翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ファイルアクセス監査によるエンドユーザーアクセスのログ記録
<a name="file-access-auditing"></a>

Amazon FSx for Windows File Server は、ファイル、フォルダ、およびファイル共有へのエンドユーザーアクセスの監査をサポートしています。ファイルシステムの監査イベントログを、豊富な機能を提供する他の AWS サービスに送信することを選択できます。これには、ログのクエリ、処理、保存、アーカイブの有効化、通知の発行、セキュリティとコンプライアンスの目標をさらに前進させるためのアクションのトリガーが含まれます。

ファイルアクセス監査を使用してアクセスパターンを把握し、エンドユーザーのアクティビティに関するセキュリティ通知を実装する方法の詳細については、「[File storage access patterns insights](https://aws.amazon.com/blogs/storage/file-storage-access-patterns-insights-using-amazon-fsx-for-windows-file-server/)」と「[Implementing security notifications for end user activity](https://aws.amazon.com/blogs/modernizing-with-aws/implementing-security-notifications-for-end-user-activity-on-amazon-fsx-for-windows-file-server/)」を参照してください。

**注記**  
ファイルアクセス監査は、32 MBps 以上のスループットキャパシティを持つ FSx for Windows のファイルシステムでのみサポートされます。既存のファイルシステムのスループットキャパシティを変更できるようになりました。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。

ファイルアクセス監査を使用すると、ユーザーが定義した監査管理に基づいて、個々のファイル、フォルダ、およびファイル共有のエンドユーザーアクセスをレコードできます。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。既存のファイルデータに監査コントロールがすでに設定されている場合は、ファイルアクセス監査を利用して新しい Amazon FSx for Windows File Server のファイルシステムを作成したり、データを移行することができます。

Amazon FSx は、ファイル、フォルダー、およびファイル共有アクセスのために次の Windows 監査イベントをサポートしています。
+ ファイルアクセスに関しては、次がサポートされます: すべて、フォルダのスキャン / ファイルの実行、フォルダ一覧 / データの読み取り、属性の読み取り、ファイルの作成 / データの書き込み、フォルダの作成 / データの追加、属性の書き込み、サブフォルダとファイルの削除、削除、許可の読み取り、許可の変更、および所有権の取得。
+ ファイル共有アクセスに関しては、次がサポートされます: ファイル共有に接続。

Amazon FSx は、ファイル、フォルダー、およびファイル共有へのアクセス全体で、成功した試行 (ファイルまたはファイル共有に正常にアクセスするための十分なアクセス許可を持つユーザーなど)、失敗した試行、またはその両方のロギングをサポートします。

アクセス監査をファイルとフォルダでのみ行うか、ファイル共有のみ、またはその両方で行うかを設定できます。ログに記録するアクセスの種類 (成功した試行のみ、失敗した試行のみ、またはその両方) を設定することもできます。また、ファイルアクセス監査はいつでも無効にできます。

**注記**  
ファイルアクセスの監査では、有効化される時点からのエンドユーザーアクセスデータのみが記録されます。つまり、ファイルアクセスの監査では、ファイルアクセスの監査が有効化される前に発生したエンドユーザーのファイル、フォルダ、ファイル共有アクセスアクティビティの監査イベントログは生成されません。

サポートされるアクセス監査イベントの最大レートは、1 秒あたり 5,000 イベントです。アクセス監査イベントは、ファイルの読み取りおよび書き込みオペレーションごとに生成されるのではなく、ユーザーがファイルを作成したり、開いたり、削除したときなどの、ファイルメタデータオペレーションごとに 1 回生成されます。

**Topics**
+ [監査イベントログの宛先](#faa-log-destinations)
+ [監査コントロールの移行](#migrate-faa)
+ [イベントログの表示](#view-faa-logs)
+ [ファイルとフォルダの監査コントロールの設定](faa-audit-controls.md)
+ [ファイルアクセス監査の管理](manage-faa.md)

## 監査イベントログの宛先
<a name="faa-log-destinations"></a>

ファイルアクセス監査を有効にするときは、Amazon FSx が監査イベントログを送信する AWS サービスを設定する必要があります。この監査イベントログを、CloudWatch Logs ロググループ内の Amazon CloudWatch Logs ログストリーミングか、Amazon Data Firehose 配信ストリームのいずれかに送信することができます。Amazon FSx for Windows File Server のファイルシステムを作成する際、または既存のファイルシステムを更新する際に、監査イベントログの宛先を選択できます。詳細については、「[ファイルアクセス監査の管理](manage-faa.md)」を参照してください。

以下は、選択する監査イベントログの宛先を決定するのに役立つ推奨事項になります。
+ Amazon CloudWatch コンソールで監査イベントログを保存、表示、検索し、CloudWatch Logs インサイトを使用してログに対してクエリを実行し、CloudWatch アラームまたは Lambda 関数をトリガーする場合は、CloudWatch Logs を選択します。
+ Amazon S3 のストレージ、Amazon Redshift のデータベース、Amazon OpenSearch Service、または詳細な分析のために Splunk や Datadog などの AWS パートナーソリューションにイベントを継続的にストリーミングする場合は、Amazon Data Firehose を選択します。

デフォルトでは、Amazon FSx はアカウントにデフォルトの CloudWatch Logs ロググループを作成し、監査イベントログの宛先として使用します。監査イベントログの宛先としてカスタム CloudWatch Logs ロググループ、または Firehose を使用する場合、監査イベントログの宛先の名前と場所の要件は次のとおりです。
+ CloudWatch Logs ロググループの名前は、`/aws/fsx/` プレフィックスで始まる必要があります。コンソールでファイルシステムを作成または更新する際に既存の CloudWatch Logs ロググループがない場合、Amazon FSx は CloudWatch Logs `/aws/fsx/windows` ロググループでデフォルトのログストリーミングを作成して使用します。デフォルトのロググループを使用しない場合は、コンソールでファイルシステムを作成または更新する際に、設定 UI を使用して CloudWatch Logs ロググループを作成できます。
+ Firehose の配信ストリーム名は、`aws-fsx-` プレフィックスで始まる必要があります。既存の Firehose 配信ストリームがない場合は、コンソールでファイルシステムを作成または更新する際に作成できます。
+ Firehose の配信ストリームは、`Direct PUT` を出典として使用するように設定する必要があります。既存の Kinesis Data Stream を配信ストリームのデータソースとして使用することはできません。
+ 送信先 (CloudWatch Logs ロググループまたは Firehose 配信ストリーム) は AWS リージョン、Amazon FSx ファイルシステム AWS アカウント と同じ AWS パーティションにある必要があります。

監査イベントログの宛先はいつでも変更できます (例えば CloudWatch Logs から Firehose)。これを実行すると、新しい監査イベントログは新たな宛先にのみ送信されます。

### ベストエフォート監査イベントログ配信
<a name="faa-log-delivery"></a>

通常、監査イベントログレコードは宛先に数分で配信されますが、時間がかかることもあります。ごく稀に、監査イベントログレコードが失われることがあります。ユーザーのユースケースで特定のセマンティクスが必要になる場合 (例えば、監査イベントを必ず見逃さないなど)、ワークフローを設計する際に見逃したイベントを考慮することをお勧めします。ファイルシステム上のファイルおよびフォルダ構造をスキャンして、見逃したイベントを監査できます。

## 監査コントロールの移行
<a name="migrate-faa"></a>

既存のファイルデータに監査コントロール (SACL) がすでに設定されている場合は、Amazon FSx ファイルシステムを作成し、データを新しいファイルシステムに移行できます。 AWS DataSync を使用して、データと関連する SACLs を Amazon FSx ファイルシステムに転送することをお勧めします。別の解決策として、Robocopy (ロバストファイルコピー) を使用できます。詳細については、「[既存のファイルストレージを Amazon FSx に移行する](migrate-to-fsx.md)」を参照してください。

## イベントログの表示
<a name="view-faa-logs"></a>

Amazon FSx が監査イベントログの発行を開始した後、それらを表示できます。ログの表示場所と方法は、監査イベントログの宛先によって異なります。
+ CloudWatch Logs を表示するには、CloudWatch コンソールに移動し、監査イベントログの宛先となるロググループとログストリーミングを選択します。詳細については、「[Amazon CloudWatch Logs ユーザーガイド](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)」の「*CloudWatch Logs に送信されたログデータを表示する*」を参照してください。

  CloudWatch Logs Insights を使用してログデータをインタラクティブに検索および分析できます。詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[[Analyzing Log Data with CloudWatch Logs Insights]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」(CloudWatch Logs Insights でログデータを分析) を参照してください。

  監査イベントログを Simple Storage Service (Amazon S3) にエクスポートすることもできます。詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[[Exporting Log Data to Amazon S3]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html)」(Simple Storage Service (Amazon S3) にログデーターをエキスポート) を参照してください。
+ Firehose では、監査イベントログを表示できません。ただし、読み取り可能な宛先にログを転送するように Firehose を設定できます。目的地には Simple Storage Service (Amazon S3)、Amazon Redshift、Amazon OpenSearch Service、および Splunk や Datadog などのパートナーソリューションが含まれます。詳細については、「*Amazon Data Firehose デベロッパーガイド*」の「[[Choose destination]](https://docs.aws.amazon.com/firehose/latest/dev/create-destination.html)」(宛先を選択) を参照してください。

### 監査イベントフィールド
<a name="faa-event-data"></a>

このセクションでは、監査イベントログの情報と、監査イベントの例について説明します。

以下は Windows 監査イベントの顕著なフィールドについての説明になります。
+ **EventID** は、Microsoft 定義の Windows イベントのログイベント ID を指します。[ファイルシステムイベント](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-system) および [ファイル共有イベント](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/audit-file-share) の情報については、Microsoft のドキュメントを参照してください。
+ **[subjectUsername]** (サブジェクトユーザー名) は、アクセスを実行しているユーザーを指します。
+ **[objectName]** (オブジェクト名) は、アクセスされたターゲットファイル、フォルダ、またはファイル共有を指します。
+ **[shareName]** (共有名) は、ファイル共有アクセス用に生成されたイベントで使用できます。例えば、`EventID 5140` はネットワーク共有オブジェクトにアクセスしたときに生成されます。
+ **[IpAddress]** (IP アドレス) は、ファイル共有イベントのイベントを開始したクライアントを指します。
+ **[Keywords]** (キーワード) は、使用可能な場合に、ファイルアクセスが成功したか障害だったかを指します。成功したアクセスの場合、値は `0x8020000000000000` です。失敗したアクセスの場合、値は `0x8010000000000000` です。
+ **[TimeCreated SystemTime]** (作成時刻 システム時間) は、システム内でイベントが生成さた時刻を指し、<YYYY-MM-DDThh:mm:ss.s>Z 形式で表示されます。
+ **[Computer]** (コンピュータ) は、ファイルシステムの Windows リモート PowerShell エンドポイントの DNS 名を参照し、ファイルシステムを識別するために使用できます。
+ **[AccessMask]** (アクセスマスク) は、使用可能な場合、実行されたファイルアクセスの種類 (例えば readData、WriteData など) を指します。
+ **[AccessList]** (アクセスリスト) は、オブジェクトに対してリクエストされた、または許可されたアクセスを指します。詳細については、下記の表および Microsoft のドキュメント (「[イベント 4556](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4656)」など) を参照してください。


| アクセスタイプ | アクセスマスク | 値 | 
| --- | --- | --- | 
|  データまたはリストディレクトリの読み取り  |  0x1  |  %%4416  | 
|  データの書き込みまたはファイルの追加  |  0x2  |  %%4417  | 
|  データの付加またはサブディレクトリの追加  |  0x4  |  %%4418  | 
|  拡張属性の読み取り  |  0x8  |  %%4419  | 
|  拡張属性の書き込み  |  0x10  |  %%4420  | 
|  実行 / トラバース  |  0x20  |  %%4421  | 
|  子の削除  |  0x40  |  %%4422  | 
|  属性の読み取り  |  0x80  |  %%4423  | 
|  属性の書き込み  |  0x100  |  %%4424  | 
|  削除  |  0x10000  |  %%1537  | 
|  ACL の読み取り  |  0x20000  |  %%1538  | 
|  ACL の書き込み  |  0x40000  |  %%1539  | 
|  所有者の書き込み  |  0x80000  |  %%1540  | 
|  同期  |  0x100000  |  %%1541  | 
|  セキュリティ ACL にアクセスする  |  0x1000000  |  %%1542  | 

以下は、実例を挙げたいくつかのキーイベントです。XML は読みやすさい形式にフォーマットされていることに注意してください。

**イベント ID 4660** は、オブジェクトが削除されたときにログに記録されます。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>
```

**イベント ID 4659** は、ファイルの削除リクエストでログに記録されます。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>
```

**イベント ID 4663** は、オブジェクトに対して特定の操作が実行されたときにログに記録されます。次の例はファイルからのデータの読み取りを示しており、これは `AccessList %%4416` で解釈されます。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>
```

次の例はファイルからのデータの書き込み/付加を示しており、これは `AccessList %%4417` で解釈されます。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>
```

**イベント ID 4656** は、オブジェクトに対して特定のアクセスがリクエストされたことを示します。次の例では、`0x8010000000000000` の Keywords 値で確認できる通り、ObjectName「permtest」に対して読み取りリクエストが開始され、失敗した試行となっています。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>
```

**イベント ID 4670** は、オブジェクトの許可が変更された際にログに記録されます。次の例は、ユーザー「admin」が ObjectName「permtest」に対する許可を変更して、SID「S-1-5-21-658495921-4185342820-3824891517-1113」にアクセス許可を追加したことを示しています。アクセス許可の解釈方法の詳細については、Microsoft のドキュメントを参照してください。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>
```

**イベント ID 5140** は、ファイル共有にアクセスするたびにログに記録されます。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>
```

**イベント ID 5145** は、ファイル共有レベルでアクセスが拒否されたときにログに記録されます。次の例は、ShareName「demosshare01」へのアクセスが拒否されたことを示しています。

```
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>
```

CloudWatch Logs Insights を使用してログデータを検索する場合は、次の例に示すように、イベントフィールドに対してクエリを実行できます。
+ 特定のイベント ID をクエリするには。

  ```
  fields @message
     | filter @message like /4660/
  ```
+ 特定のファイル名と一致するすべてのイベントをクエリするには。

  ```
  fields @message
     | filter @message like /event.txt/
  ```

 CloudWatch Logs Insights の問い合わせ言語の詳細については、「*Amazon CloudWatch Logs ユーザーガイド*」の「[[Analyzing Log Data with CloudWatch Logs Insights]](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html)」(CloudWatch Logs Insights によるログデータ分析) を参照してください。

# ファイルとフォルダの監査コントロールの設定
<a name="faa-audit-controls"></a>

ユーザーアクセスの試行を監査するファイルおよびフォルダーに、監査コントロールを設定する必要があります。監査コントロールは、NTFS システムアクセスコントロールリスト (SACL) とも呼ばれます。

監査コントロールは、Windows ネイティブ GUI インターフェイスを使用するか、プログラムで Windows PowerShell コマンドを使用して設定します。継承が有効になっている場合は通常、アクセスをログに記録する最上位フォルダに対してのみ監査コントロールを設定する必要があります。

## Windows GUI を使用した監査アクセスの設定
<a name="faa-gui-interface"></a>

GUI を使用してファイルとフォルダーに監査コントロールを設定するには、Windows ファイルエクスプローラを使用します。特定のファイルまたはフォルダで、Windows ファイルエクスプローラを開き、**[Properties] (プロパティ) > [Security] (セキュリティ) > [Advanced] (詳細設定) > Auditing] (監査)** タブを選択します。

次の監査コントロールの例では、フォルダの成功したイベントを監査します。Windows イベントログエントリは、そのハンドルが読み取りのため、管理者ユーザーによって正常に開かれるたびに発行されます。

![\[\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-audit-control-gui.png)




**[Type]** (タイプ) フィールドは、監査するアクションを示します。成功した試みを監査するにはこのフィールドを **[Success]** (成功) に、失敗した試みを監査するには **[Fail]** (失敗) に、成功と失敗の両方の試みを監査するには **[All]** (すべて) に設定します。

監査エントリフィールドの詳細については、Microsoft ドキュメントの「[ファイルまたはフォルダに基本的な監査ポリシーを適用する](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-file-or-folder)」を参照してください。

## PowerShell コマンドを使用した監査アクセスの設定
<a name="faa-powershell-commands"></a>

Microsoft Windows `Set-Acl` コマンドを使用して、任意のファイルまたはフォルダで監査 SACL を設定できます。このコマンドの設定の詳細については、「Microsoft の [Set-Acl](https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-acl?view=powershell-7.1) ドキュメント」を参照してください。

以下は、一連の PowerShell コマンドと可変を使用して、正常な試行に監査アクセスを設定する例になります。これらのサンプルコマンドは、ユーザーのファイルシステムのニーズに合わせて調整できます。

```
$path = "C:\Users\TestUser\Desktop\DemoTest\"

$ACL = Get-Acl $path

$ACL | Format-List

$AuditUser = "TESTDOMAIN\TestUser"

$AuditRules = "FullControl"

$InheritType = "ContainerInherit,ObjectInherit"

$AuditType = "Success"

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule($AuditUser,$AuditRules,$InheritType,"None",$AuditType)

$ACL.SetAuditRule($AccessRule)

$ACL | Set-Acl $path

Get-Acl $path -Audit | Format-List
```

# ファイルアクセス監査の管理
<a name="manage-faa"></a>

新しい Amazon FSx for Windows File Server のファイルシステムを作成する際に、ファイルアクセス監査を有効にできます。Amazon FSx コンソールからファイルシステムを作成すると、ファイルアクセス監査はデフォルトでオフになります。

ファイルアクセス監査が有効になっている既存のファイルシステムでは、ファイルおよびファイル共有アクセスのアクセス試行の種類変更や、監査イベントログの宛先など、ファイルアクセス監査の設定を変更できます。これらのタスクは、Amazon FSx コンソール AWS CLI、または API を使用して実行できます。

**注記**  
ファイルアクセス監査は、32 MBps 以上のスループットキャパシティを持つ Amazon FSx for Windows File Server のファイルシステムでのみサポートされます。ファイルアクセス監査が有効になっている場合、32 MBps 未満のスループットキャパシティを持つファイルシステムを作成または更新することはできません。スループットキャパシティは、ファイルシステムを作成した後いつでも変更できます。詳細については、「[スループット容量の管理](managing-throughput-capacity.md)」を参照してください。

## ファイルシステムの作成時にファイルアクセス監査を有効にするには (コンソール)
<a name="faa-create-modify-config"></a>

1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。

1. 「開始方法」セクションの「[ステップ 5. ファイルシステムを作成](getting-started.md#getting-started-step1)」で説明されている新しいファイルシステムを作成するための手順に従います。

1. **監査 - オプション** セクションを開きます。ファイルアクセスの監査は、デフォルトで無効になっています。  
![\[\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-create-wizard.png)

1. ファイルアクセス監査を有効にして設定するには、次の手順を実行します。
   + **ファイルやフォルダへのアクセスログを記録する** には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。
   + **ファイル共有へのアクセスを記録する** には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。
   + **[監査イベントログの宛先を選択する]** には、**[CloudWatch Logs]** または **[Firehose]** を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。CloudWatch Logs の場合、Amazon FSx は CloudWatch Logs `/aws/fsx/windows` ロググループでデフォルトのログストリーミングを作成して使用します。

   以下は、エンドユーザーによるファイル、フォルダ、およびファイル共有への成功および失敗したアクセス試行を監査する、ファイルアクセス監査設定の例になります。監査イベントログは、デフォルトの CloudWatch Logs `/aws/fsx/windows` ロググループの宛先に送信されます。  
![\[\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-create-advanced.png)

1. ファイルシステム作成ウィザードの次のセクションに進みます。

ファイルシステムが **[Available]** (利用可能) の場合は、ファイルアクセス監査機能が有効になります。

## ファイルシステムの作成時にファイルアクセス監査を有効にするには (CLI)
<a name="w2aac31c20c35b9b3"></a>

1. 新しいファイルシステムを作成する場合は、[CreateFileSystem](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateFileSystem.html) API オペレーションで `AuditLogConfiguration` プロパティを使用し、新しいファイルシステムのファイルアクセス監査を有効にします。

   ```
   aws fsx create-file-system \
     --file-system-type WINDOWS \
     --storage-capacity 300 \
     --subnet-ids subnet-123456 \
     --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       FileShareAccessAuditLogLevel="SUCCESS_AND_FAILURE", \
       AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
   ```

1. ファイルシステムが **[Available]** (利用可能) の場合は、ファイルアクセス監査機能が有効になります。

## ファイルアクセス監査の設定を変更するには (コンソール)
<a name="w2aac31c20c35b9b5"></a>

1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。

1. **[Files systems]** (ファイルシステム) に移動し、ファイルアクセス監査を管理する Windows ファイルシステムを選択します。

1. **[Administration]** (管理) タブを選択します。

1. **[File Access Auditing]** (ファイルアクセスの監査) パネルで、**[Manage]** (管理) を選択します。  
![\[ファイルアクセス監査の設定を表示する、FSx コンソールのファイルアクセス監査パネル。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-admin-panel.png)

1. **[Manage file access auditing settings]** (ファイルアクセス監査設定の管理) ダイアログで、希望の設定を変更します。  
![\[FSx コンソールのファイルアクセス監査パネルで、このパネルを使用してファイルアクセス監査の設定を変更します。\]](http://docs.aws.amazon.com/ja_jp/fsx/latest/WindowsGuide/images/faa-update-config.png)
   + **ファイルやフォルダへのアクセスログを記録する** には、成功および / または失敗した試行のロギングを選択します。選択しないと、ファイルとフォルダのロギングは無効になります。
   + **ファイル共有へのアクセスを記録する** には、成功および/または失敗した試行のロギングを選択します。選択しないと、ファイル共有のロギングは無効になります。
   + **[監査イベントログの宛先を選択する]** には、**[CloudWatch Logs]** または **[Firehose]** を選択します。次に、既存のログまたは配信ストリームを選択するか、新しいログまたは配信ストリームを作成します。

1. **[Save]** (保存) を選択します。

## ファイルアクセス監査設定を変更するには (CLI)
<a name="w2aac31c20c35b9b7"></a>
+ [https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-file-system.html) CLI コマンドまたは同等の [https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateFileSystem.html) API オペレーションを使用します。

  ```
  aws fsx update-file-system \
    --file-system-id fs-0123456789abcdef0 \
    --windows-configuration AuditLogConfiguration='{FileAccessAuditLogLevel="SUCCESS_ONLY", \
      FileShareAccessAuditLogLevel="FAILURE_ONLY", \
      AuditLogDestination="arn:aws:logs:us-east-1:123456789012:log-group:/aws/fsx/my-customer-log-group"}'
  ```