Uso de consultas para filtrar las entradas de registro - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de consultas para filtrar las entradas de registro

Puede usar CloudWatch consultas para filtrar e identificar las entradas de registro de Transfer Family. En esta sección se incluyen algunos ejemplos.

  1. Inicie sesión en Consola de administración de AWS y abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. Puede crear consultas o reglas.

    • Para crear una consulta de Logs Insights, selecciona Logs Insights en el panel de navegación izquierdo y, a continuación, introduce los detalles de la consulta.

    • Para crear una regla de Contributor Insights, selecciona Insights > Contributor Insights en el panel de navegación izquierdo y, a continuación, introduce los detalles de la regla.

  3. Ejecuta la consulta o la regla que creaste.

Vea los principales factores que contribuyen a los errores de autenticación

En sus registros estructurados, una entrada del registro de errores de autenticación tiene un aspecto similar al siguiente:

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

Ejecuta la siguiente consulta para ver los principales factores que contribuyen a los errores de autenticación.

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

En lugar de utilizar CloudWatch Logs Insights, puede crear una regla de CloudWatch Contributors Insights para ver los errores de autenticación. Cree una regla similar a la siguiente.

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

Vea las entradas de registro en las que se abrió un archivo

En los registros estructurados, una entrada del registro de lectura de archivos tiene un aspecto similar al siguiente:

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

Ejecuta la siguiente consulta para ver las entradas de registro que indican que se ha abierto un archivo.

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path