Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Uso de CloudWatch Insights con Amazon WorkMail Si has activado el registro de eventos por correo electrónico en la WorkMail consola de Amazon o has activado la entrega de registros de auditoría a CloudWatch Logs, puedes usar Amazon CloudWatch Logs Insights para consultar tus registros de eventos. Para obtener más información acerca de cómo activar el registro de eventos de correo electrónico, consulte [Habilitación del registro de eventos de correo electrónico](tracking.md). Para obtener más información sobre CloudWatch Logs Insights, consulte [Analizar datos de registro con CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) en la *Guía del usuario de Amazon CloudWatch Logs*. Los siguientes ejemplos muestran cómo consultar los CloudWatch registros para detectar eventos de correo electrónico comunes. Estas consultas se ejecutan en la CloudWatch consola. Para obtener instrucciones sobre cómo ejecutar estas consultas, consulte el [Tutorial: Ejecutar y modificar una consulta de ejemplo](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData_RunSampleQuery.html) en la *Guía del usuario de Amazon CloudWatch Logs*. **Example Descubra por qué usuario B no ha recibido un mensaje de correo electrónico enviado por usuario A.** El siguiente ejemplo de código muestra cómo una consulta en un mensaje de correo electrónico enviado por un usuario saliente al usuario B, ordenados por marca de tiempo. ``` fields @timestamp, traceId | sort @timestamp asc | filter (event.from like /(?i)userA@example.com/ and event.eventName = "OUTGOING_EMAIL_SUBMITTED" and event.recipients.0 like /(?i)userB@example.com/) ``` Esto devuelve el mensaje enviado y el ID de rastro. Utilice el ID de rastro en el siguiente ejemplo de código para consultar los registros de eventos del el mensaje enviado. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID" ``` Devuelve el ID de mensaje de correo electrónico y los eventos de correo electrónico. `OUTGOING_EMAIL_SENT` indica que el correo electrónico se ha enviado. `OUTGOING_EMAIL_BOUNCED` indica que el correo electrónico ha rebotado. Para ver si se ha recibido el correo electrónico, consulte mediante el ID de mensaje en el siguiente ejemplo de código. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter event.messageId like "$MESSAGEID" ``` Esto también debe devolver el mensaje recibido, ya que tiene el mismo ID de mensaje. Utilice el ID de rastro en el siguiente ejemplo de código para consultar la entrega. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID" ``` Devuelve la acción de entrega y las acciones de las reglas aplicables.   **Example Consulte todo el correo recibido de un usuario o dominio** El siguiente ejemplo de código muestra cómo consultar todo el correo recibido de un usuario especificado. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED") ``` El siguiente ejemplo de código muestra cómo consultar todo el correo recibido de un dominio especificado. ``` fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED") ``` **Example Consulte quién envió correos electrónicos rebotados** El siguiente ejemplo de código muestra cómo realizar consultas de correos electrónicos salientes que han rebotado, y explica también las razones de rebote. ``` fields @timestamp, event.destination, event.reason | sort @timestamp desc | filter event.eventName = "OUTGOING_EMAIL_BOUNCED" ``` El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico entrantes rebotados. También devuelve las direcciones de correo electrónico de los destinatarios rechazados y los motivos del rechazo. ``` fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status | sort @timestamp desc | filter event.eventName = "INCOMING_EMAIL_BOUNCED" ``` **Example Vea qué dominios están enviando spam** El siguiente ejemplo de código muestra cómo consultar los destinatarios de su organización que reciben spam. ``` stats count(*) as c by event.recipients.0 | filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL") | sort c desc ``` El siguiente ejemplo de código muestra cómo consultar quién es el remitente de los mensajes de correo electrónico de spam. ``` fields @timestamp, event.recipients.0, event.sender, event.from | sort @timestamp asc | filter (event.spamVerdict = "FAIL") ``` **Example Consulte por qué un correo electrónico se envió a una carpeta de spam del destinatario** El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico identificados como spam, filtrados por asunto. ``` fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict | sort @timestamp asc | filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED" ``` También puede consultar mediante el ID de rastro de correo electrónico para ver todos los eventos del correo electrónico.   **Example Consulte correos electrónicos que coinciden con las reglas del flujo de correo electrónico** El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico que coinciden con las reglas del flujo de correo electrónico saliente. ``` fields @timestamp, event.ruleName, event.ruleActions.0.action | sort @timestamp desc | filter event.ruleType = "OUTBOUND_RULE" ``` El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico que coinciden con las reglas del flujo de correo electrónico entrante. ``` fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0 | sort @timestamp desc | filter event.ruleType = "INBOUND_RULE" ``` **Example Consulte la cantidad de correos electrónicos que han sido recibidos o enviados por su organización** El siguiente ejemplo de código muestra cómo consultar el número de mensajes de correo electrónico recibido por cada destinatario de su organización. ``` stats count(*) as c by event.recipient | filter event.eventName = "MAILBOX_EMAIL_DELIVERED" | sort c desc ``` El siguiente ejemplo de código muestra cómo consultar el número de mensajes de correo electrónico enviados por cada remitente en su organización. ``` stats count(*) as c by event.from | filter event.eventName = "OUTGOING_EMAIL_SUBMITTED" | sort c desc ```