本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 跟踪和 Service Quotas 中的配额 CloudWatch 和使用情况
您可以使用亚马逊 CloudWatch 或服务配额来监控 Amazon Cognito 用户池。您还可以在 Service Quotas 中监控身份池的使用情况。 CloudWatch 收集原始数据并将其处理成可读的、近乎实时的指标。在中 CloudWatch,您可以设置警报,监视某些阈值,并在达到这些阈值时发送通知或采取行动。要为服务配额创建 CloudWatch 警报,请参阅[创建 CloudWatch警报](https://docs.aws.amazon.com/cognito/latest/developerguide/limits.html#create-a-cloud-watch-alarm)。Amazon Cognito 指标每隔五分钟提供一次。有关中保留期限的更多信息 CloudWatch,请访问 [Amazon CloudWatch 常见问题页面。](https://aws.amazon.com/cloudwatch/faqs)
您可以使用 Service Quotas 查看和管理 Amazon Cognito 用户池及身份池配额使用情况。Service Quotas 控制台具有三个功能:查看服务配额、请求提高服务配额以及查看当前利用率。您可以使用第一个功能来查看配额,并查看配额是否可调节。您可以使用第二个功能请求增加 Service Quotas。您可以使用最后一个功能查看配额利用率。此功能仅在您的账户已激活一段时间后才可用。有关在 Service Quotas 控制台中查看配额的更多信息,请参阅[查看 Service Quotas](https://docs.aws.amazon.com/servicequotas/latest/userguide/gs-request-quota.html)。
**注意**
Amazon Cognito 指标每 5 分钟提供一次。有关中保留期限的更多信息 CloudWatch,请访问 [Amazon CloudWatch 常见问题页面](https://aws.amazon.com/cloudwatch/faqs/)。
如果您登录 AWS 账户 的是设置为 CloudWatch跨账户可观察性的监控账户,则可以使用该监控账户来可视化服务配额,并为与该监控账户关联的源账户中的指标设置警报。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。
**Topics**
+ [中的用户池指标 CloudWatch](metrics-for-cognito-user-pools.md)
+ [Service Quotas 中的指标](use-the-service-quota-console-to-track-metrics.md)
# 中的用户池指标 CloudWatch
用户池将用户活动统计数据报告 CloudWatch 为指标。您可以从中 CloudWatch分析用户池中的身份验证活动量和配额使用情况。利用这些指标中的信息,您可为值得注意的事件设置警报,并根据需要调整用户池配置。用户活动日志记录包含用户池中用户活动的详细记录,而 CloudWatch 指标则包含汇总的统计数据和绩效指标。
下表列出了对 Amazon Cognito 用户池可用的指标。Amazon Cognito 将指标发布到命名空间 `AWS/Cognito` 和 `AWS/Usage`。有关更多信息,请参阅 A *mazon CloudWatch 用户*指南中的[命名空间](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace)。
有关跟踪配额和使用情况的更多信息,请参阅[跟踪配额使用量](quotas.md#track-quota-usage)和[跟踪每月活跃用户 (MAUs)](quotas.md#track-mau-usage)。
**注意**
控制台中不会显示在过去两周内没有任何新数据点的指标。当您在控制台中**所有指标**选项卡的搜索框中输入其指标名称或维度名称时,它们也不会显示。此外,它们不会在 list-metrics 命令的结果中返回。检索这些指标的最佳方法是在 AWS CLI 中使用`get-metric-data`或`get-metric-statistics`命令。
| 指标 | 说明 | 命名空间 |
| --- | --- | --- |
| SignUpSuccesses | 提供向 Amazon Cognito 用户池发出的成功用户注册请求的总数。一个成功的用户注册请求会产生值 1,而一个不成功的请求会产生值 0。受限制的请求也会被视为不成功的请求,因此,一个受限制的请求也将产生计数 0。 要查找成功的用户注册请求的百分比,请对此指标使用 `Average` 统计数据。要计算用户注册请求的总数,请对此指标使用 `Sample Count` 统计数据。要计算成功的用户注册请求的总数,请对此指标使用 `Sum` 统计数据。要计算失败的用户注册请求总数,请使用 CloudWatch `Math`表达式并从`Sum`统计数据中减去统计`Sample Count`数据。 为每个用户池客户端的用户池发布此指标。如果用户注册由管理员执行,则以 `Admin` 身份将指标与用户池客户端一起发布。 请注意,不会针对[用户导入](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html)和[用户迁移](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-import-using-lambda.html)案例发出此指标。 指标维度:`UserPool`、`UserPoolClient` 单位:计数 | AWS/Cognito |
| SignUpThrottles | 提供向 Amazon Cognito 用户池发出的受限的用户注册请求的总数。当用户注册请求受到限制时,将发布计数 1。 要计算受限制的用户注册请求的总数,请对此指标使用 `Sum` 统计数据。 为每个客户端的每个用户池发布此指标。如果受限制的请求由管理员发出,则以 `Admin` 身份将指标与用户池客户端一起发布。 指标维度:`UserPool`、`UserPoolClient` 单位:计数 | AWS/Cognito |
| SignInSuccesses | 提供向 Amazon Cognito 用户池发出的成功的用户身份验证请求的总数。在向用户颁发身份验证令牌时,用户身份验证将被视为成功。一个成功的身份验证会产生值 1,而一个不成功的请求会产生值 0。受限制的请求也会被视为不成功的请求,因此,一个受限制的请求也将产生计数 0。 要查找成功的用户身份验证请求的百分比,请对此指标使用 `Average` 统计数据。要计算用户身份验证请求的总数,请对此指标使用 `Sample Count` 统计数据。要计算成功的用户身份验证请求的总数,请对此指标使用 `Sum` 统计数据。要计算失败的用户身份验证请求总数,请使用 CloudWatch `Math`表达式并从`Sum`统计数据中减去统计`Sample Count`数据。 为每个客户端的每个用户池发布此指标。如果请求中提供了无效的用户池客户端,则指标中的相应用户池客户端值将包含固定值 `Invalid`,而不是请求中发送的实际无效值。 请注意,Amazon Cognito 令牌刷新请求并未包含在此指标中。有一个用于提供 `Refresh` 令牌统计数据的单独指标。 指标维度:`UserPool`、`UserPoolClient` 单位:计数 | AWS/Cognito |
| SignInThrottles | 提供向 Amazon Cognito 用户池发出的受限制的用户身份验证请求的总数。当身份验证请求受到限制时,将发布计数 1。 要计算受限制的用户身份验证请求的总数,请对此指标使用 `Sum` 统计数据。 为每个客户端的每个用户池发布此指标。如果请求中提供了无效的用户池客户端,则指标中的相应用户池客户端值将包含固定值 `Invalid`,而不是请求中发送的实际无效值。 Amazon Cognito 令牌刷新请求并未包含在此指标中。有一个用于提供 `Refresh` 令牌统计数据的单独指标。 指标维度:`UserPool`、`UserPoolClient` 单位:计数 | AWS/Cognito |
| TokenRefreshSuccesses | 提供向 Amazon Cognito 用户池发出的成功的 Amazon Cognito 令牌刷新请求的总数。一个成功的 Amazon Cognito 令牌刷新请求会产生值 1,而一个不成功的请求会产生值 0。受限制的请求也会被视为不成功的请求,因此,一个受限制的请求也将产生计数 0。 要查找成功的 Amazon Cognito令牌刷新请求的百分比,请对此指标使用 `Average` 统计数据。要计算 Amazon Cognito 令牌刷新请求的总数,请对此指标使用 `Sample Count` 统计数据。要计算成功的 Amazon Cognito 令牌刷新请求的总数,请对此指标使用`Sum`统计数据。要计算刷新 Amazon Cognito 令牌的失败请求总数,请使用 CloudWatch`Math`表达式并从`Sum`统计数据中减去统计数据。`Sample Count` 按每个用户池客户端发布此指标。如果请求中有无效的用户池客户端,则用户池客户端值包含固定值 `Invalid`。 指标维度:`UserPool`、`UserPoolClient` 单位:计数 | AWS/Cognito |
| TokenRefreshThrottles | 提供向 Amazon Cognito 用户池发出的受限制 Amazon Cognito 令牌刷新请求的总数。当 Amazon Cognito 令牌刷新请求受到限制时,将发布计数 1。 要计算受限制的 Amazon Cognito 令牌刷新请求的总数,请对此指标使用 `Sum` 统计数据。 为每个客户端的每个用户池发布此指标。如果请求中提供了无效的用户池客户端,则指标中的相应用户池客户端值将包含固定值 `Invalid`,而不是请求中发送的实际无效值。 指标维度:`UserPool`、`UserPoolClient` 单位:计数 | AWS/Cognito |
| FederationSuccesses | 提供向 Amazon Cognito 用户池发出的成功的联合身份验证请求的总数。当 Amazon Cognito 向用户颁发身份验证令牌时,身份联合验证被视为成功。一个成功的联合身份验证请求会产生值 1,而一个不成功的请求会产生值 0。节流的请求以及生成授权码但没有令牌的请求所生成的值为 0。 要查找成功的联合身份验证请求的百分比,请对此指标使用 `Average` 统计数据。要计算联合身份验证请求的总数,请对此指标使用 `Sample Count` 统计数据。要计算成功的联合身份验证请求的总数,请对此指标使用 `Sum` 统计数据。要计算失败的身份联合请求总数,请使用 CloudWatch `Math`表达式并从`Sum`统计数据中减去统计`Sample Count`数据。 指标维度:`UserPool`、`UserPoolClient`、`IdentityProvider` 单位:计数 | AWS/Cognito |
| FederationThrottles | 提供向 Amazon Cognito 用户池发出的受限制的联合身份验证请求的总数。当联合身份验证请求受到限制时,将发布计数 1。 要计算受限制的联合身份验证请求的总数,请对此指标使用 `Sum` 统计数据。 指标维度:`UserPool`、`UserPoolClient`、`IdentityProvider` 单位:计数 | AWS/Cognito |
| CallCount | 提供客户发出的与类别相关的调用总数。此指标包括所有调用,如受限制的调用、失败的调用和成功的调用。 在账户和地区的所有用户池中,每个 AWS 账户都必须使用类别配额。 您可以使用此指标的 `Sum` 统计数据计算调用总数。 指标维度:服务、类型、资源、类 单位:计数 | AWS/Usage |
| ThrottleCount | 提供与类别相关的受限调用总数。 此指标已在账户级别发布。 您可以使用此指标的 `Sum` 统计数据计算某个类别中的调用总数。 指标维度:服务、类型、资源、类 单位:计数 | AWS/Usage |
## 查看威胁防护指标
您的用户池发布的指标包含有关以下方面的统计信息:您的威胁防护设置对用户身份验证活动的影响。您可能想知道有多少用户尝试使用已泄露的凭证登录。您还可以了解有多少百分比的登录活动被评估为存在一定风险。Amazon Cognito 将威胁防护功能的指标发布到您在亚马逊上的账户。 CloudWatchAmazon Cognito 同时按风险级别和请求级别对威胁防护指标进行分组。
要为风险分析添加背景信息,您可以在用户池或导出的数据来源中[查看有关单个用户登录尝试的信息](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history)。
**在 CloudWatch 控制台中查看指标**
1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。
1. 在导航窗格中,选择**指标**。
1. 选择 Amazon Cognito。
1. 选择一组聚合指标,如**按风险分类**。
1. **所有指标**选项卡显示该选择的所有指标。您可执行以下操作:
+ 要对表进行排序,请使用列标题。
+ 要为指标绘制图表,请选中该指标旁的复选框。要选择所有指标,请选中表的标题行中的复选框。
+ 要按资源进行筛选,请选择资源 ID,然后选择**添加到搜索**。
+ 要按指标进行筛选,请选择指标名称,然后选择**添加到搜索**。
| 指标 | 说明 | 指标维度 | 命名空间 |
| --- | --- | --- | --- |
| CompromisedCredentialRisk | Amazon Cognito 在其中检测到泄露凭证的请求。 | Operation:操作类型。仅有的维度是 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:用户池的标识符。 RiskLevel:高(默认)、中或低。 | AWS/Cognito |
| AccountTakeoverRisk | Amazon Cognito 在其中检测到账户接管风险的请求。 | Operation:操作类型。仅有的维度是 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:用户池的标识符。 RiskLevel: 高、中或低。 | AWS/Cognito |
| OverrideBlock | 因开发人员提供的配置而被 Amazon Cognito 阻止的请求。 | Operation:操作类型。仅有的维度是 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:用户池的标识符。 RiskLevel: 高、中或低。 | AWS/Cognito |
| Risk | Amazon Cognito 标记为有风险的请求。 | Operation:操作类型,例如 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:用户池的标识符。 | AWS/Cognito |
| NoRisk | Amazon Cognito 在其中没有识别出任何风险的请求。 | Operation:操作类型,例如 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:用户池的标识符。 | AWS/Cognito |
Amazon Cognito 为您提供了两组预定义的指标,供您随时进行分析。 CloudWatch**按风险分类**标识 Amazon Cognito 认定为有风险的请求的风险级别。**按请求分类**体现了按请求级别聚合的指标。
| 汇总指标组 | 说明 |
| --- | --- |
| 按风险分类 | 被 Amazon Cognito 标识为有风险的请求。 |
| 按请求分类 | 按请求汇总的指标。 |
## Amazon Cognito 用户池的维度
以下维度用于优化由 Amazon Cognito 发布的用量指标。维度仅适用于 `CallCount` 和 `ThrottleCount ` 指标。
| 维度 | 描述 |
| --- | --- |
| 服务 | 包含资源的 AWS 服务的名称。对于 Amazon Cognito 用量指标,此维度的值为 `Cognito user pool`。 |
| Type | 正在报告的实体的类型。Amazon Cognito 用量指标的唯一有效值为 API。 |
| 资源 | 正在运行的资源的类型。唯一的有效值是类别名。 |
| 类 | 所跟踪的资源的类。Amazon Cognito 不使用类维度。 |
## 使用 CloudWatch 控制台跟踪指标
您可以使用跟踪和收集 Amazon Cognito 用户池指标。 CloudWatch CloudWatch 控制面板将显示有关您使用的每项 AWS 服务的指标。您可以使用 CloudWatch 创建指标警报。可以将警报设置为向您发送通知或更改您正在监控的特定资源。要在中查看服务配额指标 CloudWatch,请完成以下步骤。
1. 打开 [CloudWatch 控制台](https://console.aws.amazon.com/cloudwatch/)。
1. 在导航窗格中,选择**指标**。
1. 在**所有指标**中,选择一个指标和维度。
1. 选中指标旁边的复选框。指标将出现在图表中。
**注意**
控制台中不会显示在过去两周内没有任何新数据点的指标。当您在控制台的“全部指标”选项卡的搜索框中输入指标名称或维度名称时,它们也不会显示,并且 list-metrics 命令的结果中不会返回它们。检索这些指标的最佳方法是在 AWS CLI 中使用 `get-metric-data` 或者 `get-metric-statistics` 命令。
## 为配额创建 CloudWatch 警报
Amazon Cognito 提供的 CloudWatch 使用量指标与和的 AWS 服务配额`CallCount`相对应。`ThrottleCount` APIs有关在中跟踪使用情况的更多信息 CloudWatch,请参阅[跟踪配额使用量](quotas.md#track-quota-usage)。
在 Service Quotas 控制台中,您可以创建告警,以便在您的使用量接近服务配额时提示您。要了解如何使用服务配额控制台设置 CloudWatch 警报,请参阅[服务配额和 CloudWatch 警报](https://docs.aws.amazon.com/servicequotas/latest/userguide/configure-cloudwatch.html)。
# Service Quotas 中的指标
借助 Service Quotas,您可以从一个中心位置查看和管理 Amazon Cognito 用户池及身份池配额。您可以使用 Service Quotas 控制台查看具体配额的详细信息、监控配额利用率以及请求增加配额。对于某些配额类型,您可以创建 CloudWatch警报来跟踪您的配额使用情况。要详细了解您可以跟踪哪些 Amazon Cognito 指标,请参阅[跟踪配额使用量](quotas.md#track-quota-usage)。
**要查看 Amazon Cognito 用户池和身份池的服务限额使用情况,请完成以下步骤。**
1. 打开[服务限额控制台](https://console.aws.amazon.com/servicequotas/)。
1. 在导航窗格中,选择 **AWS 服务**。
1. 从 **AWS 服务**列表中,搜索并选择 **Amazon Cognito 用户池**或 **Amazon Cognito 联合身份**。此时将显示服务配额页面。
1. 选择支持 CloudWatch 监控的配额。例如,在 Amazon Cognito 用户池中选择 `Rate of UserAuthentication requests`。
1. 向下滚动到**监控**。此部分仅针对支持 CloudWatch 监控的配额显示。
1. 在**监控**中,您可以在图表中查看当前服务配额利用率。
1. 在**监控)**中,选择 1 小时、3 小时、12 小时、1 天、3 天或 1 周。
1. 选择图表中的任意区域,以查看服务配额利用率百分比。在这里,您可以将图表添加到控制面板或使用操作菜单选择**在指标中查看**,这将带您进入 CloudWatch 控制台中的相关指标。