Amazon WorkMail 감사 로그 모니터링
감사 로그를 사용하여 Amazon WorkMail 조직의 사서함에 대한 액세스를 모니터링할 수 있습니다. Amazon WorkMail은 5가지 유형의 감사 이벤트를 로깅하며 이러한 이벤트는 CloudWatch Logs, Amazon S3 또는 Amazon Firehouse에 게시할 수 있습니다. 감사 로그를 사용하여 조직 사서함과의 사용자 상호 작용, 인증 시도, 액세스 제어 규칙 평가를 모니터링하고, 외부 시스템에 대한 가용성 공급자 직접 호출을 수행하며, 개인 액세스 토큰과 관련된 이벤트를 모니터링할 수 있습니다. 감사 로깅 구성에 대한 자세한 내용은 감사 로깅 활성화 섹션을 참조하세요.
다음 섹션에서는 Amazon WorkMail에서 로깅한 감사 이벤트, 이벤트가 전송되는 시기 및 이벤트 필드에 대한 정보를 설명합니다.
사서함 액세스 로그
사서함 액세스 이벤트는 사서함 객체에 대해 어떤 작업이 수행(또는 시도)되었는지에 대한 정보를 제공합니다. 사서함의 항목 또는 폴더에서 실행하려는 모든 작업에 대해 사서함 액세스 이벤트가 생성됩니다. 이러한 이벤트는 사서함 데이터에 대한 액세스를 감사하는 데 유용합니다.
| 필드 | 설명 |
|---|---|
|
event_timestamp |
이벤트가 발생한 시간으로, 단위는 Unix 에포크 이후 밀리초입니다. |
|
request_id |
요청을 고유하게 식별하는 ID입니다. |
|
organization_arn |
인증된 사용자가 속한 Amazon WorkMail 조직의 ARN입니다. |
|
user_id |
인증된 사용자의 ID입니다. |
|
impersonator_id |
위장자의 ID입니다. 요청에 대해 위장 기능이 사용된 경우에만 표시됩니다. |
|
프로토콜 |
사용된 프로토콜입니다. 프로토콜은 |
|
source_ip |
요청의 소스 IP 주소입니다. |
|
user_agent |
요청을 한 사용자 에이전트입니다. |
|
작업 |
객체에 대해 수행된 작업으로, |
|
owner_id |
작업 대상 객체를 소유한 사용자의 ID입니다. |
|
object_type |
객체 유형으로, 폴더, 메시지 또는 첨부 파일일 수 있습니다. |
|
item_id |
이벤트의 주체인 메시지 또는 이벤트의 주체인 첨부 파일이 포함된 메시지를 고유하게 식별하는 ID입니다. |
|
folder_path |
작업 중인 폴더의 경로 또는 작업 중인 항목이 포함된 폴더의 경로입니다. |
|
folder_id |
이벤트의 주체인 폴더 또는 이벤트의 주체인 객체가 포함된 폴더를 고유하게 식별하는 ID입니다. |
|
attachment_path |
영향을 받는 첨부 파일에 대한 표시 이름의 경로입니다. |
|
action_allowed |
작업 허용 여부입니다. true 또는 false일 수 있습니다. |
액세스 제어 로그
액세스 제어 규칙이 평가될 때마다 액세스 제어 이벤트가 생성됩니다. 이러한 로그는 금지된 액세스를 감사하거나 액세스 제어 구성을 디버깅하는 데 유용합니다.
| 필드 | 설명 |
|---|---|
|
event_timestamp |
이벤트가 발생한 시간으로, 단위는 Unix 에포크 이후 밀리초입니다. |
|
request_id |
요청을 고유하게 식별하는 ID입니다. |
|
organization_arn |
인증된 사용자가 속한 WorkMail 조직의 ARN입니다. |
|
user_id |
인증된 사용자의 ID입니다. |
|
impersonator_id |
위장자의 ID입니다. 요청에 대해 위장 기능이 사용된 경우에만 표시됩니다. |
|
프로토콜 |
사용된 프로토콜로, |
|
source_ip |
요청의 소스 IP 주소입니다. |
|
scope |
규칙의 범위로, |
|
rule_id |
일치하는 액세스 제어 규칙의 ID입니다. 일치하는 규칙이 없으면 rule_id를 사용할 수 없습니다. |
|
access_granted |
액세스 허용 여부입니다. true 또는 false일 수 있습니다. |
인증 로그
인증 이벤트에는 인증 시도에 대한 정보가 포함됩니다.
참고
Amazon WorkMail WebMail 애플리케이션을 통한 인증 이벤트는 인증 이벤트로 생성되지 않습니다.
| 필드 | 설명 |
|---|---|
|
event_timestamp |
이벤트가 발생한 시간으로, 단위는 Unix 에포크 이후 밀리초입니다. |
|
request_id |
요청을 고유하게 식별하는 ID입니다. |
|
organization_arn |
인증된 사용자가 속한 WorkMail 조직의 ARN입니다. |
|
user_id |
인증된 사용자의 ID입니다. |
|
사용자 |
인증을 시도한 사용자 이름입니다. |
|
프로토콜 |
사용된 프로토콜로, |
|
source_ip |
요청의 소스 IP 주소입니다. |
|
user_agent |
요청을 한 사용자 에이전트입니다. |
|
메서드 |
인증 메서드입니다. 현재 기본 인증만 지원됩니다. |
|
auth_successful |
인증 시도의 성공 여부입니다. true 또는 false일 수 있습니다. |
|
auth_failed_reason |
인증 실패 이유입니다. 인증에 실패한 경우에만 표시됩니다. |
personal_access_token_id |
인증에 사용되는 개인 액세스 토큰의 ID입니다. |
개인 액세스 토큰 로그
개인 액세스 토큰(PAT) 이벤트는 개인 액세스 토큰을 생성하거나 삭제하려는 모든 시도에 대해 생성됩니다. 개인 액세스 토큰 이벤트는 사용자가 개인 액세스 토큰을 성공적으로 생성했는지 여부에 대한 정보를 제공합니다. 개인 액세스 토큰 로그는 최종 사용자가 자신의 PAT를 생성하고 삭제하는 작업을 감사하는 데 유용합니다. 사용자가 개인 액세스 토큰으로 로그인하면 기존 인증 로그에 이벤트가 생성됩니다. 자세한 내용은 인증 로그를 참조하세요.
| 필드 | 설명 |
|---|---|
|
event_timestamp |
이벤트가 발생한 시간으로, 단위는 Unix 에포크 이후 밀리초입니다. |
|
request_id |
요청을 고유하게 식별하는 ID입니다. |
|
organization_arn |
인증된 사용자가 속한 WorkMail 조직의 ARN입니다. |
|
user_id |
인증된 사용자의 ID입니다. |
|
사용자 |
이 작업을 수행한 사용자의 사용자 이름입니다. |
|
프로토콜 |
작업을 통해 사용된 프로토콜은 webapp일 수 있습니다. |
|
source_ip |
요청의 소스 IP 주소입니다. |
|
user_agent |
요청을 한 사용자 에이전트입니다. |
|
작업 |
개인 액세스 토큰에 대한 작업으로, 생성 또는 삭제일 수 있습니다. |
|
name |
개인 액세스 토큰의 이름입니다. |
|
expires_time |
개인 액세스 토큰이 만료되는 날짜입니다. |
|
범위 |
사서함에 대한 개인 액세스 토큰 권한의 범위입니다. |
가용성 공급자 로그
가용성 공급자 이벤트는 구성된 가용성 공급자를 대상으로 Amazon WorkMail이 사용자를 대신하여 수행하는 모든 가용성 요청에 대해 생성됩니다. 이러한 이벤트는 가용성 공급자 구성을 디버깅하는 데 유용합니다.
| 필드 | 설명 |
|---|---|
|
event_timestamp |
이벤트가 발생한 시간으로, 단위는 Unix 에포크 이후 밀리초입니다. |
|
request_id |
요청을 고유하게 식별하는 ID입니다. |
|
organization_arn |
인증된 사용자가 속한 WorkMail 조직의 ARN입니다. |
|
user_id |
인증된 사용자의 ID입니다. |
|
유형 |
간접 호출되는 가용성 공급자 유형으로, |
|
도메인 |
가용성을 가져오는 대상 도메인입니다. |
|
function_arn |
유형이 LAMBDA인 경우 간접 호출된 Lambda의 ARN입니다. 그렇지 않으면 이 필드는 표시되지 않습니다. |
|
ews_endpoint |
EWS 엔드포인트 유형이 EWS입니다. 그렇지 않으면 이 필드는 표시되지 않습니다. |
|
error_message |
실패의 원인을 설명하는 메시지입니다. 요청에 성공하면 이 필드는 표시되지 않습니다. |
|
availability_event_successful |
가용성 요청이 성공적으로 처리되었는지 여부입니다. |
