使用查詢篩選日誌項目 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用查詢篩選日誌項目

您可以使用 CloudWatch 查詢來篩選和識別 Transfer Family 的日誌項目。本節包含一些範例。

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。

  2. 您可以建立查詢或規則。

    • 若要建立 Logs Insights 查詢,請從左側導覽面板中選擇 Logs Insights,然後輸入查詢的詳細資訊。

    • 若要建立 Contributor Insights 規則,請從左側導覽面板中選擇 Insights > Contributor Insights,然後輸入規則的詳細資訊。

  3. 執行您建立的查詢或規則。

檢視最佳身分驗證失敗參與者

在您的結構化日誌中,身分驗證失敗日誌項目如下所示:

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

執行下列查詢,以檢視身分驗證失敗的主要參與者。

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

您可以建立 CloudWatch Contributors Insights 規則來檢視身分驗證失敗,而不是使用 CloudWatch Logs Insights。 CloudWatch 建立類似下列的規則。

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

檢視開啟檔案的日誌項目

在您的結構化日誌中,檔案讀取日誌項目看起來類似如下:

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

執行下列查詢,以檢視表示檔案已開啟的日誌項目。

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path