Menggunakan kueri untuk memfilter entri log - AWS Transfer Family

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kueri untuk memfilter entri log

Anda dapat menggunakan CloudWatch kueri untuk memfilter dan mengidentifikasi entri log untuk Transfer Family. Bagian ini berisi beberapa contoh.

  1. Masuk ke AWS Management Console dan buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

  2. Anda dapat membuat kueri atau aturan.

    • Untuk membuat kueri Wawasan Log, pilih Wawasan Log dari panel navigasi kiri, lalu masukkan detail untuk kueri Anda.

    • Untuk membuat aturan Contributor Insights, pilih Insights > Contributor Insights dari panel navigasi kiri, lalu masukkan detail untuk aturan Anda.

  3. Jalankan kueri atau aturan yang Anda buat.

Lihat kontributor kegagalan otentikasi teratas

Dalam log terstruktur Anda, entri log kegagalan otentikasi terlihat mirip dengan yang berikut:

{ "method":"password", "activity-type":"AUTH_FAILURE", "source-ip":"999.999.999.999", "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef", "message":"Invalid user name or password", "user":"exampleUser" }

Jalankan kueri berikut untuk melihat kontributor teratas untuk kegagalan otentikasi.

filter @logStream = 'ERRORS' | filter `activity-type` = 'AUTH_FAILURE' | stats count() as AuthFailures by user, method | sort by AuthFailures desc | limit 10

Daripada menggunakan Wawasan CloudWatch Log, Anda dapat membuat aturan Wawasan CloudWatch Kontributor untuk melihat kegagalan autentikasi. Buat aturan yang mirip dengan yang berikut ini.

{ "AggregateOn": "Count", "Contribution": { "Filters": [ { "Match": "$.activity-type", "In": [ "AUTH_FAILURE" ] } ], "Keys": [ "$.user" ] }, "LogFormat": "JSON", "Schema": { "Name": "CloudWatchLogRule", "Version": 1 }, "LogGroupARNs": [ "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs" ] }

Lihat entri log tempat file dibuka

Dalam log terstruktur Anda, entri log baca file terlihat mirip dengan yang berikut ini:

{ "mode":"READ", "path":"/fs-0df669c89d9bf7f45/avtester/example", "activity-type":"OPEN", "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef", "session-id":"0049cd844c7536c06a89" }

Jalankan kueri berikut untuk melihat entri log yang menunjukkan file dibuka.

filter `activity-type` = 'OPEN' | display @timestamp, @logStream, `session-id`, mode, path