기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon WorkSpaces Secure Browser용 세션 로거의 세션 이벤트
세션 로거는 모니터링 및 감사 목적으로 다양한 세션 관련 이벤트를 캡처합니다.
WorkSpaces Secure Browser 포털의 요구 사항에 따라 모든 세션 이벤트 또는 선택한 하위 집합을 수집하도록 세션 로거를 구성할 수 있습니다. 구성에 대한 자세한 내용은 단원을 참조하십시오Amazon WorkSpaces Secure Browser용 세션 로거 설정.
사용자 개인 정보를 유지하기 위해 Session Logger는 클립보드 데이터 또는 업로드되거나 다운로드된 파일의 콘텐츠와 같은 민감한 콘텐츠를 기록하지 않습니다.
모든 이벤트에는 다음 필드가 포함됩니다.
-
Time
-
사용자 이름
-
포털 ID
-
포털 IP
-
클라이언트 IP
-
세션 ID
| 명칭 | 설명 | 이벤트에 포함된 추가 필드 |
|---|---|---|
| SessionStart | 보안 브라우저 세션이 시작되었지만 사용자가 아직 연결되지 않았습니다. | |
| SessionConnect | 사용자가 보안 브라우저 세션에 연결되어 있습니다. | |
| TabOpen | 보안 브라우저 세션에서 사용자가 새 탭을 열거나 새 탭에서 링크를 열었습니다. | 호스트 이름, 경로, URL(사용자가 새 탭에서 링크를 여는 경우), 없음(사용자가 새 탭을 여는 경우) |
| UrlVisit | 브라우저 세션에서 사용자는 URL로 이동했습니다. | 호스트 이름, 경로, URL |
| WebsiteInteract | 사용자가 웹 사이트에서 표준 HTML 요소를 변경했습니다(예: 확인란, 라디오 버튼 또는 버튼을 클릭하거나 드롭다운에서 항목을 선택). | 호스트 이름, 경로, URL |
| TabClose | 브라우저 세션에서 사용자가 탭을 닫았습니다. | 호스트 이름, 경로, URL(사용자가 탐색한 탭을 닫는 경우), 없음(사용자가 새 탭을 닫는 경우) |
| ContentTransferFromLocalToRemoteClipboard | 사용자가 로컬 브라우저의 콘텐츠를 사용하여 보안 브라우저 내에서 클립보드를 업데이트했습니다(보안 환경 외부). 이 업데이트는 세션 내 도구 모음을 통해 콘텐츠를 복사하거나 키보드 바로 가기(Ctrl+C / Ctrl+V)를 통해 데이터를 전송하여 발생할 수 있습니다. | |
| ContentCopyFromWebsite | 사용자가 보안 브라우저(보안 환경 내부)의 콘텐츠를 사용하여 보안 브라우저 내에서 클립보드를 업데이트했습니다. | 호스트 이름, 경로, URL |
| ContentPasteToWebsite | 클립보드 콘텐츠가 브라우저 내의 웹 페이지에 붙여넣어졌습니다. (이 이벤트는 클립보드 콘텐츠가 브라우저의 URL 표시줄에 붙여넣는 인스턴스를 캡처하지 않습니다.) | 호스트 이름, 경로, URL |
| PrintJobSubmit | 사용자가 브라우저의 가상 프린터(“DCV 프린터”)에 요청 작업을 제출했습니다. 콘텐츠는 사용자의 로컬 시스템에 PDF로 저장됩니다. | 파일 이름, 크기, 확장명 |
| FileDownloadFromSecureBrowserToRemoteDisk | 세션에서 원격 인스턴스의 로컬 디스크로 파일이 저장되었습니다. | 호스트 이름, 경로, URLfilename, 크기, 확장 |
| FileTransferFromRemoteToLocalDisk | 원격 인스턴스의 디스크에서 사용자의 로컬 디바이스로 파일이 다운로드되었습니다. | 파일 이름, 크기, 확장명 |
| FileUploadFromRemoteDiskToSecureBrowser | 원격 인스턴스의 로컬 디스크에 저장된 파일이 브라우저 세션을 통해 파일 공유 SaaS 플랫폼(예: Google Drive, Box 또는 File.io)에 업로드되었습니다. | |
| FileTransferFromLocalToRemoteDisk | 파일이 사용자 디바이스에서 보안 브라우저 세션으로 업로드되었습니다. | 파일 이름, 크기 및 확장명 |
| SessionDisconnection | 사용자가 보안 브라우저 세션에서 연결 해제되었습니다. | |
| SessionEnd | 보안 브라우저 세션이 종료되었습니다. 종료는 관리자가 콘솔의 사용자 세션 관리자를 통해 세션을 종료하거나, 사용자가 도구 모음의 세션 종료를 사용하여 세션을 수동으로 종료하거나, 관리자가 설정한 기간을 초과한 후 세션 시간이 초과되는 세 가지 방법 중 하나로 발생할 수 있습니다. |
각 이벤트는 OCSF 표준을
{ activity_name : String | A human readable name of the event | eg. UrlLoad activity_id : Integer | OCSF standard value 99 for 'others' category_name : "WorkSpacesSecureBrowser" | The category name where the event belongs to. category_id : 2 | Numerical identifier for category, metadata : link | Required { product : link { vendor_name : "wsb", name : "WorkSpacesSecureBrowser" } version : String | Version of the schema | eg. 1.0.0 }, severity_id : 1 | The severity of the event. All events will have a severity of 1, meaning 'Informational', type_id : class_uid * 100 + activity_id time : The time the event happened (RFC3339 format), observables : link [ { name : "session_detail.portal_id", type_id : 10 //Resource UID value : //Generated value }, { name : "session_detail.session_id", type_id : 10 //Resource UID value : //Generated value }, { name : "session_detail.client_ip", type_id : 2 //IP Address value : //Generated value }, { name : "session_detail.portal_ip", type_id : 2 //IP Address value : //Generated value }, { name : "session_detail.username", type_id : 10 //Resource UID value : //Generated value } ], // New Events session_detail : { portal_id : String | UUID of the Portal | eg. 1ebe42de-86bb-4073-88a4-34284bc5bcbb, session_id : String | SessionId of the user session | eg. 17be80fa-7bc2-4675-b17a-791243938cdf client_ip : String | IP Address from which user LoggedIn From | eg. 31.65.180.9 portal_ip : String | IP Address of the AWS AppStream Instance that is running the Portal | eg.240.62.100.169 username : String | The logged-in username | eg. bobross } }
다음은 URLVisit 이벤트의 예입니다.
{ activity_id : 99, activity_name : "URLVisit", ... observables : [ ... { name : "url", type_id : 23 //Unified Resource Locator } ] ... url : { url_string : String | Full URL path, hostname : String | The hostname in the URL path : String | Path in the domain } }
다음은 PrintJobSubmit 이벤트의 예입니다.
{ activity_id : 99, activity_name : "PrintJobSubmitted", observable : [ ... { name : "file.name", type_id : 24 // File } ] ... file : { name : String | The file name, type_id : 1 //Regular file size : Long | Size in bytes ext : String | File extension } }
Amazon WorkSpaces Secure Browser에 대한 세션 로거 지표
세션 로거는 다음 Amazon CloudWatch 지표를 내보냅니다.
SessionLoggerEventDelivered 지표를 사용하여 포털에서 집계된 이벤트 수를 모니터링하거나 값을 합산하는 대신 데이터 포인트 수를 계산하여 전송된 로그 파일 수를 확인할 수 있습니다. 실수로 인한 리소스 또는 권한 삭제를 감지하려면 SessionLoggerTargetNotFoundError 및 SessionLoggerAccessDeniedError 지표에 대한 경보를 구성하는 것이 좋습니다.
참고
지표 데이터 포인트는 각 세션에서 분당 한 번씩 수집되고 5분마다 Amazon CloudWatch 한 번씩에 게시됩니다. 세션 로거 지표는 각 로그 파일 전송에 대해 즉시 내보내집니다.
| 지표 | 설명 | 차원 | Statistics | 단위 |
|---|---|---|---|---|
| SessionLoggerEventDelivered | 전달된 각 세션 로거 파일에 있는 이벤트 수입니다. | [PortalId] | Average, Sum, Maximum, Minimum | 개수 |
| SessionLoggerTargetNotFoundError | 버킷을 찾을 수 없는 로그 파일 전송 수입니다. | [PortalId] | Average, Sum, Maximum, Minimum | 개수 |
| SessionLoggerAccessDeniedError | 권한이 거부된 로그 파일 전송 수입니다. | [PortalId] | Average, Sum, Maximum, Minimum | 개수 |
