Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Registrazione dell'accesso dell'utente finale con il controllo dell'accesso ai file
<a name="file-access-auditing"></a>

Amazon FSx for Windows File Server supporta il controllo dell'accesso degli utenti finali a file, cartelle e condivisioni di file. Puoi scegliere di inviare i registri degli eventi di controllo di un file system ad altri AWS servizi che offrono un ricco set di funzionalità. Queste includono l'abilitazione delle interrogazioni, l'elaborazione, l'archiviazione e l'archiviazione dei log, l'emissione di notifiche e l'attivazione di azioni per migliorare ulteriormente gli obiettivi di sicurezza e conformità.

Per ulteriori informazioni sull'utilizzo del controllo degli accessi ai file per ottenere informazioni dettagliate sui modelli di accesso e implementare notifiche di sicurezza per l'attività degli utenti finali, vedere Informazioni sui [modelli di accesso allo storage dei file](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/) e [Implementazione delle notifiche di sicurezza](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/) per l'attività degli utenti finali.

**Nota**  
Il controllo dell'accesso ai file è supportato solo sui FSx file system Windows con una capacità di trasmissione pari o superiore a 32 MBps . È possibile modificare la capacità di trasmissione dei file system esistenti. Per ulteriori informazioni, consulta [Gestione della capacità di throughput](managing-throughput-capacity.md).

Il controllo dell'accesso ai file consente di registrare gli accessi degli utenti finali a singoli file, cartelle e condivisioni di file in base ai controlli di controllo definiti dall'utente. I controlli di controllo sono noti anche come elenchi di controllo degli accessi al sistema NTFS (). SACLs Se hai già impostato i controlli di audit sui dati dei tuoi file esistenti, puoi sfruttare il controllo degli accessi ai file creando un nuovo file system Amazon FSx for Windows File Server e migrando i tuoi dati.

Amazon FSx supporta i seguenti eventi di controllo di Windows per gli accessi a file, cartelle e condivisioni di file:
+ Per l'accesso ai file, supporta: Tutti, Traverse folder/Execute file, List folder/Leggi dati, Leggi attributi, Crea file/Scrivi dati, Crea cartelle/ Aggiungi dati, Write attributes, Elimina sottocartelle e file, Elimina, Leggi le autorizzazioni, Cambia le autorizzazioni e Diventa proprietario.
+ Per gli accessi alla condivisione di file, supporta: Connect a una condivisione di file.

Per tutti gli accessi a file, cartelle e condivisioni di file, Amazon FSx supporta la registrazione dei tentativi riusciti (ad esempio un utente con autorizzazioni sufficienti che accede con successo a un file o a una condivisione di file), dei tentativi falliti o di entrambi.

Puoi configurare se desideri il controllo degli accessi solo su file e cartelle, solo sulle condivisioni di file o su entrambi. È inoltre possibile configurare i tipi di accesso da registrare (solo tentativi riusciti, solo tentativi falliti o entrambi). È inoltre possibile disattivare il controllo dell'accesso ai file in qualsiasi momento.

**Nota**  
Il controllo dell'accesso ai file registra i dati di accesso degli utenti finali solo dal momento in cui è abilitato. In altre parole, il controllo dell'accesso ai file non genera registri degli eventi di controllo delle attività di accesso a file, cartelle e condivisioni di file effettuate dall'utente finale prima dell'attivazione del controllo dell'accesso ai file.

La frequenza massima di eventi di controllo degli accessi supportati è di 5.000 eventi al secondo. Gli eventi di controllo degli accessi non vengono generati per ogni operazione di lettura e scrittura dei file, ma una volta per operazione sui metadati dei file, ad esempio quando un utente crea, apre o elimina un file.

**Topics**
+ [Controlla le destinazioni del registro degli eventi](#faa-log-destinations)
+ [Migrazione dei controlli di audit](#migrate-faa)
+ [Visualizzazione dei registri degli eventi](#view-faa-logs)
+ [Impostazione dei controlli di controllo di file e cartelle](faa-audit-controls.md)
+ [Gestione del controllo degli accessi ai file](manage-faa.md)

## Controlla le destinazioni del registro degli eventi
<a name="faa-log-destinations"></a>

Quando abiliti il controllo degli accessi ai file, devi configurare un AWS servizio a cui Amazon FSx invia i log degli eventi di controllo. Puoi inviare i log degli eventi di controllo a un flusso di log di Amazon CloudWatch Logs in un gruppo di log CloudWatch Logs o a un flusso di distribuzione Amazon Data Firehose. Puoi scegliere la destinazione dei log degli eventi di controllo quando crei il tuo file system Amazon FSx for Windows File Server o in qualsiasi momento dopo aggiornando un file system esistente. Per ulteriori informazioni, consulta [Gestione del controllo degli accessi ai file](manage-faa.md).

Di seguito sono riportati alcuni consigli che possono aiutarti a decidere quale destinazione scegliere per i log degli eventi di controllo: 
+ Scegli CloudWatch Logs se desideri archiviare, visualizzare e cercare i log degli eventi di controllo nella CloudWatch console Amazon, eseguire query sui log utilizzando CloudWatch Logs Insights e attivare CloudWatch allarmi o funzioni Lambda.
+ Scegli Amazon Data Firehose se desideri trasmettere continuamente gli eventi allo storage in Amazon S3, a un database in Amazon Redshift, ad OpenSearch Amazon Service o a soluzioni partner come Splunk o AWS Datadog per ulteriori analisi.

Per impostazione predefinita, Amazon FSx creerà e utilizzerà un gruppo di log CloudWatch Logs predefinito nel tuo account come destinazione del registro degli eventi di controllo. Se si desidera utilizzare un gruppo di log CloudWatch Logs personalizzato o utilizzare Firehose come destinazione del registro degli eventi di controllo, ecco i requisiti per i nomi e le posizioni della destinazione del registro degli eventi di controllo:
+ Il nome del gruppo di CloudWatch log Logs deve iniziare con il prefisso. `/aws/fsx/` Se non disponi di un gruppo di log CloudWatch Logs esistente quando crei o aggiorni un file system sulla console, Amazon FSx può creare e utilizzare un flusso di log predefinito nel gruppo di `/aws/fsx/windows` log CloudWatch Logs. Se non desideri utilizzare il gruppo di log predefinito, l'interfaccia utente di configurazione ti consente di creare un gruppo di log CloudWatch Logs quando crei o aggiorni il file system sulla console.
+ Il nome del flusso di distribuzione di Firehose deve iniziare con il `aws-fsx-` prefisso. Se non disponi di un flusso di distribuzione Firehose esistente, puoi crearne uno quando crei o aggiorni il file system sulla console.
+ Il flusso di distribuzione Firehose deve essere configurato per essere utilizzato `Direct PUT` come sorgente. Non è possibile utilizzare un flusso di dati Kinesis esistente come origine dati per il flusso di distribuzione.
+ La destinazione ( CloudWatch Logs log group o Firehose delivery stream) deve trovarsi nella AWS stessa partizione Regione AWS e nel file Account AWS system Amazon FSx .

È possibile modificare la destinazione del registro degli eventi di controllo in qualsiasi momento (ad esempio, da CloudWatch Logs a Firehose). In tal caso, i nuovi registri degli eventi di controllo vengono inviati solo alla nuova destinazione.

### Il massimo impegno è controllare la consegna del registro degli eventi.
<a name="faa-log-delivery"></a>

In genere, i record del registro degli eventi di controllo vengono consegnati a destinazione in pochi minuti, ma a volte possono richiedere più tempo. In occasioni molto rare, i record del registro degli eventi di controllo potrebbero non essere registrati. Se il tuo caso d'uso richiede una semantica particolare (ad esempio, garantendo che nessun evento di controllo venga perso), ti consigliamo di tenere conto degli eventi persi durante la progettazione dei flussi di lavoro. È possibile verificare la presenza di eventi persi eseguendo la scansione della struttura dei file e delle cartelle sul file system.

## Migrazione dei controlli di audit
<a name="migrate-faa"></a>

Se hai già impostato audit controls (SACLs) sui tuoi dati di file esistenti, puoi creare un FSx file system Amazon e migrare i dati nel tuo nuovo file system. Ti consigliamo di AWS DataSync utilizzarlo per trasferire i dati e i dati associati SACLs al tuo FSx file system Amazon. Come soluzione alternativa, puoi usare Robocopy (Robust File Copy). Per ulteriori informazioni, consulta [Migrazione dello storage di file esistente su Amazon FSx](migrate-to-fsx.md).

## Visualizzazione dei registri degli eventi
<a name="view-faa-logs"></a>

Puoi visualizzare i log degli eventi di controllo dopo che Amazon FSx ha iniziato a emetterli. La posizione e il modo in cui vengono visualizzati i log dipendono dalla destinazione del registro degli eventi di controllo: 
+ È possibile visualizzare CloudWatch i log dei log accedendo alla CloudWatch console e scegliendo il gruppo di log e il flusso di log a cui vengono inviati i log degli eventi di controllo. Per ulteriori informazioni, consulta [Visualizza i dati di log inviati a CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) nella *Amazon CloudWatch Logs User* Guide. 

  Puoi utilizzare CloudWatch Logs Insights per cercare e analizzare in modo interattivo i tuoi dati di log. Per ulteriori informazioni, consulta [Analyzing Log Data with CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html), nella *Amazon CloudWatch Logs* User Guide.

  Puoi anche esportare i log degli eventi di controllo in Amazon S3. Per ulteriori informazioni, consulta [Esportazione dei dati di registro su Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) S3, sempre nella * CloudWatch Amazon Logs* User Guide.
+ Non è possibile visualizzare i registri degli eventi di controllo su Firehose. Tuttavia, è possibile configurare Firehose per inoltrare i log a una destinazione da cui è possibile leggere. Le destinazioni includono Amazon S3, Amazon Redshift, OpenSearch Amazon Service e soluzioni partner come Splunk e Datadog. Per ulteriori informazioni, [consulta Choose destination nella *Amazon* Data Firehose Developer](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html) Guide.

### Controlla i campi degli eventi
<a name="faa-event-data"></a>

Questa sezione fornisce descrizioni delle informazioni contenute nei registri degli eventi di controllo ed esempi di eventi di controllo.

Di seguito sono riportate le descrizioni dei campi salienti di un evento di controllo di Windows.
+ **EventID** si riferisce all'ID degli eventi del registro eventi di Windows definito da Microsoft. Consulta la documentazione Microsoft per informazioni sugli eventi [del file system e sugli eventi](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) di [condivisione dei file](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share).
+ **SubjectUserName**si riferisce all'utente che effettua l'accesso.
+ **ObjectName**si riferisce al file, alla cartella o alla condivisione di file di destinazione a cui è stato effettuato l'accesso.
+ **ShareName**è disponibile per gli eventi generati per l'accesso alla condivisione di file. Ad esempio, `EventID 5140` viene generato quando si accede a un oggetto di condivisione di rete.
+ **IpAddress**si riferisce al client che ha avviato l'evento per gli eventi di condivisione di file.
+ **Le parole chiave**, se disponibili, indicano se l'accesso ai file è riuscito o meno. Per gli accessi riusciti, il valore è`0x8020000000000000`. Per gli accessi non riusciti, il valore è. `0x8010000000000000`
+ **TimeCreated SystemTime**si riferisce all'ora in cui l'evento è stato generato nel sistema e visualizzato nel formato <YYYY-MM-:MM:SS.S>z. DDThh
+ **Computer** si riferisce al nome DNS del file system Windows Remote Endpoint e può essere utilizzato per identificare il file system. PowerShell 
+ **AccessMask**, se disponibile, si riferisce al tipo di accesso ai file eseguito (ad esempio ReadData, WriteData).
+ **AccessList**si riferisce all'accesso richiesto o concesso a un oggetto. Per i dettagli, consulta la tabella seguente e la documentazione Microsoft (ad esempio nell'[evento 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)).


| Tipo di accesso | Maschera di accesso | Valore | 
| --- | --- | --- | 
|  Leggi i dati o la directory degli elenchi  |  0x1  |  %%4416  | 
|  Scrivi dati o aggiungi file  |  0x2  |  %%4417  | 
|  Aggiungi dati o aggiungi sottodirectory  |  0x4  |  %%4418  | 
|  Leggi gli attributi estesi  |  0x8  |  %%4419  | 
|  Scrivi attributi estesi  |  0x10  |  %%4420  | 
|  Eseguire/Traversa  |  0x20  |  %%4421  | 
|  Elimina bambino  |  0x40  |  %4422  | 
|  Leggi gli attributi  |  0x80  |  %%4423  | 
|  Attributi di scrittura  |  0x100  |  %%4424  | 
|  Elimina  |  0x10000  |  %%1537  | 
|  Leggi ACL  |  0x20000  |  %%1538  | 
|  Scrivi ACL  |  0x40000  |  %%1539  | 
|  Scrivi proprietario  |  0x80000  |  %%1540  | 
|  Sincronizza  |  0x100000  |  %%1541  | 
|  Access Security ACL  |  0x1000000  |  %%1542  | 

Di seguito sono riportati alcuni eventi chiave con esempi. Si noti che il codice XML è formattato per garantire la leggibilità.

**L'ID evento 4660** viene registrato quando un oggetto viene eliminato.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

**L'ID evento 4659** viene registrato su una richiesta di eliminazione di un file.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

**L'ID evento 4663** viene registrato quando è stata eseguita un'operazione specifica sull'oggetto. L'esempio seguente mostra la lettura di dati da un file, da cui è possibile interpretare. `AccessList %%4416`

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

L'esempio seguente mostra write/append i dati di un file, da cui è possibile interpretare`AccessList %%4417`.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

**L'ID evento 4656** indica che è stato richiesto un accesso specifico per un oggetto. Nell'esempio seguente, la richiesta di lettura è stata avviata su ObjectName «permtest» ed è stata un tentativo fallito, come indicato nel valore Keywords di. `0x8010000000000000`

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

**L'ID evento 4670** viene registrato quando vengono modificate le autorizzazioni per un oggetto. L'esempio seguente mostra che l'utente «admin» ha modificato l'autorizzazione su «permtest» per aggiungere autorizzazioni al SID ObjectName «S-1-5-21-658495921-4185342820-3824891517-1113". Consulta la documentazione Microsoft per ulteriori informazioni su come interpretare le autorizzazioni.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

**L'ID evento 5140** viene registrato ogni volta che si accede a una condivisione di file.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

**L'ID evento 5145** viene registrato quando l'accesso viene negato a livello di condivisione dei file. L'esempio seguente mostra che l'accesso a ShareName «demoshare01" è stato negato.

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

Se si utilizza CloudWatch Logs Insights per cercare i dati di registro, è possibile eseguire query sui campi degli eventi, come illustrato dai seguenti esempi:
+ Per richiedere un ID evento specifico:

  ```
  fields @message
     | filter @message like /4660/
  ```
+ Per interrogare tutti gli eventi che corrispondono a un particolare nome di file:

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 Per ulteriori informazioni sul linguaggio di query CloudWatch Logs Insights, consulta [Analyzing Log Data with CloudWatch Logs Insights, nella *Amazon CloudWatch Logs*](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) User Guide.

# Impostazione dei controlli di controllo di file e cartelle
<a name="faa-audit-controls"></a>

È necessario impostare i controlli di controllo sui file e sulle cartelle che si desidera controllare per i tentativi di accesso degli utenti. I controlli di controllo sono noti anche come elenchi di controllo degli accessi al sistema NTFS ()SACLs.

I controlli di controllo vengono configurati utilizzando l'interfaccia GUI nativa di Windows o a livello di codice utilizzando i comandi di Windows. PowerShell Se l'ereditarietà è abilitata, in genere è necessario impostare i controlli di controllo solo sulle cartelle di primo livello per le quali si desidera registrare gli accessi.

## Utilizzo della GUI di Windows per impostare l'accesso di controllo
<a name="faa-gui-interface"></a>

Per utilizzare una GUI per impostare i controlli di controllo su file e cartelle, utilizzate Windows File Explorer. Su un determinato file o cartella, apri Windows File Explorer e seleziona la scheda **Proprietà > Sicurezza > Avanzate > Controllo**.

Il seguente esempio di controllo di controllo verifica gli eventi riusciti per una cartella. Una voce del registro degli eventi di Windows verrà emessa ogni volta che l'handle viene aperto per la lettura correttamente dall'utente amministratore. 

![\[\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)




Il campo **Tipo** indica le azioni che si desidera controllare. Imposta questo campo su Operazione **riuscita** per controllare i tentativi riusciti, Controllo **non** riuscito dei tentativi falliti o **Tutto** per controllare sia i tentativi riusciti che quelli non riusciti.

Per ulteriori informazioni sui campi di immissione di controllo, consulta [Applicare un criterio di controllo di base su un file o una cartella nella](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder) documentazione Microsoft.

## Utilizzo dei PowerShell comandi per impostare l'accesso di controllo
<a name="faa-powershell-commands"></a>

È possibile utilizzare il `Set-Acl` comando Microsoft Windows per impostare il SACL di controllo su qualsiasi file o cartella. Per informazioni su questo comando, vedere la documentazione di Microsoft [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1).

Di seguito è riportato un esempio di utilizzo di una serie di PowerShell comandi e variabili per impostare l'accesso di controllo in caso di tentativi riusciti. È possibile adattare questi comandi di esempio alle esigenze del file system.

```
$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List
```

# Gestione del controllo degli accessi ai file
<a name="manage-faa"></a>

Puoi abilitare il controllo dell'accesso ai file quando crei un nuovo file system Amazon FSx for Windows File Server. Il controllo dell'accesso ai file è disattivato per impostazione predefinita quando crei un file system dalla FSx console Amazon.

Sui file system esistenti in cui è abilitato il controllo dell'accesso ai file, puoi modificare le impostazioni di controllo dell'accesso ai file, inclusa la modifica dei tipi di tentativo di accesso per gli accessi a file e condivisioni di file e della destinazione del registro degli eventi di controllo. Puoi eseguire queste attività utilizzando la FSx console Amazon o AWS CLI l'API.

**Nota**  
Il controllo dell'accesso ai file è supportato solo sui file system Amazon FSx per Windows File Server con una capacità di throughput pari MBps o superiore a 32. Non è possibile creare o aggiornare un file system con una capacità di throughput inferiore a 32 MBps se il controllo dell'accesso ai file è abilitato. È possibile modificare la capacità di trasmissione in qualsiasi momento dopo aver creato il file system. Per ulteriori informazioni, consulta [Gestione della capacità di throughput](managing-throughput-capacity.md).

## Per abilitare il controllo dell'accesso ai file durante la creazione di un file system (console)
<a name="faa-create-modify-config"></a>

1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Segui la procedura per creare un nuovo file system descritta [Fase 5. Crea il tuo file system](getting-started.md#getting-started-step1) nella sezione Guida introduttiva. 

1. Apri la sezione **Auditing - opzionale**. Il controllo dell'accesso ai file è disabilitato per impostazione predefinita.  
![\[\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. Per abilitare e configurare il controllo dell'accesso ai file, procedi come segue.
   + Per **Log access a file e cartelle**, selezionate la registrazione dei tentativi and/or falliti riusciti. La registrazione è disattivata per file e cartelle se non si effettua una selezione.
   + Per **Log access alle condivisioni di file**, seleziona la registrazione dei tentativi and/or falliti riusciti. La registrazione è disabilitata per le condivisioni di file se non si effettua una selezione.
   + Per **Scegli una destinazione per il registro degli eventi di controllo**, scegli **CloudWatch Logs o **Firehose****. Quindi scegli un registro o un flusso di consegna esistente o creane uno nuovo. Per CloudWatch i log, Amazon FSx può creare e utilizzare un flusso di log predefinito nel gruppo CloudWatch Logs `/aws/fsx/windows` log.

   Di seguito è riportato un esempio di configurazione di controllo dell'accesso ai file che verificherà i tentativi di accesso riusciti e falliti degli utenti finali per file, cartelle e condivisioni di file. I registri degli eventi di controllo verranno inviati alla destinazione predefinita del gruppo di `/aws/fsx/windows` log CloudWatch Logs.  
![\[\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. Continuare con la sezione successiva della procedura guidata per la creazione del file system.

Quando il file system è **disponibile**, la funzionalità di controllo dell'accesso ai file è abilitata.

## Per abilitare il controllo dell'accesso ai file durante la creazione di un file system (CLI)
<a name="w2aac31c20c35b9b3"></a>

1. Quando create un nuovo file system, utilizzate la `AuditLogConfiguration` proprietà con l'operazione [CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html)API per abilitare il controllo dell'accesso ai file per il nuovo file system.

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. Quando il file system è **disponibile**, la funzionalità di controllo dell'accesso ai file è abilitata.

## Per modificare la configurazione del controllo dell'accesso ai file (console)
<a name="w2aac31c20c35b9b5"></a>

1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Passa a **File system** e scegli il file system Windows per cui desideri gestire il controllo degli accessi ai file.

1. Scegli la scheda **Amministrazione**.

1. Nel pannello **File Access Auditing**, scegli **Gestisci**.  
![\[FSx console Pannello di controllo dell'accesso ai file, che mostra la configurazione del controllo dell'accesso ai file.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. Nella finestra di dialogo **Gestisci le impostazioni di controllo dell'accesso ai file, modifica le impostazioni** desiderate.  
![\[FSx console Pannello di controllo dell'accesso ai file, utilizza questo pannello per modificare le configurazioni di controllo dell'accesso ai file.\]](http://docs.aws.amazon.com/it_it/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + Per **Log access a file e cartelle**, seleziona la registrazione dei tentativi falliti riusciti. and/or La registrazione è disattivata per file e cartelle se non si effettua una selezione.
   + Per **Log access alle condivisioni di file**, seleziona la registrazione dei tentativi and/or falliti riusciti. La registrazione è disabilitata per le condivisioni di file se non si effettua una selezione.
   + Per **Scegli una destinazione per il registro degli eventi di controllo**, scegli **CloudWatch Logs o **Firehose****. Quindi scegli un registro o un flusso di consegna esistente o creane uno nuovo.

1. Scegli **Save** (Salva).

## Per modificare la configurazione di controllo dell'accesso ai file (CLI)
<a name="w2aac31c20c35b9b7"></a>
+ Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html)CLI o l'operazione [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html)API equivalente.

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```