Utilisation de requêtes pour filtrer les entrées du journal - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de requêtes pour filtrer les entrées du journal

Vous pouvez utiliser CloudWatch des requêtes pour filtrer et identifier les entrées du journal pour Transfer Family. Cette section contient quelques exemples.

  1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Vous pouvez créer des requêtes ou des règles.

    • Pour créer une requête Logs Insights, choisissez Logs Insights dans le panneau de navigation de gauche, puis entrez les détails de votre requête.

    • Pour créer une règle Contributor Insights, choisissez Insights > Contributor Insights dans le panneau de navigation de gauche, puis entrez les détails de votre règle.

  3. Exécutez la requête ou la règle que vous avez créée.

Afficher les principaux contributeurs aux échecs d'authentification

Dans vos journaux structurés, une entrée du journal des échecs d'authentification ressemble à ce qui suit :

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

Exécutez la requête suivante pour connaître les principaux responsables des échecs d'authentification.

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

Plutôt que d'utiliser CloudWatch Logs Insights, vous pouvez créer une règle CloudWatch Contributors Insights pour visualiser les échecs d'authentification. Créez une règle similaire à la suivante.

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

Afficher les entrées du journal où un fichier a été ouvert

Dans vos journaux structurés, une entrée du journal de lecture d'un fichier ressemble à ce qui suit :

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

Exécutez la requête suivante pour afficher les entrées du journal indiquant qu'un fichier a été ouvert.

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path