本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
監控 Amazon WorkMail 稽核日誌
您可以使用稽核日誌來監控對 Amazon WorkMail Organization 信箱的存取。Amazon WorkMail 會記錄五種類型的稽核事件,這些事件可以發佈到 CloudWatch Logs、Amazon S3 或 Amazon Firehouse。您可以使用稽核日誌來監控使用者與組織信箱的互動、身分驗證嘗試、存取控制規則評估,以及對外部系統執行可用性提供者呼叫,並使用個人存取權杖監控事件。如需有關設定稽核記錄的資訊,請參閱 啟用稽核記錄。
下列各節說明 Amazon 記錄的稽核事件 WorkMail、事件傳送的時間,以及事件欄位的相關資訊。
信箱存取日誌
信箱存取事件提供有關對哪個信箱物件採取 (或嘗試) 動作的資訊。針對您嘗試在信箱中的項目或資料夾上執行的每個操作,都會產生信箱存取事件。這些事件對於稽核信箱資料的存取權很有用。
| 欄位 | 描述 |
|---|---|
|
event_timestamp |
事件發生時,從 Unix epoch 開始,以毫秒為單位。 |
|
request_id |
唯一識別請求的 ID。 |
|
organization_arn |
已驗證使用者所屬ARN的 & Amazon WorkMail Organization。 |
|
user_id |
已驗證使用者的 ID。 |
|
impersonator_id |
模擬程式的 ID。只有在請求使用模擬功能時才會顯示。 |
|
protocol |
使用的通訊協定。通訊協定可以是: |
|
source_ip |
請求的來源 IP 地址。 |
|
user_agent |
發出請求的使用者代理程式。 |
|
動作 |
針對 物件採取的動作可以是: |
|
owner_id |
擁有正在執行之物件的使用者 ID。 |
|
object_type |
物件類型,可以是:資料夾、訊息或附件。 |
|
item_id |
唯一識別為事件主旨的訊息或包含為事件主旨之附件的 ID。 |
|
folder_path |
要執行動作的資料夾路徑,或包含要執行動作之項目的資料夾路徑。 |
|
folder_id |
此 ID 可唯一識別作為事件主題的資料夾,或包含作為事件主題的物件。 |
|
attachment_path |
受影響附件的顯示名稱路徑。 |
|
action_allowed |
是否允許 動作。可以是 true 或 false。 |
存取控制日誌
存取控制事件會在評估存取控制規則時產生。這些日誌適用於稽核禁止存取或偵錯存取控制組態。
| 欄位 | 描述 |
|---|---|
|
event_timestamp |
事件發生時,從 Unix epoch 開始,以毫秒為單位。 |
|
request_id |
唯一識別請求的 ID。 |
|
organization_arn |
已驗證使用者所屬ARN WorkMail 組織的 。 |
|
user_id |
已驗證使用者的 ID。 |
|
impersonator_id |
模擬程式的 ID。只有在請求使用模擬功能時才會顯示。 |
|
protocol |
使用的通訊協定,可以是: |
|
source_ip |
請求的來源 IP 地址。 |
|
scope |
規則的範圍,可以是: |
|
rule_id |
相符存取控制規則的 ID。沒有相符的規則時, rule_id 無法使用。 |
|
access_granted |
是否允許存取。可以是 true 或 false。 |
驗證日誌
身分驗證事件包含身分驗證嘗試的相關資訊。
注意
透過 Amazon WorkMail WebMail 應用程式驗證事件不會產生身分驗證事件。
| 欄位 | 描述 |
|---|---|
|
event_timestamp |
事件發生時,從 Unix epoch 開始,以毫秒為單位。 |
|
request_id |
唯一識別請求的 ID。 |
|
organization_arn |
已驗證使用者所屬ARN WorkMail 組織的 。 |
|
user_id |
已驗證使用者的 ID。 |
|
使用者 |
嘗試驗證的使用者名稱。 |
|
protocol |
使用的通訊協定,可以是: |
|
source_ip |
請求的來源 IP 地址。 |
|
user_agent |
發出請求的使用者代理程式。 |
|
方法 |
驗證方法。目前僅支援基本 。 |
|
auth_successful |
驗證嘗試是否成功。可以是 true 或 false。 |
|
auth_failed_reason |
驗證失敗的原因。只有在驗證失敗時才會顯示。 |
personal_access_token_id |
用於身分驗證的個人存取權杖 ID。 |
個人存取字符日誌
每次嘗試建立或刪除個人存取權杖時,都會產生個人存取權杖 (PAT) 事件。個人存取權杖事件提供有關使用者是否成功建立個人存取權杖的資訊。個人存取字符日誌對於稽核建立和刪除自己的 的最終使用者很有用PATs。使用個人存取權杖的使用者登入將在現有的身分驗證日誌中產生事件。如需詳細資訊,請參閱身分驗證日誌 。
| 欄位 | 描述 |
|---|---|
|
event_timestamp |
事件發生時,從 Unix epoch 開始,以毫秒為單位。 |
|
request_id |
唯一識別請求的 ID。 |
|
organization_arn |
已驗證使用者所屬ARN WorkMail 組織的 。 |
|
user_id |
已驗證使用者的 ID。 |
|
使用者 |
採取此動作的使用者使用者名稱。 |
|
protocol |
透過動作使用的通訊協定已發生,可以是:Webapp |
|
source_ip |
請求的來源 IP 地址。 |
|
user_agent |
發出請求的使用者代理程式。 |
|
動作 |
個人存取權杖的動作,可以是:建立或刪除。 |
|
name |
個人存取權杖的名稱。 |
|
expires_time |
個人存取權杖過期的日期。 |
|
範圍 |
信箱上個人存取權杖許可的範圍。 |
可用性提供者日誌
針對 Amazon WorkMail 代表您向設定的可用性提供者提出的每個可用性請求,都會產生可用性提供者事件。這些事件對於偵錯您的可用提供者組態很有用。
| 欄位 | 描述 |
|---|---|
|
event_timestamp |
事件發生時,從 Unix epoch 開始,以毫秒為單位。 |
|
request_id |
唯一識別請求的 ID。 |
|
organization_arn |
已驗證使用者所屬ARN WorkMail 組織的 。 |
|
user_id |
已驗證使用者的 ID。 |
|
type |
調用的可用性提供者類型,可以是: |
|
domain |
取得可用性的網域。 |
|
function_arn |
如果類型為 ,則叫用 Lambda ARN的 LAMBDA。否則,此欄位不存在。 |
|
ews_endpoint |
EWS 端點的類型為 EWS。否則,此欄位不存在。 |
|
error_message |
描述失敗原因的訊息。如果請求成功,則此欄位不存在。 |
|
availability_event_s成功 |
是否成功提供可用性請求。 |
