Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# CloudWatch Amazon-Protokollierung für AWS Transfer Family Server
<a name="structured-logging"></a>

Amazon CloudWatch ist ein leistungsstarker Überwachungs- und Beobachtbarkeitsservice, der einen umfassenden Einblick in Ihre AWS Ressourcen bietet, darunter AWS Transfer Family:
+ Überwachung in Echtzeit: CloudWatch Überwacht die Ressourcen und Anwendungen der Transfer Family in Echtzeit, sodass Sie deren Leistung verfolgen und analysieren können.
+ Erfassung von Kennzahlen: CloudWatch sammelt und verfolgt verschiedene Kennzahlen für Ihre Ressourcen und Anwendungen. Dabei handelt es sich um Variablen, die Sie messen und für Analysen verwenden können.
+ CloudWatch Startseite: Auf der CloudWatch Startseite werden automatisch Metriken zu Transfer Family und anderen von Ihnen verwendeten AWS Diensten angezeigt, sodass Sie Ihre Überwachungsdaten zentral einsehen können.
+ Benutzerdefinierte Dashboards: Sie können benutzerdefinierte Dashboards erstellen, CloudWatch um Metriken anzuzeigen, die für Ihre benutzerdefinierten Anwendungen und die Ressourcen, die Sie überwachen möchten, spezifisch sind.
+ Alarme und Benachrichtigungen: CloudWatch Ermöglicht es Ihnen, Alarme zu erstellen, die Ihre Messwerte überwachen und Benachrichtigungen oder automatisierte Aktionen auslösen, wenn bestimmte Schwellenwerte überschritten werden. Dies kann nützlich sein, um die Dateiübertragungsaktivitäten auf Ihren Transfer Family Family-Servern zu überwachen und Ressourcen entsprechend zu skalieren.
+ Kostenoptimierung: Sie können die von gesammelten Daten verwenden, CloudWatch um nicht ausgelastete Ressourcen zu identifizieren und Maßnahmen wie das Stoppen oder Löschen von Instanzen zu ergreifen, um Ihre Kosten zu optimieren.

Insgesamt ist es aufgrund der umfassenden Überwachungsfunktionen ein wertvolles Tool für die Verwaltung und Optimierung Ihrer Transfer Family Family-Infrastruktur und der darauf ausgeführten Anwendungen. CloudWatch 

Einzelheiten zur CloudWatch Protokollierung für Transfer Family Family-Web-Apps finden Sie unter[CloudTrail Protokollierung für Transfer Family Family-Web-Apps](webapp-cloudtrail.md).

## Arten der CloudWatch Protokollierung für Transfer Family
<a name="log-tf-types"></a>

Transfer Family bietet zwei Möglichkeiten, Ereignisse zu protokollieren CloudWatch:
+ JSON-strukturierte Protokollierung
+ Protokollierung über eine Protokollierungsrolle

Für Transfer Family Family-Server können Sie den Protokollierungsmechanismus wählen, den Sie bevorzugen. Für Konnektoren und Workflows werden nur Protokollierungsrollen unterstützt.

**Strukturierte JSON-Protokollierung**

Für die Protokollierung von Serverereignissen empfehlen wir die Verwendung der strukturierten JSON-Protokollierung. Dies bietet ein umfassenderes Protokollierungsformat, das das Abfragen von CloudWatch Protokollen ermöglicht. Für diese Art der Protokollierung muss die IAM-Richtlinie für den Benutzer, der den Server erstellt (oder die Protokollierungskonfiguration des Servers bearbeitet), die folgenden Berechtigungen enthalten:
+ `logs:CreateLogDelivery`
+ `logs:DeleteLogDelivery`
+ `logs:DescribeLogGroups`
+ `logs:DescribeResourcePolicies`
+ `logs:GetLogDelivery`
+ `logs:ListLogDeliveries`
+ `logs:PutResourcePolicy`
+ `logs:UpdateLogDelivery`

Es folgt eine Beispielrichtlinie .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"                
            ],
            "Resource": "*"
        }
    ]
}
```

Einzelheiten zur Einrichtung der strukturierten JSON-Protokollierung finden Sie unter. [Protokollierung für Server erstellen, aktualisieren und anzeigen](log-server-manage.md)

**Rolle „Protokollierung“**

Um Ereignisse für einen verwalteten Workflow, der an einen Server angehängt ist, sowie für Connectors zu protokollieren, müssen Sie eine Protokollierungsrolle angeben. Um den Zugriff festzulegen, erstellen Sie eine ressourcenbasierte IAM-Richtlinie und eine IAM-Rolle, die diese Zugriffsinformationen bereitstellt. Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Serverereignisse AWS-Konto protokollieren kann.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
```

Einzelheiten zur Konfiguration einer Protokollierungsrolle zum Protokollieren von Workflow-Ereignissen finden Sie unter[Verwaltung der Protokollierung für Workflows](cloudwatch-workflows.md).

# Protokollierung für Server erstellen, aktualisieren und anzeigen
<a name="log-server-manage"></a>

Für alle AWS Transfer Family Server bieten wir eine strukturierte Protokollierung an. Wir empfehlen, die strukturierte Protokollierung für alle neuen und vorhandenen Transfer Family Family-Server zu verwenden. Die Verwendung der strukturierten Protokollierung bietet unter anderem folgende Vorteile:
+ Empfangen Sie Protokolle in einem strukturierten JSON-Format.
+ Fragen Sie Ihre Logs mit Amazon CloudWatch Logs Insights ab, das automatisch Felder im JSON-Format erkennt.
+ Durch die gemeinsame Nutzung von Protokollgruppen für mehrere AWS Transfer Family Ressourcen können Sie Protokollstreams von mehreren Servern zu einer einzigen Protokollgruppe zusammenfassen, was die Verwaltung Ihrer Überwachungskonfigurationen und Einstellungen für die Aufbewahrung von Protokollen erleichtert.
+ Erstellen Sie aggregierte Metriken und Visualisierungen, die zu Dashboards hinzugefügt werden können. CloudWatch
+ Verfolgen Sie Nutzungs- und Leistungsdaten, indem Sie Protokollgruppen verwenden, um konsolidierte Protokollmetriken, Visualisierungen und Dashboards zu erstellen.

Um die Protokollierung für Workflows zu aktivieren, die an Server angeschlossen sind, müssen Sie eine Protokollierungsrolle verwenden.

**Anmerkung**  
Wenn Sie eine Protokollierungsrolle hinzufügen, ist die Protokollierungsgruppe immer `/aws/transfer/your-serverID` gültig und kann nicht geändert werden. Das bedeutet, dass Sie, sofern Sie Ihre strukturierten Serverprotokolle nicht an dieselbe Gruppe senden, in zwei separaten Protokollgruppen protokollieren.  
Wenn Sie wissen, dass Sie Ihrem Server einen Workflow zuordnen werden und daher eine Protokollierungsrolle hinzufügen müssen, können Sie die strukturierte Protokollierung so einrichten, dass sie in der Standardprotokollgruppe von protokolliert wird`/aws/transfer/your-serverID`.  
Informationen zum Ändern Ihrer Logging-Gruppe finden Sie [StructuredLogDestinations](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html#TransferFamily-UpdateServer-request-StructuredLogDestinations)in der *AWS Transfer Family API-Referenz*.

Wenn Sie mit der Transfer Family Family-Konsole einen neuen Server erstellen, ist die Protokollierung standardmäßig aktiviert. Nachdem Sie den Server erstellt haben, können Sie den `UpdateServer` API-Vorgang verwenden, um Ihre Protokollierungskonfiguration zu ändern. Details hierzu finden Sie unter [StructuredLogDestinations](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html#TransferFamily-UpdateServer-request-StructuredLogDestinations).

Derzeit müssen Sie für Workflows eine Protokollierungsrolle angeben, wenn Sie die Protokollierung aktivieren möchten:
+ Wenn Sie einen Workflow mithilfe der `UpdateServer` API-Operation `CreateServer` oder einem Server zuordnen, erstellt das System nicht automatisch eine Protokollierungsrolle. Wenn Sie Ihre Workflow-Ereignisse protokollieren möchten, müssen Sie dem Server explizit eine Protokollierungsrolle zuweisen.
+ Wenn Sie mit der Transfer Family Family-Konsole einen Server erstellen und einen Workflow anhängen, werden Protokolle an eine Protokollgruppe gesendet, deren Name die Server-ID enthält. Das Format ist `/aws/transfer/server-id` beispielsweise`/aws/transfer/s-1111aaaa2222bbbb3`. Die Serverprotokolle können an dieselbe oder eine andere Protokollgruppe gesendet werden.

**Überlegungen zur Protokollierung beim Erstellen und Bearbeiten von Servern in der Konsole**
+ Neue Server, die über die Konsole erstellt wurden, unterstützen nur die strukturierte JSON-Protokollierung, es sei denn, ein Workflow ist an den Server angehängt.
+ *Keine Protokollierung* ist keine Option für neue Server, die Sie in der Konsole erstellen.
+ Bestehende Server können die strukturierte JSON-Protokollierung jederzeit über die Konsole aktivieren.
+ Durch die Aktivierung der strukturierten JSON-Protokollierung über die Konsole wird die bestehende Protokollierungsmethode deaktiviert, sodass Kunden nicht doppelt belastet werden. Die Ausnahme ist, wenn ein Workflow an den Server angehängt ist.
+ Wenn Sie die strukturierte JSON-Protokollierung aktivieren, können Sie sie später nicht über die Konsole deaktivieren.
+ Wenn Sie die strukturierte JSON-Protokollierung aktivieren, können Sie das Ziel der Protokollgruppe jederzeit über die Konsole ändern.
+ Wenn Sie die strukturierte JSON-Protokollierung aktivieren, können Sie die Protokollierungsrolle nicht über die Konsole bearbeiten, wenn Sie beide Protokollierungstypen über die API aktiviert haben. Die Ausnahme ist, wenn an Ihren Server ein Workflow angehängt ist. Die Rolle „Protokollierung“ wird jedoch weiterhin unter **Zusätzliche Details** angezeigt.

**Überlegungen zur Protokollierung beim Erstellen und Bearbeiten von Servern mithilfe der API oder des SDK**
+ Wenn Sie über die API einen neuen Server erstellen, können Sie eine oder beide Arten der Protokollierung konfigurieren oder keine Protokollierung auswählen.
+ Für bestehende Server können Sie die strukturierte JSON-Protokollierung jederzeit aktivieren und deaktivieren.
+ Sie können die Protokollgruppe jederzeit über die API ändern.
+ Sie können die Protokollierungsrolle jederzeit über die API ändern.

**Um die strukturierte Protokollierung zu aktivieren, müssen Sie bei einem Konto mit den folgenden Berechtigungen angemeldet sein**
+ `logs:CreateLogDelivery`
+ `logs:DeleteLogDelivery`
+ `logs:DescribeLogGroups`
+ `logs:DescribeResourcePolicies`
+ `logs:GetLogDelivery`
+ `logs:ListLogDeliveries`
+ `logs:PutResourcePolicy`
+ `logs:UpdateLogDelivery`

Eine Beispielrichtlinie ist im Abschnitt verfügbar[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).

**Topics**
+ [Protokollierung für Server erstellen](#log-server-create)
+ [Die Protokollierung für einen Server wird aktualisiert](#log-server-update)
+ [Serverkonfiguration anzeigen](#log-server-config)

## Protokollierung für Server erstellen
<a name="log-server-create"></a>

Wenn Sie einen neuen Server erstellen, können Sie auf der Seite **Zusätzliche Details konfigurieren** eine vorhandene Protokollgruppe angeben oder eine neue erstellen.

![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)


Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

## Die Protokollierung für einen Server wird aktualisiert
<a name="log-server-update"></a>

Die Einzelheiten der Protokollierung hängen vom Szenario für Ihr Update ab.

**Anmerkung**  
Wenn Sie sich für die strukturierte JSON-Protokollierung entscheiden, kann es in seltenen Fällen zu Verzögerungen kommen, bei denen Transfer Family die Protokollierung im alten Format beendet, es jedoch einige Zeit dauert, bis die Protokollierung im neuen JSON-Format gestartet wird. Dies kann dazu führen, dass Ereignisse nicht protokolliert werden. Es wird keine Dienstunterbrechungen geben, aber Sie sollten vorsichtig sein, wenn Sie Dateien in der ersten Stunde nach der Änderung Ihrer Protokollierungsmethode übertragen, da Protokolle gelöscht werden könnten.

Wenn Sie einen vorhandenen Server bearbeiten, hängen Ihre Optionen vom Status des Servers ab.
+ Auf dem Server ist bereits eine Protokollierungsrolle aktiviert, aber die strukturierte JSON-Protokollierung ist nicht aktiviert.  
![\[Bereich „Protokollierung“, in dem eine vorhandene Protokollierungsrolle angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-role.png)
+ Auf dem Server ist keine Protokollierung aktiviert.  
![\[Bereich „Protokollierung“, wenn auf dem Server keine Protokollierung aktiviert ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-edit-none.png)
+ Auf dem Server ist die strukturierte JSON-Protokollierung bereits aktiviert, es wurde jedoch keine Protokollierungsrolle angegeben.  
![\[Bereich „Protokollierung“, falls auf dem Server die Protokollierung noch nicht aktiviert ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-edit-add-json-02.png)
+ Auf dem Server ist die strukturierte JSON-Protokollierung bereits aktiviert, und es wurde auch eine Protokollierungsrolle angegeben.  
![\[Bereich „Protokollierung“, wenn auf dem Server die strukturierte Protokollierung aktiviert und auch eine Protokollierungsrolle angegeben ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-edit-both.png)

## Serverkonfiguration anzeigen
<a name="log-server-config"></a>

Die Details für die Serverkonfigurationsseite hängen von Ihrem Szenario ab:

Je nach Szenario könnte die Serverkonfigurationsseite wie eines der folgenden Beispiele aussehen:
+ Es ist keine Protokollierung aktiviert.  
![\[Protokollierungskonfiguration ohne konfigurierte Protokollierung.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-config-none.png)
+ Die strukturierte JSON-Protokollierung ist aktiviert.  
![\[Protokollierungskonfiguration mit konfigurierter strukturierter Protokollierung.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-config-structured.png)
+ Die Protokollierungsrolle ist aktiviert, aber die strukturierte JSON-Protokollierung ist nicht aktiviert.  
![\[Protokollierungskonfiguration mit konfigurierter Protokollierungsrolle.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-config-legacy.png)
+ Beide Arten der Protokollierung (Protokollierungsrolle und strukturierte JSON-Protokollierung) sind aktiviert.  
![\[Protokollierungskonfiguration, bei der beide Protokollierungstypen (Protokollierungsrolle und strukturierte JSON-Protokollierung) konfiguriert sind.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-config-both.png)

# Verwaltung der Protokollierung für Workflows
<a name="cloudwatch-workflows"></a>

CloudWatch bietet eine konsolidierte Prüfung und Protokollierung des Fortschritts und der Ergebnisse von Workflows. Darüber hinaus AWS Transfer Family bietet es mehrere Metriken für Workflows. Sie können Messwerte darüber anzeigen, wie viele Workflow-Ausführungen in der letzten Minute gestartet, erfolgreich abgeschlossen und fehlgeschlagen sind. Alle CloudWatch Metriken für Transfer Family werden unter beschrieben[Verwenden von CloudWatch Metriken für Transfer Family Family-Server](metrics.md).

**CloudWatch Amazon-Protokolle für Workflows anzeigen**

1. Öffnen Sie die CloudWatch Amazon-Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im linken Navigationsbereich **Logs** und anschließend **Log-Gruppen** aus.

1. Wählen Sie auf der Seite **Protokollgruppen** in der Navigationsleiste die richtige Region für Ihren AWS Transfer Family Server aus.

1. Wählen Sie die Protokollgruppe aus, die Ihrem Server entspricht.

   Wenn Ihre Server-ID beispielsweise lautet`s-1234567890abcdef0`, ist Ihre Protokollgruppe`/aws/transfer/s-1234567890abcdef0`.

1. Auf der Seite mit den Protokollgruppendetails für Ihren Server werden die neuesten Protokollstreams angezeigt. Es gibt zwei Protokollstreams für den Benutzer, den Sie untersuchen: 
   + Einer für jede Secure Shell (SSH) File Transfer Protocol (SFTP) -Sitzung.
   + Eine für den Workflow, der für Ihren Server ausgeführt wird. Das Format für den Protokollstream für den Workflow ist`username.workflowID.uniqueStreamSuffix`.

   Wenn Ihr Benutzer beispielsweise ist`mary-major`, haben Sie die folgenden Protokollstreams:

   ```
   mary-major-east.1234567890abcdef0
   mary.w-abcdef01234567890.021345abcdef6789
   ```
**Anmerkung**  
 Die in diesem Beispiel aufgeführten 16-stelligen alphanumerischen Identifikatoren sind fiktiv. Die Werte, die Sie bei Amazon sehen, CloudWatch sind unterschiedlich. 

Auf der Seite **Ereignisse protokollieren** für `mary-major-usa-east.1234567890abcdef0` werden die Details für jede Benutzersitzung angezeigt, und der `mary.w-abcdef01234567890.021345abcdef6789` Protokollstream enthält die Details für den Workflow. 

 Im Folgenden finden Sie ein Beispiel für einen Protokollstream für`mary.w-abcdef01234567890.021345abcdef6789`, der auf einem Workflow (`w-abcdef01234567890`) basiert, der einen Kopierschritt enthält. 

```
{
    "type": "ExecutionStarted",
    "details": {
        "input": {
            "initialFileLocation": {
                "bucket": "amzn-s3-demo-bucket",
                "key": "mary/workflowSteps2.json",
                "versionId": "version-id",
                "etag": "etag-id"
            }
        }
    },
    "workflowId":"w-abcdef01234567890",
    "executionId":"execution-id",
    "transferDetails": {
        "serverId":"s-server-id",
        "username":"mary",
        "sessionId":"session-id"
    }
},
{
    "type":"StepStarted",
    "details": {
        "input": {
            "fileLocation": {
                "backingStore":"S3",
                "bucket":"amzn-s3-demo-bucket",
                "key":"mary/workflowSteps2.json",
                "versionId":"version-id",
                "etag":"etag-id"
            }
        },
        "stepType":"COPY",
        "stepName":"copyToShared"
    },
    "workflowId":"w-abcdef01234567890",
    "executionId":"execution-id",
    "transferDetails": {
        "serverId":"s-server-id",
        "username":"mary",
        "sessionId":"session-id"
    }
},
{
    "type":"StepCompleted",
    "details":{
        "output":{},
        "stepType":"COPY",
        "stepName":"copyToShared"
    },
    "workflowId":"w-abcdef01234567890",
    "executionId":"execution-id",
    "transferDetails":{
        "serverId":"server-id",
        "username":"mary",
        "sessionId":"session-id"
    }
},
{
    "type":"ExecutionCompleted",
    "details": {},
    "workflowId":"w-abcdef01234567890",
    "executionId":"execution-id",
    "transferDetails":{
        "serverId":"s-server-id",
        "username":"mary",
        "sessionId":"session-id"
    }
}
```

# Konfigurieren Sie die CloudWatch Protokollierungsrolle
<a name="configure-cw-logging-role"></a>

Um den Zugriff festzulegen, erstellen Sie eine ressourcenbasierte IAM-Richtlinie und eine IAM-Rolle, die diese Zugriffsinformationen bereitstellt.

Um die CloudWatch Amazon-Protokollierung zu aktivieren, erstellen Sie zunächst eine IAM-Richtlinie, die die CloudWatch Protokollierung aktiviert. Anschließend erstellen Sie eine IAM-Rolle und fügen ihr die Richtlinie hinzu. Sie können dies tun, wenn Sie [einen Server erstellen](getting-started.md#getting-started-server) oder indem Sie [einen vorhandenen Server bearbeiten](edit-server-config.md). Weitere Informationen zu CloudWatch finden Sie unter [Was ist Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) und [Was ist Amazon CloudWatch Logs?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) im * CloudWatch Amazon-Benutzerhandbuch*.

Verwenden Sie die folgenden IAM-Beispielrichtlinien, um die CloudWatch Protokollierung zu ermöglichen.

------
#### [ Use a logging role ]

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}
```

------
#### [ Use structured logging ]

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"                
            ],
            "Resource": "*"
        }
    ]
}
```

In der vorherigen Beispielrichtlinie ersetzen Sie für **Resource** die das *region-id* und *AWS-Konto* durch Ihre Werte. Beispiel: **"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/\$1"**

------

Anschließend erstellen Sie eine Rolle und fügen die CloudWatch Logs-Richtlinie hinzu, die Sie erstellt haben.

**So erstellen Sie eine IAM-Rolle und fügen dieser eine Richtlinie an**

1. Wählen Sie im Navigationsbereich **Rollen** und dann **Rolle erstellen**.

   Vergewissern Sie sich, dass auf der Seite **Rolle erstellen** der **AWS Dienst** ausgewählt ist.

1. Wählen Sie in der Service-Liste **Transfer (Übertragung)** und dann **Next: Permissions (Weiter: Berechtigungen)** aus. Dadurch wird eine Vertrauensbeziehung zwischen AWS Transfer Family und der IAM-Rolle hergestellt. Fügen Sie außerdem Schlüssel hinzu `aws:SourceAccount` und geben Sie `aws:SourceArn` ihnen Bedingungen, um sich vor dem Problem mit dem *verwirrten Stellvertreter* zu schützen. Weitere Informationen finden Sie in der folgenden Dokumentation:
   + Verfahren zum Aufbau einer Vertrauensbeziehung mit AWS Transfer Family: [So stellen Sie eine Vertrauensbeziehung her](requirements-roles.md#establish-trust-transfer) 
   + Beschreibung des Problems mit dem verwirrten Stellvertreter: das Problem [des verwirrten Stellvertreters](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)

1. Suchen **Sie im Abschnitt Zugriffsrichtlinien anhängen** nach der CloudWatch Protokollrichtlinie, die Sie gerade erstellt haben, wählen Sie sie aus und klicken Sie **dann auf Weiter: Tags**.

1. (Optional) Geben Sie einen Schlüssel und einen Wert für ein Tag ein und wählen Sie **Next: Review (Weiter: Prüfen) aus**.

1. Geben Sie auf der Seite **Review (Prüfen)** einen Namen und eine Beschreibung für die neue Rolle ein und wählen Sie dann **Create role (Rolle erstellen)** aus.

1. Um die Protokolle anzuzeigen, wählen Sie die **Server-ID** aus, um die Serverkonfigurationsseite zu öffnen, und wählen Sie **Protokolle anzeigen**. Sie werden zur CloudWatch Konsole weitergeleitet, wo Sie Ihre Log-Streams sehen können.

Auf der CloudWatch Seite für Ihren Server finden Sie Aufzeichnungen zur Benutzerauthentifizierung (Erfolg und Misserfolg), zu Datenuploads (`PUT`Operationen) und zu Datendownloads (`GET`Operationen).

# Protokollstreams von Transfer Family anzeigen
<a name="view-log-entries"></a>

**So zeigen Sie Ihre Transfer Family Family-Serverprotokolle an**

1. Navigieren Sie zur Detailseite eines Servers.

1. Wählen Sie **Protokolle anzeigen** aus. Dadurch wird Amazon geöffnet CloudWatch.

1. Die Protokollgruppe für den ausgewählten Server wird angezeigt.  
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/log-example-01.png)

1. Sie können einen Protokollstream auswählen, um Details und einzelne Einträge für den Stream anzuzeigen.
   + Wenn es eine Liste für **FEHLER** gibt, können Sie diese auswählen, um Details zu den neuesten Fehlern auf dem Server anzuzeigen.  
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/log-example-errors.png)
   + Wählen Sie einen anderen Eintrag, um einen Beispiel-Logstream zu sehen.  
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/log-example-02.png)
   + Wenn Ihrem Server ein verwalteter Workflow zugeordnet ist, können Sie die Protokolle der Workflow-Ausführungen anzeigen.
**Anmerkung**  
Das Format für den Protokollstream für den Workflow ist`username.workflowId.uniqueStreamSuffix`. Beispielsweise könnte **decrypt-user.w-a1111222233334444.aaaa1111bbbb2222** der Name eines Protokollstreams für Benutzer und Workflow sein. **decrypt-user** **w-a1111222233334444**   
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/log-example-workflow.png)

**Anmerkung**  
Für jeden erweiterten Protokolleintrag können Sie den Eintrag in die Zwischenablage kopieren, indem **Sie Kopieren** wählen. Weitere Informationen zu CloudWatch Protokollen finden Sie unter [Protokolldaten anzeigen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData).

## CloudWatch Amazon-Alarme erstellen
<a name="monitoring-cloudwatch-examples"></a>

Das folgende Beispiel zeigt, wie CloudWatch Amazon-Alarme mithilfe der AWS Transfer Family Metrik erstellt `FilesIn` werden.

------
#### [ CDK ]

```
new cloudwatch.Metric({
  namespace: "AWS/Transfer",
  metricName: "FilesIn",
  dimensionsMap: { ServerId: "s-00000000000000000" },
  statistic: "Average",
  period: cdk.Duration.minutes(1),
}).createAlarm(this, "AWS/Transfer FilesIn", {
  threshold: 1000,
  evaluationPeriods: 10,
  datapointsToAlarm: 5,
  comparisonOperator: cloudwatch.ComparisonOperator.GREATER_THAN_OR_EQUAL_TO_THRESHOLD,
});
```

------
#### [ CloudFormation ]

```
Type: AWS::CloudWatch::Alarm
Properties:
  Namespace: AWS/Transfer
  MetricName: FilesIn
  Dimensions:
    - Name: ServerId
      Value: s-00000000000000000
  Statistic: Average
  Period: 60
  Threshold: 1000
  EvaluationPeriods: 10
  DatapointsToAlarm: 5
  ComparisonOperator: GreaterThanOrEqualToThreshold
```

------

## Protokollierung Amazon S3 S3-API-Vorgängen in S3-Zugriffsprotokollen
<a name="monitoring-s3-access-logs"></a>

**Anmerkung**  
Dieser Abschnitt gilt nicht für Transfer Family Family-Web-Apps.

Wenn Sie [Amazon S3 S3-Zugriffsprotokolle verwenden, um S3-Anfragen zu identifizieren](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-s3-access-logs-to-identify-requests.html), die im Namen Ihrer Dateiübertragungsbenutzer gestellt wurden, `RoleSessionName` wird verwendet, um anzuzeigen, welche IAM-Rolle für die Bearbeitung der Dateiübertragungen übernommen wurde. Außerdem werden zusätzliche Informationen wie der Benutzername, die Sitzungs-ID und die Server-ID angezeigt, die für die Übertragungen verwendet wurden. Das Format ist `[AWS:Role Unique Identifier]/username.sessionid@server-id` und ist im Feld Requester enthalten. Im Folgenden finden Sie beispielsweise den Inhalt eines Beispielfeldes „Requester“ aus einem S3-Zugriffsprotokoll für eine Datei, die in den S3-Bucket kopiert wurde.

`arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id`

Im obigen Feld Requester wird die aufgerufene IAM-Rolle angezeigt. `IamRoleName` *Weitere Informationen zu eindeutigen Identifikatoren der IAM-Rolle finden Sie unter [Eindeutige Identifikatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) im Benutzerhandbuch.AWS Identity and Access Management *

# Beispiele zur Begrenzung des Problems mit verwirrtem Stellvertreter
<a name="cloudwatch-confused-deputy"></a>

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS Fällen kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit einem verwirrten Stellvertreter führen. Weitere Details finden Sie unter [Serviceübergreifende Confused-Deputy-Prävention](confused-deputy.md).

**Anmerkung**  
Ersetzen Sie in den folgenden Beispielen jedes durch Ihre *user input placeholder* eigenen Informationen.  
In diesen Beispielen können Sie die ARN-Details für einen Workflow entfernen, wenn an Ihren Server keine Workflows angehängt sind.

Die folgende logging/invocation Beispielrichtlinie ermöglicht es jedem Server (und Workflow) im Konto, die Rolle zu übernehmen.

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowAllServersWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnLike": {
                   "aws:SourceArn": [
                     "arn:aws:transfer:us-west-2:111122223333:server/*",
                     "arn:aws:transfer:us-west-2:111122223333:workflow/*"
                   ]
                }
            }
        }
    ]
}
```

Die folgende logging/invocation Beispielrichtlinie ermöglicht es einem bestimmten Server (und Workflow), die Rolle zu übernehmen.

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowSpecificServerWithWorkflowAttached",
            "Effect": "Allow",
            "Principal": {
                "Service": "transfer.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "111122223333"
                },
                "ArnEquals": {
                   "aws:SourceArn": [
                       "arn:aws:transfer:us-west-2:111122223333:server/server-id",
                       "arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id"
                   ]
                }
            }
        }
    ]
}
```

# CloudWatch Protokollstruktur für Transfer Family
<a name="cw-structure-logs"></a>

In diesem Thema werden die Felder beschrieben, die in Transfer Family Family-Protokollen aufgefüllt werden: sowohl für strukturierte JSON-Protokolleinträge als auch für ältere Protokolleinträge.

**Topics**
+ [Strukturierte JSON-Logs für Transfer Family](#json-log-entries)
+ [Ältere Protokolle für Transfer Family](#legacy-log-entries)

## Strukturierte JSON-Logs für Transfer Family
<a name="json-log-entries"></a>

Die folgende Tabelle enthält Details zu Protokolleintragsfeldern für Transfer Family SFTP/FTP/FTPS Family-Aktionen im neuen strukturierten JSON-Protokollformat.


| Feld | Beschreibung | Beispieleintrag | 
| --- |--- |--- |
| Aktivitätstyp | Die Aktion des Benutzers | Die verfügbaren Aktivitätstypen lauten wie folgt: `AUTH_FAILURE``CONNECTED`,`DISCONNECTED`,`ERROR`,`EXIT_REASON`,`CLOSE`,`CREATE_SYMLINK`,`DELETE`,`MKDIR`,`OPEN`,`PARTIAL_CLOSE`,`RENAME`,`RMDIR`,`SETSTAT`,`TLS_RESUME_FAILURE`. | 
| eingebundene Bytes | Anzahl der vom Benutzer hochgeladenen Byte | 29238420042 | 
| Byte raus | Anzahl der vom Benutzer heruntergeladenen Byte | 23094032490328 | 
| ciphers | Gibt die für die Verbindung ausgehandelte SSH-Chiffre an (die verfügbaren Verschlüsselungen sind unter aufgeführt) [Kryptografische Algorithmen](security-policies.md#cryptographic-algorithms) | aes256-gcm@openssh.com | 
| Client | Die Client-Software des Benutzers | SSH-2.0-OpenSSH\$17.4 | 
| Home-Verzeichnis | Das Verzeichnis, in dem der Endbenutzer landet, wenn er eine Verbindung zum Endpunkt herstellt, wenn sein Home-Verzeichnistyp wie PATH folgt lautet: Wenn er ein logisches Home-Verzeichnis hat, ist dieser Wert immer / | /user-home-bucket/test | 
| kex | Gibt den ausgehandelten SSH-Schlüsselaustausch (KEX) für die Verbindung an (die verfügbaren KEX sind unter aufgeführt) [Kryptografische Algorithmen](security-policies.md#cryptographic-algorithms) | diffie-hellman-group14-sha256 | 
| Nachricht | Stellt weitere Informationen zu dem Fehler bereit | <string> | 
| Methode | Die Authentifizierungsmethode | publickey | 
| mode | Gibt an, wie ein Client eine Datei öffnet | ERSTELLEN \$1 KÜRZEN \$1 SCHREIBEN | 
| operation | Die Client-Operation für eine Datei | ÖFFNEN \$1 SCHLIESSEN | 
| Pfad | Der tatsächliche Dateipfad ist betroffen | /amzn-s3-demo-bucket/test-file-1.pdf  | 
| ssh-public-key | Der öffentliche Schlüssel für den Benutzer, der eine Verbindung herstellt | AAAAC3ZDI1NTE5AAAAIA9nzac1L oY0QV6 Oi XYVHaa WAcj2sp DJVbgjrq DPY4pxd6 GnHl | 
| ssh-public-key-fingerprint | Der Fingerabdruck des öffentlichen Schlüssels, wie er in der Konsole für vom Service verwaltete Benutzer angezeigt wird, wenn sie ihre Benutzerschlüssel auflisten.  In der Konsole wird der Fingerabdruck mit den Füllzeichen (falls vorhanden) angezeigt: 0 bis 3 Gleichheitszeichen (=) am Ende. Im Protokolleintrag wird diese Polsterung aus der Ausgabe entfernt.  | SHA256: tfjd4N2vut4Pty /0 BY3g NMHw LOk82z WZj4 KEYEu7y4r | 
| ssh-public-key-type | Art des öffentlichen Schlüssels: Transfer Family unterstützt Schlüssel im RSA-, ECDSA- und -Format ED25519 | ssh-ed25519 | 
| Ressource-ARN | Ein vom System zugewiesener, eindeutiger Bezeichner für eine bestimmte Ressource (z. B. einen Server) |  arn:aws:transfer:ap-northeast- 1:12346789012:server/s-1234567890akeu2js2  | 
| role | Die IAM-Rolle des Benutzers |  arn:aws:iam: :0293883675:role/testuser-role  | 
| Sitzungs-ID | Ein vom System zugewiesener, eindeutiger Bezeichner für eine einzelne Sitzung |  9ca9a0e1cec6ad9d  | 
| Quell-IP | Client-IP-Adresse | 18.323.0.129 | 
| user | Der Nutzername des Endbenutzers | mein Name 192 | 
| Benutzerrichtlinie | Die für den Endbenutzer angegebenen Berechtigungen: Dieses Feld wird ausgefüllt, wenn es sich bei der Benutzerrichtlinie um eine Sitzungsrichtlinie handelt. | Der JSON-Code für die Sitzungsrichtlinie, die verwendet wird | 

## Ältere Protokolle für Transfer Family
<a name="legacy-log-entries"></a>

Die folgende Tabelle enthält Details zu Protokolleinträgen für verschiedene Transfer-Family-Aktionen.

**Anmerkung**  
 Diese Einträge liegen nicht im neuen strukturierten JSON-Protokollformat vor.

Die folgende Tabelle enthält Details zu Protokolleinträgen für verschiedene Transfer Family Family-Aktionen im neuen strukturierten JSON-Protokollformat.




| Aktion | Entsprechende Protokolle in Amazon CloudWatch Logs | 
| --- | --- | 
| Authentication failures (Authentifizierungsfehler) |  FEHLER AUTH\$1FAILURE METHOD=PublicKey User=LHR MESSAGE="RSA:LFZ3R2NM K\$1B7RB1RSV AE\$1A\$1HxG0C7L1JIZ0" sourceIP=3.8.172.211 SHA256 LY4ra UIb   | 
| COPY/TAG/DELETE/DECRYPT-Workflow |  \$1"type“:“ StepStarted „, "details“: \$1"input“: \$1"fileLocation“: \$1"backingStore“ :"EFS“, "fileSystemId“ :"fs-12345678", "path“:“ /lhr/regex.py „\$1\$1, "stepType“ :"TAG“, "stepName“ :"successful\$1tag\$1step "\$1, "workflowID“ :"w-111111 aaaa2222bbbb3", „Ausführungs-ID“: „81234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails“: \$1"serverId“ :"s-1234abcd5678efghi“, "username“ :"lhr“, "sessionID“ :"1234567890abcdef0"\$1\$1  | 
| Arbeitsablauf für benutzerdefinierte Schritte |  \$1"type“:“ CustomStepInvoked „, "details“: \$1"output“: \$1"token“ :"mzm4mjg5 YWUt YTEz My00 YjIz LWI3 OGMt Yzu4 OGI2 ZjQyMz E5"\$1, "stepType“ :"BENUTZERDEFINIERT“, "stepName“ :"efs-s3\$1copy\$12"\$1, "workflowId“ :"w-9283e49d33297c3f7", "Ausführungs-ID“ :"1234cd-abb7" 1234-efgh-5678-ijklmnopqr90", "transferDetails“: \$1"serverId“: „s-zzzz1111aaaa22223", "username“ :"lhr“, "sessionID“ :"1234567890abcdef0"\$1\$1  | 
| Löschvorgänge |  lhr.33a8fb495ffb383b Path=/bucket/user /123.jpg LÖSCHEN  | 
| Downloads |  lhr.33a8fb495ffb383b ÖFFNE /123.jpg MODE=LESEN Path=/bucket/user llhr.33a8fb495ffb383b SCHLIESSEN /123.jpg =3618546 Path=/bucket/user BytesOut  | 
| Anmeldungen/Abmeldungen |  user.914984e553bcddb6 VERBUNDEN sourceIP=1.22.111.222 user=LHR =LOGICAL Client=SSH-2.0-openSSH\$17.4 role=arn:aws: :iam: :123456789012:role/sftp-s3-access HomeDir user.914984e553bcddb6 ABGEBROCHEN  | 
| Benennt um |  lhr.33a8fb495ffb383b PNG UMBENENNEN Path=/bucket/user/lambo.png NewPath=/bucket/user/ferrari   | 
| Beispiel für ein Workflow-Fehlerprotokoll |  \$1"type“:“ StepErrored „, "details“: \$1"errorType“ :"BAD\$1REQUEST“, "errorMessage“ :"EFS-Datei kann nicht taggt werden“, "stepType“ :"TAG“, "stepName“ :"successful\$1tag\$1step "\$1, "workflowId“ :"w-1234abcd5678efghi“, "executionID“ :"81234abcd-1234-efghi“, "executionID“ :"81234abcd-1234-efghi“ gh-5678-ijklmnopqr90", "transferDetails“: \$1"serverId“ :"s-1234abcd5678efghi“, "username“ :"lhr“, "sessionID“ :"1234567890abcdef0"\$1\$1   | 
| Symlinks |  lhr.eb49cf7b8651e6d5 CREATE\$1SYMLINK =/fs-12345678/lhr/pqr.jpg =abc.jpg LinkPath TargetPath   | 
| Uploads |  lhr.33a8fb495ffb383b /123.jpg ÖFFNEN MODE=ERSTELLEN\$1Kürzen\$1Schreiben Path=/bucket/user lhr.33a8fb495ffb383b SCHLIESSEN /123.jpg =3618546 Path=/bucket/user BytesIn  | 
| Workflows |  \$1"type“:“ ExecutionStarted „, "details“: \$1"input“: \$1“ „: \$1" backingStore“ :"EFS“, "FileSystemId“ :"fs-12345678", "path“:“ /lhr/regex.py initialFileLocation „\$1\$1\$1, "workflowId“ :"w-1111aaaa2222bbbb3", "Ausführungs-ID“ :"1234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails“: \$1"serverId“: „s-zzzz1111aaaa22223", „username“: „lhr“, „sessionId“: „1234567890abcdef0"\$1\$1 \$1"type“:“ StepStarted „, "details“: \$1"input“: \$1"fileLocation“: \$1"backingStore“ :"EFS“, "fileSystemId“ :"fs-12345678", "path“:“ /lhr/regex.py „\$1\$1, "stepType“ :"BENUTZERDEFINIERT“, "stepName“ :"efs-s3\$1copy\$12"\$1, "workflowId“ :"w-928 3e49d33297c3f7", "Ausführungs-ID“: „1234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails“: \$1"serverId“ :"s-18ca49dce5d842e0b“, "username“ :"lhr“, "sessionID“ :"1234567890abcdef0"\$1\$1  | 

# Beispiel für CloudWatch Protokolleinträge
<a name="cw-example-logs"></a>

In diesem Thema werden Beispielprotokolleinträge vorgestellt.

**Topics**
+ [Beispiele für Protokolleinträge für Übertragungssitzungen](#session-log-examples)
+ [Beispielprotokolleinträge für SFTP-Konnektoren](#example-sftp-connector-logs)
+ [Beispielprotokolleinträge für VPC-Lattice-Konnektoren](#example-vpc-lattice-connector-logs)
+ [Beispiel für Protokolleinträge für Fehler beim Schlüsselaustausch-Algorithmus](#example-kex-logs)

## Beispiele für Protokolleinträge für Übertragungssitzungen
<a name="session-log-examples"></a>

In diesem Beispiel stellt ein SFTP-Benutzer eine Verbindung zu einem Transfer Family Family-Server her, lädt eine Datei hoch und trennt dann die Verbindung zur Sitzung.

Der folgende Protokolleintrag spiegelt einen SFTP-Benutzer wider, der eine Verbindung zu einem Transfer Family Family-Server herstellt.

```
{
   "role": "arn:aws:iam::500655546075:role/transfer-s3",
   "activity-type": "CONNECTED",
   "ciphers": "chacha20-poly1305@openssh.com,chacha20-poly1305@openssh.com",
   "client": "SSH-2.0-OpenSSH_7.4",
   "source-ip": "52.94.133.133",
   "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a",
   "home-dir": "/test/log-me",
   "ssh-public-key": "AAAAC3NzaC1lZDI1NTE5AAAAIA9OY0qV6XYVHaaOiWAcj2spDJVbgjrqDPY4pxd6GnHl",
   "ssh-public-key-fingerprint": "SHA256:BY3gNMHwTfjd4n2VuT4pTyLOk82zWZj4KEYEu7y4r/0",
   "ssh-public-key-type": "ssh-ed25519",
   "user": "log-me",
   "kex": "ecdh-sha2-nistp256",
   "session-id": "9ca9a0e1cec6ad9d"
}
```

Der folgende Protokolleintrag spiegelt den SFTP-Benutzer wider, der eine Datei in seinen Amazon S3 S3-Bucket hochlädt.

```
{
   "mode": "CREATE|TRUNCATE|WRITE",
   "path": "/test/log-me/config-file",
   "activity-type": "OPEN",
   "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a",
   "session-id": "9ca9a0e1cec6ad9d"
}
```

Die folgenden Protokolleinträge geben an, dass der SFTP-Benutzer die Verbindung zu seiner SFTP-Sitzung beendet hat. Zuerst schließt der Client die Verbindung zum Bucket und dann trennt der Client die SFTP-Sitzung.

```
{
   "path": "/test/log-me/config-file",
   "activity-type": "CLOSE",
   "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a",
   "bytes-in": "121",
   "session-id": "9ca9a0e1cec6ad9d"
}

{
   "activity-type": "DISCONNECTED",
   "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a",
   "session-id": "9ca9a0e1cec6ad9d"
}
```

**Anmerkung**  
Die verfügbaren Aktivitätstypen lauten wie folgt: `AUTH_FAILURE``CONNECTED`,`DISCONNECTED`,`ERROR`,`EXIT_REASON`,`CLOSE`,`CREATE_SYMLINK`,`DELETE`,`MKDIR`,`OPEN`,`PARTIAL_CLOSE`, `RENAME``RMDIR`,`SETSTAT`. `TLS_RESUME_FAILURE`

## Beispielprotokolleinträge für SFTP-Konnektoren
<a name="example-sftp-connector-logs"></a>

Dieser Abschnitt enthält Beispielprotokolle für eine erfolgreiche und eine erfolglose Übertragung. Protokolle werden in einer Protokollgruppe mit dem Namen generiert`/aws/transfer/connector-id`, wobei *connector-id* sich die Kennung für Ihren SFTP-Connector befindet. Protokolleinträge für SFTP-Konnektoren werden generiert, wenn Sie entweder den Befehl `StartFileTransfer` Oder `StartDirectoryListing` ausführen.

Dieser Protokolleintrag bezieht sich auf eine Übertragung, die erfolgreich abgeschlossen wurde.

```
{
    "operation": "RETRIEVE",
    "timestamp": "2023-10-25T16:33:27.373720Z",
    "connector-id": "connector-id",
    "transfer-id": "transfer-id",
    "file-transfer-id": "transfer-id/file-transfer-id",
    "url": "sftp://192.0.2.0",
    "file-path": "/remotebucket/remotefilepath",
    "status-code": "COMPLETED",
    "start-time": "2023-10-25T16:33:26.945481Z",
    "end-time": "2023-10-25T16:33:27.159823Z",
    "account-id": "480351544584",
    "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id",
    "local-directory-path": "/connectors-localbucket",
    "bytes": 514,
    "egress-type": "SERVICE_MANAGED"
}
```

Dieser Protokolleintrag bezieht sich auf eine Übertragung, bei der das Zeitlimit überschritten wurde und die daher nicht erfolgreich abgeschlossen wurde.

```
{
    "operation": "RETRIEVE",
    "timestamp": "2023-10-25T22:33:47.625703Z",
    "connector-id": "connector-id",
    "transfer-id": "transfer-id",
    "file-transfer-id": "transfer-id/file-transfer-id",
    "url": "sftp://192.0.2.0",
    "file-path": "/remotebucket/remotefilepath",
    "status-code": "FAILED",
    "failure-code": "TIMEOUT_ERROR",
    "failure-message": "Transfer request timeout.",
    "account-id": "480351544584",
    "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id",
    "local-directory-path": "/connectors-localbucket",
    "egress-type": "SERVICE_MANAGED"
}
```

Dieser Protokolleintrag bezieht sich auf einen erfolgreichen SEND-Vorgang.

```
{
    "operation": "SEND",
    "timestamp": "2024-04-24T18:16:12.513207284Z",
    "connector-id": "connector-id",
    "transfer-id": "transfer-id",
    "file-transfer-id": "transfer-id/file-transfer-id",
    "url": "sftp://server-id.server.transfer.us-east-1.amazonaws.com",
    "file-path": "/amzn-s3-demo-bucket/my-test-folder/connector-metrics-us-east-1-2024-01-02.csv",
    "status-code": "COMPLETED",
    "start-time": "2024-04-24T18:16:12.295235884Z",
    "end-time": "2024-04-24T18:16:12.461840732Z",
    "account-id": "255443218509",
    "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id",
    "bytes": 275,
    "egress-type": "SERVICE_MANAGED"
}
```

Beschreibungen einiger Schlüsselfelder in den vorherigen Protokollbeispielen.
+ `timestamp`gibt an, wann das Protokoll hinzugefügt wird CloudWatch. `start-time`und `end-time` entsprechen dem Zeitpunkt, zu dem der Konnektor eine Übertragung tatsächlich startet und beendet.
+ `transfer-id`ist ein eindeutiger Bezeichner, der jeder `start-file-transfer` Anfrage zugewiesen wird. Wenn der Benutzer in einem einzigen `start-file-transfer` API-Vorgang mehrere Dateipfade übergibt, teilen sich alle Dateien dasselbe`transfer-id`.
+ `file-transfer-id`ist ein eindeutiger Wert, der für jede übertragene Datei generiert wird. Beachten Sie, dass der erste Teil von derselbe `file-transfer-id` ist wie`transfer-id`.

## Beispielprotokolleinträge für VPC-Lattice-Konnektoren
<a name="example-vpc-lattice-connector-logs"></a>

Dieser Abschnitt enthält Beispielprotokolle für VPC-Lattice-Konnektoren. Für VPC-Lattice-Konnektoren enthalten die Protokolle zusätzliche Felder, die Informationen zur Connectorkonfiguration und zur Netzwerkeinrichtung enthalten.

Dieser Protokolleintrag bezieht sich auf einen SEND-Vorgang für einen VPC-Lattice-Connector, der erfolgreich abgeschlossen wurde.

```
{
  "operation": "SEND",
  "timestamp": "2025-09-05T14:20:19.577192454Z",
  "connector-id": "connector-id",
  "transfer-id": "transfer-id",
  "file-transfer-id": "transfer-id/file-transfer-id",
  "file-path": ""/amzn-s3-demo-bucket/my-test-folder/connector-vpc-lattice-us-east-1-2025-03-22.csv"",
  "status-code": "COMPLETED",
  "start-time": "2025-09-05T14:20:19.434072509Z",
  "end-time": "2025-09-05T14:20:19.481453346Z",
  "account-id": "account-id",
  "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id",
  "remote-directory-path": "/test-bucket/test-folder/",
  "bytes": 262,
  "egress-type": "VPC_LATTICE",
  "vpc-lattice-resource-configuration-arn": "arn:aws:vpc-lattice:us-east-1:account-id:resourceconfiguration/resource-configuration-arn-id,
  "vpc-lattice-port-number": 22
}
```

Die Protokolle des VPC-Lattice-Connectors enthalten die folgenden zusätzlichen Felder:
+ `egress-type`- Art der Ausgangskonfiguration für den Connector
+ `vpc-lattice-resource-configuration-arn`— ARN der VPC-Lattice-Ressourcenkonfiguration, die den Ziel-SFTP-Serverstandort definiert
+ `vpc-lattice-port-number`- Portnummer für die Verbindung zum SFTP-Server über VPC Lattice

## Beispiel für Protokolleinträge für Fehler beim Schlüsselaustausch-Algorithmus
<a name="example-kex-logs"></a>

Dieser Abschnitt enthält Beispielprotokolle, bei denen der Schlüsselaustauschalgorithmus (KEX) fehlgeschlagen ist. Dies sind Beispiele aus dem **ERRORS-Protokollstream** für strukturierte Protokolle.

Dieser Protokolleintrag ist ein Beispiel für einen Fehler beim Typ des Hostschlüssels.

```
{
    "activity-type": "KEX_FAILURE",
    "source-ip": "999.999.999.999",
    "resource-arn": "arn:aws:transfer:us-east-1:999999999999:server/s-999999999999999999",
    "message": "no matching host key type found",
    "kex": "ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ssh-dss"
}
```

Dieser Protokolleintrag ist ein Beispiel für eine KEX-Diskrepanz.

```
{
    "activity-type": "KEX_FAILURE",
    "source-ip": "999.999.999.999",
    "resource-arn": "arn:aws:transfer:us-east-1:999999999999:server/s-999999999999999999",
    "message": "no matching key exchange method found",
    "kex": "diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group14-sha256"
}
```

# Verwenden von CloudWatch Metriken für Transfer Family Family-Server
<a name="metrics"></a>

**Anmerkung**  
 Sie können Metriken für Transfer Family auch in der Transfer Family Family-Konsole selbst abrufen. Details hierzu finden Sie unter [Überwachung der Nutzung in der Konsole](monitor-usage-transfer-console.md) 

Mithilfe von CloudWatch Metriken können Sie Informationen über Ihren Server abrufen. Eine *Metrik* steht für einen nach der Zeit geordneten Satz von Datenpunkten, die veröffentlicht werden. CloudWatch Wenn Sie Metriken verwenden, müssen Sie den Transfer Family Family-Namespace, den Metriknamen und die [Dimension](#cw-dimensions) angeben. Weitere Informationen zu Metriken finden Sie unter [Metriken](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric) im * CloudWatch Amazon-Benutzerhandbuch*.

 In der folgenden Tabelle werden die CloudWatch Metriken für Transfer Family beschrieben.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/metrics.html)

## Familiendimensionen übertragen
<a name="cw-dimensions"></a>

Eine *Dimension* ist ein name/value Paar, das Teil der Identität einer Metrik ist. Weitere Informationen zu Abmessungen finden Sie unter [Abmessungen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) im * CloudWatch Amazon-Benutzerhandbuch*.

In der folgenden Tabelle werden die CloudWatch Abmessungen für Transfer Family beschrieben.


| Dimension | Description | 
| --- | --- | 
| `ServerId` | Die eindeutige ID des Servers. | 
| `ConnectorId` | Die eindeutige ID des Connectors. Wird für AS2, für `OutboundMessage` und verwendet `OutboundFailedMessage` | 

## Wird AWS-Benutzerbenachrichtigungen mit verwendet AWS Transfer Family
<a name="using-user-notifications"></a>

Um über AWS Transfer Family Ereignisse informiert [AWS-Benutzerbenachrichtigungen](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html)zu werden, können Sie verschiedene Lieferkanäle einrichten. Wenn ein Ereignis einer von Ihnen angegebenen Regel entspricht, erhalten Sie eine Benachrichtigung. 

Sie können Benachrichtigungen für Ereignisse über mehrere Kanäle erhalten, einschließlich E-Mail, Chat-Benachrichtigungen von [Amazon Q Developer in Chat-Anwendungen](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) oder [AWS Console Mobile Application](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html)-Push-Benachrichtigungen. Sie können Benachrichtigungen auch im [Benachrichtigungscenter der Konsole](https://console.aws.amazon.com/notifications/) sehen. Benutzerbenachrichtigungen unterstützt die Aggregation, wodurch die Anzahl der Benachrichtigungen, die Sie bei bestimmten Ereignissen erhalten, reduziert werden kann.

Weitere Informationen finden Sie in den Blogbeiträgen [Anpassen von Benachrichtigungen zur Dateizustellung mithilfe AWS Transfer Family verwalteter Workflows](https://aws.amazon.com/blogs/storage/customize-file-delivery-notifications-using-aws-transfer-family-managed-workflows/) und [Was ist AWS-Benutzerbenachrichtigungen?](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) im *AWS-Benutzerbenachrichtigungen Benutzerhandbuch*.

# Verwenden von Abfragen zum Filtern von Protokolleinträgen
<a name="cw-queries"></a>

Sie können CloudWatch Abfragen verwenden, um Protokolleinträge für Transfer Family zu filtern und zu identifizieren. Dieser Abschnitt enthält einige Beispiele.

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Sie können Abfragen oder Regeln erstellen.
   + Um eine **Logs Insights-Abfrage** zu erstellen, wählen Sie im linken Navigationsbereich **Logs Insights** aus und geben Sie dann die Details für Ihre Abfrage ein.
   + Um eine **Contributor Insights-Regel** zu erstellen, wählen Sie im linken Navigationsbereich Insights > Contributor Insights aus und geben Sie dann die Details für Ihre Regel ein.

1. Führen Sie die Abfrage oder Regel aus, die Sie erstellt haben.

**Sehen Sie sich die häufigsten Ursachen für Authentifizierungsfehler an**

In Ihren strukturierten Protokollen sieht ein Protokolleintrag für Authentifizierungsfehler in etwa wie folgt aus:

```
{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}
```

Führen Sie die folgende Abfrage aus, um die Hauptverursacher von Authentifizierungsfehlern anzuzeigen.

```
filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10
```

Anstatt **CloudWatch Logs Insights** zu verwenden, können Sie eine **CloudWatch Contributors Insights-Regel** erstellen, um Authentifizierungsfehler anzuzeigen. Erstellen Sie eine Regel, die der folgenden ähnelt.

```
{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}
```

**Protokolleinträge anzeigen, in denen eine Datei geöffnet wurde**

In Ihren strukturierten Protokollen sieht ein Protokolleintrag zum Lesen einer Datei etwa wie folgt aus:

```
{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}
```

Führen Sie die folgende Abfrage aus, um Protokolleinträge anzuzeigen, die darauf hinweisen, dass eine Datei geöffnet wurde.

```
filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path
```