监控服务器使用 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

监控服务器使用

您可以使用 Amazon 监控服务器中的活动CloudWatch和Amazon CloudTrail. 为了进一步分析,您还可以将服务器活动记录为可读的、近实时的指标。

启用Amazon CloudTrail记录

您可使用 Amazon CloudTrail 监控 Amazon Transfer Family API 调用。通过监控 API 调用,您可以获取有用的安全性和操作信息。有关如何使用的更多信息CloudTrail和Amazon Transfer Family,请参阅Amazon Transfer Family 中的日志记录和监控.

如果您启用 Amazon S3 对象级别日志记录RoleSessionName包含在申请方字段中[AWS:Role Unique Identifier]/username.sessionid@server-id. 有关 的更多信息Amazon Identity and Access Management(IAM) 角色唯一标识符,请参阅唯一标识符中的Amazon Identity and Access Management用户指南.

重要

的最大长度RoleSessionName为 64 个字符。如果RoleSessionName更长时间了,server-id被截断。

记录 Amazon S3 API 调用到 S3 访问日志

如果您使用 Amazon S3 访问日志确定 S3 请求代表您的文件传输用户制作,RoleSessionName用于显示担任哪个 IAM 角色来为文件传输提供服务。它还会显示其他信息,例如用于转移的用户名、会话 ID 和服务器 ID。格式为[AWS:Role Unique Identifier]/username.sessionid@server-id并包含在申请方字段中。例如,以下是复制到 S3 存储桶的文件的 S3 访问日志中示例请求者字段的内容。

arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id

在上面的申请方字段中,它显示了名为IamRoleName. 有关 IAM 角色唯一标识符的更多信息,请参阅唯一标识符中的Amazon Identity and Access Management用户指南.

使用记录活动CloudWatch

要设置访问权限,您需要创建一个基于资源的 IAM 策略和一个提供该访问信息的 IAM 角色。

要启用 AmazonCloudWatch您可以首先创建一个启用此功能的 IAM 策略CloudWatch日志记录。然后,您将创建一个 IAM 角色并将策略附加到该角色。您可以在时候执行此操作创建服务器或者编辑现有服务器. 有关 的更多信息CloudWatch,请参阅什么是 AmazonCloudWatch?什么是 AmazonCloudWatch日志?中的亚马逊CloudWatch用户指南.

创建 IAM 策略

  • 使用以下示例策略创建您自己的 IAM 策略,该策略允许CloudWatch日志记录。有关如何为 Amazon Transfer Family 创建策略的信息,请参阅创建 IAM 角色和策略

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] }

然后,您将创建一个角色并附加CloudWatch记录您创建的策略。

创建 IAM 角色并附加策略

  1. 在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)

    在存储库的创建角色页面,请确保Amazon服务已选择。

  2. 选择转移从服务列表中,选择后续:Permissions (下一步:权限)。这将在之间建立信任关系Amazon Transfer Family和 IAM 角色。此外,请添加aws:SourceAccountaws:SourceArn保护自己免受混淆代理人问题。有关更多细节,请参阅下列文档:

  3. 附加权限策略部分,找到并选择CloudWatch记录您刚刚创建的策略,然后选择后续:标签

  4. (可选)输入标签的键和值,然后选择后续:审核

  5. 审核页面上,输入新角色的名称和描述,然后选择创建角色

  6. 要查看日志,请选择Server ID打开服务器配置页面,然后选择查看日志. 您将重定向到 CloudWatch 控制台,在其中可以查看日志流。

在服务器的 CloudWatch 页面上,您可以查看用户身份验证(成功和失败)、数据上传(PUT 操作)和数据下载(GET 操作)的记录。

限制混淆代理人问题的例子

以下示例日志记录策略允许账户中的任何服务器代入该角色。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your Amazon Web Services 账户 ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:logs:region-code:your Amazon Web Services 账户 ID:log-group:/aws/transfer/*" } } } ] }

以下示例日志记录策略允许特定服务器代入该角色。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:logs:region-code:your Amazon Web Services 账户 ID:log-group:/aws/transfer/your Transfer Family server ID" } } } ] }

使用CloudWatchTransfer 系列的指标

注意

您还可以从 “Transfer Family” 控制台本身获取 “Transfer Family” 的指标。有关详细信息,请参阅 在控制台中监控服务器使用率

您可以使用CloudWatch指标。一个公制表示一个发布到并按时间排序的数据点集。CloudWatch. 使用指标时,必须指定 Transfer Family 命名空间、指标名称和维度. 有关指标的更多信息,请参阅指标中的亚马逊CloudWatch用户指南.

下表介绍了CloudWatchTransfer Family 的指标。

命名空间 指标 说明

AWS/Transfer

BytesIn

传输到服务器的字节的总数。

单位:计数

时间:5 分钟

BytesOut

传出服务器的字节的总数。

单位:计数

时间:5 分钟

FilesIn

传输到服务器的文件的总数。

单位:计数

时间:5 分钟

FilesOut

传出服务器的文件的总数。

单位:计数

时间:5 分钟

OnUploadExecutionsStarted

在服务器上启动的工作流程执行的总数。

单位:计数

时间:1 分钟

OnUploadExecutionsSuccess

服务器上成功执行工作流的总数。

单位:计数

时间:1 分钟

OnUploadExecutionsFailed

服务器上未成功执行的工作流程总数。

单位:计数

时间:1 分钟

Transfer Family 维度

维度是一个名称/值对,它是指标标识的一部分。有关维度的更多信息,请参阅维度中的亚马逊CloudWatch用户指南.

下表介绍了CloudWatchTransfer Family 的维度。

维度 说明

ServerId

服务器的唯一 ID。