Amazon WorkMail 監査ログのモニタリング
監査ログを使用して、Amazon WorkMail 組織のメールボックスへのアクセスをモニタリングできます。Amazon WorkMail は 5 種類の監査イベントをログに記録し、これらのイベントを CloudWatch Logs、Amazon S3、または Amazon Firehouse に発行できます。監査ログを使用して、ユーザーによる組織のメールボックスの操作、認証の試行、アクセスコントロールルールの評価をモニタリングできます。また、外部システムに対するアベイラビリティープロバイダーの呼び出しを実行したり、個人用アクセストークンを使用してイベントをモニタリングしたりすることもできます。監査ログ記録の設定の詳細については、「監査ログ記録の有効化」を参照してください。
以下のセクションでは、Amazon WorkMail によってログに記録される監査イベント、イベントが送信されるタイミング、およびイベントフィールドに関する情報について説明します。
メールボックスアクセスのログ
メールボックスアクセスイベントは、どのメールボックスオブジェクトに対してどのようなアクションが実行されたか (または試みられたか) に関する情報を提供します。メールボックスアクセスイベントは、メールボックス内の項目やフォルダに対して実行しようとするオペレーションごとに生成されます。これらのイベントは、メールボックスデータへのアクセスを監査するのに役立ちます。
| フィールド | 説明 |
|---|---|
|
event_timestamp |
イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 |
|
request_id |
リクエストを一意に識別する ID。 |
|
organization_arn |
認証されたユーザーが属する Amazon WorkMail 組織の ARN。 |
|
user_id |
認証されたユーザーの ID。 |
|
impersonator_id |
偽装者の ID。リクエストに偽装機能が使用された場合にのみ表示されます。 |
|
プロトコル |
使用されたプロトコル。プロトコルは、 |
|
source_ip |
リクエストの送信元 IP アドレス。 |
|
user_agent |
リクエストを行ったユーザーエージェント。 |
|
アクション |
オブジェクトに対して実行されたアクション。 |
|
owner_id |
アクションを実行する対象のオブジェクトを所有するユーザーの ID。 |
|
object_type |
オブジェクトのタイプ。フォルダ、メッセージ、添付ファイルのいずれかです。 |
|
item_id |
イベントの件名であるメッセージ、またはイベントの件名である添付ファイルを含むメッセージを一意に識別する ID。 |
|
folder_path |
アクションを実行する対象のフォルダのパス、またはアクションを実行する対象の項目を含むフォルダのパス。 |
|
folder_id |
イベントの件名であるフォルダ、またはイベントの件名であるオブジェクトを含むフォルダを一意に識別する ID。 |
|
attachment_path |
影響を受ける添付ファイルの表示名のパス。 |
|
action_allowed |
アクションが許可されたかどうか。true または false になります。 |
アクセスコントロールのログ
アクセスコントロールイベントは、アクセスコントロールルールが評価されるたびに生成されます。これらのログは、禁止されたアクセスの監査や、アクセスコントロール設定のデバッグに役立ちます。
| フィールド | 説明 |
|---|---|
|
event_timestamp |
イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 |
|
request_id |
リクエストを一意に識別する ID。 |
|
organization_arn |
認証されたユーザーが属する WorkMail 組織の ARN。 |
|
user_id |
認証されたユーザーの ID。 |
|
impersonator_id |
偽装者の ID。リクエストに偽装機能が使用された場合にのみ表示されます。 |
|
プロトコル |
使用されたプロトコル ( |
|
source_ip |
リクエストの送信元 IP アドレス。 |
|
スコープ |
ルールの範囲。 |
|
rule_id |
一致したアクセスコントロールルールの ID。一致するルールがない場合、rule_id は使用できません。 |
|
access_granted |
アクセスが許可されたかどうか。true または false になります。 |
認証のログ
認証イベントには、認証の試行に関する情報が含まれます。
注記
認証イベントは、Amazon WorkMail WebMail アプリケーションを介した認証イベントに対しては生成されません。
| フィールド | 説明 |
|---|---|
|
event_timestamp |
イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 |
|
request_id |
リクエストを一意に識別する ID。 |
|
organization_arn |
認証されたユーザーが属する WorkMail 組織の ARN。 |
|
user_id |
認証されたユーザーの ID。 |
|
ユーザー |
認証の試行に使用されたユーザー名。 |
|
プロトコル |
使用されたプロトコル ( |
|
source_ip |
リクエストの送信元 IP アドレス。 |
|
user_agent |
リクエストを行ったユーザーエージェント。 |
|
メソッド |
認証方法。現在サポートされているのは基本認証のみです。 |
|
auth_successful |
認証の試行が成功したかどうか。true または false になります。 |
|
auth_failed_reason |
認証が失敗した理由。認証が失敗した場合にのみ表示されます。 |
personal_access_token_id |
認証に使用された個人用アクセストークンの ID。 |
個人用アクセストークンのログ
個人用アクセストークン (PAT) イベントは、個人用アクセストークンを作成または削除しようとするたびに生成されます。個人用アクセストークンイベントは、ユーザーが個人用アクセストークンを正常に作成したかどうかに関する情報を提供します。個人用アクセストークンログは、エンドユーザーによる独自の PAT の作成と削除を監査するのに役立ちます。個人用アクセストークンを使用したユーザーログインにより、既存の認証ログにイベントが生成されます。詳細については、「認証ログ」を参照してください。
| フィールド | 説明 |
|---|---|
|
event_timestamp |
イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 |
|
request_id |
リクエストを一意に識別する ID。 |
|
organization_arn |
認証されたユーザーが属する WorkMail 組織の ARN。 |
|
user_id |
認証されたユーザーの ID。 |
|
ユーザー |
このアクションを実行したユーザーのユーザー名。 |
|
プロトコル |
アクションの実行に使用されたプロトコル。webapp になります。 |
|
source_ip |
リクエストの送信元 IP アドレス。 |
|
user_agent |
リクエストを行ったユーザーエージェント。 |
|
アクション |
個人用アクセストークンのアクション。作成または削除になります。 |
|
名前 |
個人用アクセストークンの名前。 |
|
expires_time |
個人用アクセストークンの有効期限が切れる日付。 |
|
スコープ |
メールボックスに対する個人用アクセストークンのアクセス許可の範囲。 |
アベイラビリティープロバイダーのログ
アベイラビリティープロバイダーイベントは、Amazon WorkMail が、ユーザーに代わって、設定されたアベイラビリティープロバイダーに対して行うアベイラビリティーリクエストごとに生成されます。これらのイベントは、アベイラビリティープロバイダー設定のデバッグに役立ちます。
| フィールド | 説明 |
|---|---|
|
event_timestamp |
イベントがいつ発生したか (Unix エポックからのミリ秒単位)。 |
|
request_id |
リクエストを一意に識別する ID。 |
|
organization_arn |
認証されたユーザーが属する WorkMail 組織の ARN。 |
|
user_id |
認証されたユーザーの ID。 |
|
type |
呼び出されたアベイラビリティープロバイダーのタイプ。 |
|
ドメイン |
アベイラビリティーを取得する対象のドメイン。 |
|
function_arn |
呼び出された Lambda の ARN (タイプが LAMBDA の場合)。それ以外の場合、このフィールドは表示されません。 |
|
ews_endpoint |
EWS エンドポイントのタイプは EWS です。それ以外の場合、このフィールドは表示されません。 |
|
error_message |
失敗の原因を説明するメッセージ。リクエストが成功した場合、このフィールドは表示されません。 |
|
availability_event_successful |
アベイラビリティーリクエストが正常に処理されたかどうか。 |
