Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Análisis de CloudTrail eventos de Amazon Cognito con Amazon Logs Insights CloudWatch
Puede buscar y analizar sus CloudTrail eventos de Amazon Cognito con Amazon CloudWatch Logs Insights. Cuando configura su ruta para enviar eventos a CloudWatch Logs, CloudTrail envía solo los eventos que coinciden con la configuración de su ruta.
Para consultar o investigar sus CloudTrail eventos de Amazon Cognito, en la CloudTrail consola, asegúrese de seleccionar la opción Gestión de eventos en la configuración de la ruta para poder supervisar las operaciones de administración que se realizan en sus AWS recursos. También puede seleccionar la opción Eventos de Insights en la configuración de seguimiento si desea identificar errores, actividades inusuales o comportamiento inusual del usuario en la cuenta.
Consultas de ejemplo de Amazon Cognito
Puedes usar las siguientes consultas en la CloudWatch consola de Amazon.
Consultas generales
Buscar los 25 eventos de registro agregados más recientes.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Obtenga una lista de los 25 eventos de registro agregados recientemente que incluyen excepciones.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Consultas de excepción y error
Busque los 25 eventos de registro agregados más recientes con el código de error NotAuthorizedException junto con el grupo de usuarios de Amazon Cognitosub.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Busque el número de registros con la sourceIPAddress y el eventName correspondiente.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Busque las 25 direcciones IP principales que desencadenaron un error de NotAuthorizedException.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Encuentra las 25 direcciones IP principales que denominaron ForgotPasswordAPI.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25
