Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Surveillance des journaux WorkMail d'audit Amazon
Vous pouvez utiliser les journaux d'audit pour contrôler l'accès aux boîtes aux lettres de votre WorkMail organisation Amazon. Amazon WorkMail enregistre cinq types d'événements d'audit qui peuvent être publiés sur CloudWatch Logs, Amazon S3 ou Amazon Firehouse. Vous pouvez utiliser les journaux d'audit pour surveiller l'interaction des utilisateurs avec les boîtes aux lettres de votre organisation, les tentatives d'authentification, l'évaluation des règles de contrôle d'accès, effectuer des appels aux fournisseurs de disponibilité vers des systèmes externes et surveiller les événements à l'aide de jetons d'accès personnels. Pour plus d'informations sur la configuration de la journalisation des audits, consultezActiver la journalisation des audits.
Les sections suivantes décrivent les événements d'audit enregistrés par Amazon WorkMail, le moment où les événements sont transmis et les informations relatives aux champs des événements.
journaux d'accès aux boîtes aux lettres
Les événements d'accès aux boîtes aux lettres fournissent des informations sur l'action entreprise (ou tentée) sur tel ou tel objet de boîte aux lettres. Un événement d'accès à la boîte aux lettres est généré pour chaque opération que vous tentez d'exécuter sur un élément ou un dossier d'une boîte aux lettres. Ces événements sont utiles pour auditer l'accès aux données des boîtes aux lettres.
| Champ | Description |
|---|---|
|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
|
request_id |
L'ID qui identifie de manière unique la demande. |
|
organization_arn |
L'ARN de l' WorkMail organisation & Amazon à laquelle appartient l'utilisateur authentifié. |
|
user_id |
L'ID de l'utilisateur authentifié. |
|
imitateur_id |
L'identifiant de l'imitateur. Présent uniquement si la fonction d'emprunt d'identité a été utilisée pour la demande. |
|
protocole ; |
Le protocole utilisé. Le protocole peut être : |
|
adresse IP de la source |
Adresse IP source de la demande. |
|
user_agent |
L'agent utilisateur à l'origine de la demande. |
|
action |
L'action effectuée sur l'objet, qui peut être : |
|
owner_id |
L'ID de l'utilisateur propriétaire de l'objet sur lequel on agit. |
|
object_type |
Type d'objet, qui peut être : dossier, message ou pièce jointe. |
|
item_id |
L'ID qui identifie de manière unique le message faisant l'objet de l'événement ou contenant la pièce jointe faisant l'objet de l'événement. |
|
chemin_dossier |
Le chemin du dossier sur lequel on agit ou le chemin du dossier contenant l'élément sur lequel on agit. |
|
identifiant_dossier |
ID identifiant de manière unique le dossier faisant l'objet de l'événement ou contenant l'objet objet de l'événement. |
|
chemin_pièce jointe |
Le chemin des noms d'affichage vers la pièce jointe concernée. |
|
action_autorisée |
Si l'action a été autorisée. Cela peut être vrai ou faux. |
Journaux de contrôle d'accès
Des événements de contrôle d'accès sont générés chaque fois qu'une règle de contrôle d'accès est évaluée. Ces journaux sont utiles pour auditer les accès interdits ou pour déboguer les configurations de contrôle d'accès.
| Champ | Description |
|---|---|
|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
|
request_id |
L'ID qui identifie de manière unique la demande. |
|
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
|
user_id |
L'ID de l'utilisateur authentifié. |
|
imitateur_id |
L'identifiant de l'imitateur. Présent uniquement si la fonction d'emprunt d'identité a été utilisée pour la demande. |
|
protocole ; |
Le protocole utilisé, qui peut être : |
|
adresse IP de la source |
Adresse IP source de la demande. |
|
scope |
Le champ d'application de la règle, qui peut être : |
|
rule_id |
ID de la règle de contrôle d'accès correspondante. Lorsqu'aucune règle ne correspond, rule_id n'est pas disponible. |
|
accès_accordé |
Si l'accès a été autorisé. Cela peut être vrai ou faux. |
Journaux d'authentification
Les événements d'authentification contiennent des informations sur les tentatives d'authentification.
Note
Les événements d'authentification ne sont pas générés pour les événements d'authentification via l' WorkMail WebMail application Amazon.
| Champ | Description |
|---|---|
|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
|
request_id |
L'ID qui identifie de manière unique la demande. |
|
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
|
user_id |
L'ID de l'utilisateur authentifié. |
|
utilisateur |
Le nom d'utilisateur avec lequel l'authentification a été tentée. |
|
protocole ; |
Le protocole utilisé, qui peut être : |
|
adresse IP de la source |
Adresse IP source de la demande. |
|
user_agent |
L'agent utilisateur à l'origine de la demande. |
|
méthode |
La méthode d'authentification. Actuellement, seule la version de base est prise en charge. |
|
auth_successful |
Si la tentative d'authentification a réussi. Cela peut être vrai ou faux. |
|
auth_failed_reason |
La raison de l'échec de l'authentification. Présent uniquement en cas d'échec de l'authentification. |
identifiant_jeton d'accès personnel |
L'ID du jeton d'accès personnel utilisé pour l'authentification. |
Journaux de jetons d'accès personnels
Un événement de jeton d'accès personnel (PAT) est généré pour chaque tentative de création ou de suppression d'un jeton d'accès personnel. Les événements relatifs aux jetons d'accès personnels fournissent des informations indiquant si les utilisateurs ont réussi à créer des jetons d'accès personnels. Les journaux des jetons d'accès personnels sont utiles pour auditer les utilisateurs finaux qui créent et suppriment les leurs PATs. La connexion de l'utilisateur avec des jetons d'accès personnels générera des événements dans les journaux d'authentification existants. Pour plus d'informations, consultez la section Journaux d'authentification.
| Champ | Description |
|---|---|
|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
|
request_id |
L'ID qui identifie de manière unique la demande. |
|
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
|
user_id |
L'ID de l'utilisateur authentifié. |
|
utilisateur |
Le nom d'utilisateur de l'utilisateur qui a effectué cette action. |
|
protocole ; |
Le protocole utilisé dans le cadre de l'action a eu lieu, qui peut être : webapp |
|
adresse IP de la source |
Adresse IP source de la demande. |
|
user_agent |
L'agent utilisateur à l'origine de la demande. |
|
action |
L'action du jeton d'accès personnel, qui peut être : créer ou supprimer. |
|
name |
Le nom du jeton d'accès personnel. |
|
expiration_heure |
Date d'expiration du jeton d'accès personnel. |
|
portées |
Étendue des autorisations relatives aux jetons d'accès personnels sur la boîte aux lettres. |
Logs des fournisseurs de disponibilité
Les événements relatifs aux fournisseurs de disponibilité sont générés pour chaque demande de disponibilité WorkMail qu'Amazon effectue en votre nom auprès du fournisseur de disponibilité configuré. Ces événements sont utiles pour débugger la configuration de votre fournisseur de disponibilité.
| Champ | Description |
|---|---|
|
event_timestamp |
Quand l'événement s'est produit, en millisecondes depuis l'époque d'Unix. |
|
request_id |
L'ID qui identifie de manière unique la demande. |
|
organization_arn |
L'ARN de l' WorkMail organisation à laquelle appartient l'utilisateur authentifié. |
|
user_id |
L'ID de l'utilisateur authentifié. |
|
type |
Le type de fournisseur de disponibilité invoqué, qui peut être : |
|
domaine |
Domaine pour lequel la disponibilité est obtenue. |
|
fonction_arn |
L'ARN du Lambda invoqué, si le type est LAMBDA. Dans le cas contraire, ce champ n'est pas présent. |
|
ews_endpoint |
Le point de terminaison EWS est de type EWS. Dans le cas contraire, ce champ n'est pas présent. |
|
error_message |
Message décrivant la cause de l'échec. Si la demande a abouti, ce champ n'est pas présent. |
|
événement_disponibilité réussi |
Si la demande de disponibilité a été traitée avec succès. |
