Log akses kotak surat Log kontrol akses Log otentikasi Log token akses pribadi Log penyedia ketersediaan

Memantau log WorkMail audit Amazon

Anda dapat menggunakan log audit untuk memantau akses ke kotak pesan WorkMail Organisasi Amazon. Amazon WorkMail mencatat lima jenis peristiwa audit dan peristiwa ini dapat dipublikasikan ke CloudWatch Log, Amazon S3, atau Amazon Firehouse. Anda dapat menggunakan log audit untuk memantau interaksi pengguna dengan kotak pesan Organisasi, upaya autentikasi, evaluasi aturan kontrol akses, dan melakukan panggilan penyedia ketersediaan ke sistem eksternal dan memantau peristiwa dengan token akses pribadi. Untuk informasi tentang mengonfigurasi pencatatan audit, lihatMengaktifkan pencatatan audit.

Bagian berikut menjelaskan peristiwa audit yang dicatat oleh Amazon WorkMail, saat peristiwa ditransmisikan, dan informasi tentang bidang acara.

Log akses kotak surat

Peristiwa akses kotak pesan memberikan informasi tentang tindakan apa yang diambil (atau dicoba) pada objek kotak pesan mana. Peristiwa akses kotak pesan dibuat untuk setiap operasi yang Anda coba jalankan pada item atau folder di kotak pesan. Peristiwa ini berguna untuk mengaudit akses ke data kotak pesan.

Bidang	Deskripsi
event_timestamp	Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix.
request_id	ID yang secara unik mengidentifikasi permintaan.
organisasi_arn	ARN dari WorkMail Organisasi & Amazon tempat pengguna yang diautentikasi berada.
user_id	ID pengguna yang diautentikasi.
impersonator_id	ID peniru. Hadir hanya jika fitur peniruan digunakan untuk permintaan.
protokol	Protokol yang digunakan. Protokol dapat berupa:`AutoDiscover`, `EWSIMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, atau`OutgoingEmail`.
source_ip	Alamat IP sumber permintaan.
user_agent	Agen pengguna yang membuat permintaan.
tindakan	Tindakan yang diambil pada objek, yang dapat berupa:`read`,,`read_hierarchy`, `read_summaryread_attachment`,`read_permissions`,`create`,`update`,`update_permissions`,`update_read_state`,`delete`,`submit_email_for_sending`,`abort_sending_email`,`move`,`move_to`,`copy`, atau`copy_to`.
owner_id	ID pengguna yang memiliki objek yang ditindaklanjuti.
object_type	Jenis objek, yang dapat berupa: Folder, Pesan, atau Lampiran.
item_id	ID yang secara unik mengidentifikasi pesan yang menjadi subjek acara atau yang berisi lampiran yang menjadi subjek acara.
folder_path	Jalur folder yang ditindaklanjuti atau jalur folder yang berisi item yang ditindaklanjuti.
folder_id	ID yang secara unik mengidentifikasi folder yang menjadi subjek acara atau berisi objek yang menjadi subjek acara.
attachment_path	Jalur nama tampilan ke lampiran yang terpengaruh.
action_allowed	Apakah tindakan itu diizinkan. Bisa benar atau salah.

Log kontrol akses

Peristiwa kontrol akses dihasilkan setiap kali aturan kontrol akses dievaluasi. Log ini berguna untuk mengaudit akses terlarang, atau men-debug konfigurasi kontrol akses.

Bidang	Deskripsi
event_timestamp	Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix.
request_id	ID yang secara unik mengidentifikasi permintaan.
organisasi_arn	ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada.
user_id	ID pengguna yang diautentikasi.
impersonator_id	ID peniru. Hadir hanya jika fitur peniruan digunakan untuk permintaan.
protokol	Protokol yang digunakan, yang dapat berupa:`AutoDiscover`,`EWS`,`IMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, atau`OutgoingEmail`.
source_ip	Alamat IP sumber permintaan.
cakupan	Ruang lingkup aturan, yang dapat berupa:`AccessControl`,`DeviceAccessControl`, atau`ImpersonationAccessControl`.
rule_id	ID dari aturan kontrol akses yang cocok. Bila tidak ada aturan yang cocok, rule_id tidak tersedia.
access_granted	Apakah akses diizinkan. Bisa benar atau salah.

Log otentikasi

Peristiwa otentikasi berisi informasi tentang upaya otentikasi.

catatan

Peristiwa otentikasi tidak dibuat untuk peristiwa otentikasi melalui aplikasi Amazon WorkMail WebMail .

Bidang	Deskripsi
event_timestamp	Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix.
request_id	ID yang secara unik mengidentifikasi permintaan.
organisasi_arn	ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada.
user_id	ID pengguna yang diautentikasi.
user	Nama pengguna yang dicoba dengan otentikasi.
protokol	Protokol yang digunakan, yang dapat berupa:`AutoDiscover`,`EWS`,`IMAP`,`WindowsOutlook`,`ActiveSync`,`SMTP`,`WebMail`,`IncomingEmail`, atau`OutgoingEmail`.
source_ip	Alamat IP sumber permintaan.
user_agent	Agen pengguna yang membuat permintaan.
metode	Metode autentikasi. Saat ini, hanya dasar yang didukung.
auth_successful	Apakah upaya autentikasi berhasil. Bisa benar atau salah.
auth_failed_reason	Alasan kegagalan autentikasi. Hadir hanya jika autentikasi gagal.
personal_access_token_id	ID token akses pribadi yang digunakan untuk otentikasi.

Log token akses pribadi

Peristiwa token akses pribadi (PAT) dibuat untuk setiap upaya dalam membuat atau menghapus token akses pribadi. Acara token akses pribadi memberikan informasi tentang apakah pengguna berhasil membuat token akses pribadi. Log token akses pribadi berguna untuk mengaudit pengguna akhir yang membuat dan menghapus milik mereka sendiri. PATs Login pengguna dengan token akses pribadi akan menghasilkan peristiwa di log Otentikasi yang ada. Untuk informasi selengkapnya, lihat Log otentikasi.

Bidang	Deskripsi
event_timestamp	Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix.
request_id	ID yang secara unik mengidentifikasi permintaan.
organisasi_arn	ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada.
user_id	ID pengguna yang diautentikasi.
user	Nama pengguna pengguna yang mengambil tindakan ini.
protokol	Protokol yang digunakan melalui tindakan berlangsung, yang dapat berupa: webapp
source_ip	Alamat IP sumber permintaan.
user_agent	Agen pengguna yang membuat permintaan.
tindakan	Tindakan token akses pribadi, yang dapat berupa: membuat atau menghapus.
name	Nama token akses pribadi.
expires_time	Tanggal ketika token akses pribadi kedaluwarsa.
cakupan	Cakupan izin token akses pribadi di kotak surat.

Log penyedia ketersediaan

Acara penyedia ketersediaan dibuat untuk setiap permintaan ketersediaan yang WorkMail dilakukan Amazon atas nama Anda kepada penyedia ketersediaan yang dikonfigurasi. Peristiwa ini berguna untuk men-debug konfigurasi penyedia ketersediaan Anda.

Bidang	Deskripsi
event_timestamp	Ketika peristiwa itu terjadi, dalam milidetik sejak zaman Unix.
request_id	ID yang secara unik mengidentifikasi permintaan.
organisasi_arn	ARN WorkMail Organisasi tempat pengguna yang diautentikasi berada.
user_id	ID pengguna yang diautentikasi.
jenis	Jenis penyedia ketersediaan yang dipanggil, yang dapat berupa: `EWS` atau`LAMBDA`.
domain	Domain yang ketersediaannya diperoleh.
function_arn	ARN dari Lambda yang dipanggil, jika jenisnya adalah LAMBDA. Jika tidak, bidang ini tidak ada.
ews_titik akhir	Endpoint EWS adalah tipe EWS. Jika tidak, bidang ini tidak ada.
error_message	Pesan yang menggambarkan penyebab kegagalan. Jika permintaan berhasil, bidang ini tidak ada.
availability_event_successful	Apakah permintaan ketersediaan berhasil dilayani.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memantau log peristiwa WorkMail email Amazon

Menggunakan CloudWatch Wawasan dengan Amazon WorkMail