Amazon Cognito 发送给 CloudTrail 的信息使用 Amazon CloudWatch Logs Insights 分析 Amazon Cognito CloudTrail 事件

Amazon CloudTrail 中的 Amazon Cognito 日志记录

Amazon Cognito 与 Amazon CloudTrail 集成，后者是一项服务，提供 Amazon Cognito 中由用户、角色或Amazon服务所采取操作的记录。CloudTrail 将对 Amazon Cognito 的 API 调用子集作为事件捕获，包括来自 Amazon Cognito 控制台的调用和对 Amazon Cognito API 操作的代码调用。如果您创建跟踪，则可以选择将 CloudTrail 事件传送到 Amazon S3 存储桶，包括 Amazon Cognito 的事件。如果您不配置跟踪，则仍可在 CloudTrail 控制台中的事件历史记录中查看最新事件。使用 CloudTrail 收集的信息，您可以确定向 Amazon Cognito 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。

要了解有关 CloudTrail 的更多信息（包括如何对其进行配置和激活），请参阅《Amazon CloudTrail 用户指南》。

您还可以针对特定 CloudTrail 事件创建 Amazon CloudWatch 告警。例如，您可以设置 CloudWatch，以在身份池配置发生更改时触发警报。有关更多信息，请参阅针对 CloudTrail 事件创建 CloudWatch 告警：示例。

主题

Amazon Cognito 发送给 CloudTrail 的信息
使用 Amazon CloudWatch Logs Insights 分析 Amazon Cognito CloudTrail 事件
示例 Amazon Cognito 事件

Amazon Cognito 发送给 CloudTrail 的信息

当您创建自己的 Amazon Web Services 账户时，CloudTrail 开启。当 Amazon Cognito 中发生受支持的事件活动时，该活动将记录在 CloudTrail 事件中，并与其他 Amazon 服务事件一同保存在事件历史记录中。您可以在 Amazon 账户中查看、搜索和下载最新事件。有关更多信息，请参阅使用 CloudTrail 事件历史记录查看事件。

要持续记录Amazon账户中的事件（包括 Amazon Cognito 的事件），请创建跟踪记录。CloudTrail 跟踪可将日志文件传送至 Amazon S3 存储桶。默认情况下，在控制台中创建跟踪时，此跟踪应用于所有区域。此跟踪记录在 Amazon 分区中记录所有区域中的事件，并将日志文件传送至您指定的 Amazon S3 存储桶。此外，您可以配置其他 Amazon 服务，进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关更多信息，请参阅：

每个事件或日志条目都包含有关生成请求的人员信息。身份信息可帮助您确定以下内容：

请求是使用根用户凭证还是 IAM 用户凭证发出的。
请求是使用角色还是联合用户的临时安全凭证发出的。
请求是否由其他 Amazon 服务发出。

有关更多信息，请参阅 CloudTrail userIdentity 元素。

Amazon CloudTrail 中的机密数据

由于用户池和身份池处理用户数据，因此 Amazon Cognito 使用值 HIDDEN_FOR_SECURITY_REASONS 掩盖您的 CloudTrail 事件中的一些私有字段。有关 Amazon Cognito 未填充到事件的字段的示例，请参阅示例 Amazon Cognito 事件。Amazon Cognito 只会掩盖一些通常包含用户信息的字段，例如密码和令牌。Amazon Cognito 不会自动检测或屏蔽您在 API 请求中填充到非私有字段的个人身份信息。

用户池事件

Amazon Cognito 支持将用户池操作页面上列出的所有操作作为 CloudTrail 日志文件中的事件进行记录。Amazon Cognito 将用户池事件作为管理事件记录到 CloudTrail。

Amazon Cognito 用户池 CloudTrail 条目中的 eventType 字段告诉您，应用程序是向 Amazon Cognito 用户池 API 发出了请求，还是向为 OpenID Connect、SAML 2.0 或托管登录页面提供资源的端点发出了请求。API 请求的 AwsApiCall 为 eventType，端点请求的 AwsServiceEvent 为 eventType。

Amazon Cognito 将以下对于托管登录服务的请求作为事件记录到 CloudTrail 中。

Hosted UI (classic) events

CloudTrail 中的托管 UI（经典）事件
操作	描述
`Login_GET`, `CognitoAuthentication`	用户查看或向您的登录端点提交凭证。
`OAuth2_Authorize_GET`, `Beta_Authorize_GET`	用户查看您的对端点授权。
`OAuth2Response_GET`, `OAuth2Response_POST`	用户向您的 `/oauth2/idpresponse` 端点提交 IdP 令牌。
`SAML2Response_POST`, `Beta_SAML2Response_POST`	用户向您的 `/saml2/idpresponse` 端点提交 IdP SAML 断言。
`Login_OIDC_SAML_POST`	用户在您的登录端点中输入用户名并与 IdP 标识符匹配。
`Token_POST`, `Beta_Token_POST`	用户向您的令牌端点提交授权码。
`Signup_GET`, `Signup_POST`	用户向您的 `/signup` 端点提交注册信息。
`Confirm_GET`, `Confirm_POST`	用户在托管 UI 中提交确认码。
`ResendCode_POST`	用户在托管 UI 中提交重新发送确认码的请求。
`ForgotPassword_GET`, `ForgotPassword_POST`	用户向您的 `/forgotPassword` 端点提交重置密码的请求。
`ConfirmForgotPassword_GET`, `ConfirmForgotPassword_POST`	用户向您的 `/confirmForgotPassword` 端点提交代码以确认其 `ForgotPassword` 请求。
`ResetPassword_GET`, `ResetPassword_POST`	用户在托管 UI 中提交新密码。
`Mfa_GET`, `Mfa_POST`	用户在托管 UI 中提交多重身份验证（MFA）代码。
`MfaOption_GET`, `MfaOption_POST`	用户在托管 UI 中选择其首选 MFA 方法。
`MfaRegister_GET`, `MfaRegister_POST`	用户在注册 MFA 时，在托管 UI 中提交多重身份验证（MFA）代码。
`Logout`	用户在您的 `/logout` 端点注销。
`SAML2Logout_POST`	用户在您的 `/saml2/logout` 端点注销。
`Error_GET`	用户在托管 UI 中查看错误页面。
`UserInfo_GET`, `UserInfo_POST`	用户或 IdP 与您的 userInfo 端点交换信息。
`Confirm_With_Link_GET`	用户根据 Amazon Cognito 在电子邮件中发送的链接提交确认。
`Event_Feedback_GET`	用户向 Amazon Cognito 提交有关威胁防护事件的反馈。

Managed login events

CloudTrail 中的托管登录事件
操作	描述
`login_POST`	用户向您的登录端点提交凭证。
`login_continue_POST`	已经登录过一次的用户选择再次登录。
`forgotPassword_POST`	用户重置其密码。
`selectChallenge_POST`	用户在提交用户名或凭证后对身份验证质询作出回应。
`confirmUser_GET`	用户在确认或验证电子邮件消息中打开链接。
`mfa_back_POST`	用户在出现 MFA 提示后选择返回按钮。
`mfa_options_POST`	用户选择 MFA 选项。
`mfa_phone_register_POST`	用户提交电话号码以注册为一个 MFA 因素。此操作会导致 Amazon Cognito 向用户的电话号码发送 MFA 代码。
`mfa_phone_verify_POST`	用户提交发送到其电话号码的 MFA 代码。
`mfa_phone_resendCode_POST`	用户提交向其电话号码重新发送 MFA 代码的请求。
`mfa_totp_POST`	用户提交 TOTP MFA 代码。
`signup_POST`	用户向您的 `/signup` 托管登录页面提交信息。
`signup_confirm_POST`	用户通过电子邮件或短信提交确认码。
`verifyCode_POST`	用户提交一次性密码（OTP）以进行无密码身份验证。
`passkeys_add_POST`	用户提交注册新的通行密钥凭证的请求。
`passkeys_add_GET`	用户导航到可以注册通行密钥的页面。
`login_passkey_POST`	用户使用通行密钥登录。

注意

Amazon Cognito 在 CloudTrail 日志中记录特定用户请求的 UserSub，但不记录 UserName。通过调用 ListUsers API，并使用主题筛选条件，您可以找到给定 UserSub 的用户。

身份池事件

数据事件

Amazon Cognito 将以下 Amazon Cognito 身份事件作为数据事件记录到 CloudTrail 中。数据事件是大容量数据面板 API 操作，CloudTrail 原定设置情况下不记录这些操作。记录数据事件将收取额外费用。

要为这些 API 操作生成 CloudTrail 日志，您必须在跟踪记录中激活数据事件，并为 Cognito 身份池选择事件选择器。有关更多信息，请参阅 Amazon CloudTrail 用户指南中的记录数据事件以便跟踪。

您还可以使用以下 CLI 命令将身份池事件选择器添加到您的跟踪记录中。


aws cloudtrail put-event-selectors --trail-name <trail name> --advanced-event-selectors \
"{\
   \"Name\": \"Cognito Selector\",\
   \"FieldSelectors\": [\
      {\
         \"Field\": \"eventCategory\",\
         \"Equals\": [\
            \"Data\"\
         ]\
      },\
      {\
         \"Field\": \"resources.type\",\
         \"Equals\": [\
            \"AWS::Cognito::IdentityPool\"\
         ]\
      }\
   ]\
}"

管理事件

Amazon Cognito 将剩余的 Amazon Cognito 身份池 API 操作记录为管理事件。原定设置情况下，CloudTrail 会记录管理事件 API 操作。

有关 Amazon Cognito 记录到 CloudTrail 的 Amazon Cognito 身份池 API 操作的列表，请参阅 Amazon Cognito 身份池 API 参考。

Amazon Cognito Sync

Amazon Cognito 将所有 Amazon Cognito 同步 API 操作记录为管理事件。有关 Amazon Cognito 记录到 CloudTrail 的 Amazon Cognito 同步 API 操作的列表，请参阅 Amazon Cognito 同步 API 参考。

使用 Amazon CloudWatch Logs Insights 分析 Amazon Cognito CloudTrail 事件

您可以使用 Amazon CloudWatch Logs Insights 搜索和分析您的 Amazon Cognito CloudTrail 事件。在配置您的跟踪以将事件发送到 CloudWatch Logs 时，CloudTrail 只发送符合您跟踪记录设置的事件。

如需查询或研究您的 Amazon Cognito CloudTrail 事件，请在 CloudTrail 控制台中确保您在跟踪记录设置中选择管理事件选项，以便您可以监控对Amazon资源执行的管理操作。当您想要识别账户中的错误、异常活动或异常用户行为时，可以在跟踪记录设置中选择 Insights 事件选项。

Amazon Cognito 查询的示例

您可以在 Amazon CloudWatch 控制台中使用下列查询。

常规查询

查找 25 个最近添加的日志事件。


fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com"

获取 25 个最近添加的录入事件（包含异常）的列表。


fields @timestamp, @message | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/

异常和错误查询

查找最近添加的 25 个含错误代码 NotAuthorizedException 的录入事件以及 Amazon Cognito 用户池 sub。


fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25
| filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"

查找具有 sourceIPAddress 和相应 eventName 的记录数。


filter eventSource = "cognito-idp.amazonaws.com"
| stats count(*) by sourceIPAddress, eventName

查找触发 NotAuthorizedException 错误的前 25 个 IP 地址。


filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"
| stats count(*) as count by sourceIPAddress, eventName
| sort count desc | limit 25

找到调用 ForgotPassword API 的前 25 个 IP 地址。


filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword'
| stats count(*) as count by sourceIPAddress
| sort count desc | limit 25

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

Service Quotas 中的指标

示例事件