翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Logs Insights を使用した Amazon Cognito CloudTrail イベントの分析 CloudWatch
Amazon Logs Insights を使用して、Amazon Cognito CloudTrail イベントを検索および分析できます。 CloudWatch ログにイベントを送信するように証跡を設定すると、 CloudWatch は証跡設定に一致するイベントのみ CloudTrail を送信します。
Amazon Cognito CloudTrail イベントをクエリまたは調査するには、 CloudTrail コンソールで、 AWS リソースで実行された管理オペレーションをモニタリングできるように、証跡設定で管理イベントオプションを選択します。アカウント内でのエラー、異常なアクティビティ、または異常なユーザー動作を特定したい場合は、オプションで追跡設定の [Insights イベント] オプションを選択することができます。
サンプル Amazon Cognito クエリ
Amazon CloudWatch コンソールでは、次のクエリを使用できます。
一般的なクエリ
最近追加された 25 件のログイベントを検索します。
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"
例外を含む、最近追加された 25 件のログイベントのリストを取得します。
fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/
例外とエラーのクエリ
Amazon Cognito ユーザープール sub と共に、最近追加されたエラーコード NotAuthorizedException を伴う 25 件のログイベントを検索します。
fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
eventName と対応する sourceIPAddress を持つレコードの数を検索します。
filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName
NotAuthorizedException エラーをトリガーした上位 25 の IP アドレスを検索します。
filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25
ForgotPassword API を呼び出した上位 25 の IP アドレスを検索します。
filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25
