Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como uso o CloudWatch Logs Insights para consultar meus logs de fluxo de VPC?

3 minuto de leitura
0

Quero usar as consultas do Amazon CloudWatch Logs Insights para processar meus logs de fluxo do Amazon Virtual Private Cloud (Amazon VPC) que estão em um grupo de logs.

Resolução

Para uma visão geral da sintaxe que você usa, consulte Sintaxe de consulta da linguagem CloudWatch Logs Insights.

Usar exemplos de consultas

Use o console do CloudWatch para executar uma consulta de amostra do CloudWatch Logs Insights. Para executar uma consulta que você executou anteriormente, escolha Histórico. Para exportar seus resultados, escolha Exportar resultados e, em seguida, escolha um formato.

Cenário 1

Você tem um servidor web, servidor de aplicações e servidor de banco de dados. Você recebe um erro de tempo limite ou HTTP 503 e deseja determinar a causa do erro.

Execute uma consulta com as seguintes variáveis de exemplo:

  • **Defina ** Ação como ** REJEITAR ** para que a consulta retorne somente conexões rejeitadas.
  • Inclua somente redes internas na consulta.
  • A lista de endereços IP do servidor mostra as conexões de entrada e saída (srcAddr e dStaddr).
  • Defina o ** Limite ** como ** 5 ** para que a consulta mostre somente as primeiras cinco entradas.
  • O endereço IP do servidor web é 10.0.0.4.
  • O endereço IP do servidor de aplicações é 10.0.0.5.
  • O endereço IP do servidor de banco de dados é 10.0.0.6.

Consulta de exemplo:

filter(   action="REJECT" and
   dstAddr like /^(10\.|192\.168\.)/ and
   srcAddr like /^(10\.|192\.168\.)/ and
   (srcAddr = "10.0.0.4" or dstAddr = "10.0.0.4" or srcAddr = "10.0.0.5" or dstAddr = "10.0.0.5" or srcAddr = "10.0.0.6" or dstAddr = "10.0.0.6")
)
| stats count(*) as records by srcAddr,dstAddr,dstPort,protocol
| sort records desc
| limit 5

Cenário 2

Você experimenta tempos limite intermitentes em uma interface de rede. Para verificar se há rejeições na interface de rede durante um período de tempo, execute a seguinte consulta:

fields @timestamp, interfaceId, srcAddr, dstAddr, action| filter (interfaceId = 'eni-05012345abcd' and action = 'REJECT')
| sort @timestamp desc
| limit 5

Cenário 3

Para produzir um relatório sobre uma interface de rede específica, execute a seguinte consulta:

fields @timestamp, @message | stats count(*) as records by dstPort, srcAddr, dstAddr as Destination
 | filter interfaceId="eni-05012345abcd"
 | filter dstPort="80" or dstPort="443" or dstPort="22" or dstPort="25"
 | sort HitCount desc
 | limit 10

A consulta anterior verifica a quantidade de tráfego que é enviada para portas diferentes.

Cenário 4

Para listar os endereços IP que tentam se conectar a um endereço IP específico, execute a seguinte consulta:

fields @timestamp, srcAddr, dstAddr | sort @timestamp desc
 | limit 5
 | filter srcAddr like "172.31."

Para listar endereços IP que tentam se conectar a um CIDR específico, execute a seguinte consulta:

fields @timestamp, srcAddr, dstAddr | sort @timestamp desc
 | limit 5
 | filter isIpv4InSubnet(srcAddr,"172.31.0.0/16")

Para obter mais exemplos de consultas, consulte Consultas para registros de fluxo do Amazon VPC.

Informações relacionadas

Análise de dados de log com o CloudWatch Logs Insights

Supported logs and discovered fields

Tópicos
Networking & Content Delivery
Tags
Amazon VPC
Idioma
Português

Vídeos relacionados

Assista ao vídeo de Aayush para saber mais (4:45)
Assista ao vídeo de Aayush para saber mais (4:45)
AWS OFICIALAtualizada há um ano
Sem comentários

Conteúdo relevante