View a markdown version of this page

Verwenden von Abfragen zum Filtern von Protokolleinträgen - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Abfragen zum Filtern von Protokolleinträgen

Sie können CloudWatch Abfragen verwenden, um Protokolleinträge für Transfer Family zu filtern und zu identifizieren. Dieser Abschnitt enthält einige Beispiele.

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Sie können Abfragen oder Regeln erstellen.

    • Um eine Logs Insights-Abfrage zu erstellen, wählen Sie im linken Navigationsbereich Logs Insights aus und geben Sie dann die Details für Ihre Abfrage ein.

    • Um eine Contributor Insights-Regel zu erstellen, wählen Sie im linken Navigationsbereich Insights > Contributor Insights aus und geben Sie dann die Details für Ihre Regel ein.

  3. Führen Sie die Abfrage oder Regel aus, die Sie erstellt haben.

Sehen Sie sich die häufigsten Ursachen für Authentifizierungsfehler an

In Ihren strukturierten Protokollen sieht ein Protokolleintrag für Authentifizierungsfehler in etwa wie folgt aus:

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

Führen Sie die folgende Abfrage aus, um die Hauptverursacher von Authentifizierungsfehlern anzuzeigen.

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

Anstatt CloudWatch Logs Insights zu verwenden, können Sie eine CloudWatch Contributors Insights-Regel erstellen, um Authentifizierungsfehler anzuzeigen. Erstellen Sie eine Regel, die der folgenden ähnelt.

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

Protokolleinträge anzeigen, in denen eine Datei geöffnet wurde

In Ihren strukturierten Protokollen sieht ein Protokolleintrag zum Lesen einer Datei etwa wie folgt aus:

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

Führen Sie die folgende Abfrage aus, um Protokolleinträge anzuzeigen, die darauf hinweisen, dass eine Datei geöffnet wurde.

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path