本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用檔案存取稽核記錄最終使用者存取
<a name="file-access-auditing"></a>

Amazon FSx for Windows File Server 支援稽核最終使用者對檔案、資料夾和檔案共享的存取。您可以選擇將檔案系統的稽核事件日誌傳送至提供一組豐富功能的 AWS 其他服務。這包括啟用查詢、處理、儲存和封存日誌、發出通知和觸發動作，以進一步提升您的安全和合規目標。

如需使用檔案存取稽核來深入了解存取模式並實作最終使用者活動的安全性通知的詳細資訊，請參閱[檔案儲存存取模式洞察](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/)和[實作最終使用者活動的安全性通知](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/)。

**注意**  
只有輸送量容量為 32 MBps 或更高的 FSx for Windows 檔案系統才支援檔案存取稽核。您可以修改現有檔案系統的輸送量容量。如需詳細資訊，請參閱[管理輸送量容量](managing-throughput-capacity.md)。

檔案存取稽核可讓您根據您定義的稽核控制項，記錄個別檔案、資料夾和檔案共用的最終使用者存取。稽核控制項也稱為 NTFS 系統存取控制清單 SACLs)。如果您已在現有檔案資料上設定稽核控制項，您可以透過建立新的 Amazon FSx for Windows File Server 檔案系統並遷移資料來利用檔案存取稽核。

Amazon FSx 支援下列檔案、資料夾和檔案共用存取的 Windows 稽核事件：
+ 對於檔案存取，它支援：全部、周遊資料夾/執行檔案、列出資料夾/讀取資料、讀取屬性、建立檔案/寫入資料、建立資料夾/附加資料、寫入屬性、刪除子資料夾和檔案、刪除、讀取許可、變更許可和取得所有權。
+ 對於檔案共享存取，它支援：連線至檔案共享。

在檔案、資料夾和檔案共享存取中，Amazon FSx 支援記錄成功的嘗試 （例如具有足夠許可的使用者成功存取檔案或檔案共享）、失敗的嘗試，或兩者。

您可以設定是否只對檔案和資料夾、僅對檔案共用或兩者進行存取稽核。您也可以設定應記錄的存取類型 （僅成功嘗試、僅失敗嘗試，或兩者）。您也可以隨時關閉檔案存取稽核。

**注意**  
檔案存取稽核只會記錄啟用後的最終使用者存取資料。也就是說，檔案存取稽核不會產生在啟用檔案存取稽核之前所發生之最終使用者檔案、資料夾和檔案共用存取活動的稽核事件日誌。

支援的存取稽核事件速率上限為每秒 5，000 個事件。存取稽核事件不是針對每個檔案讀取和寫入操作產生，而是針對每個檔案中繼資料操作產生一次，例如當使用者建立、開啟或刪除檔案時。

**Topics**
+ [稽核事件日誌目的地](#faa-log-destinations)
+ [遷移您的稽核控制項](#migrate-faa)
+ [檢視事件日誌](#view-faa-logs)
+ [設定檔案和資料夾稽核控制項](faa-audit-controls.md)
+ [管理檔案存取稽核](manage-faa.md)

## 稽核事件日誌目的地
<a name="faa-log-destinations"></a>

啟用檔案存取稽核時，您必須設定 Amazon FSx 傳送稽核事件日誌 AWS 的服務。您可以將稽核事件日誌傳送至 Amazon CloudWatch Logs 日誌群組中的 Amazon CloudWatch Logs 日誌串流或 Amazon Data Firehose 交付串流。您可以在建立 Amazon FSx for Windows File Server 檔案系統時，或更新現有檔案系統之後的任何時間，選擇稽核事件日誌目的地。如需詳細資訊，請參閱[管理檔案存取稽核](manage-faa.md)。

以下是一些建議，可協助您決定要選擇哪個稽核事件日誌目的地：
+ 如果您想要在 Amazon CloudWatch 主控台中存放、檢視和搜尋稽核事件日誌、使用 CloudWatch Logs Insights 在日誌上執行查詢，以及觸發 CloudWatch 警示或 Lambda 函數，請選擇 CloudWatch Logs。
+ 如果您想要持續將事件串流到 Amazon S3 中的儲存體、Amazon Redshift 中的資料庫、Amazon OpenSearch Service 或 Splunk 或 Datadog 等 AWS 合作夥伴解決方案以進行進一步分析，請選擇 Amazon Data Firehose。

根據預設，Amazon FSx 會在您的帳戶中建立並使用預設 CloudWatch Logs 日誌群組做為稽核事件日誌目的地。如果您想要使用自訂 CloudWatch Logs 日誌群組或使用 Firehose 做為稽核事件日誌目的地，以下是稽核事件日誌目的地的名稱和位置需求：
+ CloudWatch Logs 日誌群組的名稱必須以 `/aws/fsx/`字首開頭。如果您在主控台上建立或更新檔案系統時沒有現有的 CloudWatch Logs 日誌群組，Amazon FSx 可以在 CloudWatch Logs `/aws/fsx/windows`日誌群組中建立和使用預設日誌串流。如果您不想使用預設日誌群組，組態 UI 可讓您在主控台上建立或更新檔案系統時建立 CloudWatch Logs 日誌群組。
+ Firehose 交付串流的名稱必須以 `aws-fsx-`字首開頭。如果您沒有現有的 Firehose 交付串流，您可以在 主控台建立或更新檔案系統時建立一個。
+ Firehose 交付串流必須設定為使用 `Direct PUT`做為其來源。您無法使用現有的 Kinesis 資料串流做為交付串流的資料來源。
+ 目的地 (CloudWatch Logs 日誌群組或 Firehose 交付串流） 必須與 Amazon FSx 檔案系統 AWS 區域 AWS 帳戶 位於相同的 AWS 分割區中。

您可以隨時變更稽核事件日誌目的地 （例如，從 CloudWatch Logs 變更為 Firehose)。當您這樣做時，新的稽核事件日誌只會傳送至新的目的地。

### 盡最大努力稽核事件日誌交付
<a name="faa-log-delivery"></a>

一般而言，稽核事件日誌記錄會在幾分鐘內交付至目的地，但有時可能需要更長的時間。在極少數情況下，可能會遺漏稽核事件日誌記錄。如果您的使用案例需要特定的語意 （例如，確保不會遺漏任何稽核事件），我們建議您在設計工作流程時考慮遺漏的事件。您可以掃描檔案系統上的檔案和資料夾結構，以稽核遺漏的事件。

## 遷移您的稽核控制項
<a name="migrate-faa"></a>

如果您已在現有檔案資料上設定稽核控制 SACLs)，您可以建立 Amazon FSx 檔案系統，並將資料遷移至新的檔案系統。建議使用 AWS DataSync 將資料和相關聯的 SACLs 傳輸到您的 Amazon FSx 檔案系統。做為替代解決方案，您可以使用 Robocopy （強大的檔案複製）。如需詳細資訊，請參閱[將現有的檔案儲存遷移至 Amazon FSx](migrate-to-fsx.md)。

## 檢視事件日誌
<a name="view-faa-logs"></a>

您可以在 Amazon FSx 開始發出稽核事件日誌之後檢視它們。檢視日誌的位置和方式取決於稽核事件日誌目的地：
+ 您可以前往 CloudWatch 主控台並選擇稽核事件日誌要傳送到的日誌群組和日誌串流，以檢視 CloudWatch Logs 日誌。如需詳細資訊，請參閱《Amazon [ CloudWatch Logs 使用者指南》中的檢視傳送至 CloudWatch Logs 的日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)。 *Amazon CloudWatch * 

  您可以使用 CloudWatch Logs Insights 以互動方式搜尋和分析日誌資料。如需詳細資訊，請參閱《Amazon [ CloudWatch Logs 使用者指南》中的使用 CloudWatch Logs Insights 分析日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。 *Amazon CloudWatch *

  您也可以將稽核事件日誌匯出至 Amazon S3。如需詳細資訊，請參閱《[Amazon CloudWatch Logs 使用者指南》中的將日誌資料匯出至 Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)。 *Amazon CloudWatch *
+ 您無法在 Firehose 上檢視稽核事件日誌。不過，您可以設定 Firehose 將日誌轉送到您可以從中讀取的目的地。目的地包括 Amazon S3、Amazon Redshift、Amazon OpenSearch Service 和 Splunk 和 Datadog 等合作夥伴解決方案，如需詳細資訊，請參閱《*Amazon Data Firehose 開發人員指南*》中的[選擇目的地](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html)。

### 稽核事件欄位
<a name="faa-event-data"></a>

本節說明稽核事件日誌中的資訊，以及稽核事件的範例。

以下是 Windows 稽核事件中 salient 欄位的說明。
+ **EventID** 是指 Microsoft 定義的 Windows 事件日誌事件 ID。如需[檔案系統事件](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system)和[檔案共享事件](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share)的資訊，請參閱 Microsoft 文件。
+ **SubjectUserName** 是指執行存取的使用者。
+ **ObjectName** 是指存取的目標檔案、資料夾或檔案共享。
+ **ShareName** 可供為檔案共享存取產生的事件使用。例如， `EventID 5140`會在存取網路共用物件時產生。
+ **IpAddress** 是指啟動檔案共享事件的用戶端。
+ 關鍵字可用****時，請參閱檔案存取是否成功或失敗。對於成功存取，值為 `0x8020000000000000`。對於失敗的存取，值為 `0x8010000000000000`。
+ **TimeCreated SystemTime** 是指事件在系統中產生並以 <YYYY-MM-DDThh：mm：ss.s>Z 格式顯示的時間。
+ **電腦**是指檔案系統的 DNS 名稱 Windows Remote PowerShell 端點，可用於識別檔案系統。
+ **AccessMask** 可用時，是指所執行的檔案存取類型 （例如 ReadData、WriteData)。
+ **AccessList** 是指請求或授予物件的存取權。如需詳細資訊，請參閱下表和 Microsoft 文件 （例如 [Event 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656))。


| 存取類型 | 存取遮罩 | Value | 
| --- | --- | --- | 
|  讀取資料或清單目錄  |  0x1  |  %%4416  | 
|  寫入資料或新增檔案  |  0x2  |  %%4417  | 
|  附加資料或新增子目錄  |  0x4  |  %%4418  | 
|  讀取延伸屬性  |  0x8  |  %%4419  | 
|  寫入延伸屬性  |  0x10  |  %%4420  | 
|  執行/周遊  |  0x20  |  %%4421  | 
|  刪除子項  |  0x40  |  %%4422  | 
|  讀取屬性  |  0x80  |  %%4423  | 
|  寫入屬性  |  0x100  |  %%4424  | 
|  刪除  |  0x10000  |  %%1537  | 
|  讀取 ACL  |  0x20000  |  %%1538  | 
|  寫入 ACL  |  0x40000  |  %%1539  | 
|  寫入擁有者  |  0x80000  |  %%1540  | 
|  同步  |  0x100000  |  %%1541  | 
|  存取安全 ACL  |  0x1000000  |  %%1542  | 

以下是一些具有範例的關鍵事件。請注意，XML 已格式化以供讀取。

刪除物件時，會記錄**事件 ID 4660**。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

**事件 ID 4659** 會記錄在刪除檔案的請求上。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

在物件上執行特定操作時，會記錄**事件 ID 4663**。下列範例顯示從 檔案讀取資料，可從 解譯`AccessList %%4416`。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

下列範例顯示來自 檔案的寫入/附加資料，可從 解譯`AccessList %%4417`。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

**事件 ID 4656** 表示已請求物件的特定存取。在下列範例中，讀取請求已啟動至 ObjectName "permtest"，且嘗試失敗，如 的關鍵字值所示`0x8010000000000000`。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

變更物件的許可時，會記錄**事件 ID 4670**。下列範例顯示使用者 "admin" 修改 ObjectName "permtest" 的許可，將許可新增至 SID "S-1-5-21-658495921-4185342820-3824891517-1113"。如需如何解譯許可的詳細資訊，請參閱 Microsoft 文件。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

每次存取檔案共享時都會記錄**事件 ID 5140**。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

在檔案共享層級拒絕存取時，會記錄**事件 ID 5145**。下列範例顯示對 ShareName "demoshare01" 的存取遭拒。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

如果您使用 CloudWatch Logs Insights 搜尋您的日誌資料，您可以在事件欄位上執行查詢，如下列範例所示：
+ 若要查詢特定事件 ID：

  ```
  fields @message
     | filter @message like /4660/
  ```
+ 若要查詢符合特定檔案名稱的所有事件：

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 如需 CloudWatch Logs Insights 查詢語言的詳細資訊，請參閱《Amazon [ CloudWatch Logs 使用者指南》中的使用 CloudWatch Logs Insights 分析日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)。 *Amazon CloudWatch *