Saltar al contenido
Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post
Acerca de re:Post

¿Cómo utilizo CloudWatch Logs Insights para consultar los registros de flujo de mi VPC?

3 minutos de lectura
0

Quiero usar las consultas de Información de registros de Amazon CloudWatch para procesar mis registros de flujo de Amazon Virtual Private Cloud (Amazon VPC) que están en un grupo de registros.

Resolución

Para obtener información general sobre la sintaxis que utiliza, consulte Sintaxis de consultas del lenguaje CloudWatch Logs Insights.

Uso de consultas de ejemplo

Utilice la consola de CloudWatch para ejecutar una consulta de ejemplo de CloudWatch Logs Insights. Para ejecutar una consulta que ejecutó anteriormente, elija Historial. Para exportar los resultados, seleccione Exportar resultados y, a continuación, elija un formato.

Escenario 1

Tiene un servidor web, un servidor de aplicaciones y un servidor de bases de datos. Recibe un error de tiempo de espera o HTTP 503 y desea determinar la causa del error.

Ejecute una consulta con las siguientes variables de ejemplo:

  • Establezca ** la acción en ** RECHAZAR ** ** para que la consulta devuelva solo las conexiones rechazadas.
  • Incluya solo las redes internas en la consulta.
  • La lista de direcciones IP del servidor muestra las conexiones entrantes y salientes (srcAddr y dstAddr).
  • Establezca el ** límite en ** 5 ** ** para que la consulta muestre solo las cinco primeras entradas.
  • La dirección IP del servidor web es 10.0.0.4.
  • La dirección IP del servidor de aplicaciones es 10.0.0.5.
  • La dirección IP del servidor de base de datos es 10.0.0.6.

Ejemplo de consulta:

filter(   action="REJECT" and
   dstAddr like /^(10\.|192\.168\.)/ and
   srcAddr like /^(10\.|192\.168\.)/ and
   (srcAddr = "10.0.0.4" or dstAddr = "10.0.0.4" or srcAddr = "10.0.0.5" or dstAddr = "10.0.0.5" or srcAddr = "10.0.0.6" or dstAddr = "10.0.0.6")
)
| stats count(*) as records by srcAddr,dstAddr,dstPort,protocol
| sort records desc
| limit 5

Escenario 2

Experimenta tiempos de espera intermitentes en una interfaz de red. Para comprobar si hay rechazos en la interfaz de red durante un período de tiempo, ejecute la siguiente consulta:

fields @timestamp, interfaceId, srcAddr, dstAddr, action| filter (interfaceId = 'eni-05012345abcd' and action = 'REJECT')
| sort @timestamp desc
| limit 5

Escenario 3

Para generar un informe sobre una interfaz de red específica, ejecute la siguiente consulta:

fields @timestamp, @message | stats count(*) as records by dstPort, srcAddr, dstAddr as Destination
 | filter interfaceId="eni-05012345abcd"
 | filter dstPort="80" or dstPort="443" or dstPort="22" or dstPort="25"
 | sort HitCount desc
 | limit 10

La consulta anterior comprueba la cantidad de tráfico que se envía a los diferentes puertos.

Escenario 4

Para enumerar las direcciones IP que intentan conectarse a una dirección IP específica, ejecuta la siguiente consulta:

fields @timestamp, srcAddr, dstAddr | sort @timestamp desc
 | limit 5
 | filter srcAddr like "172.31."

Para enumerar las direcciones IP que intentan conectarse a un CIDR específico, ejecute la siguiente consulta:

fields @timestamp, srcAddr, dstAddr | sort @timestamp desc
 | limit 5
 | filter isIpv4InSubnet(srcAddr,"172.31.0.0/16")

Para ver más ejemplos de consultas, consulte Consultas para registros de flujo de Amazon VPC.

Información relacionada

Análisis de los datos de registro con CloudWatch Logs Insights

Supported logs and discovered fields

Temas
Networking & Content Delivery
Etiquetas
Amazon VPC
Idioma
Español

Vídeos relacionados

Consulta el vídeo de Aayush para obtener más información (4:45)
Consulta el vídeo de Aayush para obtener más información (4:45)
OFICIAL DE AWSActualizada hace 4 meses
Sin comentarios

Contenido relevante