Enregistrement de l'accès des utilisateurs finaux avec audit de l'accès aux fichiers - Serveur FSx de fichiers Amazon pour Windows
Auditer les destinations des journaux d'événementsMigration de vos contrôles d'auditAffichage des journaux d'événements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement de l'accès des utilisateurs finaux avec audit de l'accès aux fichiers

Amazon FSx pour Windows File Server prend en charge l'audit de l'accès des utilisateurs finaux aux fichiers, aux dossiers et aux partages de fichiers. Vous pouvez choisir d'envoyer les journaux des événements d'audit d'un système de fichiers à d'autres AWS services proposant un ensemble complet de fonctionnalités. Il s'agit notamment de permettre l'interrogation, le traitement, le stockage et l'archivage des journaux, l'émission de notifications et le déclenchement d'actions pour améliorer encore vos objectifs de sécurité et de conformité.

Pour plus d'informations sur l'utilisation de l'audit d'accès aux fichiers pour obtenir des informations sur les modèles d'accès et implémenter des notifications de sécurité pour l'activité des utilisateurs finaux, consultez les sections Informations sur les modèles d'accès au stockage de fichiers et Implémentation de notifications de sécurité pour l'activité des utilisateurs finaux.

Note

L'audit d'accès aux fichiers n'est pris en charge que sur FSx les systèmes de fichiers Windows dont la capacité de débit est supérieure MBps ou égale à 32. Vous pouvez modifier la capacité de débit des systèmes de fichiers existants. Pour de plus amples informations, veuillez consulter Gestion de la capacité de débit.

L'audit d'accès aux fichiers vous permet d'enregistrer les accès des utilisateurs finaux à des fichiers, dossiers et partages de fichiers individuels en fonction des contrôles d'audit que vous avez définis. Les contrôles d'audit sont également appelés listes de contrôle d'accès au système NTFS (SACLs). Si vous avez déjà configuré des contrôles d'audit sur vos données de fichiers existantes, vous pouvez tirer parti de l'audit d'accès aux fichiers en créant un nouveau système de fichiers Amazon FSx pour Windows File Server et en migrant vos données.

Amazon FSx prend en charge les événements d'audit Windows suivants pour les accès aux fichiers, aux dossiers et aux partages de fichiers :

  • Pour les accès aux fichiers, il prend en charge : Tout, Traverser le dossier/Exécuter le fichier, Lister le dossier/Lire les données, Lire les attributs, créer des fichiers/Écrire des données, créer des dossiers/Ajouter des données, Écrire des attributs, supprimer des sous-dossiers et des fichiers, supprimer, lire les autorisations, modifier les autorisations et prendre possession.

  • Pour les accès au partage de fichiers, il prend en charge : Se connecter à un partage de fichiers.

Pour les accès aux fichiers, aux dossiers et aux partages de fichiers, Amazon FSx prend en charge la journalisation des tentatives réussies (par exemple, lorsqu'un utilisateur disposant des autorisations suffisantes accède à un fichier ou à un partage de fichiers), des tentatives infructueuses, ou les deux.

Vous pouvez configurer si vous souhaitez un audit d'accès uniquement sur les fichiers et les dossiers, uniquement sur les partages de fichiers, ou les deux. Vous pouvez également configurer les types d'accès qui doivent être enregistrés (tentatives réussies uniquement, tentatives infructueuses uniquement, ou les deux). Vous pouvez également désactiver l'audit d'accès aux fichiers à tout moment.

Note

L'audit d'accès aux fichiers enregistre les données d'accès des utilisateurs finaux uniquement à partir du moment où il est activé. En d'autres termes, l'audit de l'accès aux fichiers ne génère pas de journaux des événements d'audit des activités d'accès aux fichiers, aux dossiers et aux partages de fichiers de l'utilisateur final survenues avant l'activation de l'audit d'accès aux fichiers.

Le taux maximum d'événements d'audit d'accès pris en charge est de 5 000 événements par seconde. Les événements d'audit d'accès ne sont pas générés pour chaque opération de lecture et d'écriture de fichier, mais une fois par opération de métadonnées de fichier, par exemple lorsqu'un utilisateur crée, ouvre ou supprime un fichier.

Rubriques

Auditer les destinations des journaux d'événements

Lorsque vous activez l'audit d'accès aux fichiers, vous devez configurer un AWS service auquel Amazon FSx envoie les journaux des événements d'audit. Vous pouvez envoyer des journaux d'événements d'audit à un flux de CloudWatch journaux Amazon Logs d'un groupe de CloudWatch journaux Logs ou à un flux de diffusion Amazon Data Firehose. Vous choisissez la destination des journaux d'événements d'audit soit lorsque vous créez votre système de fichiers Amazon FSx pour Windows File Server, soit à tout moment par la suite en mettant à jour un système de fichiers existant. Pour de plus amples informations, veuillez consulter Gestion de l'audit des accès aux fichiers.

Voici quelques recommandations qui peuvent vous aider à choisir la destination des journaux des événements d'audit :

  • Choisissez CloudWatch Logs si vous souhaitez stocker, consulter et rechercher des journaux d'événements d'audit dans la CloudWatch console Amazon, exécuter des requêtes sur les journaux à l'aide CloudWatch de Logs Insights et déclencher des CloudWatch alarmes ou des fonctions Lambda.

  • Choisissez Amazon Data Firehose si vous souhaitez diffuser en continu des événements vers le stockage dans Amazon S3, vers une base de données dans Amazon Redshift, vers OpenSearch Amazon Service ou vers des solutions partenaires telles que Splunk ou Datadog AWS pour une analyse plus approfondie.

Par défaut, Amazon FSx crée et utilise un groupe de CloudWatch journaux Logs par défaut dans votre compte comme destination du journal des événements d'audit. Si vous souhaitez utiliser un groupe de journaux de CloudWatch journaux personnalisé ou utiliser Firehose comme destination du journal des événements d'audit, voici les exigences relatives aux noms et aux emplacements de la destination du journal des événements d'audit :

  • Le nom du groupe de CloudWatch journaux Logs doit commencer par le /aws/fsx/ préfixe. Si vous ne disposez pas d'un groupe de CloudWatch journaux Logs existant lorsque vous créez ou mettez à jour un système de fichiers sur la console, Amazon FSx peut créer et utiliser un flux de journaux par défaut dans le groupe de CloudWatch /aws/fsx/windows journaux Logs. Si vous ne souhaitez pas utiliser le groupe de journaux par défaut, l'interface utilisateur de configuration vous permet de créer un groupe de CloudWatch journaux de journaux lorsque vous créez ou mettez à jour votre système de fichiers sur la console.

  • Le nom du flux de diffusion Firehose doit commencer par le aws-fsx- préfixe. Si vous ne disposez pas d'un flux de diffusion Firehose existant, vous pouvez en créer un lorsque vous créez ou mettez à jour votre système de fichiers sur la console.

  • Le flux de diffusion Firehose doit être configuré pour être utilisé Direct PUT comme source. Vous ne pouvez pas utiliser un flux de données Kinesis existant comme source de données pour votre flux de diffusion.

  • La destination (groupe de CloudWatch journaux Logs ou flux de diffusion Firehose) doit se trouver sur la même AWS partition et sur celle de votre Compte AWS système de FSx fichiers Amazon. Région AWS

Vous pouvez modifier la destination du journal des événements d'audit à tout moment (par exemple, de CloudWatch Logs à Firehose). Dans ce cas, les nouveaux journaux des événements d'audit sont envoyés uniquement à la nouvelle destination.

Meilleur effort de livraison du journal des événements d'audit

Généralement, les enregistrements du journal des événements d'audit sont livrés à destination en quelques minutes, mais cela peut parfois prendre plus de temps. Dans de très rares cas, les enregistrements du journal des événements d'audit peuvent être manqués. Si votre cas d'utilisation nécessite une sémantique particulière (par exemple, pour s'assurer qu'aucun événement d'audit n'est manqué), nous vous recommandons de prendre en compte les événements manqués lors de la conception de vos flux de travail. Vous pouvez vérifier les événements manqués en analysant la structure des fichiers et des dossiers de votre système de fichiers.

Migration de vos contrôles d'audit

Si des contrôles d'audit (SACLs) sont déjà configurés sur vos données de fichiers existantes, vous pouvez créer un système de FSx fichiers Amazon et migrer vos données vers votre nouveau système de fichiers. Nous vous recommandons AWS DataSync de l'utiliser pour transférer les données et les données associées SACLs à votre système de FSx fichiers Amazon. Comme solution alternative, vous pouvez utiliser Robocopy (Robust File Copy). Pour de plus amples informations, veuillez consulter Migration du stockage de fichiers existant vers Amazon FSx.

Affichage des journaux d'événements

Vous pouvez consulter les journaux des événements d'audit une fois FSx qu'Amazon a commencé à les publier. L'emplacement et le mode d'affichage des journaux dépendent de la destination du journal des événements d'audit :

  • Vous pouvez consulter CloudWatch les journaux en accédant à la CloudWatch console et en choisissant le groupe de journaux et le flux de journaux auxquels vos journaux d'événements d'audit sont envoyés. Pour plus d'informations, consultez Afficher les données de journal envoyées à CloudWatch Logs dans le guide de l'utilisateur Amazon CloudWatch Logs.

    Vous pouvez utiliser CloudWatch Logs Insights pour rechercher et analyser les données de vos journaux de manière interactive. Pour plus d'informations, consultez Analyser les données des CloudWatch journaux avec Logs Insights dans le guide de l'utilisateur Amazon CloudWatch Logs.

    Vous pouvez également exporter les journaux des événements d'audit vers Amazon S3. Pour plus d'informations, consultez Exportation de données de journal vers Amazon S3, également dans le guide de l'utilisateur d'Amazon CloudWatch Logs.

  • Vous ne pouvez pas consulter les journaux des événements d'audit sur Firehose. Cependant, vous pouvez configurer Firehose pour transférer les journaux vers une destination à partir de laquelle vous pouvez les lire. Les destinations incluent Amazon S3, Amazon Redshift, Amazon OpenSearch Service et des solutions partenaires telles que Splunk et Datadog. Pour plus d'informations, consultez Choisir une destination dans le guide du développeur Amazon Data Firehose.

Champs d'événements d'audit

Cette section décrit les informations contenues dans les journaux des événements d'audit et fournit des exemples d'événements d'audit.

Vous trouverez ci-dessous une description des principaux champs d'un événement d'audit Windows.

  • EventID fait référence à l'ID d'événement du journal des événements Windows défini par Microsoft. Consultez la documentation Microsoft pour obtenir des informations sur les événements du système de fichiers et les événements de partage de fichiers.

  • SubjectUserNamefait référence à l'utilisateur effectuant l'accès.

  • ObjectNamefait référence au fichier, au dossier ou au partage de fichiers cible auquel vous avez accédé.

  • ShareNameest disponible pour les événements générés pour l'accès au partage de fichiers. Par exemple, EventID 5140 est généré lors de l'accès à un objet de partage réseau.

  • IpAddressfait référence au client qui a initié l'événement pour les événements de partage de fichiers.

  • Les mots clés, lorsqu'ils sont disponibles, indiquent si l'accès au fichier a réussi ou échoué. Pour les accès réussis, la valeur est0x8020000000000000. Pour les accès échoués, la valeur est0x8010000000000000.

  • TimeCreated SystemTimefait référence à l'heure à laquelle l'événement a été généré dans le système et affiché au format <YYYY-MM-:MM:SS.S>Z. DDThh

  • L'ordinateur fait référence au nom DNS du système de fichiers Windows Remote PowerShell Endpoint et peut être utilisé pour identifier le système de fichiers.

  • AccessMask, lorsqu'il est disponible, fait référence au type d'accès au fichier effectué (par exemple ReadData, WriteData).

  • AccessListfait référence à l'accès demandé ou accordé à un objet. Pour plus de détails, consultez le tableau ci-dessous et la documentation Microsoft (comme dans Event 4556).

Type d'accès Masque d'accès Valeur

Lire le répertoire de données ou de listes

0x1

%4416

Écrire des données ou ajouter un fichier

0x2

%417

Ajouter des données ou ajouter un sous-répertoire

0x4

%418

Lire les attributs étendus

0 x 8

%4419

Écrire des attributs étendus

0 x 10

%4420

Exécuter/Traverser

0 x 20

%4421

Supprimer l'enfant

0 x 40

%442

Lire les attributs

0x80

%4423

Écrire des attributs

0 x 100

%424

Suppression

0 x 10000

%1537

Lire ACL

0 x 20000

%1538

Écrire ACL

0x40000

%1539

Écrivez le propriétaire

0 x 80000

% 1540

Synchroniser

0 x 100000

%1541

ACL de sécurité d'accès

0x1000000

%1542

Voici quelques événements clés accompagnés d'exemples. Notez que le XML est formaté dans un souci de lisibilité.

L'ID d'événement 4660 est enregistré lorsqu'un objet est supprimé.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

L'ID d'événement 4659 est enregistré lors d'une demande de suppression de fichier.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

L'ID d'événement 4663 est enregistré lorsqu'une opération spécifique a été effectuée sur l'objet. L'exemple suivant montre la lecture de données à partir d'un fichier, qui peuvent être interprétées à partir de celui-ciAccessList %%4416.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

L'exemple suivant montre comment écrire/ajouter des données à partir d'un fichier, qui peuvent être interprétées à partir de celui-ci. AccessList %%4417

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

L'ID d'événement 4656 indique qu'un accès spécifique a été demandé pour un objet. Dans l'exemple suivant, la demande Read a été lancée pour ObjectName « permtest » et a échoué, comme le montre la valeur Keywords de. 0x8010000000000000

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

L'ID d'événement 4670 est enregistré lorsque les autorisations d'un objet sont modifiées. L'exemple suivant montre que l'utilisateur « admin » a modifié l'autorisation sur « permtest » pour ajouter des autorisations au SID ObjectName « S-1-5-21-658495921-4185342820-3824891517-1113 ». Reportez-vous à la documentation Microsoft pour plus d'informations sur l'interprétation des autorisations.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

L'ID d'événement 5140 est enregistré à chaque accès à un partage de fichiers.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

L'ID d'événement 5145 est enregistré lorsque l'accès est refusé au niveau du partage de fichiers. L'exemple suivant montre que l'accès à ShareName « demoshare01 » a été refusé.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

Si vous utilisez CloudWatch Logs Insights pour rechercher les données de vos journaux, vous pouvez exécuter des requêtes sur les champs d'événements, comme le montrent les exemples suivants :

  • Pour demander un ID d'événement spécifique, procédez comme suit :

    fields @message
   | filter @message like /4660/

  • Pour interroger tous les événements correspondant à un nom de fichier donné, procédez comme suit :

    fields @message
   | filter @message like /event.txt/

Pour plus d'informations sur le langage de requête CloudWatch Logs Insights, consultez Analyzing Log Data with CloudWatch Logs Insights, dans le guide de l'utilisateur Amazon CloudWatch Logs.