翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Amazon WorkMail で CloudWatch インサイトを使用する Amazon WorkMail コンソールで E メールのイベントログをオンにしている場合、または CloudWatch Logs への監査ログの配信を有効にしている場合は、Amazon CloudWatch Logs Insights を使用してイベントログをクエリできます。E メールのイベントログ記録をオンにすることの詳細については、[E メールイベントログ記録の有効化](tracking.md) を参照してください。詳細については、*Amazon CloudWatch Logs ユーザーガイド*の [CloudWatch Logs インサイトでログデータを分析する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)を参照してください。 次の例では、一般的な E メールイベントについて CloudWatch Logs をクエリする方法を示しています。これらのクエリは CloudWatch コンソールで実行します。これらのクエリの実行方法については、*Amazon CloudWatch Logs ユーザーガイド*の[チュートリアル: サンプルクエリを実行および変更する](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_AnalyzeLogData_RunSampleQuery.html)を参照してください。 **Example ユーザー A から送信された E メールをユーザー B が受信しなかった理由を確認する** 次のコード例は、タイムスタンプ順にソートされた、ユーザー A からユーザー B に送信された送信メールを照会する方法を示しています。 ``` fields @timestamp, traceId | sort @timestamp asc | filter (event.from like /(?i)userA@example.com/ and event.eventName = "OUTGOING_EMAIL_SUBMITTED" and event.recipients.0 like /(?i)userB@example.com/) ``` これは送信されたメッセージとトレース ID を返します。次のコード例のトレース ID を使用して、送信メッセージのイベントログを照会します。 ``` fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID" ``` これにより、E メールメッセージ ID と E メールイベントが返されます。`OUTGOING_EMAIL_SENT` は E メールが送信されたことを示します。`OUTGOING_EMAIL_BOUNCED` は、Eメールがバウンスしたことを示します。E メールが受信されたかどうかを確認するには、次のコード例のメッセージ ID を使用して照会します。 ``` fields @timestamp, event.eventName | sort @timestamp asc | filter event.messageId like "$MESSAGEID" ``` メッセージ ID は同じなので、受信したメッセージも返されるはずです。次のコード例のトレース ID を使用して、配信を照会します。 ``` fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID" ``` これにより、配信アクションと適用可能なすべてのルールアクションが返されます。   **Example ユーザーまたはドメインから受信したすべてのメールを確認する** 次のコード例では、指定されたユーザーから受信したすべてのメールを照会する方法を示しています。 ``` fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED") ``` 次のコード例は、指定したドメインから受信したすべてのメールを照会する方法を示しています。 ``` fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED") ``` **Example バウンスした E メールの送信者を確認する** 次のコード例では、バウンスした送信メールを照会する方法を示し、バウンスの理由も返します。 ``` fields @timestamp, event.destination, event.reason | sort @timestamp desc | filter event.eventName = "OUTGOING_EMAIL_BOUNCED" ``` 次のコード例は、バウンスした受信 E メールをクエリする方法を示しています。また、バウンスした受信者の E メールアドレスとバウンスの理由も返します。 ``` fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status | sort @timestamp desc | filter event.eventName = "INCOMING_EMAIL_BOUNCED" ``` **Example スパムを送信しているドメインを確認する** 次のコード例では、スパムを受信している組織内の受信者を照会する方法を示しています。 ``` stats count(*) as c by event.recipients.0 | filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL") | sort c desc ``` 次のコード例では、スパムメールの送信者を照会する方法を示しています。 ``` fields @timestamp, event.recipients.0, event.sender, event.from | sort @timestamp asc | filter (event.spamVerdict = "FAIL") ``` **Example E メールが受信者のスパムフォルダに送信された理由を確認する** 次のコード例では、件名でフィルタリングされた、スパムとして識別された E メールを照会する方法を示しています。 ``` fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict | sort @timestamp asc | filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED" ``` E メールトレース ID で照会して、E メールのすべてのイベントを確認することもできます。   **Example E メールのフロールールに一致する E メールを確認する** 次のコード例では、アウトバウンド Eメールフロールールに一致した E メールを照会する方法を示しています。 ``` fields @timestamp, event.ruleName, event.ruleActions.0.action | sort @timestamp desc | filter event.ruleType = "OUTBOUND_RULE" ``` 次のコード例では、受信 E メールフロールールに一致した E メールを照会する方法を示しています。 ``` fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0 | sort @timestamp desc | filter event.ruleType = "INBOUND_RULE" ``` **Example 組織が受信または送信した E メールの数を確認する** 次のコード例では、組織内の各受信者が受信した E メールの数を照会する方法を示しています。 ``` stats count(*) as c by event.recipient | filter event.eventName = "MAILBOX_EMAIL_DELIVERED" | sort c desc ``` 次のコード例は、組織内の各送信者によって送信された E メールの数を照会する方法を示しています。 ``` stats count(*) as c by event.from | filter event.eventName = "OUTGOING_EMAIL_SUBMITTED" | sort c desc ```