Sitzungsereignisse im Session Logger für Amazon WorkSpaces Secure Browser

Der Sitzungslogger erfasst verschiedene sitzungsbezogene Ereignisse zu Überwachungs- und Prüfungszwecken.

Sie können Session Logger so konfigurieren, dass alle Sitzungsereignisse oder eine ausgewählte Teilmenge erfasst werden, je nach den Anforderungen des WorkSpaces Secure Browser-Portals. Weitere Informationen zur Konfiguration finden Sie unterSession Logger für Amazon WorkSpaces Secure Browser einrichten.

Um die Privatsphäre der Benutzer zu wahren, zeichnet Session Logger keine vertraulichen Inhalte auf, wie z. B. Daten aus der Zwischenablage oder Inhalte von hoch- oder heruntergeladenen Dateien.

Die folgenden Felder sind in allen Ereignissen enthalten:

Time (Zeit)
Username
Portal-ID
Portal-IP
Client-IP
Sitzungs-ID

Name	Beschreibung	Zusätzliche Felder, die in der Veranstaltung enthalten sind
SessionStart	Eine sichere Browsersitzung wurde gestartet, aber der Benutzer hat noch keine Verbindung hergestellt.
SessionConnect	Der Benutzer ist mit der sicheren Browsersitzung verbunden.
TabOpen	In seiner sicheren Browsersitzung hat der Benutzer eine neue Registerkarte geöffnet, oder er hat einen Link in einer neuen Registerkarte geöffnet.	Hostname, Pfad, URL (wenn der Benutzer einen Link in einer neuen Registerkarte öffnet), keine (wenn der Benutzer eine neue Registerkarte öffnet)
UrlVisit	In seiner Browsersitzung navigierte der Benutzer zu einer URL.	Hostname, Pfad, URL
WebsiteInteract	Der Benutzer hat ein Standard-HTML-Element auf einer Website geändert (z. B. klickt er auf ein Kontrollkästchen, ein Optionsfeld oder eine Schaltfläche oder wählt ein Element in der Drop-down-Liste aus).	Hostname, Pfad, URL
TabClose	In seiner Browsersitzung hat der Benutzer einen Tab geschlossen.	Hostname, Pfad, URL (wenn der Benutzer einen Tab schließt, zu dem er navigiert hat), keine (wenn der Benutzer einen neuen Tab schließt)
ContentTransferFromLocalToRemoteClipboard	Der Benutzer hat die Zwischenablage im sicheren Browser mithilfe von Inhalten aus seinem lokalen Browser (außerhalb der sicheren Umgebung) aktualisiert. Dieses Update kann entweder durch Kopieren von Inhalten über die Sitzungs-Symbolleiste oder durch Übertragung von Daten über Tastenkombinationen (Strg+C/Strg+V) erfolgen.
ContentCopyFromWebsite	Der Benutzer hat die Zwischenablage im sicheren Browser mithilfe von Inhalten aus dem sicheren Browser (in der sicheren Umgebung) aktualisiert.	Hostname, Pfad, URL
ContentPasteToWebsite	Der Inhalt der Zwischenablage wurde in eine Webseite im Browser eingefügt. (Dieses Ereignis erfasst keine Fälle, in denen Inhalt der Zwischenablage in die URL-Leiste des Browsers eingefügt wird.)	Hostname, Pfad, URL
PrintJobSubmit	Der Benutzer hat einen Anforderungsauftrag an den virtuellen Drucker des Browsers („DCV-Drucker“) gesendet. Der Inhalt wird als PDF auf dem lokalen Computer des Benutzers gespeichert.	Dateiname, Größe, Erweiterung
FileDownloadFromSecureBrowserToRemoteDisk	Eine Datei wurde aus der Sitzung auf der lokalen Festplatte der Remote-Instanz gespeichert.	Hostname, Pfad URLfilename, Größe, Erweiterung
FileTransferFromRemoteToLocalDisk	Eine Datei wurde von der Festplatte der Remote-Instanz auf das lokale Gerät des Benutzers heruntergeladen.	Dateiname, Größe, Erweiterung
FileUploadFromRemoteDiskToSecureBrowser	Eine auf der lokalen Festplatte der Remote-Instanz gespeicherte Datei wurde über die Browsersitzung auf eine Filesharing-SaaS-Plattform (z. B. Google Drive, Box oder File.io) hochgeladen.
FileTransferFromLocalToRemoteDisk	Eine Datei wurde vom Benutzergerät in die sichere Browsersitzung hochgeladen.	Dateiname, Größe und Erweiterung
SessionDisconnection	Der Benutzer wird von der sicheren Browsersitzung getrennt.
SessionEnd	Die sichere Browsersitzung wurde beendet. Die Kündigung kann auf drei Arten erfolgen: Der Administrator beendet die Sitzung über den Benutzersitzungsmanager in der Konsole, der Benutzer beendet die Sitzung manuell mithilfe der Option Sitzung beenden in der Werkzeugleiste, oder die Sitzung läuft ab, nachdem eine vom Administrator festgelegte Dauer überschritten wurde.

Jedes Ereignis folgt dem OCSF-Standard und umfasst eine Liste von Attributen, die allen Ereignissen gemeinsam sind:



{
    activity_name : String | A human readable name of the event | eg. UrlLoad
    activity_id : Integer | OCSF standard value 99 for 'others'
    category_name : "WorkSpacesSecureBrowser" | The category name where the event belongs to.
    category_id : 2 | Numerical identifier for category,
    metadata : link | Required {
        product : link {
            vendor_name : "wsb",
            name : "WorkSpacesSecureBrowser"
        }
        version : String | Version of the schema | eg. 1.0.0
    },
    severity_id : 1 | The severity of the event. All events will have a severity of 1, meaning 'Informational',
    type_id : class_uid * 100 + activity_id
    time : The time the event happened (RFC3339 format),
    observables : link [
        {
            name : "session_detail.portal_id",
            type_id : 10 //Resource UID
            value : //Generated value
        },
        {
            name : "session_detail.session_id",
            type_id : 10 //Resource UID
            value : //Generated value
        },
        {
            name : "session_detail.client_ip",
            type_id : 2 //IP Address
            value : //Generated value
        },
        {
            name : "session_detail.portal_ip",
            type_id : 2 //IP Address
            value : //Generated value
        },
        {
            name : "session_detail.username",
            type_id : 10 //Resource UID
            value : //Generated value
        }
    ],
    
    // New Events
    session_detail : {
        portal_id : String | UUID of the Portal | eg. 1ebe42de-86bb-4073-88a4-34284bc5bcbb,
        session_id : String | SessionId of the user session | eg. 17be80fa-7bc2-4675-b17a-791243938cdf 
        client_ip : String | IP Address from which user LoggedIn From | eg. 31.65.180.9
        portal_ip : String | IP Address of the AWS AppStream Instance that is running the Portal | eg.240.62.100.169
        username : String | The logged-in username | eg. bobross
    }
}

Im Folgenden finden Sie ein Beispiel für das URLVisit Ereignis:



{
    activity_id : 99,
    activity_name : "URLVisit",
    ...
    observables : [
        ...
        {
            name : "url",
            type_id : 23 //Unified Resource Locator
        }
    ]
    ...
    url : {
        url_string : String | Full URL path,
        hostname : String | The hostname in the URL
        path : String | Path in the domain
    }
}

Im Folgenden finden Sie ein Beispiel für die PrintJobSubmit Veranstaltung:



{
    activity_id : 99,
    activity_name : "PrintJobSubmitted",
    observable : [
        ...
        {
            name : "file.name",
            type_id : 24 // File
        }
    ]
    ...
    file : {
        name : String | The file name,
        type_id : 1 //Regular file
        size : Long | Size in bytes
        ext : String | File extension
    }
}

Session Logger-Metriken für Amazon WorkSpaces Secure Browser

Session Logger gibt die folgenden Amazon CloudWatch Metriken aus.

Sie können die SessionLoggerEventDeliveredMetrik verwenden, um die Gesamtzahl der Ereignisse in Ihrem Portal zu überwachen oder die Anzahl der übermittelten Protokolldateien zu ermitteln, indem Sie die Anzahl der Datenpunkte zählen, anstatt Werte zu summieren. Wir empfehlen, Alarme für die SessionLoggerAccessDeniedErrorMetriken SessionLoggerTargetNotFoundErrorund zu konfigurieren, um das versehentliche Löschen von Ressourcen oder Berechtigungen zu erkennen.

Anmerkung

Metrische Datenpunkte werden von jeder Sitzung einmal pro Minute erfasst und alle 5 Minuten veröffentlicht. Amazon CloudWatch Session Logger-Metriken werden sofort für jede Protokolldateizustellung ausgegeben.

Session Logger-Metriken
Metrik	Beschreibung	Dimension	Statistiken	Einheit
SessionLoggerEventDelivered	Die Anzahl der Ereignisse, die jede übermittelte Session-Logger-Datei hat.	[PortalId]	Durchschnitt, Summe, Maximum, Minimum	Anzahl
SessionLoggerTargetNotFoundError	Die Anzahl der Protokolldateizustellungen, die dazu geführt haben, dass der Bucket nicht gefunden wurde.	[PortalId]	Durchschnitt, Summe, Maximum, Minimum	Anzahl
SessionLoggerAccessDeniedError	Die Anzahl der Protokolldateizustellungen, die dazu führten, dass Berechtigungen verweigert wurden.	[PortalId]	Durchschnitt, Summe, Maximum, Minimum	Anzahl

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierung von Benutzeraktivitäten

Sitzungsereignisse in der Benutzerzugriffsprotokollierung