Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # CloudWatch Insights mit Amazon verwenden WorkMail Wenn Sie die E-Mail-Ereignisprotokollierung in der WorkMail Amazon-Konsole aktiviert oder die Übermittlung von Auditprotokollen an CloudWatch Logs aktiviert haben, können Sie Amazon CloudWatch Logs Insights verwenden, um Ihre Ereignisprotokolle abzufragen. Weitere Informationen zum Einschalten der E-Mail-Ereignisprotokollierung finden Sie unter [Die Protokollierung von E-Mail-Ereignissen aktivieren](tracking.md). Weitere Informationen zu CloudWatch Logs Insights finden Sie unter [Analysieren von Protokolldaten mit CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*. Die folgenden Beispiele zeigen, wie CloudWatch Logs nach häufigen E-Mail-Ereignissen abgefragt werden. Sie führen diese Abfragen in der CloudWatch Konsole aus. Anweisungen zur Ausführung dieser Abfragen finden Sie unter [Tutorial: Eine Beispielabfrage ausführen und ändern](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData_RunSampleQuery.html) im *Amazon CloudWatch Logs-Benutzerhandbuch*. **Example Erfahren Sie, warum Benutzer B keine E-Mail von Benutzer A erhalten hat.** Das folgende Codebeispiel zeigt, wie Sie eine ausgehende E-Mail, die von Benutzer A an Benutzer B gesendet wurde, sortiert nach Zeitstempel abfragen können. ``` fields @timestamp, traceId | sort @timestamp asc | filter (event.from like /(?i)userA@example.com/ and event.eventName = "OUTGOING_EMAIL_SUBMITTED" and event.recipients.0 like /(?i)userB@example.com/) ``` Dies gibt die gesendete Nachricht und Nachverfolgungs-ID zurück. Verwenden Sie die Nachverfolgungs-ID im folgenden Codebeispiel, um die Ereignisprotokolle der gesendeten Nachricht abzufragen. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID" ``` Dies gibt die E-Mail-ID und die E-Mail-Ereignisse zurück. `OUTGOING_EMAIL_SENT` gibt an, dass die E-Mail gesendet wurde. `OUTGOING_EMAIL_BOUNCED` weist darauf hin, dass die E-Mail nicht zugestellt wurde. Um zu sehen, ob die E-Mail empfangen wurde, führen Sie eine Abfrage mit der Nachrichten-ID im folgenden Codebeispiel aus. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter event.messageId like "$MESSAGEID" ``` Dies sollte auch die empfangene Nachricht zurückgeben, da diese die gleiche Nachrichten-ID hat. Verwenden Sie die Nachverfolgungs-ID im folgenden Codebeispiel, um die Zustellung abzufragen. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID" ``` Dies gibt die Zustellaktion sowie alle zutreffenden Regelaktionen zurück.   **Example Sehen Sie sich alle E-Mails an, die von einem Benutzer oder einer Domain empfangen wurden** Das folgende Codebeispiel zeigt, wie Sie alle E-Mails abfragen können, die von einem bestimmten Benutzer empfangen wurden. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED") ``` Das folgende Codebeispiel zeigt, wie Sie alle E-Mails abfragen können, die von einer bestimmten Domäne empfangen wurden. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED") ``` **Example Sehen Sie, wer zurückgesendete E-Mails gesendet hat** Das folgende Codebeispiel zeigt, wie Sie eine Abfrage für ausgehende E-Mails erstellen können, die nicht zugestellt werden konnten. Er liefert zudem auch die Gründe für die Nichtzustellbarkeit. ``` fields @timestamp, event.destination, event.reason | sort @timestamp desc | filter event.eventName = "OUTGOING_EMAIL_BOUNCED" ``` Das folgende Codebeispiel zeigt, wie Sie eingehende E-Mails abfragen, die zurückgewiesen wurden. Außerdem werden die E-Mail-Adressen der zurückgesendeten Empfänger und die Gründe für die Zurückweisung zurückgegeben. ``` fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status | sort @timestamp desc | filter event.eventName = "INCOMING_EMAIL_BOUNCED" ``` **Example Finden Sie heraus, welche Domains Spam versenden** Das folgende Codebeispiel zeigt, wie Sie Empfänger in Ihrer Organisation abfragen können, die Spam erhalten. ``` stats count(*) as c by event.recipients.0 | filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL") | sort c desc ``` Das folgende Codebeispiel zeigt, wie Sie die Absender der Spam-E-Mails abfragen können. ``` fields @timestamp, event.recipients.0, event.sender, event.from | sort @timestamp asc | filter (event.spamVerdict = "FAIL") ``` **Example Erfahren Sie, warum eine E-Mail an den Spam-Ordner eines Empfängers gesendet wurde** Das folgende Codebeispiel zeigt, wie Sie E-Mails, gefiltert nach Betreff, abfragen können, die als Spam identifiziert wurden. ``` fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict | sort @timestamp asc | filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED" ``` Sie können auch die Nachverfolgungs-ID der E-Mail abfragen, um alle Ereignisse für die E-Mail einzusehen.   **Example Sehen Sie sich E-Mails an, die den E-Mail-Flussregeln entsprechen** Das folgende Codebeispiel zeigt, wie Sie E-Mails abfragen, die mit den E-Mail-Flussregeln für ausgehende Nachrichten übereingestimmt haben. ``` fields @timestamp, event.ruleName, event.ruleActions.0.action | sort @timestamp desc | filter event.ruleType = "OUTBOUND_RULE" ``` Das folgende Codebeispiel zeigt, wie Sie E-Mails abfragen, die mit den E-Mail-Flussregeln für eingehende Nachrichten übereingestimmt haben. ``` fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0 | sort @timestamp desc | filter event.ruleType = "INBOUND_RULE" ``` **Example Sehen Sie, wie viele E-Mails von Ihrer Organisation empfangen oder gesendet wurden** Das folgende Codebeispiel zeigt, wie Sie die Anzahl der E-Mails abfragen, die von den einzelnen Empfängern in Ihrer Organisation empfangen wurden. ``` stats count(*) as c by event.recipient | filter event.eventName = "MAILBOX_EMAIL_DELIVERED" | sort c desc ``` Das folgende Codebeispiel zeigt, wie Sie die Anzahl der E-Mails abfragen, die von den einzelnen Absendern in Ihrer Organisation gesendet wurden. ``` stats count(*) as c by event.from | filter event.eventName = "OUTGOING_EMAIL_SUBMITTED" | sort c desc ```