Informasi yang dikirimkan Amazon Cognito CloudTrail Menganalisis CloudTrail peristiwa Amazon Cognito dengan Amazon CloudWatch Logs Insights

Amazon Cognito masuk AWS CloudTrail

Amazon Cognito terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon Cognito. CloudTrail menangkap subset API panggilan untuk Amazon Cognito sebagai peristiwa, termasuk panggilan dari konsol Amazon Cognito dan dari panggilan kode ke operasi Amazon Cognito. API Jika Anda membuat jejak, Anda dapat memilih untuk mengirimkan CloudTrail acara ke bucket Amazon S3, termasuk acara untuk Amazon Cognito. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam Riwayat acara. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Amazon Cognito, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.

Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat Panduan AWS CloudTrail Pengguna.

Anda juga dapat membuat CloudWatch alarm Amazon untuk CloudTrail acara tertentu. Misalnya, Anda dapat mengatur CloudWatch untuk memicu alarm jika konfigurasi kumpulan identitas diubah. Untuk informasi selengkapnya, lihat Membuat CloudWatch alarm untuk CloudTrail acara: Contoh.

Topik

Informasi yang dikirimkan Amazon Cognito CloudTrail
Menganalisis CloudTrail peristiwa Amazon Cognito dengan Amazon CloudWatch Logs Insights
Contoh acara Amazon Cognito

Informasi yang dikirimkan Amazon Cognito CloudTrail

CloudTrail dihidupkan saat Anda membuat Akun AWS. Ketika aktivitas peristiwa yang didukung terjadi di Amazon Cognito, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Melihat peristiwa dengan riwayat CloudTrail acara.

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Amazon Cognito, buat jejak. CloudTrail Jejak mengirimkan file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di konsol, jejak diterapkan ke semua Region. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat:

Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut ini:

Apakah permintaan dibuat dengan root atau kredensi IAM pengguna.
Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
Apakah permintaan itu dibuat oleh AWS layanan lain.

Untuk informasi lebih lanjut, lihat CloudTrail userIdentity elemen.

Data rahasia di AWS CloudTrail

Karena kumpulan pengguna dan kumpulan identitas memproses data pengguna, Amazon Cognito mengaburkan beberapa bidang pribadi di acara Anda CloudTrail dengan nilainya. HIDDEN_FOR_SECURITY_REASONS Untuk contoh bidang yang tidak diisi Amazon Cognito ke acara, lihat. Contoh acara Amazon Cognito Amazon Cognito hanya mengaburkan beberapa bidang yang biasanya berisi informasi pengguna, seperti kata sandi dan token. Amazon Cognito tidak melakukan deteksi otomatis atau penyembunyian informasi identifikasi pribadi yang Anda isi ke bidang non-pribadi dalam permintaan Anda. API

Acara kumpulan pengguna

Amazon Cognito mendukung pencatatan untuk semua tindakan yang tercantum di halaman tindakan kumpulan Pengguna sebagai peristiwa dalam file CloudTrail log. Amazon Cognito mencatat peristiwa kumpulan pengguna ke CloudTrail acara manajemen.

eventTypeBidang dalam CloudTrail entri kumpulan pengguna Amazon Cognito memberi tahu Anda apakah aplikasi Anda membuat permintaan ke API kumpulan pengguna Amazon Cognito atau ke titik akhir yang menyajikan sumber daya untuk OpenID ConnectSAML, 2.0, atau UI yang dihosting. APIpermintaan memiliki permintaan eventType of AwsApiCall dan titik akhir memiliki eventType of. AwsServiceEvent

Amazon Cognito mencatat permintaan UI yang dihosting berikut ke UI yang dihosting sebagai acara di. CloudTrail

Operasi UI yang dihosting di CloudTrail
Operasi	Deskripsi
`Login_GET`, `CognitoAuthentication`	Pengguna melihat atau mengirimkan kredensi ke Anda. Titik akhir masuk
`OAuth2_Authorize_GET`, `Beta_Authorize_GET`	Seorang pengguna melihat AndaOtorisasi titik akhir.
`OAuth2Response_GET`, `OAuth2Response_POST`	Pengguna mengirimkan token iDP ke `/oauth2/idpresponse` titik akhir Anda.
`SAML2Response_POST`, `Beta_SAML2Response_POST`	Seorang pengguna mengirimkan pernyataan SAML iDP ke titik akhir Anda. `/saml2/idpresponse`
`Login_OIDC_SAML_POST`	Pengguna memasukkan nama pengguna di Anda Titik akhir masuk dan cocok dengan pengenal IDP.
`Token_POST`, `Beta_Token_POST`	Seorang pengguna mengirimkan kode otorisasi ke Anda. Titik akhir token
`Signup_GET`, `Signup_POST`	Pengguna mengirimkan informasi pendaftaran ke titik akhir Anda`/signup`.
`Confirm_GET`, `Confirm_POST`	Pengguna mengirimkan kode konfirmasi di UI yang dihosting.
`ResendCode_POST`	Pengguna mengirimkan permintaan untuk mengirim ulang kode konfirmasi di UI yang dihosting.
`ForgotPassword_GET`, `ForgotPassword_POST`	Pengguna mengirimkan permintaan untuk mengatur ulang kata sandi mereka ke titik `/forgotPassword` akhir Anda.
`ConfirmForgotPassword_GET`, `ConfirmForgotPassword_POST`	Pengguna mengirimkan kode ke `/confirmForgotPassword` titik akhir Anda yang mengonfirmasi permintaan mereka`ForgotPassword`.
`ResetPassword_GET`, `ResetPassword_POST`	Pengguna mengirimkan kata sandi baru di UI yang dihosting.
`Mfa_GET`, `Mfa_POST`	Pengguna mengirimkan kode otentikasi (MFA) multi-faktor di UI yang dihosting.
`MfaOption_GET`, `MfaOption_POST`	Seorang pengguna memilih metode pilihan mereka untuk MFA di UI yang dihosting.
`MfaRegister_GET`, `MfaRegister_POST`	Pengguna mengirimkan kode otentikasi (MFA) multi-faktor di UI yang dihosting saat mendaftarkan. MFA
`Logout`	Seorang pengguna keluar di `/logout` titik akhir Anda.
`SAML2Logout_POST`	Seorang pengguna keluar di `/saml2/logout` titik akhir Anda.
`Error_GET`	Pengguna melihat halaman kesalahan di UI yang dihosting.
`UserInfo_GET`, `UserInfo_POST`	Pengguna atau IDP bertukar informasi dengan Anda. userInfo titik akhir
`Confirm_With_Link_GET`	Pengguna mengirimkan konfirmasi berdasarkan tautan yang dikirim Amazon Cognito dalam pesan email.
`Event_Feedback_GET`	Pengguna mengirimkan umpan balik ke Amazon Cognito tentang peristiwa fitur keamanan tingkat lanjut.

catatan

Amazon Cognito mencatat UserSub tetapi tidak UserName dalam CloudTrail log untuk permintaan yang khusus untuk pengguna. Anda dapat menemukan pengguna untuk diberikan UserSub dengan memanggil ListUsersAPI, dan menggunakan filter untuk sub.

Acara kolam identitas

Peristiwa data

Amazon Cognito mencatat peristiwa Identitas Amazon Cognito berikut sebagai peristiwa data CloudTrail . Peristiwa data adalah API operasi bidang data volume tinggi yang CloudTrail tidak masuk secara default. Biaya tambahan berlaku untuk peristiwa data.

Untuk menghasilkan CloudTrail log untuk API operasi ini, Anda harus mengaktifkan peristiwa data di jejak Anda dan memilih pemilih acara untuk kumpulan identitas Cognito. Untuk informasi lebih lanjut, lihat Peristiwa Pencatatan Data untuk Pelacakan dalam AWS CloudTrail Panduan Pengguna.

Anda juga dapat menambahkan pemilih acara kumpulan identitas ke jejak Anda dengan CLI perintah berikut.


aws cloudtrail put-event-selectors --trail-name <trail name> --advanced-event-selectors \
"{\
   \"Name\": \"Cognito Selector\",\
   \"FieldSelectors\": [\
      {\
         \"Field\": \"eventCategory\",\
         \"Equals\": [\
            \"Data\"\
         ]\
      },\
      {\
         \"Field\": \"resources.type\",\
         \"Equals\": [\
            \"AWS::Cognito::IdentityPool\"\
         ]\
      }\
   ]\
}"

Acara manajemen

Amazon Cognito mencatat sisa operasi kumpulan API identitas Amazon Cognito sebagai peristiwa manajemen. CloudTrail mencatat API operasi acara manajemen secara default.

Untuk daftar API operasi kumpulan identitas Amazon Cognito yang dicatat oleh Amazon Cognito, lihat Referensi CloudTrail kumpulan identitas Amazon Cognito. API

Sinkronisasi Amazon Cognito

Amazon Cognito mencatat semua operasi API Sinkronisasi Amazon Cognito sebagai peristiwa manajemen. Untuk daftar API operasi Sinkronisasi Amazon Cognito yang dicatat oleh Amazon Cognito, lihat Referensi CloudTrail Sinkronisasi Amazon Cognito. API

Menganalisis CloudTrail peristiwa Amazon Cognito dengan Amazon CloudWatch Logs Insights

Anda dapat mencari dan menganalisis CloudTrail peristiwa Amazon Cognito Anda dengan Amazon CloudWatch Logs Insights. Saat Anda mengonfigurasi jejak Anda untuk mengirim peristiwa ke CloudWatch Log, CloudTrail kirimkan hanya peristiwa yang sesuai dengan pengaturan jejak Anda.

Untuk menanyakan atau meneliti CloudTrail peristiwa Amazon Cognito, di CloudTrail konsol, pastikan Anda memilih opsi Pengelolaan peristiwa di pengaturan jejak sehingga Anda dapat memantau operasi manajemen yang dilakukan pada sumber daya Anda AWS . Secara opsional, Anda dapat memilih opsi Insights events di setelan jejak saat Anda ingin mengidentifikasi kesalahan, aktivitas yang tidak biasa, atau perilaku pengguna yang tidak biasa di akun Anda.

Contoh kueri Amazon Cognito

Anda dapat menggunakan kueri berikut di CloudWatch konsol Amazon.

Pertanyaan umum

Temukan 25 log acara yang paling baru ditambahkan.


fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"

Dapatkan daftar 25 peristiwa log yang paling baru ditambahkan yang menyertakan pengecualian.


fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/

Kueri Pengecualian dan Kesalahan

Menemukan 25 log acara yang paling baru ditambahkan dengan kode kesalahan NotAuthorizedException bersama dengan kolam pengguna Amazon Cognito sub.


fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"

Menemukan jumlah catatan dengan sourceIPAddress dan sesuai eventName.


filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName

Menemukan 25 alamat IP teratas yang memicu kesalahan NotAuthorizedException.


filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25

Temukan 25 alamat IP teratas yang disebut ForgotPasswordAPI.


filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Metrik dalam Service Quotas

Contoh peristiwa