本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控 Amazon WorkMail 审计日志
您可以使用审核日志来监控对您的 Amazon WorkMail 组织邮箱的访问情况。亚马逊 WorkMail 记录五种类型的审计事件,这些事件可以发布到 CloudWatch 日志、Amazon S3 或 Amazon Firehouse。您可以使用审核日志来监控用户与组织邮箱的互动、身份验证尝试、访问控制规则评估、对外部系统执行可用性提供商调用以及使用个人访问令牌监控事件。有关配置审核日志的信息,请参见启用审计日志记录。
以下各节介绍了 Amazon WorkMail 记录的审计事件、事件的传输时间以及有关事件字段的信息。
邮箱访问日志
邮箱访问事件提供有关对哪个邮箱对象采取(或尝试)了哪些操作的信息。您尝试对邮箱中的项目或文件夹执行的每项操作都会生成一个邮箱访问事件。这些事件对于审核对邮箱数据的访问非常有用。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以 Unix 时代以来的毫秒为单位。 |
|
request_id |
唯一标识请求的 ID。 |
|
组织_arn |
经过身份验证ARN的用户所属的 & Amazon WorkMail 组织。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
impersonator_id |
模仿者的 ID。仅当请求使用了模拟功能时才会出现。 |
|
protocol |
使用的协议。协议可以是: |
|
来源_IP |
请求的源 IP 地址。 |
|
user_agent |
发出请求的用户代理。 |
|
action |
对对象采取的操作,可以是:、、 |
|
owner_id |
拥有被操作对象的用户的 ID。 |
|
object_type |
对象类型,可以是:文件夹、消息或附件。 |
|
item_id |
用于唯一标识作为事件主题的邮件或包含作为事件主题的附件的邮件的 ID。 |
|
文件夹路径 |
正在执行操作的文件夹的路径或包含正在处理的项目的文件夹的路径。 |
|
文件夹_ID |
唯一标识作为事件主题的文件夹或包含作为事件主题的对象的文件夹的 ID。 |
|
附件路径 |
受影响附件的显示名称路径。 |
|
允许动作 |
该操作是否被允许。可以是对也可以是假。 |
访问控制日志
每当评估访问控制规则时,都会生成访问控制事件。这些日志对于审计禁止的访问或调试访问控制配置非常有用。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以 Unix 时代以来的毫秒为单位。 |
|
request_id |
唯一标识请求的 ID。 |
|
组织_arn |
经过身份验证ARN的用户所属 WorkMail 组织的。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
impersonator_id |
模仿者的 ID。仅当请求使用了模拟功能时才会出现。 |
|
protocol |
使用的协议,可以是: |
|
来源_IP |
请求的源 IP 地址。 |
|
范围 |
规则的范围,可以是: |
|
rule_id |
匹配的访问控制规则的 ID。当没有匹配的规则时,rule_id 不可用。 |
|
已授予访问权限 |
是否允许访问。可以是对也可以是假。 |
身份验证日志
身份验证事件包含有关身份验证尝试的信息。
注意
不会为通过 Amazon WorkMail WebMail 应用程序的身份验证事件生成身份验证事件。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以 Unix 时代以来的毫秒为单位。 |
|
request_id |
唯一标识请求的 ID。 |
|
组织_arn |
经过身份验证ARN的用户所属 WorkMail 组织的。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
用户 |
尝试进行身份验证时使用的用户名。 |
|
protocol |
使用的协议,可以是: |
|
来源_IP |
请求的源 IP 地址。 |
|
user_agent |
发出请求的用户代理。 |
|
method |
身份验证方法。当前,仅支持基本版。 |
|
身份验证成功 |
身份验证尝试是否成功。可以是对也可以是假。 |
|
auth_failed_reason |
身份验证失败的原因。仅在身份验证失败时才会出现。 |
个人访问权限令牌ID |
用于身份验证的个人访问令牌的 ID。 |
个人访问令牌日志
每次尝试创建或删除个人访问令牌都会生成一个个人访问令牌 (PAT) 事件。个人访问令牌事件提供有关用户是否成功创建个人访问令牌的信息。个人访问令牌日志对于审计最终用户创建和删除自己的访问令牌非常有用PATs。用户使用个人访问令牌登录将在现有身份验证日志中生成事件。有关更多信息,请参阅身份验证日志。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以 Unix 时代以来的毫秒为单位。 |
|
request_id |
唯一标识请求的 ID。 |
|
组织_arn |
经过身份验证ARN的用户所属 WorkMail 组织的。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
用户 |
执行此操作的用户的用户名。 |
|
protocol |
通过操作使用的协议发生了,可以是:webapp |
|
来源_IP |
请求的源 IP 地址。 |
|
user_agent |
发出请求的用户代理。 |
|
action |
个人访问令牌的操作,可以是:创建或删除。 |
|
名称 |
个人访问令牌的名称。 |
|
过期时间 |
个人访问令牌的到期日期。 |
|
范围 |
邮箱上个人访问令牌权限的范围。 |
可用性提供商日志
WorkMailAmazon 代表您向配置的可用性提供商发出的每个可用性请求都会生成可用性提供商事件。这些事件对于调试可用性提供商配置很有用。
| 字段 | 描述 |
|---|---|
|
event_timestamp |
事件发生的时间,以 Unix 时代以来的毫秒为单位。 |
|
request_id |
唯一标识请求的 ID。 |
|
组织_arn |
经过身份验证ARN的用户所属 WorkMail 组织的。 |
|
user_id |
经过身份验证的用户的 ID。 |
|
type |
正在调用的可用性提供程序的类型,可以是: |
|
域 |
获得可用性的域名。 |
|
function_arn |
被调用ARN的 Lambda 的(如果类型是)。LAMBDA否则,此字段不存在。 |
|
新闻终端节点 |
终EWS端节点的类型是EWS。否则,此字段不存在。 |
|
error_message |
描述失败原因的消息。如果请求成功,则此字段不存在。 |
|
可用性_事件_成功 |
是否成功满足了可用性请求。 |
