Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Analyse des CloudTrail événements Amazon Cognito avec Amazon CloudWatch Logs Insights
Vous pouvez rechercher et analyser vos CloudTrail événements Amazon Cognito avec Amazon CloudWatch Logs Insights. Lorsque vous configurez votre parcours pour envoyer des événements à CloudWatch Logs, il CloudTrail envoie uniquement les événements correspondant à vos paramètres de suivi.
Pour interroger ou rechercher vos CloudTrail événements Amazon Cognito, dans la CloudTrail console, assurez-vous de sélectionner l'option Gestion des événements dans vos paramètres de suivi afin de pouvoir surveiller les opérations de gestion effectuées sur vos AWS ressources. Lorsque vous souhaitez identifier des erreurs, une activité inhabituelle ou un comportement inhabituel de l’utilisateur dans votre compte, vous pouvez éventuellement sélectionner l’option Événements Insights dans les paramètres de votre journal d’activité.
Exemples de requêtes Amazon Cognito
Vous pouvez utiliser les requêtes suivantes dans la CloudWatch console Amazon.
Requêtes générales
Rechercher les 25 derniers événements ajoutés au journal.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
Consultez la liste des 25 derniers événements de journal ajoutés qui incluent des exceptions.
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
Exception et requêtes d’erreur
Recherchez les 25 derniers événements de journal ajoutés avec un code d’erreur NotAuthorizedException avec le groupe d’utilisateurs Amazon Cognito sub.
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
Recherchez le nombre d’enregistrements avec la sourceIPAddress et l’eventName correspondant.
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
Recherchez les 25 premières adresses IP qui ont déclenché une erreur NotAuthorizedException.
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
Trouvez les 25 principales adresses IP ayant appelé le ForgotPasswordAPI.
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25
