翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon CloudWatch でインサイトを利用する WorkMail
Amazon WorkMail コンソールで E メールイベントロギングをオンにするか、Logs CloudWatch への監査ログ配信を有効にした場合は、Amazon CloudWatch Logs Insights を使用してイベントログをクエリできます。E メールのイベントログ記録をオンにすることの詳細については、E メールイベントロギングを有効にする を参照してください。 CloudWatch ログインサイトの詳細については、Amazon Logs ユーザーガイドの「 CloudWatch CloudWatch ログインサイトによるログデータの分析」を参照してください。
以下の例は、一般的な E CloudWatch メールイベントについてログをクエリする方法を示しています。 CloudWatch これらのクエリはコンソールで実行します。これらのクエリの実行方法については、Amazon CloudWatch Logs ユーザーガイドの「チュートリアル:サンプルクエリの実行と変更」を参照してください。
例 ユーザー B がユーザー A から送信された E メールを受信しなかった理由をご覧ください。
次のコード例は、タイムスタンプ順にソートされた、ユーザー A からユーザー B に送信された送信メールを照会する方法を示しています。
fields @timestamp, traceId | sort @timestamp asc | filter (event.from like /(?i)userA@example.com/ and event.eventName = "OUTGOING_EMAIL_SUBMITTED" and event.recipients.0 like /(?i)userB@example.com/)
これは送信されたメッセージとトレース ID を返します。次のコード例のトレース ID を使用して、送信メッセージのイベントログを照会します。
fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID"
これにより、E メールメッセージ ID と E メールイベントが返されます。OUTGOING_EMAIL_SENT は E メールが送信されたことを示します。OUTGOING_EMAIL_BOUNCED は、Eメールがバウンスしたことを示します。E メールが受信されたかどうかを確認するには、次のコード例のメッセージ ID を使用して照会します。
fields @timestamp, event.eventName | sort @timestamp asc | filter event.messageId like "$MESSAGEID"
メッセージ ID は同じなので、受信したメッセージも返されるはずです。次のコード例のトレース ID を使用して、配信を照会します。
fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID"
これにより、配信アクションと適用可能なすべてのルールアクションが返されます。
例 ユーザーまたはドメインから受信したメールをすべて表示する
次のコード例では、指定されたユーザーから受信したすべてのメールを照会する方法を示しています。
fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
次のコード例は、指定したドメインから受信したすべてのメールを照会する方法を示しています。
fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
例 バウンスメールの送信者を確認する
次のコード例では、バウンスした送信メールを照会する方法を示し、バウンスの理由も返します。
fields @timestamp, event.destination, event.reason | sort @timestamp desc | filter event.eventName = "OUTGOING_EMAIL_BOUNCED"
次のコード例は、バウンスした受信メールをクエリする方法を示しています。また、バウンスされた受信者のメールアドレスとバウンスの理由も返されます。
fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status | sort @timestamp desc | filter event.eventName = "INCOMING_EMAIL_BOUNCED"
例 どのドメインがスパムを送信しているかを確認します。
次のコード例では、スパムを受信している組織内の受信者を照会する方法を示しています。
stats count(*) as c by event.recipients.0 | filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL") | sort c desc
次のコード例では、スパムメールの送信者を照会する方法を示しています。
fields @timestamp, event.recipients.0, event.sender, event.from | sort @timestamp asc | filter (event.spamVerdict = "FAIL")
例 メールが受信者の迷惑メールフォルダに送信された理由を確認する
次のコード例では、件名でフィルタリングされた、スパムとして識別された E メールを照会する方法を示しています。
fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict | sort @timestamp asc | filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED"
E メールトレース ID で照会して、E メールのすべてのイベントを確認することもできます。
例 メールフロールールに一致するメールを表示する
次のコード例では、アウトバウンド Eメールフロールールに一致した E メールを照会する方法を示しています。
fields @timestamp, event.ruleName, event.ruleActions.0.action | sort @timestamp desc | filter event.ruleType = "OUTBOUND_RULE"
次のコード例では、受信 E メールフロールールに一致した E メールを照会する方法を示しています。
fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0 | sort @timestamp desc | filter event.ruleType = "INBOUND_RULE"
例 組織が送受信したメールの数を確認する
次のコード例では、組織内の各受信者が受信した E メールの数を照会する方法を示しています。
stats count(*) as c by event.recipient | filter event.eventName = "MAILBOX_EMAIL_DELIVERED" | sort c desc
次のコード例は、組織内の各送信者によって送信された E メールの数を照会する方法を示しています。
stats count(*) as c by event.from | filter event.eventName = "OUTGOING_EMAIL_SUBMITTED" | sort c desc
