本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控服务器使用
您可以使用 Amazon 监控服务器中的活动CloudWatch和Amazon CloudTrail. 为了进一步分析,您还可以将服务器活动记录为可读的、近实时的指标。
主题
启用Amazon CloudTrail记录
您可使用 Amazon CloudTrail 监控 Amazon Transfer Family API 调用。通过监控 API 调用,您可以获取有用的安全性和操作信息。有关如何使用的更多信息CloudTrail和Amazon Transfer Family,请参阅Amazon Transfer Family 中的日志记录和监控.
如果您启用 Amazon S3 对象级别日志记录、RoleSessionName包含在申请方字段中[AWS:Role Unique
Identifier]/username.sessionid@server-id. 有关 的更多信息Amazon Identity and Access Management(IAM) 角色唯一标识符,请参阅唯一标识符中的Amazon Identity and Access Management用户指南.
的最大长度RoleSessionName为 64 个字符。如果RoleSessionName更长时间了,server-id
记录 Amazon S3 API 调用到 S3 访问日志
如果您使用 Amazon S3 访问日志确定 S3 请求代表您的文件传输用户制作,RoleSessionName用于显示担任哪个 IAM 角色来为文件传输提供服务。它还会显示其他信息,例如用于转移的用户名、会话 ID 和服务器 ID。格式为[AWS:Role
Unique Identifier]/username.sessionid@server-id并包含在申请方字段中。例如,以下是复制到 S3 存储桶的文件的 S3 访问日志中示例请求者字段的内容。
arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id
在上面的申请方字段中,它显示了名为IamRoleName. 有关 IAM 角色唯一标识符的更多信息,请参阅唯一标识符中的Amazon Identity and Access Management用户指南.
使用记录活动CloudWatch
要设置访问权限,您需要创建一个基于资源的 IAM 策略和一个提供该访问信息的 IAM 角色。
要启用 AmazonCloudWatch您可以首先创建一个启用此功能的 IAM 策略CloudWatch日志记录。然后,您将创建一个 IAM 角色并将策略附加到该角色。您可以在时候执行此操作创建服务器或者编辑现有服务器. 有关 的更多信息CloudWatch,请参阅什么是 AmazonCloudWatch?和什么是 AmazonCloudWatch日志?中的亚马逊CloudWatch用户指南.
创建 IAM 策略
-
使用以下示例策略创建您自己的 IAM 策略,该策略允许CloudWatch日志记录。有关如何为 Amazon Transfer Family 创建策略的信息,请参阅创建 IAM 角色和策略。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] }
然后,您将创建一个角色并附加CloudWatch记录您创建的策略。
创建 IAM 角色并附加策略
-
在导航窗格中,选择 Roles (角色),然后选择 Create role (创建角色)。
在存储库的创建角色页面,请确保Amazon服务已选择。
-
选择转移从服务列表中,选择后续:Permissions (下一步:权限)。这将在之间建立信任关系Amazon Transfer Family和 IAM 角色。此外,请添加
aws:SourceAccount和aws:SourceArn保护自己免受混淆代理人问题。有关更多细节,请参阅下列文档: -
在附加权限策略部分,找到并选择CloudWatch记录您刚刚创建的策略,然后选择后续:标签。
-
(可选)输入标签的键和值,然后选择后续:审核。
-
在审核页面上,输入新角色的名称和描述,然后选择创建角色。
-
要查看日志,请选择Server ID打开服务器配置页面,然后选择查看日志. 您将重定向到 CloudWatch 控制台,在其中可以查看日志流。
在服务器的 CloudWatch 页面上,您可以查看用户身份验证(成功和失败)、数据上传(PUT 操作)和数据下载(GET 操作)的记录。
限制混淆代理人问题的例子
以下示例日志记录策略允许账户中的任何服务器代入该角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "your Amazon Web Services 账户 ID" }, "ArnLike": { "aws:SourceArn": "arn:aws:logs:region-code:your Amazon Web Services 账户 ID:log-group:/aws/transfer/*" } } } ] }
以下示例日志记录策略允许特定服务器代入该角色。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "transfer.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:logs:region-code:your Amazon Web Services 账户 ID:log-group:/aws/transfer/your Transfer Family server ID" } } } ] }
使用CloudWatchTransfer 系列的指标
您还可以从 “Transfer Family” 控制台本身获取 “Transfer Family” 的指标。有关详细信息,请参阅 在控制台中监控服务器使用率
您可以使用CloudWatch指标。一个公制表示一个发布到并按时间排序的数据点集。CloudWatch. 使用指标时,必须指定 Transfer Family 命名空间、指标名称和维度. 有关指标的更多信息,请参阅指标中的亚马逊CloudWatch用户指南.
下表介绍了CloudWatchTransfer Family 的指标。
| 命名空间 | 指标 | 说明 |
|---|---|---|
|
|
|
传输到服务器的字节的总数。 单位:计数 时间:5 分钟 |
|
传出服务器的字节的总数。 单位:计数 时间:5 分钟 |
|
|
|
传输到服务器的文件的总数。 单位:计数 时间:5 分钟 |
|
|
|
传出服务器的文件的总数。 单位:计数 时间:5 分钟 |
|
|
|
在服务器上启动的工作流程执行的总数。 单位:计数 时间:1 分钟 |
|
|
|
服务器上成功执行工作流的总数。 单位:计数 时间:1 分钟 |
|
|
|
服务器上未成功执行的工作流程总数。 单位:计数 时间:1 分钟 |
Transfer Family 维度
维度是一个名称/值对,它是指标标识的一部分。有关维度的更多信息,请参阅维度中的亚马逊CloudWatch用户指南.
下表介绍了CloudWatchTransfer Family 的维度。
| 维度 | 说明 |
|---|---|
|
服务器的唯一 ID。 |