Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # CloudWatch Registrazione Amazon per server AWS Transfer Family CloudWatch registrazione Amazon CloudWatch è un potente servizio di monitoraggio e osservabilità che offre una visibilità completa AWS delle tue risorse, tra cui AWS Transfer Family. + Monitoraggio in tempo reale: CloudWatch monitora le risorse e le applicazioni Transfer Family in tempo reale, consentendoti di tracciare e analizzare le loro prestazioni. + Raccolta di metriche: CloudWatch raccoglie e tiene traccia di varie metriche per le risorse e le applicazioni, che sono variabili che puoi misurare e utilizzare per l'analisi. + CloudWatch home page: La CloudWatch home page mostra automaticamente le metriche su Transfer Family e altri AWS servizi che utilizzi, fornendo una visione centralizzata dei tuoi dati di monitoraggio. + Dashboard personalizzate: puoi creare dashboard personalizzate CloudWatch per visualizzare metriche specifiche per le tue applicazioni personalizzate e le risorse che scegli di monitorare. + Allarmi e notifiche: CloudWatch consente di creare allarmi che monitorano le metriche e attivano notifiche o azioni automatiche quando vengono superate determinate soglie. Questo può essere utile per monitorare l'attività di trasferimento dei file nei server Transfer Family e scalare le risorse di conseguenza. + Ottimizzazione dei costi: è possibile utilizzare i dati raccolti da CloudWatch per identificare le risorse sottoutilizzate e intraprendere azioni, come il blocco o l'eliminazione delle istanze, per ottimizzare i costi. Nel complesso, le funzionalità di monitoraggio complete lo CloudWatch rendono uno strumento prezioso per la gestione e l'ottimizzazione dell'infrastruttura Transfer Family e delle applicazioni in esecuzione su di essa. I dettagli per CloudWatch la registrazione delle app web Transfer Family sono disponibili in[CloudTrail registrazione per le app web Transfer Family](webapp-cloudtrail.md). ## Tipi di CloudWatch registrazione per Transfer Family Transfer Family offre due modi per registrare gli eventi su CloudWatch: + Registrazione strutturata JSON + Registrazione tramite un ruolo di registrazione Per i server Transfer Family, puoi scegliere il meccanismo di registrazione che preferisci. Per i connettori e i flussi di lavoro, sono supportati solo i ruoli di registrazione. **Registrazione strutturata JSON** Per la registrazione degli eventi del server, consigliamo di utilizzare la registrazione strutturata JSON. Ciò fornisce un formato di registrazione più completo che consente l'interrogazione dei log. CloudWatch Per questo tipo di registrazione, la policy IAM per l'utente che crea il server (o modifica la configurazione di registrazione del server) deve contenere le seguenti autorizzazioni: + `logs:CreateLogDelivery` + `logs:DeleteLogDelivery` + `logs:DescribeLogGroups` + `logs:DescribeResourcePolicies` + `logs:GetLogDelivery` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:UpdateLogDelivery` Di seguito è riportata una policy di esempio. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": "*" } ] } ``` Per i dettagli sulla configurazione della registrazione strutturata JSON, consulta. [Creazione, aggiornamento e visualizzazione della registrazione per i server](log-server-manage.md) **Ruolo di registrazione** Per registrare gli eventi per un flusso di lavoro gestito collegato a un server, nonché per i connettori, è necessario specificare un ruolo di registrazione. Per impostare l'accesso, crei una policy IAM basata sulle risorse e un ruolo IAM che fornisce tali informazioni di accesso. Di seguito è riportato un esempio di policy per un utente in grado di registrare Account AWS gli eventi del server. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` Per i dettagli sulla configurazione di un ruolo di registrazione per registrare gli eventi del flusso di lavoro, vedere. [Gestione della registrazione per i flussi di lavoro](cloudwatch-workflows.md) # Creazione, aggiornamento e visualizzazione della registrazione per i server Creazione della registrazione per i server Per tutti i AWS Transfer Family server, forniamo una registrazione strutturata. Si consiglia di utilizzare la registrazione strutturata per tutti i server Transfer Family nuovi ed esistenti. I vantaggi dell'utilizzo della registrazione strutturata includono quanto segue: + Ricevi i log in un formato JSON strutturato. + Interroga i tuoi log con Amazon CloudWatch Logs Insights, che rileva automaticamente i campi in formato JSON. + La condivisione dei gruppi di log tra AWS Transfer Family le risorse consente di combinare i flussi di log provenienti da più server in un unico gruppo di log, semplificando la gestione delle configurazioni di monitoraggio e delle impostazioni di conservazione dei log. + Crea metriche e visualizzazioni aggregate che possono essere aggiunte ai dashboard. CloudWatch + Tieni traccia dei dati sull'utilizzo e sulle prestazioni utilizzando i gruppi di log per creare metriche, visualizzazioni e dashboard di log consolidati. Per abilitare la registrazione per i flussi di lavoro collegati ai server, è necessario utilizzare un ruolo di registrazione. **Nota** Quando si aggiunge un ruolo di registrazione, il gruppo di registrazione è sempre attivo e non può essere `/aws/transfer/your-serverID` modificato. Ciò significa che, a meno che non inviate i log strutturati del server allo stesso gruppo, accederete a due gruppi di registrazione separati. Se sai che assocerai un flusso di lavoro al tuo server e quindi devi aggiungere un ruolo di registrazione, puoi configurare la registrazione strutturata per accedere al gruppo di log predefinito di. `/aws/transfer/your-serverID` *Per modificare il gruppo di registrazione, consulta l'API [StructuredLogDestinations](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html#TransferFamily-UpdateServer-request-StructuredLogDestinations)Reference.AWS Transfer Family * Se crei un nuovo server utilizzando la console Transfer Family, la registrazione è abilitata per impostazione predefinita. Dopo aver creato il server, è possibile utilizzare l'operazione `UpdateServer` API per modificare la configurazione di registrazione. Per informazioni dettagliate, vedi [StructuredLogDestinations](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html#TransferFamily-UpdateServer-request-StructuredLogDestinations). Attualmente, per i flussi di lavoro, se si desidera abilitare la registrazione, è necessario specificare un ruolo di registrazione: + Se si associa un flusso di lavoro a un server, utilizzando l'operazione `CreateServer` o l'`UpdateServer`API, il sistema non crea automaticamente un ruolo di registrazione. Se si desidera registrare gli eventi del flusso di lavoro, è necessario associare in modo esplicito un ruolo di registrazione al server. + Se si crea un server utilizzando la console Transfer Family e si collega un flusso di lavoro, i log vengono inviati a un gruppo di log che contiene l'ID del server nel nome. Il formato è`/aws/transfer/server-id`, ad esempio,`/aws/transfer/s-1111aaaa2222bbbb3`. I log del server possono essere inviati allo stesso gruppo di log o a uno diverso. **Considerazioni sulla registrazione per la creazione e la modifica dei server nella console** + I nuovi server creati tramite la console supportano solo la registrazione JSON strutturata, a meno che al server non sia collegato un flusso di lavoro. + La *registrazione senza registrazione* non è un'opzione per i nuovi server creati nella console. + I server esistenti possono abilitare la registrazione JSON strutturata tramite la console in qualsiasi momento. + L'abilitazione della registrazione JSON strutturata tramite la console disabilita il metodo di registrazione esistente, in modo da non addebitare due volte ai clienti. L'eccezione è se un flusso di lavoro è collegato al server. + Se abiliti la registrazione JSON strutturata, non puoi disabilitarla successivamente tramite la console. + Se abiliti la registrazione JSON strutturata, puoi modificare la destinazione del gruppo di log tramite la console in qualsiasi momento. + Se abiliti la registrazione JSON strutturata, non puoi modificare il ruolo di registrazione tramite la console se hai abilitato entrambi i tipi di registrazione tramite l'API. L'eccezione è se al server è collegato un flusso di lavoro. Tuttavia, il ruolo di registrazione continua a essere visualizzato in **Dettagli aggiuntivi**. **Considerazioni sulla registrazione per la creazione e la modifica di server utilizzando l'API o l'SDK** + Se crei un nuovo server tramite l'API, puoi configurare uno o entrambi i tipi di registrazione oppure scegliere nessuna registrazione. + Per i server esistenti, abilita e disabilita la registrazione JSON strutturata in qualsiasi momento. + Puoi modificare il gruppo di log tramite l'API in qualsiasi momento. + Puoi modificare il ruolo di registrazione tramite l'API in qualsiasi momento. **Per abilitare la registrazione strutturata, è necessario accedere a un account con le seguenti autorizzazioni** + `logs:CreateLogDelivery` + `logs:DeleteLogDelivery` + `logs:DescribeLogGroups` + `logs:DescribeResourcePolicies` + `logs:GetLogDelivery` + `logs:ListLogDeliveries` + `logs:PutResourcePolicy` + `logs:UpdateLogDelivery` Un esempio di politica è disponibile nella sezione. [Configura il CloudWatch ruolo di registrazione](configure-cw-logging-role.md) **Topics** + [ ## Creazione della registrazione per i server ](#log-server-create) + [ ## Aggiornamento della registrazione per un server ](#log-server-update) + [ ## Visualizzazione della configurazione del server ](#log-server-config) ## Creazione della registrazione per i server Quando si crea un nuovo server, nella pagina **Configura dettagli aggiuntivi**, è possibile specificare un gruppo di log esistente o crearne uno nuovo. ![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png) Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) ## Aggiornamento della registrazione per un server I dettagli per la registrazione dipendono dallo scenario dell'aggiornamento. **Nota** Quando si sceglie la registrazione JSON strutturata, può verificarsi un ritardo, in rari casi, in cui Transfer Family interrompe la registrazione nel vecchio formato, ma impiega del tempo per avviare la registrazione nel nuovo formato JSON. Ciò può causare eventi che non vengono registrati. Non ci saranno interruzioni del servizio, ma è necessario fare attenzione a trasferire i file durante la prima ora dopo aver modificato il metodo di registrazione, poiché i log potrebbero essere eliminati. Se state modificando un server esistente, le opzioni disponibili dipendono dallo stato del server. + Il server ha già un ruolo di registrazione abilitato, ma non ha la registrazione JSON strutturata abilitata. ![\[Riquadro di registrazione, che mostra un ruolo di registrazione esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-role.png) + Il server non ha alcuna registrazione abilitata. ![\[Riquadro di registrazione se sul server non è abilitata alcuna registrazione.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-edit-none.png) + Nel server è già abilitata la registrazione JSON strutturata, ma non è stato specificato un ruolo di registrazione. ![\[Riquadro di registrazione se il server non ha già abilitato la registrazione.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-edit-add-json-02.png) + Il server ha già abilitato la registrazione JSON strutturata e ha inoltre specificato un ruolo di registrazione. ![\[Riquadro di registrazione se il server ha abilitato la registrazione strutturata e ha anche un ruolo di registrazione specificato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-edit-both.png) ## Visualizzazione della configurazione del server I dettagli per la pagina di configurazione del server dipendono dallo scenario in uso: A seconda dello scenario, la pagina di configurazione del server potrebbe essere simile a uno dei seguenti esempi: + Non è abilitata la registrazione. ![\[Configurazione di registrazione senza registrazione configurata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-config-none.png) + La registrazione JSON strutturata è abilitata. ![\[Configurazione di registrazione con registrazione strutturata configurata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-config-structured.png) + Il ruolo di registrazione è abilitato, ma la registrazione JSON strutturata non è abilitata. ![\[Configurazione di registrazione con un ruolo di registrazione configurato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-config-legacy.png) + Entrambi i tipi di registrazione (ruolo di registrazione e registrazione JSON strutturata) sono abilitati. ![\[Configurazione di registrazione con entrambi i tipi di registrazione (ruolo di registrazione e registrazione JSON strutturata) configurati.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-config-both.png) # Gestione della registrazione per i flussi di lavoro CloudWatch fornisce controlli e registrazioni consolidati per l'avanzamento e i risultati del flusso di lavoro. Inoltre, AWS Transfer Family fornisce diverse metriche per i flussi di lavoro. È possibile visualizzare le metriche relative al numero di esecuzioni di flussi di lavoro avviate, completate con successo e non riuscite nel minuto precedente. Tutte le CloudWatch metriche per Transfer Family sono descritte in[Utilizzo CloudWatch delle metriche per i server Transfer Family](metrics.md). **Visualizza i CloudWatch log di Amazon per i flussi di lavoro** 1. Apri la CloudWatch console Amazon all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Nel riquadro di navigazione a sinistra, scegli **Registri**, quindi scegli **Gruppi di log**. 1. Nella pagina **Gruppi di log**, nella barra di navigazione, scegli la regione corretta per il tuo AWS Transfer Family server. 1. Scegli il gruppo di log corrispondente al tuo server. Ad esempio, se l'ID del tuo server è`s-1234567890abcdef0`, il tuo gruppo di log lo è`/aws/transfer/s-1234567890abcdef0`. 1. Nella pagina dei dettagli del gruppo di log relativa al server, vengono visualizzati i flussi di log più recenti. Esistono due flussi di log per l'utente che stai esplorando: + Uno per ogni sessione di Secure Shell (SSH) File Transfer Protocol (SFTP). + Uno per il flusso di lavoro che viene eseguito per il server. Il formato per il flusso di log per il flusso di lavoro è`username.workflowID.uniqueStreamSuffix`. Ad esempio, se il tuo utente è`mary-major`, hai i seguenti flussi di log: ``` mary-major-east.1234567890abcdef0 mary.w-abcdef01234567890.021345abcdef6789 ``` **Nota** Gli identificatori alfanumerici a 16 cifre elencati in questo esempio sono fittizi. I valori che vedi in Amazon CloudWatch sono diversi. La pagina **degli eventi di registro** `mary-major-usa-east.1234567890abcdef0` mostra i dettagli di ogni sessione utente e il flusso di `mary.w-abcdef01234567890.021345abcdef6789` registro contiene i dettagli del flusso di lavoro. Di seguito è riportato un esempio di flusso di log per`mary.w-abcdef01234567890.021345abcdef6789`, basato su un workflow (`w-abcdef01234567890`) che contiene una fase di copia. ``` { "type": "ExecutionStarted", "details": { "input": { "initialFileLocation": { "bucket": "amzn-s3-demo-bucket", "key": "mary/workflowSteps2.json", "versionId": "version-id", "etag": "etag-id" } } }, "workflowId":"w-abcdef01234567890", "executionId":"execution-id", "transferDetails": { "serverId":"s-server-id", "username":"mary", "sessionId":"session-id" } }, { "type":"StepStarted", "details": { "input": { "fileLocation": { "backingStore":"S3", "bucket":"amzn-s3-demo-bucket", "key":"mary/workflowSteps2.json", "versionId":"version-id", "etag":"etag-id" } }, "stepType":"COPY", "stepName":"copyToShared" }, "workflowId":"w-abcdef01234567890", "executionId":"execution-id", "transferDetails": { "serverId":"s-server-id", "username":"mary", "sessionId":"session-id" } }, { "type":"StepCompleted", "details":{ "output":{}, "stepType":"COPY", "stepName":"copyToShared" }, "workflowId":"w-abcdef01234567890", "executionId":"execution-id", "transferDetails":{ "serverId":"server-id", "username":"mary", "sessionId":"session-id" } }, { "type":"ExecutionCompleted", "details": {}, "workflowId":"w-abcdef01234567890", "executionId":"execution-id", "transferDetails":{ "serverId":"s-server-id", "username":"mary", "sessionId":"session-id" } } ``` # Configura il CloudWatch ruolo di registrazione Configurazione di un ruolo per CloudWatch Per impostare l'accesso, crei una policy IAM basata sulle risorse e un ruolo IAM che fornisce tali informazioni di accesso. Per abilitare Amazon CloudWatch Logging, devi iniziare creando una policy IAM che abiliti la CloudWatch registrazione. Quindi crei un ruolo IAM e alleghi la policy ad esso. Puoi farlo quando [crei un server](getting-started.md#getting-started-server) o [modificando un server esistente](edit-server-config.md). Per ulteriori informazioni su CloudWatch, consulta [What is Amazon CloudWatch?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) e [cosa sono i CloudWatch log di Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html)? nella *Amazon CloudWatch User Guide*. Utilizza i seguenti esempi di policy IAM per consentire CloudWatch la registrazione. ------ #### [ Use a logging role ] ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` ------ #### [ Use structured logging ] ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries", "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": "*" } ] } ``` Nell'esempio precedente policy, for the**Resource**, sostituisci *region-id* and *Account AWS* con i tuoi valori. Ad esempio, **"Resource": "arn:aws::logs:us-east-1:111122223333:log-group:/aws/transfer/\$1"** ------ Quindi crei un ruolo e CloudWatch alleghi la politica Logs che hai creato. **Per creare un ruolo IAM e collegare una policy** 1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**. Nella pagina **Crea ruolo**, assicurati che sia selezionato **AWS il servizio**. 1. Scegliere **Transfer (Trasferisci)** dall'elenco di servizi, quindi selezionare **Next: Permissions (Successivo: Autorizzazioni)**. Ciò stabilisce una relazione di fiducia tra AWS Transfer Family e il ruolo IAM. Inoltre, aggiungi `aws:SourceAccount` e `aws:SourceArn` condiziona le chiavi per proteggerti dal *confuso problema del vice*. Per ulteriori dettagli, consulta la seguente documentazione: + Procedura per stabilire un rapporto di fiducia con AWS Transfer Family: [Per stabilire una relazione di trust](requirements-roles.md#establish-trust-transfer) + Descrizione del problema del deputato confuso: [il problema del deputato confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) 1. Nella sezione **Allega criteri di autorizzazione**, individua e scegli la politica CloudWatch Logs che hai appena creato e scegli **Avanti: Tag**. 1. (Facoltativo) Immettere una chiave e un valore per un tag e scegliere **Next: Review (Successivo: Rivedi)**. 1. Nella pagina **Review (Rivedi)**, immettere un nome e una descrizione per il nuovo ruolo, quindi scegliere **Create role (Crea ruolo)**. 1. **Per visualizzare i log, scegli l'**ID del server** per aprire la pagina di configurazione del server e scegli Visualizza registri.** Verrai reindirizzato alla CloudWatch console dove puoi vedere i tuoi flussi di log. CloudWatch Nella pagina relativa al server, puoi visualizzare i record di autenticazione degli utenti (esito positivo e negativo), i caricamenti dei dati (`PUT`operazioni) e i download dei dati (`GET`operazioni). # Visualizzazione dei flussi di log di Transfer Family **Per visualizzare i log del server Transfer Family** 1. Vai alla pagina dei dettagli di un server. 1. Scegli **Visualizza registri.** Questo apre Amazon CloudWatch. 1. Viene visualizzato il gruppo di log per il server selezionato. ![\[\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/log-example-01.png) 1. È possibile selezionare un flusso di log per visualizzare i dettagli e le singole voci relative allo stream. + Se è presente un elenco di **ERRORI**, puoi sceglierlo per visualizzare i dettagli degli errori più recenti relativi al server. ![\[\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/log-example-errors.png) + Scegliete qualsiasi altra voce per vedere un esempio di flusso di log. ![\[\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/log-example-02.png) + Se al server è associato un flusso di lavoro gestito, è possibile visualizzare i registri relativi alle esecuzioni del flusso di lavoro. **Nota** Il formato per il flusso di log per il flusso di lavoro è`username.workflowId.uniqueStreamSuffix`. Ad esempio, **decrypt-user.w-a1111222233334444.aaaa1111bb2222** potrebbe essere il nome di un flusso di log per utente e flusso di lavoro. **decrypt-user** **w-a1111222233334444** ![\[\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/log-example-workflow.png) **Nota** **Per qualsiasi voce di registro espansa, è possibile copiare la voce negli Appunti scegliendo Copia.** Per maggiori dettagli sui CloudWatch log, consulta [Visualizzazione](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#ViewingLogData) dei dati di registro. ## Creazione di CloudWatch allarmi Amazon L'esempio seguente mostra come creare CloudWatch allarmi Amazon utilizzando la AWS Transfer Family metrica,. `FilesIn` ------ #### [ CDK ] ``` new cloudwatch.Metric({ namespace: "AWS/Transfer", metricName: "FilesIn", dimensionsMap: { ServerId: "s-00000000000000000" }, statistic: "Average", period: cdk.Duration.minutes(1), }).createAlarm(this, "AWS/Transfer FilesIn", { threshold: 1000, evaluationPeriods: 10, datapointsToAlarm: 5, comparisonOperator: cloudwatch.ComparisonOperator.GREATER_THAN_OR_EQUAL_TO_THRESHOLD, }); ``` ------ #### [ CloudFormation ] ``` Type: AWS::CloudWatch::Alarm Properties: Namespace: AWS/Transfer MetricName: FilesIn Dimensions: - Name: ServerId Value: s-00000000000000000 Statistic: Average Period: 60 Threshold: 1000 EvaluationPeriods: 10 DatapointsToAlarm: 5 ComparisonOperator: GreaterThanOrEqualToThreshold ``` ------ ## Registrazione delle operazioni dell'API Amazon S3 nei log di accesso S3 Registrazione delle chiamate API S3 nei log di accesso S3 **Nota** Questa sezione non si applica alle app web Transfer Family. Se [utilizzi i log di accesso di Amazon S3 per identificare le richieste S3 effettuate per](https://docs.aws.amazon.com/AmazonS3/latest/dev/using-s3-access-logs-to-identify-requests.html) conto dei tuoi utenti di trasferimento file, viene utilizzato per mostrare quale ruolo IAM `RoleSessionName` è stato assunto per gestire i trasferimenti di file. Visualizza anche informazioni aggiuntive come il nome utente, l'id di sessione e l'id del server utilizzati per i trasferimenti. Il formato è `[AWS:Role Unique Identifier]/username.sessionid@server-id` ed è contenuto nel campo Requester. Ad esempio, di seguito sono riportati i contenuti di un campo Requester di esempio da un log di accesso S3 per un file che è stato copiato nel bucket S3. `arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id` Nel campo Requester riportato sopra, mostra il ruolo IAM chiamato. `IamRoleName` *Per ulteriori informazioni sugli identificatori univoci dei ruoli IAM, consulta Identificatori [univoci nella Guida per l'AWS Identity and Access Management utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids).* # Esempi per limitare il problema confuso dei deputati Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione intersettoriale può portare al problema del vice confuso. Per ulteriori dettagli, consultare [Prevenzione del problema "confused deputy" tra servizi](confused-deputy.md). **Nota** Negli esempi seguenti, sostituisci ciascuno di essi *user input placeholder* con le tue informazioni. In questi esempi, puoi rimuovere i dettagli ARN per un flusso di lavoro se al server non è collegato alcun flusso di lavoro. La seguente logging/invocation politica di esempio consente a qualsiasi server (e flusso di lavoro) dell'account di assumere il ruolo. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllServersWithWorkflowAttached", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnLike": { "aws:SourceArn": [ "arn:aws:transfer:us-west-2:111122223333:server/*", "arn:aws:transfer:us-west-2:111122223333:workflow/*" ] } } } ] } ``` La seguente logging/invocation politica di esempio consente a un server (e a un flusso di lavoro) specifici di assumere il ruolo. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowSpecificServerWithWorkflowAttached", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "ArnEquals": { "aws:SourceArn": [ "arn:aws:transfer:us-west-2:111122223333:server/server-id", "arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id" ] } } } ] } ``` # CloudWatch struttura di log per Transfer Family Questo argomento descrive i campi che vengono compilati nei log Transfer Family: sia per le voci di registro strutturate JSON che per le voci di registro legacy. **Topics** + [ ## Log strutturati JSON per Transfer Family ](#json-log-entries) + [ ## Log precedenti per Transfer Family ](#legacy-log-entries) ## Log strutturati JSON per Transfer Family La tabella seguente contiene i dettagli per i campi di immissione del registro per SFTP/FTP/FTPS le azioni Transfer Family, nel nuovo formato di registro strutturato JSON. | Campo | Descrizione | Esempio di inserimento | | --- |--- |--- | | tipo di attività | L'azione dell'utente | I tipi di attività disponibili sono i seguenti: `AUTH_FAILURE``CONNECTED`, `DISCONNECTED``ERROR`,`EXIT_REASON`,`CLOSE`,`CREATE_SYMLINK`,`DELETE`,`MKDIR`,`OPEN`,`PARTIAL_CLOSE`,`RENAME`,`RMDIR`,`SETSTAT`,`TLS_RESUME_FAILURE`. | | byte in ingresso | Numero di byte caricati dall'utente | 29238420042 | | byte in uscita | Numero di byte scaricati dall'utente | 23094032490328 | | ciphers | Specifica il codice SSH negoziato per la connessione (i codici disponibili sono elencati in) [Algoritmi crittografici](security-policies.md#cryptographic-algorithms) | aes256-gcm@openssh.com | | client | Il software client dell'utente | SSH-2.0-OpenSSH\$17.4 | | home directory | La directory a cui l'utente finale atterra quando si connette all'endpoint se il suo tipo di home directory èPATH: se dispone di una home directory logica, questo valore è sempre / | //test user-home-bucket | | kex | Speciifica lo scambio di chiavi SSH negoziato (KEX) per la connessione (i KEX disponibili sono elencati in) [Algoritmi crittografici](security-policies.md#cryptographic-algorithms) | diffie-hellman-group14-sha256 | | message | Fornisce ulteriori informazioni relative all'errore | | | metodo | Il metodo di autenticazione | publickey | | mode | Specifica in che modo un client apre un file | CREA \$1 TRONCA \$1 SCRIVI | | operation | L'operazione del client su un file | APRI \$1 CHIUDI | | path | Il percorso effettivo del file è interessato | /amzn-s3-demo-bucket/test-file-1.pdf | | ssh-public-key | Il corpo della chiave pubblica per l'utente che si connette | AAAAC3nzAc1l Oy0qv6 ZDI1 NTE5 AAAAIA9 Oi XYVHaa WAcj2sp DJVbgjrq DPY4pxd6 GnHl | | ssh-public-key-fingerprint | L'impronta digitale della chiave pubblica, mostrata nella console per gli utenti con gestione del servizio quando elencano le proprie chiavi utente. Nella console, l'impronta digitale viene visualizzata con i caratteri di riempimento (se presenti): da 0 a 3 segni uguali (=) alla fine. Nella voce di registro, questa imbottitura viene rimossa dall'output. | SHA256: BY3g NMHw TFJD4N2VuT4PTY /0 LOk82z WZj4 KEYEu7y4r | | ssh-public-key-type | Tipo di chiave pubblica: Transfer Family supporta chiavi in formato RSA, ECDSA e ED25519 | ssh-ed25519 | | resource-arn | Un identificatore univoco assegnato dal sistema per una risorsa specifica (ad esempio un server) | arn:aws:transfer:ap-northeast- 1:12346789012:server/s-1234567890akeu2js2 | | role | Il ruolo IAM dell'utente | arn:aws:iam: :0293883675:role/testuser-role | | session-id | Un identificatore univoco assegnato dal sistema per una singola sessione | 9ca9a0e1cec6ad9d | | fonte-ip | Indirizzo IP del client | 18.3230.129 | | Utente | Il nome utente dell'utente finale | myname192 | | politica dell'utente | Le autorizzazioni specificate per l'utente finale: questo campo viene compilato se la politica dell'utente è una politica di sessione. | Il codice JSON per la politica di sessione utilizzata | ## Log precedenti per Transfer Family La tabella seguente contiene i dettagli delle voci di registro per varie azioni Transfer Family. **Nota** Queste voci non sono nel nuovo formato di registro strutturato JSON. La tabella seguente contiene i dettagli delle voci di registro per varie azioni Transfer Family, nel nuovo formato di registro strutturato JSON. | Azione | Log corrispondenti all'interno di Amazon CloudWatch Logs | | --- | --- | | Authentication failures (Errori di autenticazione) | ERRORI METODO AUTH\$1FAILURE =PublicKey user=LHR message="RSA:LFZ3R2NM K\$1B7RB1RSV AE\$1A\$1HXG0C7L1JIZ0" SourceIP=3.8.172.211 SHA256 LY4ra UIb | | Flusso di lavoro di COPY/TAG/DELETE/DECRYPT | \$1"type»:» StepStarted «, "details»: \$1"input»: \$1"fileLocation»: \$1"BackingStore» :"EFS», "fileSystemID» :"fs-12345678", "path»:» /lhr/regex.py «\$1\$1, "stepType» :"TAG», "stepName» :"successful\$1tag\$1step "\$1, "workflowID» :"stepName» :"successful\$1tag\$1step "\$1, "workflowID» :"stepName» :"successful\$1tag\$1step» «w-1111aaaa2222bb3", "executionID» :"81234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails»: \$1"serverID» :"s-1234abcd5678efghi», "username» :"lhr», "sessionID» :"1234567890abcdef0"\$1\$1 | | Flusso di lavoro personalizzato in fasi | \$1"type»:» CustomStepInvoked «, "details»: \$1"output»: \$1"token» :"mzM4MJG5 YWUt YTEz My00 YjIz LWI3 OGMt yZu4 OGI2 ZjQyMz E5"\$1, "stepType» :"CUSTOM», "stepName» :"efs-s3\$1copy\$12"\$1, "workflowID» :"w-9283e49d33297c3f7", "executionId» :"w-9283e49d33297c3f7", "executionId» ID» :"1234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails»: \$1"serverID» :"s-zzzz1111aaaa22223", "username» :"lhr», "sessionID» :"1234567890abcdef0"\$1\$1 | | Eliminazioni | lhr.33a8fb495ffb383b ELIMINA Path=/bucket/user /123.jpg | | Download | lhr.33a8fb495ffb383b APRI /123.jpg mode=Leggi Path=/bucket/user llhr.33a8fb495ffb383b CHIUDI /123.jpg =3618546 Path=/bucket/user BytesOut | | Accessi/disconnessioni | user.914984e553bcddb6 SORGENTE CONNESSA IP=1.22.111.222 utente=LHR =CLIENT LOGICO =SSH-2.0-OPENSSH\$17.4 role=ARN:AWS: :iam: :123456789012:role/sftp-s3-access HomeDir user.914984e553bcddb6 DISCONNESSO | | Rinomina | lhr.33a8fb495ffb383b RINOMINA .png Path=/bucket/user/lambo.png NewPath=/bucket/user/ferrari | | Esempio di registro degli errori del workflow | \$1"type»:» StepErrored «, "details»: \$1"errorType» :"BAD\$1REQUEST», "errorMessage» :"Impossibile etichettare il file Efs», "stepType» :"TAG», "stepName» :"successful\$1tag\$1step "\$1, "workflowID» :"w-1234abcd5678efghi», "executionID» :"81234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails»: \$1"serverID» :"s-1234abcd5678efghi», "username» :"lhr», "sessionId» :"1234567890abcdef0"\$1\$1 | | Collegamenti simbolici | lhr.eb49cf7b8651e6d5 CREATE\$1SYMLINK =/fs-12345678/lhr/pqr.jpg =abc.jpg LinkPath TargetPath | | Caricamenti | lhr.33a8fb495ffb383b APRI /123.jpg mode=create\$1truncate\$1Scrivi Path=/bucket/user lhr.33a8fb495ffb383b CHIUDI /123.jpg =3618546 Path=/bucket/user BytesIn | | Flussi di lavoro | \$1"tipo»:» «, "details»: \$1"input»: \$1» ExecutionStarted «: \$1" BackingStore» :"EFS», "fileSystemID» :"fs-12345678", "path»:» /lhr/regex.py initialFileLocation «\$1\$1\$1, "workflowID» :"w-1111aaaa2222bbbb3", "executionID» :"1234abcd-123efgh-5678", "executionID» :"1234abcd-123efgh-5678" 8-ijklmnopqr90", "transferDetails»: \$1"serverID» :"s-zzzz1111aaaa22223", "username» :"lhr», "sessionID» :"1234567890abcdef0"\$1\$1 \$1"tipo»:» StepStarted «, "details»: \$1"input»: \$1"fileLocation»: \$1"BackingStore» :"EFS», "fileSystemID» :"fs-12345678", "path»:» /lhr/regex.py «\$1\$1, "stepType» :"CUSTOM», "stepName» :"efs-s3\$1copy\$12"\$1, "workflow.com» ID» :"w-9283e49d33297c3f7", "executionID» :"1234abcd-1234-efgh-5678-ijklmnopqr90", "transferDetails»: \$1"serverId» :"s-18ca49dce5d842e0b», "username» :"lhr», "sessionID» :"1232e0b» 34567890abcdef0"\$1\$1 | # Esempi di voci di CloudWatch registro Questo argomento presenta esempi di voci di registro. **Topics** + [ ## Esempio di voci del registro delle sessioni di trasferimento ](#session-log-examples) + [ ## Esempi di voci di registro per i connettori SFTP ](#example-sftp-connector-logs) + [ ## Esempi di voci di registro per connettori VPC Lattice ](#example-vpc-lattice-connector-logs) + [ ## Esempi di voci di registro relative agli errori dell'algoritmo di scambio di chiavi ](#example-kex-logs) ## Esempio di voci del registro delle sessioni di trasferimento In questo esempio, un utente SFTP si connette a un server Transfer Family, carica un file, quindi si disconnette dalla sessione. La seguente voce di registro riflette un utente SFTP che si connette a un server Transfer Family. ``` { "role": "arn:aws:iam::500655546075:role/transfer-s3", "activity-type": "CONNECTED", "ciphers": "chacha20-poly1305@openssh.com,chacha20-poly1305@openssh.com", "client": "SSH-2.0-OpenSSH_7.4", "source-ip": "52.94.133.133", "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a", "home-dir": "/test/log-me", "ssh-public-key": "AAAAC3NzaC1lZDI1NTE5AAAAIA9OY0qV6XYVHaaOiWAcj2spDJVbgjrqDPY4pxd6GnHl", "ssh-public-key-fingerprint": "SHA256:BY3gNMHwTfjd4n2VuT4pTyLOk82zWZj4KEYEu7y4r/0", "ssh-public-key-type": "ssh-ed25519", "user": "log-me", "kex": "ecdh-sha2-nistp256", "session-id": "9ca9a0e1cec6ad9d" } ``` La seguente voce di registro indica l'utente SFTP che carica un file nel proprio bucket Amazon S3. ``` { "mode": "CREATE|TRUNCATE|WRITE", "path": "/test/log-me/config-file", "activity-type": "OPEN", "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a", "session-id": "9ca9a0e1cec6ad9d" } ``` Le seguenti voci di registro indicano la disconnessione dell'utente SFTP dalla sessione SFTP. Innanzitutto, il client chiude la connessione al bucket, quindi disconnette la sessione SFTP. ``` { "path": "/test/log-me/config-file", "activity-type": "CLOSE", "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a", "bytes-in": "121", "session-id": "9ca9a0e1cec6ad9d" } { "activity-type": "DISCONNECTED", "resource-arn": "arn:aws:transfer:us-east-1:500655546075:server/s-3fe215d89f074ed2a", "session-id": "9ca9a0e1cec6ad9d" } ``` **Nota** I tipi di attività disponibili sono i seguenti:`AUTH_FAILURE`,`CONNECTED`,,`DISCONNECTED`,`ERROR`,`EXIT_REASON`,`CLOSE`,`CREATE_SYMLINK`,`DELETE`,,`MKDIR`, `OPEN``PARTIAL_CLOSE`,`RENAME`. `RMDIR` `SETSTAT` `TLS_RESUME_FAILURE` ## Esempi di voci di registro per i connettori SFTP Questa sezione contiene registri di esempio relativi a un trasferimento riuscito e a un trasferimento non riuscito. I log vengono generati in un gruppo di log denominato`/aws/transfer/connector-id`, dove si *connector-id* trova l'identificatore del connettore SFTP. Le voci di registro per i connettori SFTP vengono generate quando si esegue un comando or. `StartFileTransfer` `StartDirectoryListing` Questa voce di registro si riferisce a un trasferimento completato con successo. ``` { "operation": "RETRIEVE", "timestamp": "2023-10-25T16:33:27.373720Z", "connector-id": "connector-id", "transfer-id": "transfer-id", "file-transfer-id": "transfer-id/file-transfer-id", "url": "sftp://192.0.2.0", "file-path": "/remotebucket/remotefilepath", "status-code": "COMPLETED", "start-time": "2023-10-25T16:33:26.945481Z", "end-time": "2023-10-25T16:33:27.159823Z", "account-id": "480351544584", "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id", "local-directory-path": "/connectors-localbucket", "bytes": 514, "egress-type": "SERVICE_MANAGED" } ``` Questa voce di registro si riferisce a un trasferimento scaduto e che pertanto non è stato completato correttamente. ``` { "operation": "RETRIEVE", "timestamp": "2023-10-25T22:33:47.625703Z", "connector-id": "connector-id", "transfer-id": "transfer-id", "file-transfer-id": "transfer-id/file-transfer-id", "url": "sftp://192.0.2.0", "file-path": "/remotebucket/remotefilepath", "status-code": "FAILED", "failure-code": "TIMEOUT_ERROR", "failure-message": "Transfer request timeout.", "account-id": "480351544584", "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id", "local-directory-path": "/connectors-localbucket", "egress-type": "SERVICE_MANAGED" } ``` Questa voce di registro è relativa a un'operazione SEND che ha esito positivo. ``` { "operation": "SEND", "timestamp": "2024-04-24T18:16:12.513207284Z", "connector-id": "connector-id", "transfer-id": "transfer-id", "file-transfer-id": "transfer-id/file-transfer-id", "url": "sftp://server-id.server.transfer.us-east-1.amazonaws.com", "file-path": "/amzn-s3-demo-bucket/my-test-folder/connector-metrics-us-east-1-2024-01-02.csv", "status-code": "COMPLETED", "start-time": "2024-04-24T18:16:12.295235884Z", "end-time": "2024-04-24T18:16:12.461840732Z", "account-id": "255443218509", "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id", "bytes": 275, "egress-type": "SERVICE_MANAGED" } ``` Descrizioni di alcuni campi chiave negli esempi di log precedenti. + `timestamp`rappresenta quando viene aggiunto il registro a CloudWatch. `start-time`e `end-time` corrispondono a quando il connettore avvia e termina effettivamente un trasferimento. + `transfer-id`è un identificatore univoco assegnato per ogni `start-file-transfer` richiesta. Se l'utente passa più percorsi di file in un'unica operazione `start-file-transfer` API, tutti i file condividono gli stessi `transfer-id` percorsi. + `file-transfer-id`è un valore univoco generato per ogni file trasferito. Si noti che la parte iniziale di `file-transfer-id` è la stessa di`transfer-id`. ## Esempi di voci di registro per connettori VPC Lattice Questa sezione contiene log di esempio per i connettori VPC Lattice. Per i connettori VPC Lattice, i log includono campi aggiuntivi che forniscono informazioni sulla configurazione del connettore e sulla configurazione della rete. Questa voce di registro riguarda un'operazione SEND del connettore VPC Lattice completata correttamente. ``` { "operation": "SEND", "timestamp": "2025-09-05T14:20:19.577192454Z", "connector-id": "connector-id", "transfer-id": "transfer-id", "file-transfer-id": "transfer-id/file-transfer-id", "file-path": ""/amzn-s3-demo-bucket/my-test-folder/connector-vpc-lattice-us-east-1-2025-03-22.csv"", "status-code": "COMPLETED", "start-time": "2025-09-05T14:20:19.434072509Z", "end-time": "2025-09-05T14:20:19.481453346Z", "account-id": "account-id", "connector-arn": "arn:aws:transfer:us-east-1:account-id:connector/connector-id", "remote-directory-path": "/test-bucket/test-folder/", "bytes": 262, "egress-type": "VPC_LATTICE", "vpc-lattice-resource-configuration-arn": "arn:aws:vpc-lattice:us-east-1:account-id:resourceconfiguration/resource-configuration-arn-id, "vpc-lattice-port-number": 22 } ``` I log dei connettori VPC Lattice includono i seguenti campi aggiuntivi: + `egress-type`- Tipo di configurazione di uscita per il connettore + `vpc-lattice-resource-configuration-arn`- ARN della configurazione delle risorse VPC Lattice che definisce la posizione del server SFTP di destinazione + `vpc-lattice-port-number`- Numero di porta per la connessione al server SFTP tramite VPC Lattice ## Esempi di voci di registro relative agli errori dell'algoritmo di scambio di chiavi Questa sezione contiene log di esempio in cui l'algoritmo di scambio di chiavi (KEX) non è riuscito. Questi sono esempi tratti dal flusso di log **ERRORS** per i log strutturati. Questa voce di registro è un esempio in cui si verifica un errore di tipo di chiave host. ``` { "activity-type": "KEX_FAILURE", "source-ip": "999.999.999.999", "resource-arn": "arn:aws:transfer:us-east-1:999999999999:server/s-999999999999999999", "message": "no matching host key type found", "kex": "ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ssh-dss" } ``` Questa voce di registro è un esempio di mancata corrispondenza con KEX. ``` { "activity-type": "KEX_FAILURE", "source-ip": "999.999.999.999", "resource-arn": "arn:aws:transfer:us-east-1:999999999999:server/s-999999999999999999", "message": "no matching key exchange method found", "kex": "diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group14-sha256" } ``` # Utilizzo CloudWatch delle metriche per i server Transfer Family Utilizzo delle metriche CloudWatch **Nota** Puoi anche ottenere le metriche per Transfer Family direttamente dalla console Transfer Family stessa. Per maggiori dettagli, consultare [Monitoraggio dell'utilizzo nella console](monitor-usage-transfer-console.md). Puoi ottenere informazioni sul tuo server utilizzando le CloudWatch metriche. Una *metrica* rappresenta un insieme di punti dati ordinati nel tempo su cui vengono pubblicati. CloudWatch [Quando si utilizzano le metriche, è necessario specificare lo spazio dei nomi Transfer Family, il nome della metrica e la dimensione.](#cw-dimensions) Per ulteriori informazioni sui parametri, consulta [Metrics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Metric) nella *Amazon CloudWatch User* Guide. La tabella seguente descrive le CloudWatch metriche per Transfer Family. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/metrics.html) ## Dimensioni Transfer Family Una *dimensione* è una name/value coppia che fa parte dell'identità di una metrica. Per ulteriori informazioni sulle dimensioni, consulta [Dimensions](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) nella *Amazon CloudWatch User Guide*. La tabella seguente descrive le CloudWatch dimensioni di Transfer Family. | Dimensione | Description | | --- | --- | | `ServerId` | L'ID univoco del server. | | `ConnectorId` | L'ID univoco del connettore. Usato per AS2, per `OutboundMessage` e `OutboundFailedMessage` | ## Usando Notifiche all'utente AWS con AWS Transfer Family Notifiche all'utente Per ricevere notifiche sugli AWS Transfer Family eventi, puoi [Notifiche all'utente AWS](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html)impostare vari canali di distribuzione. Quando un evento corrisponde a una regola specificata, ricevi una notifica. È possibile ricevere notifiche per gli eventi tramite più canali, tra cui e-mail, [Amazon Q Developer in applicazioni chat](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html), notifiche chat, o notifiche push [AWS Console Mobile Application](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). Puoi anche visualizzare le notifiche nel [Centro notifiche della console](https://console.aws.amazon.com/notifications/). Notifiche all'utente supporta l'aggregazione, che può ridurre il numero di notifiche ricevute durante eventi specifici. Per ulteriori informazioni, consulta il post di blog [Personalizzare le notifiche di recapito dei file utilizzando flussi di lavoro AWS Transfer Family gestiti](https://aws.amazon.com/blogs/storage/customize-file-delivery-notifications-using-aws-transfer-family-managed-workflows/) e [Cos'è? Notifiche all'utente AWS](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) nella *Guida per l'Notifiche all'utente AWS utente*. # Utilizzo delle interrogazioni per filtrare le voci di registro CloudWatch interrogazioni È possibile utilizzare CloudWatch le query per filtrare e identificare le voci di registro per Transfer Family. Questa sezione contiene alcuni esempi. 1. Accedi a Console di gestione AWS e apri la CloudWatch console all'indirizzo [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/). 1. Puoi creare domande o regole. + Per creare una query di **Logs Insights**, scegli **Logs Insights** dal pannello di navigazione a sinistra, quindi inserisci i dettagli della tua query. + Per creare una regola **Contributor Insights**, scegli Insights > Contributor Insights dal pannello di navigazione a sinistra, quindi inserisci i dettagli della regola. 1. Esegui la query o la regola che hai creato. **Visualizza i principali contributori relativi agli errori di autenticazione** Nei log strutturati, una voce del log degli errori di autenticazione è simile alla seguente: ``` { "method":"password", "activity-type":"AUTH_FAILURE", "source-ip":"999.999.999.999", "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef", "message":"Invalid user name or password", "user":"exampleUser" } ``` Esegui la seguente query per visualizzare i principali fattori che contribuiscono agli errori di autenticazione. ``` filter @logStream = 'ERRORS' | filter `activity-type` = 'AUTH_FAILURE' | stats count() as AuthFailures by user, method | sort by AuthFailures desc | limit 10 ``` Invece di utilizzare **CloudWatch Logs Insights**, puoi creare una regola di **CloudWatch Contributors Insights** per visualizzare gli errori di autenticazione. Crea una regola simile alla seguente. ``` { "AggregateOn": "Count", "Contribution": { "Filters": [ { "Match": "$.activity-type", "In": [ "AUTH_FAILURE" ] } ], "Keys": [ "$.user" ] }, "LogFormat": "JSON", "Schema": { "Name": "CloudWatchLogRule", "Version": 1 }, "LogGroupARNs": [ "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs" ] } ``` **Visualizza le voci di registro in cui è stato aperto un file** Nei log strutturati, una voce del registro di lettura dei file è simile alla seguente: ``` { "mode":"READ", "path":"/fs-0df669c89d9bf7f45/avtester/example", "activity-type":"OPEN", "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef", "session-id":"0049cd844c7536c06a89" } ``` Esegui la seguente query per visualizzare le voci di registro che indicano che un file è stato aperto. ``` filter `activity-type` = 'OPEN' | display @timestamp, @logStream, `session-id`, mode, path ```