使用查询筛选日志条目 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用查询筛选日志条目

您可以使用 CloudWatch 查询来筛选和识别 Transfer Family 的日志条目。本节包含一些示例。

  1. 登录 Amazon Web Services Management Console 并打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 您可以创建查询或规则。

    • 要创建 Logs Insight s 查询,请从左侧导航面板中选择 Lo gs Insights,然后输入查询的详细信息。

    • 要创建 “贡献者见解” 规则,请从左侧导航面板中选择 “见解” > “贡献者见解”,然后输入规则的详细信息。

  3. 运行您创建的查询或规则。

查看身份验证失败的主要贡献者

在您的结构化日志中,身份验证失败日志条目类似于以下内容:

{
  "method":"password",
  "activity-type":"AUTH_FAILURE",
  "source-ip":"999.999.999.999",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "message":"Invalid user name or password",
  "user":"exampleUser"
}

运行以下查询以查看导致身份验证失败的主要原因。

filter @logStream = 'ERRORS'
| filter `activity-type` = 'AUTH_FAILURE'
| stats count() as AuthFailures by user, method
| sort by AuthFailures desc
| limit 10

您可以创建 “CloudWatch 贡献者CloudWatch 见解” 规则来查看身份验证失败情况,而不是使用 Logs Insights。创建类似于以下内容的规则。

{
    "AggregateOn": "Count",
    "Contribution": {
        "Filters": [
            {
                "Match": "$.activity-type",
                "In": [
                    "AUTH_FAILURE"
                ]
            }
        ],
        "Keys": [
            "$.user"
        ]
    },
    "LogFormat": "JSON",
    "Schema": {
        "Name": "CloudWatchLogRule",
        "Version": 1
    },
    "LogGroupARNs": [
        "arn:aws:logs:us-east-1:999999999999:log-group:/customer/structured_logs"
    ]
}

查看文件打开位置的日志条目

在您的结构化日志中,文件读取日志条目类似于以下内容:

{
  "mode":"READ",
  "path":"/fs-0df669c89d9bf7f45/avtester/example",
  "activity-type":"OPEN",
  "resource-arn":"arn:aws:transfer:us-east-1:999999999999:server/s-0123456789abcdef",
  "session-id":"0049cd844c7536c06a89"
}

运行以下查询以查看表明文件已打开的日志条目。

filter `activity-type` = 'OPEN'
| display @timestamp, @logStream, `session-id`, mode, path