翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon WorkMail 監査ログのモニタリング
監査ログを使用して、Amazon WorkMail 組織のメールボックスへのアクセスを監視できます。Amazon は 4 WorkMail 種類の監査イベントをログに記録し、 CloudWatch これらのイベントはログ、Amazon S3、または Amazon Firehouse に公開できます。監査ログを使用して、組織のメールボックスに対するユーザー操作、認証試行、アクセスコントロールルールの評価を監視し、外部システムへの可用性プロバイダー呼び出しを実行できます。監査ログの設定については、を参照してください監査ログを有効にする。
以下のセクションでは WorkMail、Amazon が記録する監査イベント、イベントが送信されるタイミング、およびイベントフィールドに関する情報について説明します。
メールボックスのアクセスログ
メールボックスアクセスイベントは、どのメールボックスオブジェクトに対して実行された (または試行された) かに関する情報を提供します。メールボックス内のアイテムまたはフォルダーに対して操作を実行しようとするたびに、メールボックスアクセスイベントが生成されます。これらのイベントは、メールボックスデータへのアクセスを監査するのに役立ちます。
フィールド | 説明 |
---|---|
event_timestamp |
イベントが発生した日時 (UNIX エポックからのミリ秒単位)。 |
request_id |
リクエストを一意に識別する ID。 |
「組織」_arn |
認証されたユーザーが属する & Amazon WorkMail 組織の ARN。 |
user_id |
認証されたユーザーの ID。 |
インパーソネーター ID |
インパーソネーターの ID。リクエストに偽装機能が使用された場合にのみ表示されます。 |
protocol |
使用したプロトコル。プロトコルには |
ソース_IP |
リクエストのソース IP アドレス。 |
user_agent |
リクエストを行ったユーザーエージェント。 |
アクション |
オブジェクトに対して実行されたアクション。、、、 |
owner_id |
アクションの対象となるオブジェクトを所有するユーザーの ID。 |
object_type |
オブジェクトタイプ。フォルダー、メッセージ、添付のいずれかです。 |
item_id |
イベントの件名であるメッセージ、またはイベントの件名である添付ファイルを含むメッセージを一意に識別する ID。 |
folder_path |
処理対象のフォルダーのパス、または処理対象のアイテムを含むフォルダーのパス。 |
folder_id |
イベントの対象となるフォルダー、またはイベントの対象となるオブジェクトを含むフォルダーを一意に識別する ID。 |
添付ファイル:パス |
影響を受ける添付ファイルへの表示名のパス。 |
アクション許可済み |
アクションが許可されたかどうか。true でも false でもかまいません。 |
アクセス制御ログ
アクセス制御イベントは、アクセス制御ルールが評価されるたびに生成されます。これらのログは、禁止されているアクセスを監査したり、アクセス制御設定をデバッグしたりするのに役立ちます。
フィールド | 説明 |
---|---|
event_timestamp |
イベントが発生した日時 (Unix エポックからのミリ秒単位)。 |
request_id |
リクエストを一意に識別する ID。 |
「組織」_arn |
WorkMail 認証されたユーザーが属する組織の ARN。 |
user_id |
認証されたユーザーの ID。 |
インパーソネーター ID |
インパーソネーターの ID。リクエストに偽装機能が使用された場合にのみ表示されます。 |
protocol |
使用したプロトコル。、、、 |
source_ip |
リクエストのソース IP アドレス。 |
scope |
ルールの適用範囲。、 |
ルールID |
一致したアクセスコントロールルールの ID。一致するルールがない場合、rule_id は使用できません。 |
アクセス権限付与 |
アクセスが許可されたかどうか。true でも false でもかまいません。 |
認証ログ
認証イベントには、認証試行に関する情報が含まれます。
注記
Amazon WorkMail WebMail アプリケーションによる認証イベントでは、認証イベントは生成されません。
フィールド | 説明 |
---|---|
event_timestamp |
イベントが発生した日時 (Unix エポックからのミリ秒単位)。 |
request_id |
リクエストを一意に識別する ID。 |
「組織」_arn |
WorkMail 認証されたユーザーが属する組織の ARN。 |
user_id |
認証されたユーザーの ID。 |
ユーザー |
認証を試みたユーザー名。 |
protocol |
使用したプロトコル。、、 |
source_ip |
リクエストのソース IP アドレス。 |
user_agent |
リクエストを行ったユーザーエージェント。 |
method |
認証メソッド。現在、basic のみがサポートされています。 |
認証成功 |
認証が成功したかどうか。真でも偽でもかまいません。 |
認証に失敗した理由 |
認証が失敗した理由。認証に失敗した場合にのみ表示されます。 |
アベイラビリティプロバイダーのログ
可用性プロバイダーイベントは、Amazon がお客様に代わって、 WorkMail設定した可用性プロバイダーに対して行う可用性リクエストごとに生成されます。これらのイベントは、アベイラビリティープロバイダーの設定をデバッグするのに役立ちます。
フィールド | 説明 |
---|---|
event_timestamp |
イベントが発生した日時 (Unix エポックからのミリ秒単位)。 |
request_id |
リクエストを一意に識別する ID。 |
「組織」_arn |
WorkMail 認証されたユーザーが属する組織の ARN。 |
user_id |
認証されたユーザーの ID。 |
type |
呼び出される可用性プロバイダーのタイプ。使用できるのは:または。 |
ドメイン |
アベイラビリティを取得するドメイン。 |
関数_arn |
タイプが LAMBDA の場合、呼び出されたLambda の ARN。それ以外の場合、このフィールドは存在しません。 |
ews_endpoint |
EWS エンドポイントのタイプは EWS です。それ以外の場合、このフィールドは表示されません。 |
error_message |
障害の原因を説明するメッセージ。リクエストが成功した場合、このフィールドは表示されません。 |
アベイラビリティーイベント_成功 |
空き状況リクエストが正常に処理されたかどうか。 |