监控服务器使用情 - Amazon Transfer Family
启用 CloudTrail 日志记录将 S3 API 调用记录到 S3 访问日志使用 CloudWatch 视记录活动使用 CloudWatch 指标
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

监控服务器使用情

您可以使用 Amazon CloudWatch 监控服务器中的活动和Amazon CloudTrail。为了进一步分析,您还可以将服务器活动记录为可读的、近实时的指标。

Enable (启用 Gem)Amazon CloudTrail日志记录

您可使用 Amazon CloudTrail 监控 Amazon Transfer Family API 调用。通过监控 API 调用,您可以获取有用的安全性和操作信息。有关如何使用 CloudTrail 和Amazon Transfer Family,请参阅Amazon Transfer Family 中的日志记录和监控

如果有已启用 Amazon S3 对象级别日志记录RoleSessionName包含在请求者字段中,作为[AWS:Role Unique Identifier]/username.sessionid@server-id。有关 的更多信息Amazon Identity and Access Management(IAM) 角色唯一标识符,请参阅唯一标识符中的Amazon Identity and Access Management用户指南

重要

的最大长度RoleSessionName为 64 个字符。如果RoleSessionName更长,则server-id将被截断。

将 Amazon S3 API 调用记录到 S3 访问日志

如果使用 Amazon S3 访问日志确定 S3 请求代表您的文件传输用户,RoleSessionName用于显示代入哪个 IAM 角色来为文件传输提供服务。它还显示用于传输的用户名、会话 ID 和服务器 ID 等其他信息。格式为[AWS:Role Unique Identifier]/username.sessionid@server-id,并包含在 “请求者” 字段中。例如,以下是复制到 S3 存储桶的文件的 S3 访问日志中示例请求者字段的内容。

arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id

在上面的 “请求者” 字段中,它显示了名为IamRoleName。有关 IAM 角色唯一标识符的更多信息,请参阅唯一标识符中的Amazon Identity and Access Management用户指南

使用 CloudWatch 视记录活动

要设置访问权限,您需要创建一个基于资源的 IAM 策略和一个提供该访问信息的 IAM 角色。

要启用 Amazon CloudWatch 日志记录,您可以首先创建一个启用 CloudWatch 日志记录的 IAM 策略。然后,您可以创建 IAM 角色并将策略附加到该角色。当您创建服务器或者通过编辑现有服务器。有关 CloudWatch 的更多信息,请参阅什么是 Amazon CloudWatch?什么是 Amazon CloudWatch Logs?中的Amazon CloudWatch 用户指南

创建 IAM 策略

  • 使用以下示例策略创建您自己的允许 CloudWatch 日志记录的 IAM 策略。有关如何为 Amazon Transfer Family 创建策略的信息,请参阅创建 IAM 角色和策略

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}

然后,您可以创建一个角色并附加您创建的 CloudWatch Logs 策略。

创建 IAM 角色并附加策略

  1. 在导航窗格中,选择角色,然后选择创建角色

    在存储库的创建角色页面上,请确保Amazon服务已选择。

  2. 选择转移,然后选择后续:Permissions (下一步:权限)。这将在Amazon Transfer Family和 IAM 角色。

  3. 附加权限策略部分中,找到并选择刚刚创建的 CloudWatch Logs 策略,然后选择后续:标签

  4. (可选)输入标签的键和值,然后选择后续:审核

  5. 审核页面上,输入新角色的名称和描述,然后选择创建角色

  6. 要查看日志,请选择Server ID打开服务器配置页面,然后选择查看日志。您将重定向到 CloudWatch 控制台,在其中可以查看日志流。

在服务器的 CloudWatch 页面上,您可以查看用户身份验证(成功和失败)、数据上传(PUT操作)和数据下载(GET操作)。

CloudWatch 指标用于 Transfer Family

您可以使用 CloudWatch 指标获取有关服务器的信息。A指标代表一个发布到 CloudWatch 的数据点集。使用度量时,必须指定 Transfer Family 命名空间、度量名称和维度。有关指标的更多信息,请参阅指标中的Amazon CloudWatch 用户指南

下表介绍了 CloudWatch 指标。这些指标以 5 分钟为间隔进行测量。

Namespace 指标 说明

AWS/Transfer

BytesIn

传输到服务器的字节的总数。

单位:字节

BytesOut

从服务器传输的字节的总数。

单位:字节

Transfer Family 维度

维度是一个名称/值对,它是指标标识的一部分。有关维度的更多信息,请参阅维度中的Amazon CloudWatch 用户指南

下表介绍了 CloudWatch 维 Transfer Family。

维度 说明

ServerId

服务器的唯一 ID。