使用 Amazon CloudTrail Watch Logs Insights 分析 Amazon Cognito CloudWatch 事件 - Amazon Cognito
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon CloudTrail Watch Logs Insights 分析 Amazon Cognito CloudWatch 事件

借助 Amazon CloudWatch Logs Insights,您可以交互地搜索和分析您的 Amazon Cognito CloudTrail 事件数据。在配置您的跟踪以将事件发送到 CloudWatch Logs 时,CloudTrail 只发送符合您的跟踪设置的事件。

要查询或研究您的 Amazon Cognito CloudTrail 事件,请在 CloudTrail 控制台中,确保您选择管理事件选项,以便您可以监控在您的Amazon资源的费用。您还可选择见解事件选项,当您想要识别帐户中的错误、异常活动或异常用户行为时。

Amazon Cognito 查询示例

您可以在 Amazon CloudWatch 控制台中使用以下查询。

常规查询

查找 25 个最近添加的日志事件。

fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com"

获取 25 个包含异常的日志事件的列表。

fields @timestamp, @message | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and @message like /Exception/

异常和错误查询

查找 25 个带有错误代码的最近添加的日志事件NotAuthorizedException以及 Amazon Cognito 用户池sub

fields @timestamp, additionalEventData.sub as user | sort @timestamp desc | limit 25 | filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException"

查找使用的记录数sourceIPAddress和相应的eventName

filter eventSource = "cognito-idp.amazonaws.com" | stats count(*) by sourceIPAddress, eventName

查找触发NotAuthorizedException错误。

filter eventSource = "cognito-idp.amazonaws.com" and errorCode= "NotAuthorizedException" | stats count(*) as count by sourceIPAddress, eventName | sort count desc | limit 25

找到前 25 个 IP 地址,称为ForgotPasswordAPI。

filter eventSource = "cognito-idp.amazonaws.com" and eventName = 'ForgotPassword' | stats count(*) as count by sourceIPAddress | sort count desc | limit 25