View a markdown version of this page

Utilizzo delle interrogazioni per filtrare le voci di registro - AWS Transfer Family

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo delle interrogazioni per filtrare le voci di registro

È possibile utilizzare CloudWatch le query per filtrare e identificare le voci di registro per Transfer Family. Questa sezione contiene alcuni esempi.

  1. Accedi a Console di gestione AWS e apri la CloudWatch console all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Puoi creare domande o regole.

    • Per creare una query di Logs Insights, scegli Logs Insights dal pannello di navigazione a sinistra, quindi inserisci i dettagli della tua query.

    • Per creare una regola Contributor Insights, scegli Insights > Contributor Insights dal pannello di navigazione a sinistra, quindi inserisci i dettagli della regola.

  3. Esegui la query o la regola che hai creato.

Visualizza i principali contributori relativi agli errori di autenticazione

Nei log strutturati, una voce del log degli errori di autenticazione è simile alla seguente:

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

Esegui la seguente query per visualizzare i principali responsabili degli errori di autenticazione.

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

Invece di utilizzare CloudWatch Logs Insights, puoi creare una regola di CloudWatch Contributors Insights per visualizzare gli errori di autenticazione. Crea una regola simile alla seguente.

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

Visualizza le voci di registro in cui è stato aperto un file

Nei log strutturati, una voce del registro di lettura dei file è simile alla seguente:

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

Esegui la seguente query per visualizzare le voci di registro che indicano che un file è stato aperto.

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path