As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando consultas para filtrar entradas de registro
<a name="cw-queries"></a>

Você pode usar CloudWatch consultas para filtrar e identificar entradas de registro do Transfer Family. Esta seção contém alguns exemplos.

1. Faça login no Console de gerenciamento da AWS e abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Você pode criar consultas ou regras.
   + Para criar uma consulta do **Logs Insights****, escolha Logs Insights** no painel de navegação esquerdo e insira os detalhes da sua consulta.
   + Para criar uma regra do **Contributor Insights**, escolha Insights > Contributor Insights no painel de navegação esquerdo e, em seguida, insira os detalhes da sua regra.

1. Execute a consulta ou regra que você criou.

**Veja os principais contribuidores de falhas de autenticação**

Em seus registros estruturados, uma entrada de registro de falha de autenticação é semelhante à seguinte:

```
{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}
```

Execute a consulta a seguir para ver os principais contribuintes para falhas de autenticação.

```
filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10
```

Em vez de usar o **CloudWatch Logs Insights**, você pode criar uma regra do **CloudWatch Contributors Insights** para visualizar as falhas de autenticação. Crie uma regra semelhante à seguinte.

```
{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}
```

**Exibir entradas de registro em que um arquivo foi aberto**

Em seus registros estruturados, uma entrada de registro de leitura de arquivo é semelhante à seguinte:

```
{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}
```

Execute a consulta a seguir para visualizar as entradas de registro que indicam que um arquivo foi aberto.

```
filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path
```