Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Überwachung der WorkMail Amazon-Auditprotokolle
Sie können Auditprotokolle verwenden, um den Zugriff auf die Postfächer Ihrer WorkMail Amazon-Organisation zu überwachen. Amazon WorkMail protokolliert fünf Arten von Prüfereignissen. Diese Ereignisse können in CloudWatch Logs, Amazon S3 oder Amazon Firehouse veröffentlicht werden. Sie können Auditprotokolle verwenden, um Benutzerinteraktionen mit den Postfächern Ihres Unternehmens, Authentifizierungsversuche und die Bewertung von Zugriffskontrollregeln zu überwachen und Aufrufe von Verfügbarkeitsanbietern an externe Systeme durchzuführen und Ereignisse mit persönlichen Zugriffstoken zu überwachen. Informationen zur Konfiguration der Überwachungsprotokollierung finden Sie unterAudit-Protokollierung aktivieren.
In den folgenden Abschnitten werden die von Amazon protokollierten Prüfereignisse WorkMail, der Zeitpunkt der Übertragung der Ereignisse und Informationen zu den Ereignisfeldern beschrieben.
Protokolle des Postfach-Zugriffs
Postfachzugriffsereignisse liefern Informationen darüber, welche Aktion für welches Postfachobjekt ergriffen (oder versucht) wurde. Für jeden Vorgang, den Sie für ein Element oder einen Ordner in einem Postfach ausführen möchten, wird ein Postfachzugriffsereignis generiert. Diese Ereignisse sind nützlich, um den Zugriff auf Postfachdaten zu überwachen.
| Feld | Beschreibung |
|---|---|
|
event_timestamp |
Wann das Ereignis eingetreten ist, in Millisekunden seit der Unix-Zeit. |
|
request_id |
Die ID, die die Anfrage eindeutig identifiziert. |
|
organization_arn |
Der ARN der & WorkMail Amazon-Organisation, zu der der authentifizierte Benutzer gehört. |
|
user_id |
Die ID des authentifizierten Benutzers. |
|
impersonator_id |
Die ID des Imitators. Nur vorhanden, wenn die Identitätswechselfunktion für die Anfrage verwendet wurde. |
|
Protokoll |
Das verwendete Protokoll. Das Protokoll kann sein: |
|
source_ip |
Die Quell-IP-Adresse der Anforderung. |
|
user_agent |
Der Benutzeragent, der die Anfrage gestellt hat. |
|
action |
Die für das Objekt ausgeführte Aktion. Dies kann sein: |
|
owner_id |
Die ID des Benutzers, dem das Objekt gehört, auf das reagiert wird. |
|
object_type |
Der Objekttyp, der sein kann: Ordner, Nachricht oder Anlage. |
|
item_id |
Die ID, die die Nachricht eindeutig identifiziert, die der Betreff des Ereignisses ist oder die den Anhang enthält, der den Betreff des Ereignisses darstellt. |
|
folder_path |
Der Pfad des Ordners, für den eine Aktion ausgeführt wird, oder der Pfad des Ordners, der das Objekt enthält, auf das reagiert wird. |
|
folder_id |
Die ID, die den Ordner eindeutig identifiziert, der Gegenstand des Ereignisses ist oder der das Objekt enthält, das Gegenstand des Ereignisses ist. |
|
attachment_path |
Der Pfad der Anzeigenamen zum betroffenen Anhang. |
|
action_allowed |
Ob die Aktion erlaubt war. Kann wahr oder falsch sein. |
Protokolle zur Zugriffskontrolle
Zugriffskontrollereignisse werden immer dann generiert, wenn eine Zugriffskontrollregel ausgewertet wird. Diese Protokolle sind nützlich, um verbotene Zugriffe zu überprüfen oder Zugriffskontrollkonfigurationen zu debuggen.
| Feld | Beschreibung |
|---|---|
|
event_timestamp |
Wann das Ereignis eingetreten ist, in Millisekunden seit der Unix-Epoche. |
|
request_id |
Die ID, die die Anfrage eindeutig identifiziert. |
|
organization_arn |
Der ARN der WorkMail Organisation, zu der der authentifizierte Benutzer gehört. |
|
user_id |
Die ID des authentifizierten Benutzers. |
|
impersonator_id |
Die ID des Imitators. Nur vorhanden, wenn die Identitätswechselfunktion für die Anfrage verwendet wurde. |
|
Protokoll |
Das verwendete Protokoll, das sein kann: |
|
source_ip |
Die Quell-IP-Adresse der Anforderung. |
|
scope |
Der Geltungsbereich der Regel, der sein kann: |
|
rule_id |
Die ID der übereinstimmenden Zugriffskontrollregel. Wenn keine Regeln übereinstimmen, ist rule_id nicht verfügbar. |
|
access_granted |
Ob der Zugriff erlaubt war. Kann wahr oder falsch sein. |
Authentifizierungsprotokolle
Authentifizierungsereignisse enthalten Informationen über Authentifizierungsversuche.
Anmerkung
Authentifizierungsereignisse werden nicht für Authentifizierungsereignisse über die WorkMail WebMail Amazon-Anwendung generiert.
| Feld | Beschreibung |
|---|---|
|
event_timestamp |
Wann das Ereignis eingetreten ist, in Millisekunden seit der Unix-Epoche. |
|
request_id |
Die ID, die die Anfrage eindeutig identifiziert. |
|
organization_arn |
Der ARN der WorkMail Organisation, zu der der authentifizierte Benutzer gehört. |
|
user_id |
Die ID des authentifizierten Benutzers. |
|
user |
Der Benutzername, mit dem die Authentifizierung versucht wurde. |
|
Protokoll |
Das verwendete Protokoll, das sein kann: |
|
source_ip |
Die Quell-IP-Adresse der Anforderung. |
|
user_agent |
Der Benutzeragent, der die Anfrage gestellt hat. |
|
Methode |
Die Authentifizierungsmethode. Derzeit wird nur Basic unterstützt. |
|
auth_successful |
Ob der Authentifizierungsversuch erfolgreich war. Kann wahr oder falsch sein. |
|
auth_failed_reason |
Der Grund für den Authentifizierungsfehler. Nur vorhanden, wenn die Authentifizierung fehlgeschlagen ist. |
personal_access_token_id |
Die ID des persönlichen Zugriffstokens, das für die Authentifizierung verwendet wird. |
Protokolle des persönlichen Zugriffstokens
Für jeden Versuch, ein persönliches Zugriffstoken zu erstellen oder zu löschen, wird ein PAT-Ereignis (Personal Access Token) generiert. Ereignisse mit persönlichen Zugriffstoken geben Aufschluss darüber, ob Benutzer erfolgreich persönliche Zugriffstoken erstellt haben. Die Protokolle für persönliche Zugriffstoken sind nützlich, um Endbenutzer zu überprüfen, die ihre eigenen erstellen und löschen PATs. Bei der Benutzeranmeldung mit persönlichen Zugriffstoken werden Ereignisse in den vorhandenen Authentifizierungsprotokollen generiert. Weitere Informationen finden Sie unter Authentifizierungsprotokolle.
| Feld | Beschreibung |
|---|---|
|
event_timestamp |
Wann das Ereignis eingetreten ist, in Millisekunden seit der Unix-Epoche. |
|
request_id |
Die ID, die die Anfrage eindeutig identifiziert. |
|
organization_arn |
Der ARN der WorkMail Organisation, zu der der authentifizierte Benutzer gehört. |
|
user_id |
Die ID des authentifizierten Benutzers. |
|
user |
Der Benutzername des Benutzers, der diese Aktion ausgeführt hat. |
|
Protokoll |
Das für die Aktion verwendete Protokoll hat stattgefunden. Dies kann sein: webapp |
|
source_ip |
Die Quell-IP-Adresse der Anforderung. |
|
user_agent |
Der Benutzeragent, der die Anfrage gestellt hat. |
|
action |
Die Aktion des persönlichen Zugriffstokens, die wie folgt lauten kann: erstellen oder löschen. |
|
Name |
Der Name des persönlichen Zugriffstokens. |
|
expires_time |
Das Datum, an dem das persönliche Zugriffstoken abläuft. |
|
Bereiche |
Der Geltungsbereich der Berechtigungen für persönliche Zugriffstoken für das Postfach. |
Protokolle des Verfügbarkeitsanbieters
Verfügbarkeitsanbieter-Ereignisse werden für jede Verfügbarkeitsanfrage generiert, die Amazon in Ihrem Namen an Ihren konfigurierten Verfügbarkeitsanbieter WorkMail stellt. Diese Ereignisse sind nützlich, um die Konfiguration Ihres Verfügbarkeitsanbieters zu debuggen.
| Feld | Beschreibung |
|---|---|
|
event_timestamp |
Wann das Ereignis eingetreten ist, in Millisekunden seit der Unix-Epoche. |
|
request_id |
Die ID, die die Anfrage eindeutig identifiziert. |
|
organization_arn |
Der ARN der WorkMail Organisation, zu der der authentifizierte Benutzer gehört. |
|
user_id |
Die ID des authentifizierten Benutzers. |
|
Typ |
Der Typ des aufgerufenen Verfügbarkeitsanbieters. Dies kann sein: |
|
Domain |
Die Domain, für die die Verfügbarkeit erreicht wird. |
|
function_arn |
Der ARN des aufgerufenen Lambdas, falls der Typ LAMBDA ist. Andernfalls ist dieses Feld nicht vorhanden. |
|
ews_endpoint |
Der Typ des EWS-Endpunkts ist EWS. Andernfalls ist dieses Feld nicht vorhanden. |
|
error_message |
Die Meldung, die die Ursache des Fehlers beschreibt. Wenn die Anfrage erfolgreich war, ist dieses Feld nicht vorhanden. |
|
availability_event_successful |
Ob die Verfügbarkeitsanfrage erfolgreich bearbeitet wurde. |
