Analysieren von Amazon Cognito CloudTrail Cognito-Ereignissen mit Amazon CloudWatch Logs Insights - Amazon Cognito
Beispiele für Amazon-Cognito-Abfragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Analysieren von Amazon Cognito CloudTrail Cognito-Ereignissen mit Amazon CloudWatch Logs Insights

Sie können Ihre Amazon CloudTrail Cognito-Ereignisse mit Amazon CloudWatch Logs Insights suchen und analysieren. Wenn Sie Ihren Trail so konfigurieren, dass Ereignisse an CloudWatch Logs gesendet werden, werden nur die Ereignisse CloudTrail gesendet, die Ihren Trail-Einstellungen entsprechen.

Um Ihre Amazon Cognito CloudTrail Cognito-Ereignisse abzufragen oder zu recherchieren, stellen Sie in der CloudTrail Konsole sicher, dass Sie in Ihren Trail-Einstellungen die Option Verwaltungsereignisse auswählen, damit Sie die auf Ihren AWS Ressourcen ausgeführten Verwaltungsvorgänge überwachen können. Sie können in Ihren Trail-Einstellungen optional die Option Insights–Ereignisse auswählen, wenn Sie Fehler, ungewöhnliche Aktivitäten oder ungewöhnliches Benutzerverhalten in Ihrem Konto identifizieren möchten.

Beispiele für Amazon-Cognito-Abfragen

Sie können die folgenden Abfragen in der CloudWatch Amazon-Konsole verwenden.

Allgemeine Abfragen

Findet die 25 zuletzt hinzugefügten Protokollereignisse.

fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"

Rufen Sie eine Liste der 25 zuletzt hinzugefügten Protokollereignisse ab, die Ausnahmen enthalten.

fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/

Ausnahme- und Fehlerabfragen

Suchen Sie die 25 zuletzt hinzugefügten Protokollereignisse mit Fehlercode NotAuthorizedException zusammen mit dem Amazon-Cognito-Benutzerpool sub.

fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"

Finden Sie die Anzahl der Datensätze mit sourceIPAddress und entsprechendem eventName.

filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName

Finden Sie die Top 25 IP-Adressen, die einen NotAuthorizedException-Fehler ausgelöst haben.

filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25

Finden Sie die 25 wichtigsten IP-Adressen, die den aufgerufen haben ForgotPasswordAPI.

filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25