Protokollierung des Endbenutzerzugriffs mit Dateizugriffsüberwachung - Amazon FSx für Windows-Dateiserver
Ziele des Ereignisprotokolls überwachenMigrieren Sie Ihre AuditkontrollenEreignisprotokolle anzeigen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollierung des Endbenutzerzugriffs mit Dateizugriffsüberwachung

Amazon FSx für Windows File Server unterstützt die Überwachung des Endbenutzerzugriffs auf Dateien, Ordner und Dateifreigaben. Sie können sich dafür entscheiden, die Audit-Ereignisprotokolle eines Dateisystems an andere AWS Dienste zu senden, die eine Vielzahl von Funktionen bieten. Dazu gehören die Aktivierung der Abfrage, Verarbeitung, Speicherung und Archivierung von Protokollen, die Ausgabe von Benachrichtigungen und das Auslösen von Aktionen, um Ihre Sicherheits- und Compliance-Ziele weiter voranzutreiben.

Weitere Informationen zur Verwendung von Dateizugriffsprüfungen, um Einblicke in Zugriffsmuster zu erhalten und Sicherheitsbenachrichtigungen für Endbenutzeraktivitäten zu implementieren, finden Sie unter Einblicke in Zugriffsmuster für Dateispeicher und Implementieren von Sicherheitsbenachrichtigungen für Endbenutzeraktivitäten.

Anmerkung

Die Dateizugriffsüberwachung wird nur FSx für Windows-Dateisysteme mit einer Durchsatzkapazität von 32 MBps oder mehr unterstützt. Sie können die Durchsatzkapazität vorhandener Dateisysteme ändern. Weitere Informationen finden Sie unter Verwaltung der Durchsatzkapazität FSx für Windows File Server-Dateisysteme.

Mit der Dateizugriffsüberwachung können Sie die Zugriffe von Endbenutzern auf einzelne Dateien, Ordner und Dateifreigaben auf der Grundlage Ihrer definierten Überwachungskontrollen aufzeichnen. Überwachungskontrollen werden auch als NTFS Systemzugriffskontrolllisten () SACLs bezeichnet. Wenn Sie bereits Auditkontrollen für Ihre vorhandenen Dateidaten eingerichtet haben, können Sie die Vorteile der Dateizugriffsprüfung nutzen, indem Sie ein neues Amazon FSx for Windows File Server-Dateisystem erstellen und Ihre Daten migrieren.

Amazon FSx unterstützt die folgenden Windows-Auditereignisse für Datei-, Ordner- und Dateifreigabezugriffe:

  • Für Dateizugriffe werden unterstützt: Alle, Ordner durchqueren/Datei ausführen, Ordner auflisten/Daten lesen, Attribute lesen, Dateien erstellen/Daten schreiben, Ordner erstellen/Daten erstellen/Daten anhängen, Attribute schreiben, Unterordner und Dateien löschen, Leseberechtigungen erstellen, Berechtigungen ändern und Besitz übernehmen.

  • Für Dateifreigabezugriffe unterstützt es: Connect zu einer Dateifreigabe herstellen.

Bei Zugriffen auf Dateien, Ordner und Dateifreigaben FSx unterstützt Amazon die Protokollierung erfolgreicher Versuche (z. B. wenn ein Benutzer mit ausreichenden Berechtigungen erfolgreich auf eine Datei oder Dateifreigabe zugreift), fehlgeschlagener Versuche oder beides.

Sie können konfigurieren, ob Sie die Zugriffsprüfung nur für Dateien und Ordner, nur für Dateifreigaben oder beides durchführen möchten. Sie können auch konfigurieren, welche Zugriffstypen protokolliert werden sollen (nur erfolgreiche Versuche, nur fehlgeschlagene Versuche oder beides). Sie können die Dateizugriffsüberwachung auch jederzeit deaktivieren.

Anmerkung

Bei der Dateizugriffsüberwachung werden Endbenutzerzugriffsdaten nur ab dem Zeitpunkt aufgezeichnet, zu dem sie aktiviert sind. Das heißt, bei der Dateizugriffsüberwachung werden keine Audit-Ereignisprotokolle über die Datei-, Ordner- und Dateifreigabezugriffsaktivitäten von Endbenutzern generiert, die vor der Aktivierung der Dateizugriffsüberwachung stattgefunden haben.

Die maximale Anzahl unterstützter Zugriffsprüfungsereignisse liegt bei 5.000 Ereignissen pro Sekunde. Zugriffsprüfungsereignisse werden nicht für jeden Lese- und Schreibvorgang einer Datei generiert, sondern nur einmal pro Dateimetadaten-Vorgang generiert, z. B. wenn ein Benutzer eine Datei erstellt, öffnet oder löscht.

Themen

Ziele des Ereignisprotokolls überwachen

Wenn Sie die Dateizugriffsprüfung aktivieren, müssen Sie einen AWS Service konfigurieren, an den Amazon die Audit-Ereignisprotokolle FSx sendet. Sie können Audit-Ereignisprotokolle entweder an einen Amazon CloudWatch Logs-Protokollstream in einer CloudWatch Logs-Protokollgruppe oder an einen Amazon Data Firehose-Lieferstream senden. Sie wählen das Ziel der Audit-Ereignisprotokolle entweder bei der Erstellung Ihres Dateisystems FSx für Amazon für Windows File Server oder jederzeit danach, indem Sie ein vorhandenes Dateisystem aktualisieren. Weitere Informationen finden Sie unter Verwaltung der Dateizugriffsüberwachung.

Im Folgenden finden Sie einige Empfehlungen, die Ihnen bei der Entscheidung helfen können, welches Ziel für Audit-Ereignisprotokolle Sie wählen sollten:

  • Wählen Sie CloudWatch Logs, wenn Sie Audit-Ereignisprotokolle in der CloudWatch Amazon-Konsole speichern, anzeigen und durchsuchen, mithilfe von Logs Insights Abfragen zu den CloudWatch Protokollen ausführen und CloudWatch Alarme oder Lambda-Funktionen auslösen möchten.

  • Wählen Sie Amazon Data Firehose, wenn Sie Ereignisse kontinuierlich in den Speicher in Amazon S3, in eine Datenbank in Amazon Redshift, an Amazon OpenSearch Service oder an AWS Partnerlösungen wie Splunk oder Datadog zur weiteren Analyse streamen möchten.

Standardmäßig erstellt und verwendet Amazon FSx eine CloudWatch Standard-Logs-Protokollgruppe in Ihrem Konto als Ziel für Audit-Ereignisprotokolle. Wenn Sie eine benutzerdefinierte CloudWatch Protokollgruppe verwenden oder Firehose als Ziel für das Audit-Ereignisprotokoll verwenden möchten, gelten die folgenden Anforderungen für die Namen und Speicherorte des Audit-Ereignisprotokollziels:

  • Der Name der CloudWatch Logs-Protokollgruppe muss mit dem /aws/fsx/ Präfix beginnen. Wenn Sie beim Erstellen oder Aktualisieren eines Dateisystems auf der Konsole keine bestehende CloudWatch Logs-Protokollgruppe haben, FSx kann Amazon einen Standard-Log-Stream in der CloudWatch /aws/fsx/windows Logs-Protokollgruppe erstellen und verwenden. Wenn Sie die Standard-Protokollgruppe nicht verwenden möchten, können Sie über die Konfigurationsoberfläche eine CloudWatch Logs-Protokollgruppe erstellen, wenn Sie Ihr Dateisystem auf der Konsole erstellen oder aktualisieren.

  • Der Name des Firehose-Lieferstreams muss mit dem aws-fsx- Präfix beginnen. Wenn Sie noch keinen Firehose-Lieferstream haben, können Sie einen erstellen, wenn Sie Ihr Dateisystem an der Konsole erstellen oder aktualisieren.

  • Der Firehose-Lieferstream muss so konfiguriert sein, dass er Direct PUT als Quelle verwendet wird. Sie können einen vorhandenen Kinesis-Datenstream nicht als Datenquelle für Ihren Lieferstream verwenden.

  • Das Ziel (entweder CloudWatch Logs-Protokollgruppe oder Firehose-Lieferstream) muss sich in derselben AWS Partition und AWS-Konto wie Ihr FSx Amazon-Dateisystem befinden. AWS-Region

Sie können das Ziel des Audit-Ereignisprotokolls jederzeit ändern (z. B. von CloudWatch Logs zu Firehose). Wenn Sie dies tun, werden neue Audit-Ereignisprotokolle nur an das neue Ziel gesendet.

Bereitstellung des Audit-Ereignisprotokolls nach besten Kräften

In der Regel werden die Aufzeichnungen des Audit-Ereignisprotokolls innerhalb von Minuten an das Ziel übermittelt, manchmal kann dies jedoch länger dauern. In sehr seltenen Fällen können Aufzeichnungen aus den Protokollen von Prüfungsereignissen übersehen werden. Wenn Ihr Anwendungsfall eine bestimmte Semantik erfordert (z. B. um sicherzustellen, dass keine Prüfereignisse übersehen werden), empfehlen wir Ihnen, bei der Gestaltung Ihrer Workflows verpasste Ereignisse zu berücksichtigen. Sie können nach verpassten Ereignissen suchen, indem Sie die Datei- und Ordnerstruktur in Ihrem Dateisystem scannen.

Migrieren Sie Ihre Auditkontrollen

Wenn Sie bereits Auditkontrollen (SACLs) für Ihre vorhandenen Dateidaten eingerichtet haben, können Sie ein FSx Amazon-Dateisystem erstellen und Ihre Daten in Ihr neues Dateisystem migrieren. Wir empfehlen AWS DataSync die Verwendung zur Übertragung von Daten und das zugehörige Dateisystem SACLs zu Ihrem FSx Amazon-Dateisystem. Als alternative Lösung können Sie Robocopy (Robust File Copy) verwenden. Weitere Informationen finden Sie unter Migration vorhandener Dateispeicher zu Amazon FSx.

Ereignisprotokolle anzeigen

Sie können die Audit-Ereignisprotokolle einsehen, nachdem Amazon mit der Ausgabe begonnen FSx hat. Wo und wie Sie die Protokolle einsehen, hängt vom Ziel des Audit-Ereignisprotokolls ab:

  • Sie können die CloudWatch Protokollprotokolle anzeigen, indem Sie zur CloudWatch Konsole gehen und die Protokollgruppe und den Protokollstream auswählen, an die Ihre Audit-Ereignisprotokolle gesendet werden sollen. Weitere Informationen finden Sie unter An CloudWatch Logs gesendete Protokolldaten anzeigen im Amazon CloudWatch Logs-Benutzerhandbuch.

    Sie können CloudWatch Logs Insights verwenden, um Ihre Protokolldaten interaktiv zu suchen und zu analysieren. Weitere Informationen finden Sie unter Analysieren von Protokolldaten mit CloudWatch Logs Insights im Amazon CloudWatch Logs-Benutzerhandbuch.

    Sie können die Audit-Ereignisprotokolle auch nach Amazon S3 exportieren. Weitere Informationen finden Sie unter Exportieren von Protokolldaten nach Amazon S3, ebenfalls im Amazon CloudWatch Logs-Benutzerhandbuch.

  • Sie können die Audit-Ereignisprotokolle auf Firehose nicht anzeigen. Sie können Firehose jedoch so konfigurieren, dass die Protokolle an ein Ziel weitergeleitet werden, von dem aus Sie lesen können. Zu den Zielen gehören Amazon S3, Amazon Redshift, Amazon OpenSearch Service und Partnerlösungen wie Splunk und Datadog. Weitere Informationen finden Sie unter Ziel auswählen im Amazon Data Firehose Developer Guide.

Ereignisfelder prüfen

Dieser Abschnitt enthält Beschreibungen der Informationen in den Protokollen von Prüfungsereignissen und Beispiele für Prüfereignisse.

Im Folgenden werden die wichtigsten Felder eines Windows-Überwachungsereignisses beschrieben.

  • EventID bezieht sich auf die von Microsoft definierte Windows-Ereignisprotokoll-Event-ID. Informationen zu Dateisystemereignissen und Dateifreigabeereignissen finden Sie in der Microsoft-Dokumentation.

  • SubjectUserNamebezieht sich auf den Benutzer, der den Zugriff durchführt.

  • ObjectNamebezieht sich auf die Zieldatei, den Ordner oder die Dateifreigabe, auf die zugegriffen wurde.

  • ShareNameist für Ereignisse verfügbar, die für den Dateifreigabezugriff generiert werden. EventID 5140Wird beispielsweise generiert, wenn auf ein Netzwerk-Share-Objekt zugegriffen wurde.

  • IpAddressbezieht sich auf den Client, der das Ereignis für Dateifreigabeereignisse ausgelöst hat.

  • Schlüsselwörter, sofern verfügbar, geben an, ob der Dateizugriff erfolgreich war oder fehlgeschlagen ist. Für erfolgreiche Zugriffe ist 0x8020000000000000 der Wert. Für fehlgeschlagene Zugriffe ist der Wert. 0x8010000000000000

  • TimeCreated SystemTimebezieht sich auf die Zeit, zu der das Ereignis im System generiert und im Format < YYYY -MM DDThh -:mm:ss.S>Z angezeigt wurde.

  • Computer bezieht sich auf den DNS Namen des Dateisystems Windows Remote PowerShell Endpoint und kann zur Identifizierung des Dateisystems verwendet werden.

  • AccessMaskbezieht sich, sofern verfügbar, auf die Art des ausgeführten Dateizugriffs (z. B. ReadData, WriteData).

  • AccessListbezieht sich auf den angeforderten oder gewährten Zugriff auf ein Objekt. Einzelheiten finden Sie in der Tabelle unten und in der Microsoft-Dokumentation (z. B. in Ereignis 4556).

Art des Zugriffs Zugriffsmaske Wert

Daten lesen oder Verzeichnis auflisten

0x1

%4416

Daten schreiben oder Datei hinzufügen

0x2

%4417

Daten anhängen oder Unterverzeichnis hinzufügen

0x4

%4418

Erweiterte Attribute lesen

0x8

%4419

Erweiterte Attribute schreiben

0x10

%4420

Ausführen/Durchqueren

0x20

%4421

Kind löschen

0x40

%4422

Attribute lesen

0x80

%%4423

Schreibattribute

0 x 100

%%4424

Löschen

0x10000

%%1537

Lesen ACL

0x20000

%%1538

Schreiben ACL

0x40000

%%1539

Besitzer schreiben

0x80000

%%1540

Synchronisieren

0x100000

%%1541

Zugriffssicherheit ACL

0x1000000

%%1542

Im Folgenden finden Sie einige wichtige Ereignisse mit Beispielen. Beachten Sie, dass das aus XML Gründen der Lesbarkeit formatiert ist.

Die Ereignis-ID 4660 wird protokolliert, wenn ein Objekt gelöscht wird.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

Die Ereignis-ID 4659 wird bei einer Anforderung zum Löschen einer Datei protokolliert.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

Die Ereignis-ID 4663 wird protokolliert, wenn ein bestimmter Vorgang an dem Objekt ausgeführt wurde. Das folgende Beispiel zeigt das Lesen von Daten aus einer Datei, anhand derer interpretiert werden kann. AccessList %%4416

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

Das folgende Beispiel zeigt das Schreiben/Anhängen von Daten aus einer Datei, anhand derer interpretiert werden kann. AccessList %%4417

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

Die Ereignis-ID 4656 gibt an, dass ein bestimmter Zugriff für ein Objekt angefordert wurde. Im folgenden Beispiel wurde die Leseanforderung für ObjectName „permtest“ initiiert und war ein fehlgeschlagener Versuch, wie der Wert Keywords von zeigt. 0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

Die Ereignis-ID 4670 wird protokolliert, wenn die Berechtigungen für ein Objekt geändert werden. Das folgende Beispiel zeigt, dass der Benutzer „admin“ die Berechtigung für „permtest“ geändert hat, um Berechtigungen für ObjectName „S-1-5-21-658495921-4185342820-3824891517-1113“ hinzuzufügen. SID Weitere Informationen zur Interpretation der Berechtigungen finden Sie in der Microsoft-Dokumentation.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

Die Ereignis-ID 5140 wird bei jedem Zugriff auf eine Dateifreigabe protokolliert.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

Die Ereignis-ID 5145 wird protokolliert, wenn der Zugriff auf Dateifreigabeebene verweigert wird. Das folgende Beispiel zeigt, dass der Zugriff auf ShareName „demoshare01" verweigert wurde.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

Wenn Sie CloudWatch Logs Insights verwenden, um Ihre Protokolldaten zu durchsuchen, können Sie Abfragen in den Ereignisfeldern ausführen, wie die folgenden Beispiele zeigen:

  • So fragen Sie nach einer bestimmten Ereignis-ID ab:

    fields @message
   | filter @message like /4660/

  • Um alle Ereignisse abzufragen, die einem bestimmten Dateinamen entsprechen:

    fields @message
   | filter @message like /event.txt/

Weitere Informationen zur CloudWatch Logs Insights-Abfragesprache finden Sie unter Analysieren von Protokolldaten mit CloudWatch Logs Insights im Amazon CloudWatch Logs-Benutzerhandbuch.