Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Registro del acceso de usuarios finales con auditoría de acceso a archivos
<a name="file-access-auditing"></a>

Amazon FSx para Windows File Server admite la auditoría del acceso de los usuarios finales a los archivos, carpetas y recursos compartidos de archivos. Puede optar por enviar los registros de eventos de auditoría de un sistema de archivos a otros servicios de AWS que ofrecen un amplio conjunto de características. Estas incluyen la posibilidad de consultar, procesar, almacenar y archivar los registros, emitir notificaciones y activar acciones para mejorar aún más los objetivos de seguridad y cumplimiento.

Para obtener más información sobre el uso de la auditoría de acceso a los archivos para obtener información sobre los patrones de acceso e implementar notificaciones de seguridad para la actividad de los usuarios finales, consulte [Información sobre los patrones de acceso al almacenamiento de archivos](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementación de notificaciones de seguridad para la actividad de los usuarios finales](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/).

**nota**  
La auditoría del acceso a los archivos solo se admite en FSx los sistemas de archivos de Windows con una capacidad de procesamiento de 32 MBps o más. Ahora puede modificar la capacidad de rendimiento para sistemas de archivos actuales. Para obtener más información, consulte [Administración de la capacidad de rendimiento](managing-throughput-capacity.md).

La auditoría de acceso a archivos le permite registrar los accesos de los usuarios finales a archivos, carpetas y recursos compartidos de archivos individuales en función de los controles de auditoría definidos. Los controles de auditoría también se conocen como listas de control de acceso al sistema NTFS ()SACLs. Si ya tiene controles de auditoría configurados en los datos de sus archivos existentes, puede aprovechar la auditoría de acceso a los archivos creando un nuevo sistema de archivos Amazon FSx for Windows File Server y migrando sus datos.

Amazon FSx admite los siguientes eventos de auditoría de Windows para el acceso a archivos, carpetas y archivos compartidos:
+ Para el acceso a los archivos, es compatible con: Todos, Recorrer carpeta/Ejecutar archivo, Enumerar carpeta/Leer datos, Leer atributos, Crear archivos/Escribir datos, Crear carpetas/Agregar datos, Escribir atributos, Eliminar subcarpetas y archivos, Eliminar, Leer permisos, Cambiar permisos y Asumir la propiedad.
+ Para los accesos a archivos compartidos, admite: Conectarse a un recurso compartido de archivos.

En todos los accesos a archivos, carpetas y archivos compartidos, Amazon FSx admite el registro de los intentos exitosos (por ejemplo, un usuario con permisos suficientes para acceder correctamente a un archivo o recurso compartido de archivos), los intentos fallidos o ambos.

Puede configurar si desea acceder a la auditoría únicamente a los archivos y carpetas, solo a los archivos compartidos o a ambos. También puede configurar qué tipos de accesos deben registrarse (solo los intentos exitosos, solo los intentos fallidos o ambos). También puede desactivar la auditoría de acceso a archivos en cualquier momento.

**nota**  
La auditoría de acceso a los archivos registra los datos de acceso de los usuarios finales solo desde el momento en que se habilitó. Es decir, la auditoría de acceso a los archivos no genera registros de eventos de auditoría de la actividad de acceso a archivos, carpetas y archivos compartidos de los usuarios finales que se produjo antes de que se habilitara la auditoría de acceso a los archivos.

La tasa máxima de eventos de auditoría de acceso admitidos es de 5000 eventos por segundo. Los eventos de auditoría de acceso no se generan para cada operación de lectura y escritura de archivos, sino que se generan una vez por cada operación de metadatos de archivo, por ejemplo, cuando un usuario crea, abre o elimina un archivo.

**Topics**
+ [Audite los destinos del registro de eventos](#faa-log-destinations)
+ [Migración de los controles de auditoría](#migrate-faa)
+ [Visualización de registros de eventos](#view-faa-logs)
+ [Configuración de controles de auditoría de archivos y carpetas](faa-audit-controls.md)
+ [Administrar la auditoría de acceso a los archivos](manage-faa.md)

## Audite los destinos del registro de eventos
<a name="faa-log-destinations"></a>

Cuando habilitas la auditoría de acceso a archivos, debes configurar un AWS servicio al que Amazon FSx envíe los registros de eventos de auditoría. Puede enviar los registros de eventos de auditoría a una secuencia de CloudWatch registros de Amazon Logs de un grupo de CloudWatch registros de Logs o a una transmisión de entrega de Amazon Data Firehose. Usted elige el destino de los registros de eventos de auditoría al crear su sistema de archivos de Amazon FSx for Windows File Server o en cualquier momento posterior al actualizar un sistema de archivos existente. Para obtener más información, consulte [Administrar la auditoría de acceso a los archivos](manage-faa.md).

A continuación, se incluyen algunas recomendaciones que pueden ayudarle a decidir qué destino de los registros de eventos de auditoría elegir: 
+ Elija CloudWatch Logs si desea almacenar, ver y buscar registros de eventos de auditoría en la CloudWatch consola de Amazon, ejecutar consultas en los CloudWatch registros mediante Logs Insights y activar CloudWatch alarmas o funciones Lambda.
+ Elija Amazon Data Firehose si desea transmitir eventos de forma continua al almacenamiento en Amazon S3, a una base de datos en Amazon Redshift, a OpenSearch Amazon Service o a soluciones de socios como Splunk o Datadog AWS para su posterior análisis.

De forma predeterminada, Amazon FSx creará y utilizará un grupo de CloudWatch registros predeterminado en tu cuenta como destino del registro de eventos de auditoría. Si quieres usar un grupo de CloudWatch registros personalizado o usar Firehose como destino del registro de eventos de auditoría, estos son los requisitos para los nombres y ubicaciones del destino del registro de eventos de auditoría:
+ El nombre del grupo de CloudWatch registros debe empezar por el `/aws/fsx/` prefijo. Si no tienes un grupo de CloudWatch registros existente al crear o actualizar un sistema de archivos en la consola, Amazon FSx puede crear y usar un flujo de registros predeterminado en el grupo de CloudWatch `/aws/fsx/windows` registros. Si no quieres usar el grupo de registros predeterminado, la interfaz de usuario de configuración te permite crear un grupo de CloudWatch registros al crear o actualizar tu sistema de archivos en la consola.
+ El nombre del flujo de entrega de Firehose debe empezar por el prefijo `aws-fsx-`. Si no tiene un flujo de entrega de Data Firehose existente, puede hacer uno al crear o actualizar el sistema de archivos en la consola.
+ El flujo de entrega de Firehose debe estar configurado para que se use `Direct PUT` como origen. No puede utilizar un flujo de datos de Kinesis existente como origen de datos para la transmisión de entrega.
+ El destino (grupo de CloudWatch registros de Logs o flujo de entrega de Firehose) debe estar en la misma AWS partición y Cuenta de AWS que tu sistema de FSx archivos de Amazon. Región de AWS

Puede cambiar el destino del registro de eventos de auditoría en cualquier momento (por ejemplo, de CloudWatch Logs a Firehose). Al hacerlo, los nuevos registros de eventos de auditoría se envían solo al nuevo destino.

### Entrega de registros de eventos de auditoría de la mejor forma
<a name="faa-log-delivery"></a>

Por lo general, los registros de eventos de auditoría se entregan al destino en cuestión de minutos, pero a veces pueden tardar más. En muy raras ocasiones, es posible que no se registren los registros de eventos de auditoría. Si su caso de uso requiere una semántica específica (por ejemplo, asegurarse de que no se omita ningún evento de auditoría), le recomendamos que tenga en cuenta los eventos omitidos al diseñar sus flujos de trabajo. Puede realizar una auditoría para detectar eventos omitidos escaneando la estructura de archivos y carpetas de su sistema de archivos.

## Migración de los controles de auditoría
<a name="migrate-faa"></a>

Si ya tienes los controles de auditoría (SACLs) configurados en los datos de tus archivos existentes, puedes crear un sistema de FSx archivos de Amazon y migrar tus datos a tu nuevo sistema de archivos. Te recomendamos que lo AWS DataSync utilices para transferir los datos y los archivos asociados SACLs a tu sistema de FSx archivos de Amazon. Como solución alternativa, puede utilizar Robocopy (Robust File Copy). Para obtener más información, consulte [Migración del almacenamiento de archivos existente a Amazon FSx](migrate-to-fsx.md).

## Visualización de registros de eventos
<a name="view-faa-logs"></a>

Puedes ver los registros de eventos de auditoría una vez que Amazon FSx haya empezado a emitirlos. El lugar y la forma de ver los registros dependen del destino del registro de eventos de auditoría: 
+ Para ver CloudWatch los registros, vaya a la CloudWatch consola y elija el grupo de registros y el flujo de registros a los que se enviarán los registros de los eventos de auditoría. Para obtener más información, consulta [Ver los datos de registro enviados a CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) en la *Guía del usuario de Amazon CloudWatch Logs*. 

  Puede utilizar CloudWatch Logs Insights para buscar y analizar sus datos de registro de forma interactiva. Para obtener más información, consulte [Análisis de datos de registro con CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), en la *Guía del usuario de Amazon CloudWatch Logs*.

  También puede exportar registros de eventos de auditoría a Amazon S3. Para obtener más información, consulte [Exportación de datos de registro a Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html), también en la *Guía del usuario de Amazon CloudWatch Logs*.
+ No puede ver los registros de eventos de auditoría en Firehose. Sin embargo, puede configurar Firehose para que reenvíe los registros a un destino desde el que pueda leer. Los destinos incluyen Amazon S3, Amazon Redshift, Amazon OpenSearch Service y soluciones de socios como Splunk y Datadog. Para obtener más información, consulte Choose [destination en](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) la Guía para desarrolladores de Amazon *Data* Firehose.

### Campos de eventos de auditoría
<a name="faa-event-data"></a>

Esta sección proporciona descripciones de la información de los registros de eventos de auditoría y ejemplos de eventos de auditoría.

A continuación, se describen los campos más destacados de un evento de auditoría de Windows.
+ **EventID** hace referencia al ID de evento de registro de eventos de Windows definido por Microsoft. Consulte la documentación de Microsoft para obtener información sobre los [eventos del sistema de archivos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) y [los eventos de archivos compartidos](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share).
+ **SubjectUserName**se refiere al usuario que realiza el acceso.
+ **ObjectName**hace referencia al archivo, carpeta o recurso compartido de archivos de destino al que se ha accedido.
+ **ShareName**está disponible para los eventos que se generan para el acceso a los archivos compartidos. Por ejemplo, `EventID 5140` se genera cuando se accede a un objeto compartido de red.
+ **IpAddress**se refiere al cliente que inició el evento para los eventos de uso compartido de archivos.
+ **Keywords**, cuando están disponibles, se refieren a si el acceso al archivo se ha realizado correctamente o no. Para que los accesos se realicen correctamente, el valor es `0x8020000000000000`. Para los accesos fallidos, el valor es `0x8010000000000000`.
+ **TimeCreated SystemTime**hace referencia a la hora en que el evento se generó en el sistema y se mostró en formato <AAAA-MM-:MM:SS.s>z. DDThh
+ **Computadora** hace referencia al nombre DNS del sistema de archivos Windows Remote Endpoint y se puede usar para identificar el sistema de archivos. PowerShell 
+ **AccessMask**, cuando está disponible, se refiere al tipo de acceso a los archivos realizado (por ejemplo, ReadData, WriteData).
+ **AccessList**se refiere al acceso solicitado o concedido a un objeto. Para obtener más información, consulte la tabla siguiente y la documentación de Microsoft (por ejemplo, en el [Evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).


| Tipo de acceso | Máscara de acceso | Valor | 
| --- | --- | --- | 
|  Leer datos o directorio de la lista  |  0x1  |  %%4416  | 
|  Escribir datos o añadir un archivo  |  0x2  |  %%4417  | 
|  Añadir datos o añadir un subdirectorio  |  0x4  |  %%4418  | 
|  Atributos de lectura extendidos  |  0x8  |  %%4419  | 
|  Atributos de escritura extendidos  |  0x10  |  %%4420  | 
|  Ejecutar/recorrer  |  0x20  |  %%4421  | 
|  Eliminar elemento secundario  |  0x40  |  %%4422  | 
|  Atributos de lectura  |  0x80  |  %%4423  | 
|  Atributos de escritura  |  0x100  |  %%4424  | 
|  Eliminar  |  0x10000  |  %%1537  | 
|  ACL de lectura  |  0x20000  |  %%1538  | 
|  ACL de escritura  |  0x40000  |  %%1539  | 
|  Propietario de escritura  |  0x80000  |  %%1540  | 
|  Sincronizar  |  0x100000  |  %%1541  | 
|  ACL de seguridad de acceso  |  0x1000000  |  %%1542  | 

A continuación, se presentan algunos eventos clave con algunos ejemplos. Tenga en cuenta que el XML tiene un formato que se puede leer.

**El ID de evento 4660** se registra cuando se elimina un objeto.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

**El ID de evento 4659** se registra en una solicitud de eliminación de un archivo.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

**El ID de evento 4663** se registra cuando se realiza una operación específica en el objeto. El siguiente ejemplo muestra la lectura de datos de un archivo, que se puede interpretar a partir de `AccessList %%4416`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

El siguiente ejemplo muestra write/append los datos de un archivo, desde los que se puede interpretar`AccessList %%4417`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

**El ID de evento 4656** indica que se ha solicitado un acceso específico para un objeto. En el ejemplo siguiente, la solicitud de lectura se inició como ObjectName «permtest» y fue un intento fallido, como se ve en el valor de palabras clave de. `0x8010000000000000`

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

**El ID de evento 4670** se registra cuando se cambian los permisos de un objeto. En el siguiente ejemplo, se muestra que el usuario «admin» modificó el permiso de «permtest» para añadir permisos al SID ObjectName «S-1-5-21-658495921-4185342820-3824891517-1113". Consulte la documentación de Microsoft para obtener más información sobre cómo interpretar los permisos.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

**El ID de evento 5140** se registra cada vez que se accede a un archivo compartido.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

**El ID de evento 5145** se registra cuando se deniega el acceso en el nivel de archivos compartidos. El siguiente ejemplo muestra que se denegó el acceso a «demoshare01". ShareName 

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

Si utilizas CloudWatch Logs Insights para buscar tus datos de registro, puedes ejecutar consultas en los campos de eventos, como se muestra en los siguientes ejemplos:
+ Para consultar un ID de evento específico:

  ```
  fields @message
     | filter @message like /4660/
  ```
+ Para consultar todos los eventos que coincidan con un nombre de archivo concreto:

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 Para obtener más información sobre el lenguaje de consulta de CloudWatch Logs Insights, consulte [Análisis de datos de registro con CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), en la *Guía del usuario de Amazon CloudWatch Logs*.

# Configuración de controles de auditoría de archivos y carpetas
<a name="faa-audit-controls"></a>

Debe establecer controles de auditoría en los archivos y carpetas que desee auditar para los intentos de acceso de los usuarios. Los controles de auditoría también se conocen como listas de control de acceso al sistema NTFS (SACLs).

Los controles de auditoría se configuran mediante la interfaz gráfica de usuario nativa de Windows o mediante programación mediante comandos de Windows. PowerShell Si la herencia está habilitada, normalmente tendrá que configurar los controles de auditoría únicamente en las carpetas de nivel superior en las que desee registrar los accesos.

## Uso de la interfaz gráfica de usuario de Windows para configurar el acceso de auditoría
<a name="faa-gui-interface"></a>

Si desea utilizar una interfaz gráfica de usuario para configurar los controles de auditoría en sus archivos y carpetas, utilice el Explorador de archivos de Windows. En un archivo o carpeta determinados, abra el Explorador de archivos de Windows y seleccione la pestaña **Propiedades > Seguridad > Avanzada > Auditoría**.

En el siguiente ejemplo de control de auditoría, se auditan los eventos correctos de una carpeta. Se emitirá una entrada en el registro de eventos de Windows cada vez que el usuario administrador abra ese identificador para que lo lea correctamente. 

![\[\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)




El campo **Tipo** indica qué acciones desea auditar. Defina este campo en **Éxito** para auditar los intentos correctos, **Error** para auditar los intentos fallidos o **Todos** para auditar tanto los intentos exitosos como los fallidos.

Para obtener más información sobre los campos de entrada de auditoría, consulte [Aplicar una política de auditoría básica a un archivo o carpeta](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) en la documentación de Microsoft.

## Uso de PowerShell comandos para configurar el acceso de auditoría
<a name="faa-powershell-commands"></a>

Puede usar el comando `Set-Acl` de Microsoft Windows para configurar la SACL de auditoría en cualquier archivo o carpeta. Para obtener información acerca de este comando, consulte la documentación de Microsoft [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1).

A continuación se muestra un ejemplo del uso de una serie de PowerShell comandos y variables para configurar el acceso de auditoría para que los intentos se realicen correctamente. Puede adaptar estos comandos de ejemplo para que se ajusten a las necesidades de su sistema de archivos.

```
$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List
```

# Administrar la auditoría de acceso a los archivos
<a name="manage-faa"></a>

Puede habilitar la auditoría de acceso a los archivos al crear un nuevo sistema de archivos de Amazon FSx para Windows File Server. La auditoría de acceso a los archivos está desactivada de forma predeterminada al crear un sistema de archivos desde la FSx consola de Amazon.

En los sistemas de archivos existentes que tienen habilitada la auditoría de acceso a los archivos, puede cambiar la configuración de la auditoría de acceso a los archivos, incluidos los tipos de intentos de acceso para los accesos a archivos y recursos compartidos, y el destino del registro de eventos de auditoría. Puedes realizar estas tareas mediante la FSx consola o la AWS CLI API de Amazon.

**nota**  
La auditoría de acceso a los archivos solo se admite en los sistemas de archivos Amazon FSx para Windows File Server con una capacidad de procesamiento de 32 MBps o más. No puede crear ni actualizar un sistema de archivos con una capacidad de rendimiento inferior a 32 MBps si la auditoría de acceso a los archivos está habilitada. Puede modificar la capacidad de rendimiento en cualquier momento después de crear el sistema de archivos. Para obtener más información, consulte [Administración de la capacidad de rendimiento](managing-throughput-capacity.md).

## Cómo habilitar la auditoría de acceso a archivos al crear un sistema de archivos (consola)
<a name="faa-create-modify-config"></a>

1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Siga el procedimiento para crear un nuevo sistema de archivos que se describe en [Paso 5. Crear el sistema de archivos](getting-started.md#getting-started-step1) en la sección Primeros pasos. 

1. Abra la sección **Auditoría (opcional)**. La auditoría de acceso a archivos está deshabilitada de forma predeterminada.  
![\[\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. Para habilitar y configurar la auditoría de acceso a los archivos, haga lo siguiente.
   + En **Registrar el acceso a archivos y carpetas**, selecciona el registro de los intentos and/or fallidos realizados con éxito. El registro estará desactivado para los archivos y carpetas si no selecciona nada.
   + En **Registrar el acceso a los archivos compartidos**, seleccione el registro de los intentos and/or fallidos realizados correctamente. El registro estará desactivado para los archivos compartidos si no selecciona nada.
   + En **Elija un destino de registro de eventos de auditoría**, elija **CloudWatch Logs** o **Firehose**. A continuación, seleccione un registro o flujo de entrega existente o cree uno nuevo. En el CloudWatch caso de Logs, Amazon FSx puede crear y usar un flujo de registros predeterminado en el grupo de CloudWatch `/aws/fsx/windows` registros Logs.

   A continuación, se muestra un ejemplo de una configuración de auditoría de acceso a archivos que auditará los intentos de acceso correctos y fallidos de los usuarios finales a los archivos, las carpetas y los archivos compartidos. Los registros de eventos de auditoría se enviarán al destino predeterminado del grupo de CloudWatch `/aws/fsx/windows` registros.  
![\[\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. Continúe con la siguiente sección del asistente de creación del sistema de archivos.

Cuando el sistema de archivos está **Disponible**, la característica de auditoría de acceso a los archivos está habilitada.

## Cómo habilitar la auditoría de acceso a archivos al crear un sistema de archivos (CLI)
<a name="w2aac31c20c35b9b3"></a>

1. Al crear un nuevo sistema de archivos, utilice la `AuditLogConfiguration` propiedad con la operación de [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API para habilitar la auditoría del acceso a los archivos del nuevo sistema de archivos.

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. Cuando el sistema de archivos está **Disponible**, la característica de auditoría de acceso a los archivos está habilitada.

## Cómo cambiar la configuración de auditoría de acceso a los archivos (consola)
<a name="w2aac31c20c35b9b5"></a>

1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Vaya a **Sistemas de archivos** y elija el sistema de archivos de Windows para el que desee administrar la auditoría de acceso a archivos.

1. Elija la pestaña **Administración**.

1. En el panel de **Auditoría de acceso a archivos**, seleccione **Administrar**.  
![\[FSx panel de auditoría de acceso a archivos de la consola, que muestra la configuración de auditoría de acceso a archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. En el cuadro de diálogo **Administrar la configuración de auditoría del acceso a los archivos**, cambie la configuración deseada.  
![\[FSx panel de auditoría de acceso a archivos de la consola, utilice este panel para modificar las configuraciones de auditoría de acceso a los archivos.\]](http://docs.aws.amazon.com/es_es/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + En **Registrar el acceso a archivos y carpetas**, seleccione el registro de los intentos and/or fallidos realizados correctamente. El registro estará desactivado para los archivos y carpetas si no selecciona nada.
   + En **Registrar el acceso a los archivos compartidos**, seleccione el registro de los intentos and/or fallidos realizados correctamente. El registro estará desactivado para los archivos compartidos si no selecciona nada.
   + En **Elija un destino de registro de eventos de auditoría**, elija **CloudWatch Logs** o **Firehose**. A continuación, seleccione un registro o flujo de entrega existente o cree uno nuevo.

1. Seleccione **Save**.

## Cómo cambiar la configuración de auditoría de acceso a archivos (CLI)
<a name="w2aac31c20c35b9b7"></a>
+ Utilice el comando de CLI [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) o la operación de la API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) equivalente.

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```