamp, srcAddr, dstAddr | sort @timestamp desc
 | limit 5
 | filter srcAddr like "172.31."

Pour répertorier les adresses IP qui tentent de se connecter à un CIDR spécifique, exécutez la requête suivante :

fields @timestamp, srcAddr, dstAddr | sort @timestamp desc
 | limit 5
 | filter isIpv4InSubnet(srcAddr,"172.31.0.0/16")

Pour d'autres exemples de requêtes, consultez la section Requêtes pour les journaux de flux Amazon VPC.

Informations connexes

Analyse des données de journaux avec CloudWatch Logs Insights

Journaux pris en charge et champs découverts