Uso de CloudWatch Insights con Amazon WorkMail
Si ha activado el registro de eventos por correo electrónico en la consola de Amazon WorkMail o ha habilitado el envío de registros de auditoría a registros de CloudWatch, puede utilizar información de registros de Amazon CloudWatch para consultar sus registros de eventos. Para obtener más información acerca de cómo activar el registro de eventos de correo electrónico, consulte Habilitación del registro de eventos de correo electrónico. Para obtener más información sobre CloudWatch Logs, consulte Análisis de datos de registro con Información de registros de CloudWatch en la Guía del usuario de Registros de Amazon CloudWatch.
En los siguientes ejemplos se muestra cómo consultar en CloudWatch Logs eventos comunes de correo electrónico. Estas consultas las ejecuta en la consola de CloudWatch. Para obtener instrucciones sobre cómo ejecutar estas consultas, consulte Tutorial: Ejecución y modificación de una consulta de muestra en la Guía del usuario de Registros de Amazon CloudWatch.
ejemplo Descubra por qué usuario B no ha recibido un mensaje de correo electrónico enviado por usuario A.
El siguiente ejemplo de código muestra cómo una consulta en un mensaje de correo electrónico enviado por un usuario saliente al usuario B, ordenados por marca de tiempo.
fields @timestamp, traceId | sort @timestamp asc | filter (event.from like /(?i)userA@example.com/ and event.eventName = "OUTGOING_EMAIL_SUBMITTED" and event.recipients.0 like /(?i)userB@example.com/)
Esto devuelve el mensaje enviado y el ID de rastro. Utilice el ID de rastro en el siguiente ejemplo de código para consultar los registros de eventos del el mensaje enviado.
fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID"
Devuelve el ID de mensaje de correo electrónico y los eventos de correo electrónico. OUTGOING_EMAIL_SENT indica que el correo electrónico se ha enviado. OUTGOING_EMAIL_BOUNCED indica que el correo electrónico ha rebotado. Para ver si se ha recibido el correo electrónico, consulte mediante el ID de mensaje en el siguiente ejemplo de código.
fields @timestamp, event.eventName | sort @timestamp asc | filter event.messageId like "$MESSAGEID"
Esto también debe devolver el mensaje recibido, ya que tiene el mismo ID de mensaje. Utilice el ID de rastro en el siguiente ejemplo de código para consultar la entrega.
fields @timestamp, event.eventName | sort @timestamp asc | filter traceId = "$TRACEID"
Devuelve la acción de entrega y las acciones de las reglas aplicables.
ejemplo Consulte todo el correo recibido de un usuario o dominio
El siguiente ejemplo de código muestra cómo consultar todo el correo recibido de un usuario especificado.
fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
El siguiente ejemplo de código muestra cómo consultar todo el correo recibido de un dominio especificado.
fields @timestamp, event.eventName | sort @timestamp asc | filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")
ejemplo Consulte quién envió correos electrónicos rebotados
El siguiente ejemplo de código muestra cómo realizar consultas de correos electrónicos salientes que han rebotado, y explica también las razones de rebote.
fields @timestamp, event.destination, event.reason | sort @timestamp desc | filter event.eventName = "OUTGOING_EMAIL_BOUNCED"
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico entrantes rebotados. También devuelve las direcciones de correo electrónico de los destinatarios rechazados y los motivos del rechazo.
fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status | sort @timestamp desc | filter event.eventName = "INCOMING_EMAIL_BOUNCED"
ejemplo Vea qué dominios están enviando spam
El siguiente ejemplo de código muestra cómo consultar los destinatarios de su organización que reciben spam.
stats count(*) as c by event.recipients.0 | filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL") | sort c desc
El siguiente ejemplo de código muestra cómo consultar quién es el remitente de los mensajes de correo electrónico de spam.
fields @timestamp, event.recipients.0, event.sender, event.from | sort @timestamp asc | filter (event.spamVerdict = "FAIL")
ejemplo Consulte por qué un correo electrónico se envió a una carpeta de spam del destinatario
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico identificados como spam, filtrados por asunto.
fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict | sort @timestamp asc | filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED"
También puede consultar mediante el ID de rastro de correo electrónico para ver todos los eventos del correo electrónico.
ejemplo Consulte correos electrónicos que coinciden con las reglas del flujo de correo electrónico
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico que coinciden con las reglas del flujo de correo electrónico saliente.
fields @timestamp, event.ruleName, event.ruleActions.0.action | sort @timestamp desc | filter event.ruleType = "OUTBOUND_RULE"
El siguiente ejemplo de código muestra cómo consultar los mensajes de correo electrónico que coinciden con las reglas del flujo de correo electrónico entrante.
fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0 | sort @timestamp desc | filter event.ruleType = "INBOUND_RULE"
ejemplo Consulte la cantidad de correos electrónicos que han sido recibidos o enviados por su organización
El siguiente ejemplo de código muestra cómo consultar el número de mensajes de correo electrónico recibido por cada destinatario de su organización.
stats count(*) as c by event.recipient | filter event.eventName = "MAILBOX_EMAIL_DELIVERED" | sort c desc
El siguiente ejemplo de código muestra cómo consultar el número de mensajes de correo electrónico enviados por cada remitente en su organización.
stats count(*) as c by event.from | filter event.eventName = "OUTGOING_EMAIL_SUBMITTED" | sort c desc
