Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Enregistrement de l'accès des utilisateurs finaux avec audit de l'accès aux fichiers
<a name="file-access-auditing"></a>

Amazon FSx pour Windows File Server prend en charge l'audit de l'accès des utilisateurs finaux aux fichiers, aux dossiers et aux partages de fichiers. Vous pouvez choisir d'envoyer les journaux des événements d'audit d'un système de fichiers à d'autres AWS services proposant un ensemble complet de fonctionnalités. Il s'agit notamment de permettre l'interrogation, le traitement, le stockage et l'archivage des journaux, l'émission de notifications et le déclenchement d'actions pour améliorer encore vos objectifs de sécurité et de conformité.

Pour plus d'informations sur l'utilisation de l'audit d'accès aux fichiers pour obtenir des informations sur les modèles d'accès et implémenter des notifications de sécurité pour l'activité des utilisateurs finaux, consultez les sections [Informations sur les modèles d'accès au stockage de fichiers](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) et [Implémentation de notifications de sécurité pour l'activité des utilisateurs finaux](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/).

**Note**  
L'audit d'accès aux fichiers n'est pris en charge que sur FSx les systèmes de fichiers Windows dont la capacité de débit est supérieure MBps ou égale à 32. Vous pouvez modifier la capacité de débit des systèmes de fichiers existants. Pour de plus amples informations, veuillez consulter [Gestion de la capacité de débit](managing-throughput-capacity.md).

L'audit d'accès aux fichiers vous permet d'enregistrer les accès des utilisateurs finaux à des fichiers, dossiers et partages de fichiers individuels en fonction des contrôles d'audit que vous avez définis. Les contrôles d'audit sont également appelés listes de contrôle d'accès au système NTFS (SACLs). Si vous avez déjà configuré des contrôles d'audit sur vos données de fichiers existantes, vous pouvez tirer parti de l'audit d'accès aux fichiers en créant un nouveau système de fichiers Amazon FSx pour Windows File Server et en migrant vos données.

Amazon FSx prend en charge les événements d'audit Windows suivants pour les accès aux fichiers, aux dossiers et aux partages de fichiers :
+ Pour les accès aux fichiers, il prend en charge : Tout, Traverser le dossier/Exécuter le fichier, Lister le dossier/Lire les données, Lire les attributs, créer des fichiers/Écrire des données, créer des dossiers/Ajouter des données, Écrire des attributs, supprimer des sous-dossiers et des fichiers, supprimer, lire les autorisations, modifier les autorisations et prendre possession.
+ Pour les accès au partage de fichiers, il prend en charge : Se connecter à un partage de fichiers.

Pour les accès aux fichiers, aux dossiers et aux partages de fichiers, Amazon FSx prend en charge la journalisation des tentatives réussies (par exemple, lorsqu'un utilisateur disposant des autorisations suffisantes accède à un fichier ou à un partage de fichiers), des tentatives infructueuses, ou les deux.

Vous pouvez configurer si vous souhaitez un audit d'accès uniquement sur les fichiers et les dossiers, uniquement sur les partages de fichiers, ou les deux. Vous pouvez également configurer les types d'accès qui doivent être enregistrés (tentatives réussies uniquement, tentatives infructueuses uniquement, ou les deux). Vous pouvez également désactiver l'audit d'accès aux fichiers à tout moment.

**Note**  
L'audit d'accès aux fichiers enregistre les données d'accès des utilisateurs finaux uniquement à partir du moment où il est activé. En d'autres termes, l'audit de l'accès aux fichiers ne génère pas de journaux des événements d'audit des activités d'accès aux fichiers, aux dossiers et aux partages de fichiers de l'utilisateur final survenues avant l'activation de l'audit d'accès aux fichiers.

Le taux maximum d'événements d'audit d'accès pris en charge est de 5 000 événements par seconde. Les événements d'audit d'accès ne sont pas générés pour chaque opération de lecture et d'écriture de fichier, mais une fois par opération de métadonnées de fichier, par exemple lorsqu'un utilisateur crée, ouvre ou supprime un fichier.

**Topics**
+ [Auditer les destinations des journaux d'événements](#faa-log-destinations)
+ [Migration de vos contrôles d'audit](#migrate-faa)
+ [Affichage des journaux d'événements](#view-faa-logs)
+ [Configuration des contrôles d'audit des fichiers et des dossiers](faa-audit-controls.md)
+ [Gestion de l'audit des accès aux fichiers](manage-faa.md)

## Auditer les destinations des journaux d'événements
<a name="faa-log-destinations"></a>

Lorsque vous activez l'audit d'accès aux fichiers, vous devez configurer un AWS service auquel Amazon FSx envoie les journaux des événements d'audit. Vous pouvez envoyer des journaux d'événements d'audit à un flux de CloudWatch journaux Amazon Logs d'un groupe de CloudWatch journaux Logs ou à un flux de diffusion Amazon Data Firehose. Vous choisissez la destination des journaux d'événements d'audit soit lorsque vous créez votre système de fichiers Amazon FSx pour Windows File Server, soit à tout moment par la suite en mettant à jour un système de fichiers existant. Pour de plus amples informations, veuillez consulter [Gestion de l'audit des accès aux fichiers](manage-faa.md).

Voici quelques recommandations qui peuvent vous aider à choisir la destination des journaux des événements d'audit : 
+ Choisissez CloudWatch Logs si vous souhaitez stocker, consulter et rechercher des journaux d'événements d'audit dans la CloudWatch console Amazon, exécuter des requêtes sur les journaux à l'aide CloudWatch de Logs Insights et déclencher des CloudWatch alarmes ou des fonctions Lambda.
+ Choisissez Amazon Data Firehose si vous souhaitez diffuser en continu des événements vers le stockage dans Amazon S3, vers une base de données dans Amazon Redshift, vers OpenSearch Amazon Service ou vers des solutions partenaires telles que Splunk ou Datadog AWS pour une analyse plus approfondie.

Par défaut, Amazon FSx crée et utilise un groupe de CloudWatch journaux Logs par défaut dans votre compte comme destination du journal des événements d'audit. Si vous souhaitez utiliser un groupe de journaux de CloudWatch journaux personnalisé ou utiliser Firehose comme destination du journal des événements d'audit, voici les exigences relatives aux noms et aux emplacements de la destination du journal des événements d'audit :
+ Le nom du groupe de CloudWatch journaux Logs doit commencer par le `/aws/fsx/` préfixe. Si vous ne disposez pas d'un groupe de CloudWatch journaux Logs existant lorsque vous créez ou mettez à jour un système de fichiers sur la console, Amazon FSx peut créer et utiliser un flux de journaux par défaut dans le groupe de CloudWatch `/aws/fsx/windows` journaux Logs. Si vous ne souhaitez pas utiliser le groupe de journaux par défaut, l'interface utilisateur de configuration vous permet de créer un groupe de CloudWatch journaux de journaux lorsque vous créez ou mettez à jour votre système de fichiers sur la console.
+ Le nom du flux de diffusion Firehose doit commencer par le `aws-fsx-` préfixe. Si vous ne disposez pas d'un flux de diffusion Firehose existant, vous pouvez en créer un lorsque vous créez ou mettez à jour votre système de fichiers sur la console.
+ Le flux de diffusion Firehose doit être configuré pour être utilisé `Direct PUT` comme source. Vous ne pouvez pas utiliser un flux de données Kinesis existant comme source de données pour votre flux de diffusion.
+ La destination (groupe de CloudWatch journaux Logs ou flux de diffusion Firehose) doit se trouver sur la même AWS partition et sur celle de votre Compte AWS système de FSx fichiers Amazon. Région AWS

Vous pouvez modifier la destination du journal des événements d'audit à tout moment (par exemple, de CloudWatch Logs à Firehose). Dans ce cas, les nouveaux journaux des événements d'audit sont envoyés uniquement à la nouvelle destination.

### Meilleur effort de livraison du journal des événements d'audit
<a name="faa-log-delivery"></a>

Généralement, les enregistrements du journal des événements d'audit sont livrés à destination en quelques minutes, mais cela peut parfois prendre plus de temps. Dans de très rares cas, les enregistrements du journal des événements d'audit peuvent être manqués. Si votre cas d'utilisation nécessite une sémantique particulière (par exemple, pour s'assurer qu'aucun événement d'audit n'est manqué), nous vous recommandons de prendre en compte les événements manqués lors de la conception de vos flux de travail. Vous pouvez vérifier les événements manqués en analysant la structure des fichiers et des dossiers de votre système de fichiers.

## Migration de vos contrôles d'audit
<a name="migrate-faa"></a>

Si des contrôles d'audit (SACLs) sont déjà configurés sur vos données de fichiers existantes, vous pouvez créer un système de FSx fichiers Amazon et migrer vos données vers votre nouveau système de fichiers. Nous vous recommandons AWS DataSync de l'utiliser pour transférer les données et les données associées SACLs à votre système de FSx fichiers Amazon. Comme solution alternative, vous pouvez utiliser Robocopy (Robust File Copy). Pour de plus amples informations, veuillez consulter [Migration du stockage de fichiers existant vers Amazon FSx](migrate-to-fsx.md).

## Affichage des journaux d'événements
<a name="view-faa-logs"></a>

Vous pouvez consulter les journaux des événements d'audit une fois FSx qu'Amazon a commencé à les publier. L'emplacement et le mode d'affichage des journaux dépendent de la destination du journal des événements d'audit : 
+ Vous pouvez consulter CloudWatch les journaux en accédant à la CloudWatch console et en choisissant le groupe de journaux et le flux de journaux auxquels vos journaux d'événements d'audit sont envoyés. Pour plus d'informations, consultez [Afficher les données de journal envoyées à CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*. 

  Vous pouvez utiliser CloudWatch Logs Insights pour rechercher et analyser les données de vos journaux de manière interactive. Pour plus d'informations, consultez [Analyser les données des CloudWatch journaux avec Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) dans le *guide de l'utilisateur Amazon CloudWatch Logs*.

  Vous pouvez également exporter les journaux des événements d'audit vers Amazon S3. Pour plus d'informations, consultez [Exportation de données de journal vers Amazon S3](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html), également dans le *guide de l'utilisateur d'Amazon CloudWatch Logs*.
+ Vous ne pouvez pas consulter les journaux des événements d'audit sur Firehose. Cependant, vous pouvez configurer Firehose pour transférer les journaux vers une destination à partir de laquelle vous pouvez les lire. Les destinations incluent Amazon S3, Amazon Redshift, Amazon OpenSearch Service et des solutions partenaires telles que Splunk et Datadog. Pour plus d'informations, consultez Choisir une [destination dans](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) le guide du développeur Amazon *Data* Firehose.

### Champs d'événements d'audit
<a name="faa-event-data"></a>

Cette section décrit les informations contenues dans les journaux des événements d'audit et fournit des exemples d'événements d'audit.

Vous trouverez ci-dessous une description des principaux champs d'un événement d'audit Windows.
+ **EventID** fait référence à l'ID d'événement du journal des événements Windows défini par Microsoft. Consultez la documentation Microsoft pour obtenir des informations sur les [événements du système de fichiers et les événements](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) [de partage](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share) de fichiers.
+ **SubjectUserName**fait référence à l'utilisateur effectuant l'accès.
+ **ObjectName**fait référence au fichier, au dossier ou au partage de fichiers cible auquel vous avez accédé.
+ **ShareName**est disponible pour les événements générés pour l'accès au partage de fichiers. Par exemple, `EventID 5140` est généré lors de l'accès à un objet de partage réseau.
+ **IpAddress**fait référence au client qui a initié l'événement pour les événements de partage de fichiers.
+ Les **mots clés**, lorsqu'ils sont disponibles, indiquent si l'accès au fichier a été un succès ou un échec. Pour les accès réussis, la valeur est`0x8020000000000000`. Pour les accès échoués, la valeur est`0x8010000000000000`.
+ **TimeCreated SystemTime**fait référence à l'heure à laquelle l'événement a été généré dans le système et affiché au format <YYYY-MM-:MM:SS.S>Z. DDThh
+ L'**ordinateur** fait référence au nom DNS du système de fichiers Windows Remote PowerShell Endpoint et peut être utilisé pour identifier le système de fichiers.
+ **AccessMask**, lorsqu'il est disponible, fait référence au type d'accès au fichier effectué (par exemple ReadData, WriteData).
+ **AccessList**fait référence à l'accès demandé ou accordé à un objet. Pour plus de détails, consultez le tableau ci-dessous et la documentation Microsoft (comme dans [Event 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).


| Type d’accès | Masque d'accès | Value | 
| --- | --- | --- | 
|  Lire le répertoire de données ou de listes  |  0x1  |  %4416  | 
|  Écrire des données ou ajouter un fichier  |  0x2  |  %417  | 
|  Ajouter des données ou ajouter un sous-répertoire  |  0x4  |  %418  | 
|  Lire les attributs étendus  |  0 x 8  |  %4419  | 
|  Écrire des attributs étendus  |  0 x 10  |  %4420  | 
|  Exécuter/Traverser  |  0 x 20  |  %4421  | 
|  Supprimer l'enfant  |  0 x 40  |  %442  | 
|  Lire les attributs  |  0x80  |  %4423  | 
|  Écrire des attributs  |  0 x 100  |  %424  | 
|  Suppression  |  0 x 10000  |  %1537  | 
|  Lire ACL  |  0 x 20000  |  %1538  | 
|  Écrire ACL  |  0x40000  |  %1539  | 
|  Écrivez le propriétaire  |  0 x 80000  |  % 1540  | 
|  Synchroniser  |  0 x 100000  |  %1541  | 
|  ACL de sécurité d'accès  |  0x1000000  |  %1542  | 

Voici quelques événements clés accompagnés d'exemples. Notez que le XML est formaté dans un souci de lisibilité.

**L'ID d'événement 4660** est enregistré lorsqu'un objet est supprimé.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

**L'ID d'événement 4659** est enregistré lors d'une demande de suppression de fichier.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

**L'ID d'événement 4663** est enregistré lorsqu'une opération spécifique a été effectuée sur l'objet. L'exemple suivant montre la lecture de données à partir d'un fichier, qui peuvent être interprétées à partir de celui-ci`AccessList %%4416`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

L'exemple suivant montre les write/append données d'un fichier, qui peuvent être interprétées à partir de celui-ci`AccessList %%4417`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

**L'ID d'événement 4656** indique qu'un accès spécifique a été demandé pour un objet. Dans l'exemple suivant, la demande Read a été lancée pour ObjectName « permtest » et a échoué, comme le montre la valeur Keywords de. `0x8010000000000000`

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

**L'ID d'événement 4670** est enregistré lorsque les autorisations d'un objet sont modifiées. L'exemple suivant montre que l'utilisateur « admin » a modifié l'autorisation sur « permtest » pour ajouter des autorisations au SID ObjectName « S-1-5-21-658495921-4185342820-3824891517-1113 ». Reportez-vous à la documentation Microsoft pour plus d'informations sur l'interprétation des autorisations.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

**L'ID d'événement 5140** est enregistré à chaque accès à un partage de fichiers.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

**L'ID d'événement 5145** est enregistré lorsque l'accès est refusé au niveau du partage de fichiers. L'exemple suivant montre que l'accès à ShareName « demoshare01 » a été refusé.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

Si vous utilisez CloudWatch Logs Insights pour rechercher les données de vos journaux, vous pouvez exécuter des requêtes sur les champs d'événements, comme le montrent les exemples suivants :
+ Pour demander un ID d'événement spécifique, procédez comme suit :

  ```
  fields @message
     | filter @message like /4660/
  ```
+ Pour interroger tous les événements correspondant à un nom de fichier donné, procédez comme suit :

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 Pour plus d'informations sur le langage de requête CloudWatch Logs Insights, consultez [Analyzing Log Data with CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), dans le *guide de l'utilisateur Amazon CloudWatch Logs*.

# Configuration des contrôles d'audit des fichiers et des dossiers
<a name="faa-audit-controls"></a>

Vous devez définir des contrôles d'audit sur les fichiers et dossiers que vous souhaitez auditer pour les tentatives d'accès des utilisateurs. Les contrôles d'audit sont également appelés listes de contrôle d'accès au système NTFS (SACLs).

Vous configurez les contrôles d'audit à l'aide de l'interface graphique native de Windows ou par programmation à l'aide de commandes Windows. PowerShell Si l'héritage est activé, vous devez généralement définir des contrôles d'audit uniquement sur les dossiers de niveau supérieur auxquels vous souhaitez enregistrer les accès.

## Utilisation de l'interface graphique Windows pour définir l'accès à l'audit
<a name="faa-gui-interface"></a>

Pour utiliser une interface graphique afin de définir des contrôles d'audit sur vos fichiers et dossiers, utilisez l'Explorateur de fichiers Windows. Sur un fichier ou un dossier donné, ouvrez l'Explorateur de fichiers Windows et sélectionnez l'onglet **Propriétés > Sécurité > Avancé > Audit**.

L'exemple de contrôle d'audit suivant permet d'auditer les événements réussis pour un dossier. Une entrée du journal des événements Windows est émise chaque fois que ce handle est ouvert pour être lu avec succès par l'utilisateur administrateur. 

![\[\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)




Le champ **Type** indique les actions que vous souhaitez auditer. Définissez ce champ sur **Réussite** pour auditer les tentatives réussies, **Échec** pour auditer les tentatives infructueuses ou **Tout** pour auditer à la fois les tentatives réussies et les tentatives infructueuses.

Pour plus d'informations sur les champs de saisie d'audit, voir [Appliquer une politique d'audit de base sur un fichier ou un dossier](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) dans la documentation Microsoft.

## Utilisation de PowerShell commandes pour définir l'accès à l'audit
<a name="faa-powershell-commands"></a>

Vous pouvez utiliser la `Set-Acl` commande Microsoft Windows pour définir la SACL d'audit sur n'importe quel fichier ou dossier. Pour plus d'informations sur cette commande, consultez la documentation Microsoft [Set-Acl.](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1)

Voici un exemple d'utilisation d'une série de PowerShell commandes et de variables pour définir l'accès à l'audit en cas de tentatives réussies. Vous pouvez adapter ces exemples de commandes aux besoins de votre système de fichiers.

```
$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List
```

# Gestion de l'audit des accès aux fichiers
<a name="manage-faa"></a>

Vous pouvez activer l'audit d'accès aux fichiers lors de la création d'un nouveau système de fichiers Amazon FSx pour Windows File Server. L'audit d'accès aux fichiers est désactivé par défaut lorsque vous créez un système de fichiers depuis la FSx console Amazon.

Sur les systèmes de fichiers existants sur lesquels l'audit d'accès aux fichiers est activé, vous pouvez modifier les paramètres d'audit d'accès aux fichiers, notamment les types de tentatives d'accès pour les accès aux fichiers et aux partages de fichiers, ainsi que la destination du journal des événements d'audit. Vous pouvez effectuer ces tâches à l'aide de la FSx console Amazon ou de l'API. AWS CLI

**Note**  
L'audit d'accès aux fichiers n'est pris en charge que sur les systèmes de fichiers Amazon FSx pour Windows File Server dotés d'une capacité de débit de 32 MBps ou plus. Vous ne pouvez pas créer ou mettre à jour un système de fichiers avec une capacité de débit inférieure à 32 MBps si l'audit d'accès aux fichiers est activé. Vous pouvez modifier la capacité de débit à tout moment après avoir créé le système de fichiers. Pour de plus amples informations, veuillez consulter [Gestion de la capacité de débit](managing-throughput-capacity.md).

## Pour activer l'audit de l'accès aux fichiers lors de la création d'un système de fichiers (console)
<a name="faa-create-modify-config"></a>

1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Suivez la procédure de création d'un nouveau système de fichiers décrite [Étape 5. Créez votre système de fichiers](getting-started.md#getting-started-step1) dans la section Mise en route. 

1. Ouvrez la section **Audit - facultatif**. L'audit d'accès aux fichiers est désactivé par défaut.  
![\[\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. Pour activer et configurer l'audit d'accès aux fichiers, procédez comme suit.
   + Pour **l'accès au journal des fichiers et des dossiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les fichiers et les dossiers si vous n'effectuez aucune sélection.
   + Pour l'**accès au journal des partages de fichiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les partages de fichiers si vous n'effectuez aucune sélection.
   + Pour **Choisir une destination du journal des événements d'audit**, choisissez **CloudWatch Logs** ou **Firehose**. Choisissez ensuite un journal ou un flux de diffusion existant ou créez-en un nouveau. Pour les CloudWatch journaux, Amazon FSx peut créer et utiliser un flux de journal par défaut dans le groupe de CloudWatch `/aws/fsx/windows` journaux Logs.

   Vous trouverez ci-dessous un exemple de configuration d'audit d'accès aux fichiers qui vérifiera les tentatives d'accès réussies et infructueuses des utilisateurs finaux aux fichiers, aux dossiers et aux partages de fichiers. Les journaux des événements d'audit seront envoyés à la destination par défaut du groupe de CloudWatch `/aws/fsx/windows` journaux Logs.  
![\[\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. Passez à la section suivante de l'assistant de création de système de fichiers.

Lorsque le système de fichiers est **disponible**, la fonctionnalité d'audit d'accès aux fichiers est activée.

## Pour activer l'audit de l'accès aux fichiers lors de la création d'un système de fichiers (CLI)
<a name="w2aac31c20c35b9b3"></a>

1. Lorsque vous créez un nouveau système de fichiers, utilisez la `AuditLogConfiguration` propriété avec l'opération d'[CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API pour activer l'audit de l'accès aux fichiers pour le nouveau système de fichiers.

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. Lorsque le système de fichiers est **disponible**, la fonctionnalité d'audit d'accès aux fichiers est activée.

## Pour modifier la configuration de l'audit d'accès aux fichiers (console)
<a name="w2aac31c20c35b9b5"></a>

1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Accédez à **Systèmes de fichiers**, puis choisissez le système de fichiers Windows pour lequel vous souhaitez gérer l'audit d'accès aux fichiers.

1. Choisissez l'onglet **Administration**.

1. Dans le panneau **d'audit de l'accès aux fichiers**, choisissez **Gérer**.  
![\[FSx console Panneau d'audit d'accès aux fichiers, qui montre la configuration de l'audit d'accès aux fichiers.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. Dans la boîte de dialogue **Gérer les paramètres d'audit d'accès aux fichiers**, modifiez les paramètres souhaités.  
![\[FSx console Panneau d'audit d'accès aux fichiers, utilisez ce panneau pour modifier les configurations d'audit d'accès aux fichiers.\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + Pour **l'accès au journal des fichiers et des dossiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les fichiers et les dossiers si vous n'effectuez aucune sélection.
   + Pour l'**accès au journal des partages de fichiers**, sélectionnez l'enregistrement des tentatives and/or infructueuses réussies. La journalisation est désactivée pour les partages de fichiers si vous n'effectuez aucune sélection.
   + Pour **Choisir une destination du journal des événements d'audit**, choisissez **CloudWatch Logs** ou **Firehose**. Choisissez ensuite un journal ou un flux de diffusion existant ou créez-en un nouveau.

1. Choisissez **Enregistrer**.

## Pour modifier la configuration de l'audit d'accès aux fichiers (CLI)
<a name="w2aac31c20c35b9b7"></a>
+ Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html)CLI ou l'opération [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)API équivalente.

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```