Usando consultas para filtrar entradas de registro - AWS Transfer Family

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando consultas para filtrar entradas de registro

Você pode usar CloudWatch consultas para filtrar e identificar entradas de registro do Transfer Family. Esta seção contém alguns exemplos.

  1. Faça login no Console de gerenciamento da AWS e abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

  2. Você pode criar consultas ou regras.

    • Para criar uma consulta do Logs Insights, escolha Logs Insights no painel de navegação esquerdo e insira os detalhes da sua consulta.

    • Para criar uma regra do Contributor Insights, escolha Insights > Contributor Insights no painel de navegação esquerdo e, em seguida, insira os detalhes da sua regra.

  3. Execute a consulta ou regra que você criou.

Veja os principais contribuidores de falhas de autenticação

Em seus registros estruturados, uma entrada de registro de falha de autenticação é semelhante à seguinte:

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

Execute a consulta a seguir para ver os principais contribuintes para falhas de autenticação.

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

Em vez de usar o CloudWatch Logs Insights, você pode criar uma regra do CloudWatch Contributors Insights para visualizar as falhas de autenticação. Crie uma regra semelhante à seguinte.

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

Exibir entradas de registro em que um arquivo foi aberto

Em seus registros estruturados, uma entrada de registro de leitura de arquivo é semelhante à seguinte:

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

Execute a consulta a seguir para visualizar as entradas de registro que indicam que um arquivo foi aberto.

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path