本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CloudWatch 中的使用者集區指標
使用者集區會以指標形式向 CloudWatch 報告使用者活動統計資料。從 CloudWatch,您可以分析使用者集區中的身分驗證活動量和配額用量。透過這些指標中的資訊,您可以為值得注意的事件設定警示,並視需要調整使用者集區組態。當使用者活動記錄具有使用者集區中使用者活動的詳細記錄時,CloudWatch 指標具有彙總統計資料和效能指標。
下表列出 Amazon Cognito 使用者集區可用的指標。Amazon Cognito 會將指標發佈至命名空間 `AWS/Cognito`和 `AWS/Usage`。如需詳細資訊,請參閱和《Amazon CloudWatch 使用者指南》**中的[Namespaces](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace)。
如需追蹤配額和用量的詳細資訊,請參閱 [追蹤配額使用量](quotas.md#track-quota-usage)和 [追蹤每月作用中使用者 MAUs)](quotas.md#track-mau-usage)。
**注意**
過去兩週內沒有任何新資料點的指標不會顯示在主控台中。也不會在您於主控台 **All metrics (所有指標)** 標籤的搜尋方塊中輸入指標名稱或維度名稱時顯示。此外,它們不會在 list-metrics 命令的結果中傳回。擷取這些指標的最佳方法是使用 CLI 中的 `get-metric-data`或 AWS `get-metric-statistics`命令。
| 指標 | Description | 命名空間 |
| --- | --- | --- |
| SignUpSuccesses | 提供對 Amazon Cognito 使用者集區提出的成功使用者註冊請求總數。成功的使用者註冊請求會產生值 1,而不成功的請求會產生值 0。調節的請求也遭認為是不成功的請求,因此調節的請求也將產生計數 0。 若要尋找成功的使用者註冊請求百分比,請使用此指標的 `Average` 統計數字。若要計算使用者註冊請求的總數,請使用此指標的 `Sample Count` 統計數字。若要計算成功的使用者註冊請求總數,請使用此指標的 `Sum` 統計數字。若要計算失敗的使用者註冊請求總數,請使用 CloudWatch `Math` 表達式並從 `Sum` 統計數字中減去 `Sample Count` 統計數字。 此指標會針對每個使用者集區用戶端的每個使用者集區發佈。如果是由管理員執行使用者註冊,則指標會與使用者集區用戶端一起發佈為 `Admin`。 請注意,不會針對[使用者匯入](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-using-import-tool.html)和[使用者遷移](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-import-using-lambda.html)案例發出此指標。 指標維度:`UserPool`、`UserPoolClient` 單位:Count | AWS/Cognito |
| SignUpThrottles | 提供對 Amazon Cognito 使用者集區提出的調節使用者註冊請求總數。每當調節使用者註冊請求時,就會發佈計數 1。 若要計算調節的使用者註冊請求總數,請使用此指標的 `Sum` 統計數字。 此指標針對每個用戶端的每個使用者集區發佈。如果是由管理員調節請求,則指標會與使用者集區用戶端一起發佈為 `Admin`。 指標維度:`UserPool`、`UserPoolClient` 單位:Count | AWS/Cognito |
| SignInSuccesses | 提供對 Amazon Cognito 使用者集區提出的成功使用者身分驗證請求總數。當身分驗證權杖發行給使用者時,使用者身分驗證會視為成功。成功的身分驗證請求會產生值 1,而不成功的請求會產生值 0。調節的請求也遭認為是不成功的請求,因此調節的請求也將產生計數 0。 若要尋找成功的使用者身分驗證請求百分比,請使用此指標的 `Average` 統計數字。若要計算使用者身分驗證請求的總數,請使用此指標的 `Sample Count` 統計數字。若要計算成功的使用者身分驗證請求總數,請使用此指標的 `Sum` 統計數字。若要計算失敗的使用者身分驗證請求總數,請使用 CloudWatch `Math` 表達式並從 `Sample Count` 統計數字中減去 `Sum` 統計數字。 此指標針對每個用戶端的每個使用者集區發佈。如果請求中提供了無效的使用者集區用戶端,則指標中對應的使用者集區用戶端值會包含固定值 `Invalid`,而非請求中傳送的實際無效值。 請注意,此指標中不包含重新整理 Amazon Cognito 權杖的請求。有個別指標可以提供 `Refresh` 權杖統計資料。 指標維度:`UserPool`、`UserPoolClient` 單位:Count | AWS/Cognito |
| SignInThrottles | 提供對 Amazon Cognito 使用者集區提出的調節使用者身分驗證請求總數。每當調節使用者身分驗證請求時,就會發佈計數 1。 若要計算調節的使用者身分驗證請求總數,請使用此指標的 `Sum` 統計數字。 此指標針對每個用戶端的每個使用者集區發佈。如果請求中提供了無效的使用者集區用戶端,則指標中對應的使用者集區用戶端值會包含固定值 `Invalid`,而非請求中傳送的實際無效值。 此指標中不包含重新整理 Amazon Cognito 權杖的請求。有個別指標可以提供 `Refresh` 權杖統計資料。 指標維度:`UserPool`、`UserPoolClient` 單位:Count | AWS/Cognito |
| TokenRefreshSuccesses | 提供對 Amazon Cognito 使用者集區提出重新整理 Amazon Cognito 權杖的成功請求總數。成功的重新整理 Amazon Cognito 權杖請求會產生值 1,而不成功的請求會產生值 0。調節的請求也遭認為是不成功的請求,因此調節的請求也將產生計數 0。 若要尋找成功的重新整理 Amazon Cognito 權杖請求百分比,請使用此指標的 `Average` 統計數字。若要計算重新整理 Amazon Cognito 權杖請求的總數,請使用此指標的 `Sample Count` 統計數字。若要計算成功的重新整理 Amazon Cognito 權杖請求總數,請使用此指標的 `Sum` 統計數字。若要計算失敗的重新整理 Amazon Cognito 權杖請求總數,請使用 CloudWatch `Math` 表達式並從 `Sample Count` 統計數字中減去 `Sum` 統計數字。 此指標會根據每個使用者集區用戶端發佈。如果請求中有無效的使用者集區用戶端,使用者集區用戶端值會包含固定值 `Invalid`。 指標維度:`UserPool`、`UserPoolClient` 單位:Count | AWS/Cognito |
| TokenRefreshThrottles | 提供對 Amazon Cognito 使用者集區提出重新整理 Amazon Cognito 權杖的調節請求總數。每當調節重新整理 Amazon Cognito 權杖請求時,就會發佈計數 1。 若要計算調節的重新整理 Amazon Cognito 權杖請求總數,請使用此指標的 `Sum` 統計數字。 此指標針對每個用戶端的每個使用者集區發佈。如果請求中提供了無效的使用者集區用戶端,則指標中對應的使用者集區用戶端值會包含固定值 `Invalid`,而非請求中傳送的實際無效值。 指標維度:`UserPool`、`UserPoolClient` 單位:Count | AWS/Cognito |
| FederationSuccesses | 提供對 Amazon Cognito 使用者集區提出的成功聯合身分請求總數。Amazon Cognito 向使用者發出身分驗證權杖時,則聯合身分視為成功。成功的聯合身分請求會產生值 1,而不成功的請求會產生值 0。限流請求和產生身分代碼但是沒有產生權杖的請求會產生值 0。 若要尋找成功的聯合身分請求百分比,請使用此指標的 `Average` 統計數字。若要計算聯合身分請求的總數,請使用此指標的 `Sample Count` 統計數字。若要計算成功的聯合身分請求總數,請使用此指標的 `Sum` 統計數字。若要計算失敗的聯合身分請求總數,請使用 CloudWatch `Math` 表達式並從 `Sample Count` 統計數字中減去 `Sum` 統計數字。 指標維度:`UserPool`、`UserPoolClient`、`IdentityProvider` 單位:Count | AWS/Cognito |
| FederationThrottles | 提供對 Amazon Cognito 使用者集區提出的調節聯合身分請求總數。每當調節聯合身分請求時,就會發佈計數 1。 若要計算調節的聯合身分請求總數,請使用此指標的 `Sum` 統計數字。 指標維度:`UserPool`、`UserPoolClient`、`IdentityProvider` 單位:Count | AWS/Cognito |
| CallCount | 提供與類別相關的客戶呼叫總數。此指標包含所有呼叫,例如調節呼叫、失敗呼叫和成功呼叫。 系統會針對 AWS 帳戶和區域中所有使用者集區的每個帳戶強制執行類別配額。 您可以使用此指標的 `Sum` 統計數字,計算類別中的呼叫總數。 指標維度:Service、Type、Resource、Class 單位:Count | AWS/Usage |
| ThrottleCount | 提供與類別相關的調節呼叫總數。 此指標在帳戶層級發佈。 您可以使用此指標的 `Sum` 統計數字,計算類別中的呼叫總數。 指標維度:Service、Type、Resource、Class 單位:Count | AWS/Usage |
## 檢視威脅防護指標
您的使用者集區發佈的指標具有有關威脅防護設定對使用者身分驗證活動之影響的統計資訊。您可能想知道有多少使用者嘗試使用遭入侵的登入資料登入。您也可以了解有多少百分比的登入活動被評估為具有一定程度的風險。Amazon Cognito 會在 Amazon CloudWatch 中將威脅防護功能的指標發佈至您的帳戶。Amazon Cognito 會依風險層級和請求層級將威脅防護指標分組在一起。
若要將內容新增至風險分析,您可以在[使用者集區或匯出的資料來源中檢視個別使用者登入嘗試的相關資訊](cognito-user-pool-settings-adaptive-authentication.md#user-pool-settings-adaptive-authentication-event-user-history)。
**若要在 CloudWatch 主控台中檢視指標**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇 **Metrics (指標)**。
1. 選擇 Amazon Cognito。
1. 選擇一組彙總指標,例如 **By Risk Classification** (依風險分類)。
1. **All metrics** (所有指標) 標籤會顯示該選項的所有指標。您可以執行下列動作:
+ 若要將資料表排序,請使用直欄標題。
+ 若要將指標圖形化,請勾選指標旁的核取方塊。若要選擇所有指標,請勾選表格標題列中的核取方塊。
+ 若要依資源篩選,請選擇資源 ID,然後選擇 **Add to search** (新增至搜尋)。
+ 若要依指標篩選,請選擇指標名稱,然後選擇 **Add to search** (新增至搜尋)。
| 指標 | Description | 指標維度 | 命名空間 |
| --- | --- | --- | --- |
| CompromisedCredentialRisk | Amazon Cognito 偵測到憑證洩露的請求。 | Operation:操作類型。`PasswordChange`、`SignIn` 或 `SignUp` 是唯一的維度。 UserPoolId:使用者集區的識別符。 RiskLevel:高 (預設)、中或低。 | AWS/Cognito |
| AccountTakeoverRisk | Amazon Cognito 偵測到帳戶接管風險的請求。 | Operation:操作類型。`PasswordChange`、`SignIn` 或 `SignUp` 是唯一的維度。 UserPoolId:使用者集區的識別符。 RiskLevel:高、中或低。 | AWS/Cognito |
| OverrideBlock | 因為開發人員提供的組態而遭到 Amazon Cognito 封鎖的請求。 | Operation:操作類型。`PasswordChange`、`SignIn` 或 `SignUp` 是唯一的維度。 UserPoolId:使用者集區的識別符。 RiskLevel:高、中或低。 | AWS/Cognito |
| Risk | Amazon Cognito 標記為有風險的請求。 | Operation:操作的類型,例如 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:使用者集區的識別符。 | AWS/Cognito |
| NoRisk | Amazon Cognito 未識別出任何風險的請求。 | Operation:操作的類型,例如 `PasswordChange`、`SignIn` 或 `SignUp`。 UserPoolId:使用者集區的識別符。 | AWS/Cognito |
Amazon Cognito 提供您兩個預先定義的指標群組,以準備在 CloudWatch 中進行分析。**By Risk Classification (依風險分類)** 針對 Amazon Cognito 識別為有風險的請求,識別風險層級的精細度。**By Request Classification (依請求分類)** 反映依請求層級彙整的指標。
| 彙總指標群組 | Description |
| --- | --- |
| 依風險分類 | Amazon Cognito 識別為有風險的請求。 |
| 依請求分類 | 依請求彙總的指標。 |
## Amazon Cognito 使用者集區的維度
以下維度用於調整 Amazon Cognito 發佈的用量指標。維度僅適用於 `CallCount` 和 `ThrottleCount ` 指標。
| 維度 | 描述 |
| --- | --- |
| Service (服務) | 包含資源 AWS 的服務名稱。對於 Amazon Cognito 用量指標,此維度的值為 `Cognito user pool`。 |
| Type | 正在報告的實體類型。Amazon Cognito 用量指標的唯一有效值為 API。 |
| 資源 | 正在執行的資源類型。唯一有效的值為類別名稱。 |
| 類別 | 正在追蹤的資源類別。Amazon Cognito 不會使用類別維度。 |
## 使用 CloudWatch 主控台追蹤指標
您可以使用 CloudWatch 追蹤和收集 Amazon Cognito 使用者集區指標。CloudWatch 儀表板會顯示您使用的每個 AWS 服務的指標。您可以使用 CloudWatch 建立指標警示。警示可設為傳送通知或變更您正在監控的特定資源。若要在 CloudWatch 中檢視服務配額指標,請完成下列步驟。
1. 開啟 [CloudWatch 主控台](https://console.aws.amazon.com/cloudwatch/)。
1. 在導覽窗格中,選擇 **Metrics (指標)**。
1. 在 **All metrics (所有指標)** 中,選取指標和維度。
1. 選取指標旁的核取方塊。指標會顯示在圖表中。
**注意**
過去兩週內沒有任何新資料點的指標不會顯示在主控台中。當您在主控台的 All metrics (所有指標) 索引標籤的搜尋方塊中輸入指標名稱或維度名稱時,它們也不會顯示,而且在 list-metrics 命令的結果中不會傳回這些名稱。擷取這些指標的最佳方法是使用 AWS CLI 中的 `get-metric-data` 或 `get-metric-statistics` 命令。
## 為配額建立 CloudWatch 警示
Amazon Cognito 提供對應至 `CallCount`和 `ThrottleCount` APIs AWS 服務配額的 CloudWatch 用量指標。如需在 CloudWatch 中追蹤用量的詳細資訊,請參閱[追蹤配額使用量](quotas.md#track-quota-usage)。
在 Service Quotas 主控台中,您可以建立警示,在您的用量接近服務配額時提醒您。若要了解如何使用 Service Quotas 主控台設定 CloudWatch 警示,請參閱 [Service Quotas 和 CloudWatch 警示](https://docs.aws.amazon.com/servicequotas/latest/userguide/configure-cloudwatch.html)。