Supervisión de registros de auditoría de Amazon WorkMail
Puede utilizar los registros de auditoría para supervisar el acceso a los buzones de correo de su organización Amazon WorkMail. Amazon WorkMail registra cinco tipos de eventos de auditoría y estos eventos se pueden publicar en registros de CloudWatch, Amazon S3 o Amazon Firehouse. Puede utilizar los registros de auditoría para supervisar la interacción de los usuarios con los buzones de correo de su organización, los intentos de autenticación, la evaluación de las reglas de control de acceso y realizar llamadas a los proveedores de disponibilidad a sistemas externos y supervisar los eventos con tokens de acceso personales. Para obtener información sobre la configuración de los registros de auditoría, consulte Habilitación del registro de auditoría.
En las siguientes secciones se describen los eventos de auditoría registrados por Amazon WorkMail, cuándo se transmiten los eventos y la información sobre los campos de los eventos.
Registros de acceso al buzón
Los eventos de acceso al buzón proporcionan información sobre qué acción se realizó (o intentó) en cada objeto del buzón. Se genera un evento de acceso al buzón por cada operación que se intenta ejecutar en un elemento o carpeta de un buzón. Estos eventos son útiles para auditar el acceso a los datos del buzón.
| Campo | Descripción |
|---|---|
|
event_timestamp |
El momento en que ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El identificador que identifica la solicitud de forma exclusiva. |
|
organization_arn |
El ARN de la organización y Amazon WorkMail a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
impersonator_id |
El ID del suplantador. Está presente solo si se utilizó la característica de suplantación de identidad para la solicitud. |
|
protocolo |
El protocolo utilizado. El protocolo puede ser: |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
user_agent |
El agente de usuario que realizó la solicitud. |
|
acción |
La acción realizada sobre el objeto, que puede ser: |
|
owner_id |
El ID del usuario propietario del objeto sobre el que se está actuando. |
|
object_type |
El tipo de objeto, que puede ser carpeta, mensaje o adjunto. |
|
item_id |
El identificador que identifica de forma exclusiva el mensaje que es el asunto del evento o que contiene el archivo adjunto que es el asunto del evento. |
|
folder_path |
La ruta de la carpeta sobre la que se está actuando o la ruta de la carpeta que contiene el elemento sobre el que se está actuando. |
|
folder_id |
El identificador que identifica de forma exclusiva la carpeta que es el tema del evento o que contiene el objeto que es el tema del evento. |
|
attachment_path |
La ruta de los nombres mostrados al adjunto afectado. |
|
action_allowed |
Si se ha permitido la acción. Puede ser verdadero o falso. |
Registros de control de acceso
Los eventos de control de acceso se generan cada vez que se evalúa una regla de control de acceso. Estos registros son útiles para auditar los accesos prohibidos o depurar las configuraciones de control de acceso.
| Campo | Descripción |
|---|---|
|
event_timestamp |
El momento en que ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El identificador que identifica la solicitud de forma exclusiva. |
|
organization_arn |
El ARN de la organización de WorkMail a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
impersonator_id |
El ID del suplantador. Está presente solo si se utilizó la característica de suplantación de identidad para la solicitud. |
|
protocolo |
El protocolo utilizado, que puede ser: |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
alcance |
El alcance de la regla, que puede ser: |
|
rule_id |
El identificador de la regla de control de acceso coincidente. Si no hay reglas coincidentes, rule_id no está disponible. |
|
access_granted |
Si se ha permitido el acceso. Puede ser verdadero o falso. |
Registros de autenticación
Los eventos de autenticación contienen información sobre los intentos de autenticación.
nota
Los eventos de autenticación no se generan para los eventos de autenticación a través de la aplicación Amazon WorkMail WebMail.
| Campo | Descripción |
|---|---|
|
event_timestamp |
El momento en que ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El identificador que identifica la solicitud de forma exclusiva. |
|
organization_arn |
El ARN de la organización de WorkMail a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
usuario |
El nombre de usuario con el que se intentó la autenticación. |
|
protocolo |
El protocolo utilizado, que puede ser: |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
user_agent |
El agente de usuario que realizó la solicitud. |
|
método |
El método de autenticación. En la actualidad, solo se admite el básico. |
|
auth_successful |
Si el intento de autenticación se ha realizado correctamente. Puede ser verdadero o falso. |
|
auth_failed_reason |
El motivo del error de autenticación. Está presente solo si la autenticación ha fallado. |
personal_access_token_id |
El ID del token de acceso personal utilizado para la autenticación. |
Registros de token de acceso personal
Se genera un evento de token de acceso personal (PAT) por cada intento de crear o eliminar un token de acceso personal. Los eventos de token de acceso personal proporcionan información sobre si los usuarios han creado correctamente los tokens de acceso personal. Los registros de los tokens de acceso personal son útiles para auditar a los usuarios finales que crean y eliminan sus propias PAT. El inicio de sesión del usuario con tokens de acceso personal generará eventos en los registros de autenticación existentes. Para obtener más información, consulte Registros de autenticación.
| Campo | Descripción |
|---|---|
|
event_timestamp |
El momento en que ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El identificador que identifica la solicitud de forma exclusiva. |
|
organization_arn |
El ARN de la organización de WorkMail a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
usuario |
El nombre de usuario del usuario que realizó esta acción. |
|
protocolo |
Se ejecutó el protocolo utilizado durante la acción, que puede ser: webapp |
|
source_ip |
La dirección IP de origen de la solicitud. |
|
user_agent |
El agente de usuario que realizó la solicitud. |
|
acción |
La acción del token de acceso personal, que puede ser: crear o eliminar. |
|
nombre |
El nombre del token de acceso personal. |
|
expires_time |
La fecha de caducidad del token de acceso personal. |
|
alcances |
Los alcances de los permisos del token de acceso personal en el buzón. |
Registros del proveedor de disponibilidad
Los eventos del proveedor de disponibilidad se generan para cada solicitud de disponibilidad que Amazon WorkMail realiza en su nombre al proveedor de disponibilidad configurado. Estos eventos son útiles para depurar la configuración del proveedor de disponibilidad.
| Campo | Descripción |
|---|---|
|
event_timestamp |
El momento en que ocurrió el evento, en milisegundos desde la época de Unix. |
|
request_id |
El identificador que identifica la solicitud de forma exclusiva. |
|
organization_arn |
El ARN de la organización de WorkMail a la que pertenece el usuario autenticado. |
|
user_id |
El ID del usuario autenticado. |
|
tipo |
El tipo de proveedor de disponibilidad que se invoca, que puede ser: |
|
domain |
El dominio para el que se obtiene la disponibilidad. |
|
function_arn |
El ARN de la Lambda invocada, si el tipo es LAMBDA. De lo contrario, este campo no está presente. |
|
news_endpoint |
El punto de conexión de EWS es de tipo EWS. De lo contrario, este campo no está presente. |
|
error_message |
El mensaje que describe la causa del error. Si la solicitud se ha realizado correctamente, este campo no está presente. |
|
availability_event_successful |
Si la solicitud de disponibilidad se ha atendido correctamente. |
